FM14

FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008

1

FINANCE MANAGEMENT - CFO MAGAZINE - N°°°°°°°1°1°11°1°1°°1°11°1°°°1°°°°°°1111°°1°1°11°1111111114 -4 -4 -4 -4 -4 -4 -44 -4 -4 -4 -4 -4 -4 -4 -4 -4 -4 -4 -4 -4 44 -4 -444 ---4 -44 -4 -4 -4 -4 -444 -4444 -4444444 FEFEFEFFFEFEFEFEFEFEFEFEFEFEFEFEFEFEFEFEEEEEFEFEFFFEFEEEFFEFEFFFEFEFEFEEFEEEFEEFEEEFFFEFEFEFFEFFFEEEEEEEEEFFEEFEEF VRVVRVRIVRIVRIVRIVRVRIVRIVRVRVRIVRRVRRVRVRVRIVRIVRVRIVRVRIVRVRIVRVRVRVRIVRIRRVRVRVRIVRVRVRIVRIVRVVRVRIRRRVRVRIVRVRIVVRVRIVRVRRVVRVRVRVRRVRVVVRRRVRVVRRIVVRVVVVR EREREREREER ERER EERRRERERER ERER ERERERERERRERER RREREREREREERREERRERERRER RERERERERER ERERERERREREEREEERRRREERRRER 20020020020020200200200202002002002002002002000020020020200200222220020020002220020020020000020020020000200200222200002000200200222002002002002020220022000000222000202 88888888888888888888888888888888888888888888888888888888888888888

1111111111

>EN PRATIQUESOMMAIREN°14 FÉVRIER 2008

Dossier

Audit interneLongtemps, le rôle des auditeurs internes s’est surtout cantonné à une attitude quelque peu défensive qu’on peut qualifi er de « gendarme » interne. Aujourd’hui, les entreprises attendent de la fonction qu’elle participe plus activement à la création de valeur. Enquête sur un métier en pleine mutation.


2

FISCALITÉ DOSSIER

TEXTE : CHRISTOPHE LO GIUDICE

Longtemps, le rôle des auditeurs internes s’est surtout cantonné à une attitude quelque peu défensive qu’on peut qualifi er de « gendarme » interne. Objectif premier: éviter et contribuer à résoudre les problèmes. Aujourd’hui, les entreprises attendent de la fonction qu’elle contrôle la bonne conformité aux réglementations en tous genres, qu’elle examine une plus large gamme de risques et qu’elle participe plus activement à l’amélioration des performances de l’organisation. Rien de moins! Enquête sur un métier en mutation.

consultant interne

L’auditeur interne:du gendarme au

L es nombreuses enquêtes très récemment pu-

bliées autour de la fonction díaudit interne ne

laissent planer aucun doute: le monde de líen-

treprise attend de plus en plus des auditeurs

internes. Pour mieux cerner les missions et les rôles de líaudit

interne, líétat de la pratique dans les entreprises ainsi que sa va-

leur ajoutée pour le conseil díadministration, le CEO et le direc-

teur fi nancier, líInstitut des Auditeurs internes (IIA Belgium) et

Finance Management ont réunis pour une table ronde plusieurs

responsables de líaudit interne en entreprise.

LíIIA Belgium représente plus de 1.300 membres et 350 organisa-

tions en Belgique, avec une place prépondérante occupée par le

secteur bancassurance, le seul à comporter des obligations légales

en la matière. Elle représente donc un excellent observatoire de la

pratique, tant dans notre pays qu’à l’international de par ses liens ses

homologues répartis dans 165 pays! Autour de la table: Pascale Van-

denbussche, Chief Staff Offi cer de l’IIA Belgium, Michel Weber, direc-

teur de l’audit chez Recticel, Philippe Dangre, directeur de l’audit chez

Base, et Atila Kas, responsable de l’audit chez Generali Belgium.

En quoi la mission d’audit interne se distingue-t-elle de celle des auditeurs externes?Pascale Vandenbussche: « L’auditeur externe est légalement

requis pour émettre une opinion concernant l’élaboration des

états fi nanciers, conformément à un cadre de reporting défi ni,

et pour garantir aux actionnaires que les chiffres publiés refl è-

tent une image correcte et juste de l’état des affaires de la socié-

té et du bénéfi ce – ou de la perte – constaté à la fi n de l’exercice.

L’audit interne donne quant à lui un type de garantie différent

au Conseil d’administration et/ou au comité d’audit. Il est plus

impliqué dans les processus opérationnels, d’un point de vue

de l’effi cience, de l’effi cacité, de l’opportunité, de la conformité

et de l’exhaustivité des informations. Son approche n’est donc

pas uniquement celle des états fi nanciers. En d’autres termes, là

où les commissaires aux comptes se concentrent sur les consé-

quences fi nancières des processus et regardent donc plutôt le

passé, les auditeurs revoient tous les processus d’activités et les

risques impliqués, avec un regard vers le futur dans une démar-

che de recherche d’amélioration continue. »

Comment décrire la fonction à son origine?Pascale Vandenbussche: « Lorsque j’ai fait mes premiers pas dans

l’audit interne il y a une quinzaine d’années, je sortais moi-même

de l’audit externe. Sans trop schématiser, je résumerais ce qu’était

la fonction en la qualifi ant de ‘gendarme interne’. En ce sens, elle

pouvait être plutôt mal considérée dans l’organisation. »

Philippe Dangre: « Au départ, la fonction d’auditeur interne a,

en partie, été créée parce que le coût des auditeurs externes


3

était jugé fort élevé. Son rôle était de préparer le travail des

responsables fi nanciers et d’anticiper sur l’intervention des

auditeurs externes. Par ailleurs, l’audit interne a vu son rôle

formalisé et étendu à la suite de législations promulguées en

réaction à des scandales fi nanciers: le Foreign Corrupt Prac-

tices Act trouve sa source dans l’affaire du Watergate, le Fede-

ral Deposit Insurance Corporation Improvement Act réagis-

sait aux faillites bancaires aux Etats-Unis, le Sarbanes-Oxley

Act résultait de la faillite d’Enron. Les autorités américaines

ont obligé les entreprises à mettre en place un système de

contrôle interne qui puisse raisonnablement garantir l’inté-

grité des comptes et le respect des lois et règlements. »

Comment se positionne la fonction dans les entreprises?Philippe Dangre: « Pour l’avoir exercé dans plusieurs entre-

prises différentes et en avoir observé beaucoup d’autres, je

peux vous dire qu’il en existe autant de déclinaisons que de

secteurs et d’entreprises ou presque! Ce qui peut avoir des

conséquences très importantes sur son effi cacité. »

Pascale Vandenbussche: « Il existe néanmoins des standards,

d’ailleurs assez généraux que pour pouvoir s’appliquer à tous. Je

pense notamment à la question de l’indépendance des auditeurs

internes. Pour que l’évaluation soit réalisée de façon profession-

nelle, impartiale, sans pression ni confl it d’intérêts, la fonction

doit s’inscrire dans un positionnement adéquat au sein de l’orga-

nisation. Cela n’est possible que lorsque le lien fonctionnel est fait

au comité d’audit – ou, en son absence, au conseil d’administra-

tion –, le lien avec le CEO ou, le cas échéant, avec le CFO n’étant

qu’administratif. Or, dans un certain nombre d’entreprises, l’audit

interne rapporte au CFO, ce qui n’est pas recommandé. »

Atila Kas: « Dans le secteur des assurances, l’audit interne est

une fonction obligatoire et réglementée depuis 1999. La Com-

mission Bancaire, Financière et des Assurances (CBFA) a émis

différentes circulaires qui s’alignent sur ces standards. Aucune

activité, ni aucun département, d’une compagnie d’assurances

ne peuvent être exclus du champ d’application du département

d’audit interne. Et l’indépendance de la fonction est en effet

bien garantie. La CBFA veille par ailleurs qu’un rapport de suivi

reprenant les recommandations de l’auditeur interne soit trans-

mis par le comité de direction à son conseil d’administration. »

Pascale Vandenbussche: « Cette indépendance ne peut être

garantie que pour autant que l’audit interne rapporte à

quelqu’un qui n’est pas opérationnel dans la structure. C’est

à cela que l’on peut vérifi er que cette indépendance est réelle

et pas uniquement formelle. »

Philippe Dangre: « Si l’on pousse le raisonnement à l’extrême,

le fait même d’être sur le payroll de l’entreprise ou les perspec-

tives de carrière dans celle-ci posent des questions en matière

d’indépendance. Il y a donc nécessairement un certain prag-

matisme à avoir tout en l’assortissant de balises claires. »

Comment a évolué le rôle de l’audit interne, au-delà de celui de « gendarme » déjà évoqué? Pascale Vandenbussche: « Petit préalable: l’audit interne n’est

pas responsable des procédures et du contrôle interne, mais

bien du fait de vérifi er que ceux-ci soient bien mis en place et

fonctionnent effectivement. Vous me direz: pourquoi a-t-on

besoin des auditeurs s’ils n’opèrent que cette ‘vérifi cation’?

Notre rôle consiste à fournir au conseil d’administration une

assurance indépendante et objective d’une personne autre

« Dans un certain nombre d’entreprises, l’audit interne rapporte au CFO, ce qui n’est

pas recommandé. »

Philippe Dangre: « On entre de plus en plus dans l’appré-ciation de systèmes extrêmement complexes. L’auditeur interne est ainsi parfois amené à mettre en évidence l’écart entre l’assurance attendue d’un audit et le niveau réel de vérifi abilité des processus audités. »


4

que le CEO et/ou le CFO, ainsi qu’à fournir la même assurance

à ces derniers de la part d’une personne autre que les mana-

gers qui leur rapportent directement. »

Philippe Dangre: « Le contrôle interne ne peut se limiter aux

contrôles de la comptabilité, ni se réduire aux rapports fi nan-

ciers. Il couvre également les aspects de respect des lois et

règlements – ‘compliance with laws and regulations’ –, la fi a-

bilité des informations fi nancières et opérationnelles, le fait

que les processus en place – dépassant d’ailleurs la fi nance

– soient rationnels et effi caces, la protection des actifs, etc.

On l’élargit encore également aujourd’hui à l’évaluation de la

gestion des risques, incluant la notion d’opportunités opéra-

tionnelles à prendre ou non. »

Michel Weber: « Un terrain qu’il faut bien qualifi er de diffi cile. Si

la méthodologie des auditeurs permet effectivement d’explorer

tous ces champs-là, encore faut-il disposer des moyens néces-

saires et du temps pour relever l’ensemble de ces missions! »

Pascale Vandenbussche: « Il faut également évoquer tous les

développements des sujets concernant la gouvernance d’en-

treprise et l’éthique qui ont des impacts sur notre métier… »

Philippe Dangre: « … et on peut dire qu’on aboutit ainsi à des at-

tentes de la part des actionnaires qui sont démesurées par rapport

aux possibilités réelles que nous avons. Si, dans les banques et les

assurances, les départements d’audit interne s’inscrivent dans un

rapport de un à cent vis-à-vis de l’ensemble de l’organisation, il

se situe plutôt dans un rapport de un à mille dans les autres sec-

teurs, même si certaines entreprises sortent du lot avec une pro-

portion un peu plus favorable. Il faut donc nuancer quelque peu

la capacité d’apporter réponse à toutes ces questions. Et ce n’est

pas seulement un problème d’effectifs. On entre de plus en plus

DOSSIER

Evolution des activités d’audit interne

La proportion de temps consacré à l’audit des processus

fi nanciers, aux investigations en matière de fraude et aux

audits liés au management apparaît relativement stable au

cours des sept années sur lesquelles porte l’étude. A l’inver-

se, le pourcentage de temps passé dans un rôle de conseil,

sur des audits relatifs à la gouvernance ainsi qu’aux tech-

nologies de l’information sont en progression signifi cative

sur les trois dernières années. En ce qui concerne la gouver-

nance et l’IT, cette progression devrait encore se marquer au

cours des années à venir. Par contre, les audits de confor-

mité et les audits opérationnels devraient prendre moins de

temps à l’agenda des auditeurs.

Autre

Audits de management

Audits opérationnels

Audits IT

Gouvernance

Enquêtes sur les fraudes

Audits des processus financiers

Conseil

Audits de conformité

Source : IIARF

Il y a 3 ans

Aujourd'hui

Dans 3 ans

0

7,76,8

7,3

2,62,9

5,3

12,110,9

8,9

7,75,9

4,4

4,53,8

5,1

11,611,7

10,7

12,412,3

9,1

15,717,3

17,2

24,528,9

30,6

5 10 15 20 25 30 35

« 57% des responsables de l’audit interne disent rapporter

au comité d’audit et 14% seu-lement ont une fonction pure-

ment de type support. »


5

dans l’appréciation de systèmes extrêmement complexes, avec des

questions auxquelles les gens du business eux-mêmes ne sont pas

forcément capables de répondre. L’auditeur interne est ainsi parfois

amené à mettre en évidence l’écart entre l’assurance attendue d’un

audit et le niveau réel de vérifi abilité des processus audités. »

Comment faire face à la situation que vous décrivez? Michel Weber: « Si l’on parle d’évaluation des risques, et sachant

qu’on dispose d’assez peu de moyens, l’enjeu est d’aller à l’essentiel.

Le destinataire de notre information n’est, à ce titre, pas unique-

ment le CEO ou le CFO – auquel la fonction a pu historiquement

rapporter – mais l’ensemble du business. A-t-on plus de valeur

ajoutée pour le CFO? Ma réponse est plutôt négative: l’essentiel

des risques ne sont pas liés à la comptabilité, mais se logent dans

le business – achats, production, ventes, etc. La comptabilité, c’est

ce que le public voit et elle doit être intégré à la démarche, mais s’y

limiter serait aléatoire. »

Philippe Dangre: « La valeur ajoutée n’en est pas moins impor-

tante pour le CFO car les risques que l’audit interne va décou-

vrir dans les autres départements vont être évalués fi nanciè-

rement et vont permettre des ajustements. »

Michel Weber: « C’est clair. Du fait des systèmes ERP, la fonc-

« Les problèmes se situent moins dans les départements qu’aux frontières de ceux-ci »

Avant de rejoindre Recticel, Michel Weber a pratiqué

l’audit interne chez Exxon, dans une approche que l’on

pouvait déjà qualifi er, il y a dix ans, de très avant-gar-

diste dans le domaine. Démarrant la fonction d’audit

interne chez Recticel en 1998, il était clair pour lui que

« la mission de l’audit interne ne devait pas se limiter à

la (re)vérifi cation de l’intégrité des comptes. Cette problé-

matique était déjà couverte par d’autres fonctions et par

l’audit externe avec bien plus de moyens. La maximalisa-

tion de la valeur ajoutée de l’audit interne était à trouver

essentiellement dans l’amélioration du contrôle interne

d’autres processus – achats, ventes, trésorerie, etc. »

Recticel est un groupe belge fortement implanté en

Europe et actif dans le monde entier, avec plus de cent

établissements répartis dans vingt-six pays. « Mon ex-

périence m’a appris que les problèmes sur lesquels il faut

mettre le doigt ne se situent pas tant dans les départe-

ments qu’aux frontières de ceux-ci. Nous mettons donc

l’accent sur les audits de processus pour sortir de l’ap-

proche par silos, mais aussi pour mieux faire fonctionner

ces différents départements ensemble. Pour l’effi cience

de l’audit interne, il est également important de sollici-

ter l’avis des ‘business owners’ quant aux processus les

plus risqués et, à l’intérieur de ces processus, leur opinion

quant aux risques les plus importants. Ceci garantit non

seulement une meilleure exhaustivité et priorité des mis-

sions d’audit interne mais, de par leur implication, une

réponse plus positive des ‘business owners’. »

Sur ces bases, Recticel isole chaque année un processus

clé et procède à des audits dans différentes organisa-

tions. « Au cours de ces audits, des points de contrôle

importants sont identifi és et mesurés. Ayant réalisé cet

exercice, nous sommes en mesure – grâce à la centrali-

sation de notre ERP et l’utilisation d’un logiciel d’audit –

de répéter trimestriellement ces mesures et, partant, de

mieux identifi er les organisations à risque nécessitant

plus d’attention et éventuellement un audit de terrain. Ce

benchmarking entre les organisations du groupe est évi-

demment très utile à l’identifi cation et à la dissémination

des meilleures pratiques. »

Michel Weber: « L’essentiel des risques ne sont pas liés à la comp-tabilité, mais se logent dans le business – achats, production, ventes, etc. La comptabilité, c’est ce que le public voit et elle doit être intégré à la démarche, mais s’y limiter serait aléatoire. »


6

DOSSIER

tion fi nancière se trouve de plus en plus décentralisée dans

le business avec des impacts sur la comptabilité. Il en résulte

que le CFO est de plus en plus intéressé par l’audit interne et

le retour qu’il peut en avoir. »

Pascale Vandenbussche: « On peut également a priori parler de

relation privilégiée avec le CFO du fait que l’on parle le même

langage et que la compréhension mutuelle est plus grande. »

Quel est l’état de la pratique, aujourd’hui, sur le terrain?Pascale Vandenbussche: « Nous venons de fi naliser une en-

quête menée dans le cadre de l’IIARF, l’Institute of Internal

Auditors Research Foundation, auprès de responsables de

l’audit interne. Celle-ci couvre quelque 12.000 répondants,

dont 102 en Belgique. On peut notamment constater que

87% des répondants belges se déclarent en conformité avec

les standards de l’IIA, pour 82% au niveau mondial. La pra-

tique en Belgique est donc plutôt favorablement position-

née. L’enquête révèle également que la profession a connu

un développement important tant dans ses champs d’inter-

vention que dans sa sophistication et que les choses évoluent

encore (cfr. graphique). Il ressort aussi de cette observation

un bon niveau d’indépendance de la fonction puisque 57%

Pascale Vandenbussche: « L’audit interne n’est pas res-ponsable des procédures et du contrôle interne, mais bien du fait de vérifi er que ceux-ci soient bien mis en place et fonctionnent effectivement. »

« On ne peut évaluer les obligations de SOX en termes de coûts/bénéfi ces »

Filiale à 100% de l’entreprise néerlandaise KPN, l’opérateur

de téléphonie mobile Base est, par ce biais, soumis aux obli-

gations Sarbanes-Oxley (SOX). Historiquement présente au

niveau du groupe, la fonction d’audit interne a été créée

dans la fi liale belge en 2002, d’abord dans cette perspec-

tive de « compliance ». « Les obligations liées à SOX étant

importantes et extrêmement formalisées avec des contrôles

fréquents au niveau groupe, la fonction d’audit a de la sorte

acquis une visibilité importante en interne », confi e Philippe

Dangre, directeur de l’audit interne de Base.

Au-delà de ce champ spécifi que, il a également été chargé

de développer une fonction d’audit interne au spectre plus

large qui, celle-là, jouit d’une plus grande liberté d’action,

d’exécution, de durée de ses missions, etc. « Nous touchons

là à l’effi cacité, à l’effi cience des processus, à la conformité des

actions prises avec la stratégie de l’entreprise. Cette facette de

l’audit rapporte en direct au CEO alors que l’audit se référant

à SOX m’amène beaucoup plus à interagir avec l’audit groupe.

Le champ d’action est également très différent: au niveau

groupe, l’accent est quasi exclusivement mis sur l’intégrité

des comptes, peut-être même au détriment de ce que pourrait

apporter une approche plus large en matière d’audit interne

comme nous la menons sur un plan local. »

Certains vont jusqu’à dire que les obligations SOX sont coû-

teuses et ne servent à rien ou, du moins, pas à grand-chose.

Une opinion que ne partage pas complètement Philippe

Dangre. « On ne peut évaluer SOX en termes de coûts/bé-

néfi ces, estime-t-il. Il y a, d’une part, des effets positifs qu’il

faut détecter et sur lesquels capitaliser et, d’autre part, certai-

nes lourdeurs du processus qu’il faut essayer d’optimiser ou

d’écarter, en mettant de côté ce qui est superfl u, voire dom-

mageable pour la société. »

« Attention de ne pas vivre avec l’illusion que l’audit interne, avec l’aide de l’audit externe, apporte une assurance sur tout. »


7

des responsables de l’audit interne disent rapporter au comi-

té d’audit et 14% seulement ont une fonction purement de

type support. Dans la quasi totalité des entreprises étudiées,

l’objectivité et l’indépendance sont par ailleurs reconnues

comme des éléments clés de la fonction. »

Philippe Dangre: « Un des défi s consiste aujourd’hui à nuancer

le niveau d’assurance que l’audit est à même de produire tant

pour le conseil d’administration que pour le comité de direc-

tion. Quand on lit les rapports d’audit externe, le nombre de pa-

ges de ‘disclaimers’ pourra bientôt concurrencer le nombre de

pages pour le contenu du rapport lui-même. Attention dès lors

de ne pas vivre avec l’illusion que l’audit interne, avec l’aide de

l’audit externe, apporte une assurance sur tout. Il y a une expli-

cation à fournir à ce niveau. En termes d’analyse de risques, par

exemple, nous pouvons fournir une photographie: c’est ensuite

au conseil d’administration ou au comité de direction d’avaliser

le niveau de risque résiduel jugé acceptable. On le voit dans le

cadre des banques qui souffrent actuellement le plus de la crise

des subprimes: je pense à une grande institution bancaire amé-

ricaine où l’audit interne est extrêmement poussé, complète-

ment indépendant et très actif en matière d’analyse de risques

et, malgré ça, elle subit la crise de plein fouet! »

Atila Kas: « Il est toujours important de trouver l’équilibre entre

les notions de conformité et de performance. La première est

assez bien suivie. Mais notre valeur ajoutée essentielle viendra

du fait de réellement contribuer à l’amélioration de l’effi cacité

et à la minimisation du niveau de risques. C’est à ce niveau que

la pratique doit évoluer sur le terrain, au quotidien. »

Quand on parle de susciter des améliorations, en-core faut-il que les managers et leurs équipes soient convaincues de leur bien-fondé. Votre fonction im-plique-t-elle sinon une dimension de « vente » ou, à tout le moins, une démarche de marketing vis-à-vis de vos recommandations? Philippe Dangre: « Ce n’est pas ma philosophie et je trouve

même l’idée d’une sorte de marketing interne assez mal-

saine. Si l’entreprise décide de mettre en place l’audit interne,

il n’y a pas de raison que les recommandations aient à être

‘vendues’. Le fait d’avoir capté une défi cience n’implique pas

qu’elle doive disparaître: nous mettons à disposition une

photographie que nous devons être à même de défendre

mais, ensuite, il en va de la responsabilité du management

de mettre en œuvre ou non nos recommandations en fonc-


8

DOSSIER

tion de ses priorités, de ses moyens, etc. Je suis responsable

de ce qui se trouve dans mes rapports et de la réalité de leur

contenu. Mais l’utilisation de ces rapports dépend aussi de

la culture de l’entreprise: dans certains groupes, une recom-

mandation de l’audit interne équivaut à un ordre formel… »

Atila Kas: « Le marketing interne ne porte pas exclusivement

sur les recommandations mais aussi sur le suivi de celles-ci

au sein de l’entreprise. On peut dire que c’est quasiment le

cas dans notre secteur de l’assurance, lorsque le processus

d’audit est clairement assimilé. Il y a véritablement un suivi

qui s’opère. Dans ce cas, il n’y a rien à ‘vendre’: la vente in-

terne s’opère toute seule… »

Michel Weber: « Pour ma part, j’ai longtemps travaillé avec

des rapports très formalisés. Six années après que la fonc-

tion ait été créée chez Recticel, j’ai procédé à une évaluation

du suivi des recommandations pour conclure qu’il n’était

pas optimal. La cause étant souvent l’interposition d’autres

priorités. Ce n’est pas un problème en soi si l’organisation

concernée est capable de justifi er pourquoi elle ne donne pas

le suivi escompté. Malheureusement, ce n’est pas toujours le

cas. Dès lors, je me suis distancié de ces rapports formalisés

pour adopter une approche plus ‘pragmatique’. D’abord, par

le contenu: il est important que l’audit interne collationne

l’ensemble des problèmes de contrôle interne, en ce compris

ceux – de plus en plus nombreux – mis en exergue par les

auditeurs externes, mais aussi par d’autres fonctions de Rec-

ticel (ICT, comptabilité, etc.). Ceci permet une meilleure prio-

ritisation. Pragmatisme également par l’outil: une base de

données permettant une gestion automatisée de la commu-

nication et des délais permet, sur un mode conversationnel,

un meilleur suivi. Cette approche, à la limite du consulting,

me semble aujourd’hui essentielle. »

« La Roll’s Royce va bientôt s’offrir un turbo »

Generali Belgium, tout comme dans le secteur fi nancier

dans son ensemble (banques et assurances) investit

dans une fonction d’audit interne très structurée. Une

priorité qui s’explique par les dispositions légales en

vigueur. Le service d’audit interne compte ainsi quatre

personnes pour un effectif total d’environ 500 person-

nes. « Comparé à d’autres secteurs, la qualifi cation de

Roll’s Royce vient du fait que l’audit interne est une obli-

gation par rapport aux autorités de contrôle, confi rme

Atila Kas, responsable de l’audit interne chez Generali

Belgium. Les dispositions européennes vont à terme en-

core rajouter un turbo derrière! »

L’homme ne s’en cache pas: ce cadre législatif contrai-

gnant offre une forme de privilège à une équipe qui,

sans doute, a moins besoin qu’ailleurs de chercher à

s’affi rmer. « L’audit interne permet également des analy-

ses transversales qui ont une grande valeur ajoutée pour

le CEO et le CFO, son comité d’audit ainsi que pour l’en-

semble du management, ajoute-t-il. En plus des activités

quotidiennes, nous nous intéressons à des questions fon-

damentales et stratégiques comme: où en est l’entreprise

aujourd’hui et où veut-elle aller demain. »

Une position privilégiée quand on sait que les audi-

teurs, en particuliers externes, ont tendance à surtout

regarder le passé: « Ici, nous intégrons également les

dimensions de stratégies à moyen et long termes, avec

un regard sur les négociations menées au plus haut ni-

veau. L’objectif: analyser dans quelles mesures les options

présentées ou les décisions prises sont adaptées ou non

à l’environnement interne de l’organisation. Cette démar-

che permet de prendre du recul et d’intégrer différentes

décisions pour en valider la cohérence globale: est-ce que

tout est bien pris en considération, documenté en âme et

conscience professionnelle? Cela rejoint également l’idée

de gestion des risques et de conseil interne. »

Atila Kas: « Il est important de trouver l’équilibre entre les notions de conformité et de performance. Notre valeur ajoutée essentielle viendra du fait de réellement contribuer à l’améliora-tion de l’effi cacité et à la minimisation du niveau de risques. »


9

L’audit interne se trouve dans une phase charnière de son histoire, à en croire plusieurs études récentes sur la fonction. Champs d’action plus larges, infl ation des compétences requises, défi s croissants à l’agenda… le tout dans un contexte de guerre des talents marquée pour le type de profi ls requis. Seule solution: anticiper!

L es auditeurs internes font l’objet de toutes

les attentions. Plusieurs enquêtes et livres

blancs viennent ainsi de passer au crible l’état

de la fonction et les évolutions qu’elle vit

aujourd’hui dans les entreprises. Confirmation des propos

échangés par les intervenants à la table ronde organisée par

l’Institute of Internal Auditors (lire les pages qui précèdent):

« Jusqu’ici, la principale tâche des auditeurs internes était

de vérifier que les règles en matière d’établissement de rap-

port financier étaient respectées, souligne Ernst & Young en

marge de la publication de son étude Global Internal Audit

Survey. Les entreprises attendent également d’eux qu’ils exa-

minent une plus large gamme de risques d’entreprise et qu’en

plus, ils améliorent ses performances financières. »

Cette évolution ne fait pas seulement apparaître de nou-

veaux défis importants, mais aussi de nombreuses diffi-

cultés nouvelles. « L’audit interne devra dorénavant trouver

un équilibre entre les attentes du Comité d’audit – ‘évitez les

problèmes’ – et celles de la direction – ‘faites progresser notre

business’ », résume Inge Boets, Global Business Risk Services

Leader chez Ernst & Young. Traduction: les auditeurs inter-

nes doivent plus que jamais prouver leur importance straté-

gique au sein de l’entreprise. Mais, pour ce faire, les mana-

gers en audit interne devront penser autrement et surtout

réagir plus rapidement.

Même constat posé par KPMG dans son récent Livre Blanc in-

titulé The Changing Role of Internal Audit. « La fonction est

confrontée à de nouvelles demandes de la part du conseil d’ad-

L’auditeur interneconfronté à une inflation des attentes

DOSSIER

TEXTE: CHRISTOPHE LO GIUDICE


10

ministration, des leaders de l’organisation et des régulateurs

bien au-delà des questions traditionnelles de conformité aux

régulations, y lit-on. Leur rôle s’élargit pour inclure des activi-

tés liées à la création de valeur, dans une perspective de plus

grande performance. »

PLUS STRATÉGIQUEUne évolution qui n’est pas sans lien avec l’évolution que

connaît la fonction de CFO dans bien des organisations, pré-

cise KPMG. « Traditionnellement, le CFO est en charge de do-

maines tels que le risque, le reporting fi nancier, la conformité

aux règlements en vigueur et les infrastructures. Ce qu’on peut

qualifi er de rôle de ‘préservation de valeur’. Aujourd’hui, ils se

voient confi er d’autres champs d’action en complément: ils se

trouvent ainsi de plus en plus au centre des processus de déci-

sion, d’infl uence et de leadership. On attend d’eux un rôle plus

stratégique et orienté vers le business. »

De même, l’auditeur interne se positionne dans une pers-

pective de ‘création de valeur’, notamment en matière de

connaissances des risques de sorte de participer à l’amélio-

ration de leur gestion. « En mettant en œuvre des analyses des

risques au niveau de l’entreprise et en couvrant les principaux

domaines à risques, l’audit interne peut améliorer la coordina-

tion avec d’autres fonctions liées à l’audit au sein de l’entre-

prise », confi rme l’étude menée auprès de 138 professionnels

de l’audit interne dans 24 pays.

Une coordination qui se révèle bien nécessaire, à en croire

les répondants. Ainsi, seuls 29% d’entre eux déclarent que

l’audit interne interagit et travaille en bon alignement avec

les autres fonctions de risk management présentes dans l’or-

ganisation. Dans près d’un cas sur cinq, il n’existe que peu ou

pas du tout de partage d’informations.

PÉNURIE DE COMPÉTENCESSi les défis en termes de champs d’activité ne manquent

pas, le plus sérieux chantier à rencontrer porte, d’après Ernst

& Young, sur le fait de trouver des personnes disposant des

compétences adéquates pour identifier et gérer les risques

d’entreprise croissants. Pas moins de 49% des structures

sondées disent avoir augmenté la taille de leur fonction

d’audit interne au cours des douze derniers mois et 38% des

répondants indiquent qu’ils travaillent à moins de 90% de

leur effectif budgété. De plus, 36% font état d’un taux de

rotation annuel supérieur à 15%.

Les compétences les plus difficiles à trouver sont celles

liées à l’ITC, aux fraudes ainsi qu’aux risques d’entreprise et

opérationnels. Plus d’un tiers des sondés affirment dispo-

ser d’un nombre insuffisant de collaborateurs instruits en

matière de dépistage et prévention des fraudes. Parmi les

autres domaines en déficit de personnel compétent, figu-

rent ceux des transactions et de la taxation. Les résultats

de l’enquête indiquent aussi que les équipes d’audit interne

devront fournir des efforts importants pour élargir leurs

compétences de base au domaine des risques d’entreprise

et opérationnels.

EN PROFONDEUR L’aspect international apparaît également comme un défi

important pour les entreprises globalisées. « La plupart des

analyses des risques internationales sont réalisées au niveau

des quartiers généraux et tiennent par conséquent trop peu

compte de la langue, la culture et la réglementation locale. El-

les ne traitent donc pas les questions suffi samment en profon-

deur », pointe le rapport. Autre chantier de taille: trop peu de

DOSSIER

« Améliorer la préservation de valeur, étendre la création de valeur »

D’après le Livre Blanc publié par KPMG, l’audit interne a pour dou-

ble défi de maintenir et de renforcer ses activités de « préserva-

tion de valeur » (cercle en bas à droit sur le graphe) et de s’impli-

quer plus en profondeur dans des activités « créatrices de valeur »

(cercle en haut à gauche), ce qui implique de la part des auditeurs

internes de nouvelles compétences en ligne avec cet objectif.

Source: KPMG, The Evolving Role of the Internal Auditor, 2007

« L’audit interne doit trouver un équilibre entre les atten-tes du Comité d’audit – ‘évi-tez les problèmes’ – et celles de la direction – ‘faites pro-gresser notre business’ »


11

départements d’audit évaluent le résultat de leur action. La

moitié des répondants ne mesurent pas la valeur que la fonc-

tion d’audit interne apporte à l’organisation, alors que 13%

font ce calcul sur base d’économie de coûts générée.

Les metrics utilisés paraissent par ailleurs très rudimentaires:

le pourcentage des audits réalisés comparé au plan d’audit

est utilisé par 89% des répondants, pour 72% mesurant leur

effi cacité à la durée mise pour sortir leur rapport. « Si elle

veut renforcer sa pertinence pour les stakeholders, la fonction

d’audit interne se doit d’aligner ses plans d’audit et la mesure

de leurs performances à l’aide de mécanismes liées à la création

de valeur pour le business. »

EN TEMPS RÉELDe son côté, PricewaterhouseCoopers a également réalisé

une étude visant à identifi er les tendances susceptibles de

dessiner les contours de la profession à l’horizon 2012. A cet-

te fi n, un questionnaire a été envoyé à plus de 250 directeurs

d’audit interne parmi les entreprises du classement « For-

tune », analyse complétée par des entretiens avec certains

d’entre eux pour un volet plus qualitatif. Plus de la moitié

d’entre eux s’attendent ainsi à un champ d’intervention plus

dynamique de l’audit, dans le cadre d’une gestion des risques

« plus en temps réel ». Ce plan sera modifi é en cours d’an-

née, de manière bien plus fréquente, sur la base de l’évolution

d’indicateurs de risques.

Se marque par ailleurs une belle unanimité quant au fait que

les outils technologiques, tant dans leur évolution que dans

leur utilisation, prendront une part croissante dans le quoti-

dien de l’audit interne d’ici 2012. Autre constat: les compé-

tences traditionnelles en matière d’audit et de comptabilité

devront être complétées par d’autres aptitudes, plus adap-

tées à une démarche d’analyse par les risques, par exemple

l’analyse de données, les technologies de l’information et la

détection de la fraude, etc.

« Au cours des cinq prochaines années, ces tendances vont

vraisemblablement impacter de façon structurante de nom-

breux départements avec des effets différents en fonction des

secteurs d’activité, de la culture d’entreprise et des attentes des

dirigeants, conclut-on chez PwC. Néanmoins, c’est aujourd’hui

qu’il faut s’interroger sur ces grandes questions pour être en

mesure de répondre aux enjeux de demain… »

Une photo de l’audit interne en Belgique

En Belgique, la fonction d’audit interne se porte plutôt bien, révèle

une enquête menée dans le cadre de l’Institute of Internal Audi-

tors Research Foundation (IIARF) auprès de 12.000 responsables

de l’audit interne dans le monde, dont 102 en Belgique. Quelque

57% des répondants belges décrivent leur fonction comme in-

dépendante, rapportant au Comité d’audit ou à son équivalent.

Globalement, il ressort de l’enquête que la fonction est considérée

comme suffi samment crédible au sein de l’organisation et qu’elle

dispose du statut requis pour être réellement effi cace.

Pour un directeur de l’audit interne sur quatre, son service était

jugé suffi samment staffé au moment de répondre à l’enquête,

mais une proportion identique reconnaît réduire le champ des

activités dès lors que les ressources humaines ne sont pas dispo-

nibles. Un sur trois déclare faire appel au « co-sourcing » et à l’out-

sourcing pour compenser le manque de compétences internes.

En moyenne, les répondants ont reçu 58 heures de formation sur

l’année. Des formations qui sont plus fréquentes dans les organi-

sations où l’audit interne est très développé et qui tournent alors

autour de la pratique et des strandards du métier (80% y sont for-

més chaque année ou plus souvent), de l’éthique (80%), des com-

pétences en communication (80%) et du travail en équipe (40%).

Les personnes sondées ont également été confrontées à une liste

de 27 activités touchant à l’audit interne afi n d’identifi er celles

qu’elles prenaient en charge dans le cadre de leur fonction. Cinq

en ressortent communes à tous les secteurs: administration

(plan d’audit, affectation des tâches, etc. – 96%), audits opération-

nels (92%), testing de contrôle interne et évaluation de systèmes

(90%), audit interne pur (87%), évaluation de la conformité aux

règlements et codes de gouvernance (64%). Si l’on considère le

top 10, il ressort certaines différences selon la taille des équipes

d’audit interne: les plus grandes prennent plus en charge l’évalua-

tion du département IT ainsi que les audits fi nanciers que les peti-

tes, plus actives en ERM, audit éthique et problèmes de sécurité.

Si les activités externalisées ou co-sourcées sont relativement

rares, certaines tendances peuvent être dégagées. Les forma-

tions aux techniques d’audit (30%), les audits fi nanciers (28%)

et l’évaluation de la qualité de l’audit interne (24%) sont les plus

externalisés, alors que l’investigation en matière d’irrégularité ou

de fraude ou l’évaluation de la conformité aux politiques internes

s’inscrivent plus souvent dans une perspective de co-sourcing.

Un tiers des sondés déclarent que l’audit interne ne joue pas un

rôle de conseil en matière de développement stratégique, mais

un sur cinq s’attend à voir sa fonction jouer un tel rôle dans les

trois ans à venir. Un peu moins d’un répondant sur trois prend en

charge des formations de membres du comité d’audit interne et

quatre sur dix jouent un rôle de formateur interne auprès du per-

sonnel de l’entreprise en matière de contrôle interne, de corporate

governance et de conformité. Plus d’un sur cinq s’attend à ce que

la fonction prenne un tel rôle dans les trois ans à venir.

« La plupart des analyses des risques internationales sont

réalisées au niveau des quar-tiers généraux et ne traitent

pas les questions suffi sam-ment en profondeur. »

FM14

Documents

Transcript of FM14