IA et Cybersécurité : Plongée au cœur d’un des…
Sous la pression d’un environnement économique toujours plus hostile aux risques et grâce aux opportunités offertes par les nouvelles technologies, l’audit interne a vu ses missions et ses méthodes de travail progressivement remises en cause.
De plus en plus sollicité sur des problématiques stratégiques, l’audit interne doit désormais répondre à des besoins dépassant largement le cadre de ses fonctions traditionnelles.
L’audit interne a pour mission principale de donner au management d’une organisation une assurance de la bonne maîtrise des risques de toutes ses entités. L’audit interne appréhende traditionnellement le risque à travers les prismes financier et comptable. Le périmètre de l’audit interne couvre toutefois des champs d’action plus vastes, le risque étant de nature diverse : humain, matériel, légal, informatique, financier, image de marque… Intervenant sur tous les processus d’une organisation (achat, vente, logistique, finance, ressources humaines, communication…) l’audit interne est donc par nature une fonction ouverte sur toutes les autres.
L’activité de l’audit interne peut être orientée en fonction des principaux risques signalés par la gestion des risques (ou risk management) dont la mission est d’identifier l’ensemble des risques pesant sur une organisation. En se basant sur la cartographie des risques, l’audit interne peut également prioriser les contrôles à effectuer lors d’une mission : chaque risque n’ayant pas le même impact dans toutes les entités. Par exemple, les entités susceptibles de collaborer avec des pays placés sous embargo verront leurs processus des achats et des ventes faire l’objet d’un audit plus approfondi afin de se prémunir contre le risque de sanctions financières internationales. Inversement, les rapports de missions de l’audit interne permettent d’alimenter en contenu les analyses faites par la gestion des risques. Les missions d’audit sont aussi un bon moyen de tester sur le terrain la pertinence et la justesse des indicateurs d’évaluation des risques.
Audit interne et contrôle interne interagissent également. Le contrôle interne définit le dispositif de maîtrise des risques via des méthodes, des règles et des procédures. Lors de ses missions, l’audit interne évalue le niveau de conformité des entités auditées par rapport à ce dispositif. Le référentiel du contrôle interne gagnera en exhaustivité après chaque mission d’audit en s’enrichissant des observations des auditeurs. Ce dernier peut aussi s’étoffer des bonnes pratiques identifiées sur le terrain par les auditeurs lors de leurs missions ou lors de missions ponctuelles externalisées auprès de cabinets spécialisés.
Progressivement, le périmètre de l’audit interne s’est enrichi des aspects RSE (responsabilité sociale d’entreprise) et HES (hygiène environnement sécurité) qui ont parfois ouvert la voie à des sections spécialisées, comme c’est déjà le cas pour l’audit interne informatique, de plus en plus répandu.
Le positionnement de l’audit interne :
L’audit interne tient sa légitimité de son indépendance : le plus souvent, il est donc rattaché à la direction générale en plus du comité d’audit (ou siègent généralement des membres du conseil d’administration / de surveillance). Il existe cependant des groupes où l’audit interne dépend directement de la direction administrative et financière. Contrairement à l’audit externe, l’audit interne ne dispose ni de la compétence, ni du mandat légal pour statuer sur la légalité des états financiers lors de la certification annuelle des comptes.
Les auditeurs internes appréhendent de plus en plus les entités auditées comme des clients endossant ainsi le rôle d’un « cabinet de conseil interne » à l‘entreprise. L’audit interne ne serait plus considéré seulement comme une charge à vocation de contrôle mais davantage comme un organe créateur de valeur ajoutée, indépendant et adaptable. Dans le cadre d’une mission d’audit classique, l’audit interne met au service de l’entité auditée son expertise, sa méthodologie et ses ressources pour identifier les points d’amélioration sur chaque processus et initier des actions susceptibles d’améliorer la maitrise des risques et la performance opérationnelle. Dans le cadre d’une mission d’audit transverse, l’audit interne peut intervenir ponctuellement à la demande de la direction générale ou d’une direction fonctionnelle pour conduire un audit sur une problématique particulière mais abordée sur un périmètre élargi (exemple : un audit de la gestion des écarts d’inventaire pour l’ensemble des entités d’une même branche ou d’un même pays). L’audit interne, grâce à la flexibilité de son organisation et à sa capacité à centraliser et interpréter les données, sert ainsi de boite à outils sur mesure et se positionne comme aide à la décision pour le pilotage d’un groupe. L’audit interne apparait aussi comme un vecteur privilégié de relations entre holding et filiales : les auditeurs internes sont parfois les seuls ambassadeurs d’un groupe auprès de ses entités, en particulier dans des organisations matricielles complexes composées de nombreux corps et instances intermédiaires. L’audit interne permet ainsi de « faire passer les messages » et de faire remonter certaines informations directement du terrain.
Inspiré en partie par la gestion des risques, le plan d’audit définit le programme des missions d’audit pour une période allant d’une à plusieurs années. De nombreux critères sont pris en compte pour établir un plan d’audit. L’arbitrage peut se faire selon le type de mission : missions d’audit classique (un audit complet de tous les processus d’une filiale), mission d’audit ciblant un processus en particulier (exemple : audit de la trésorerie avec un focus sur les réconciliations bancaires) ou encore mission d’audit transverse (audit de la gestion des stocks sur toutes les entités du groupe appliquant la méthode des inventaires tournants). L’arbitrage des missions peut se faire aussi en fonction des zones géographiques (exemple : audit du processus des appels d’offre dans les territoires où le groupe est le plus exposé à des risques de corruption) mais aussi en fonction de l’actualité (exemple : audit du processus d’achat et d’approvisionnement des branches les plus exposées à des risques d’inflation).
D’autres éléments sont à intégrer dans la stratégie de l’audit interne, notamment la dimension « ressources humaines ». L’audit interne est de plus en plus appréhendé comme une pépinière de talents formant les futurs cadres dirigeants d’un groupe. Disposant d’une formation « accélérée », les auditeurs internes acquièrent rapidement, lors de leurs nombreux déplacements, une bonne connaissance du groupe et sont aussi sensibilisés aux problématiques opérationnelles clés. Le recrutement des auditeurs internes, particulièrement décisif, peut donc aider au renouvellement des « hauts potentiels ». Par ailleurs, afin d’accompagner les nouvelles missions de l’audit interne, les candidats ayant un profil orienté « conseil » sont de plus en plus recherchés.
Si le numérique est porteur de nouveaux risques, il ouvre aussi la voie à de nouvelles méthodes de travail en proposant aux auditeurs des outils innovants et plus performants. Ces outils seront particulièrement appréciés dans le cadre des nouvelles missions de l’audit interne où les analyses transverses peuvent mobiliser un volume de données considérable. Le pilotage de l’audit interne peut aussi se voir facilité par la mise en place d’outils dédiés, notamment concernant la planification des audits, le suivi des missions et la documentation des points relevés lors des audits.
Prioriser le programme de travail de l’auditeur en définissant, pour les points critiques de chaque processus, les contrôles clés à effectuer lors de chaque mission d’audit
Mettre à profit la proximité entre contrôle interne, gestion des risques et audit interne pour créer des synergies
Positionner l’audit interne comme un appui à la direction générale en orientant ses missions vers le conseil sur des problématiques opérationnelles et stratégiques
Calibrer le plan d’audit selon la stratégie adoptée notamment en jouant sur les arbitrages entre audit transverse, audit généraliste, audit spécialisé et audit par zone géographique
Revoir les méthodes de travail traditionnelles de l’auditeur en s’appuyant sur de nouveaux outils notamment concernant l’analyse transverse des données et le pilotage des missions d’audit