Vous êtes sur la page 1sur 4
Dossier L’audit interne est essentiel La profession de l’audit interne est en pleine mutation. Sous

Dossier

L’audit interne est essentiel

La profession de l’audit interne est en pleine mutation. Sous l’effet de nouvelles règlementations, le rôle de l’audit interne est devenu absolument central dans la création de valeur et la prévention de la destruction de cette même valeur. Parallèlement, ce nouvel appétit pour le contrôle développé sous la pression des marchés financiers doit aussi conduire la profession à défendre son pré carré, et à préserver son indépendance. Car la pression qui s’est accrue sur le management et la responsabilisation des instances dirigeantes poussent à superposer les contrôles. Alors même que le champ de ses investigations n’a de cesse de s’étendre -gouvernance, éthique, développement durable, responsabilité sociétale- l’audit interne doit donc affirmer son rôle, tout en maintenant la relation de confiance qui l’unit à la direction générale. Cette complexité de gestion est encore accrue par son rattachement fonctionnel au comité d’audit qui prévaut dans de plus en plus d’entreprises. L’auditeur interne est ainsi amené à développer une communication directe avec les administrateurs.

L ’entrée en vigueur du Sarbanes Oxley Act pour toutes les entre- prises cotées aux Etats-Unis, et

dans une moindre mesure de la Loi de Sécurité Financière pour les socié- tés faisant appel public à l’épargne en France, a mis le métier d’auditeur interne sous le feux de la rampe. L’obligation désormais faite au manage- ment d’évaluer l’efficacité du dispositif

de contrôle interne et des process de reporting financier et la certification de ce même dispositif par les com- missaires aux comptes a poussé les entreprises à revoir de fond en comble leurs procédures.

“On s’est aperçu ainsi que les procédures de contrôle du groupe étaient diffici- lement accessibles et pas toujours actualisées. La nécessité de devoir les réécrire nous a conduit à un travail de recensement exhaustif et de mise en forme. Désormais, nul n’est censé ignorer la loi puisque la bible des procédures est sur notre Intranet”

relève Dominique Riché, Directeur

de l’audit interne chez Nexans.

Chez Veolia Environnement, la mise en conformité avec l’article 404 de la loi Sarbanes-Oxley a conduit à la mise en place d’un programme approfondi d’évaluation du contrôle interne. 400 filiales représentant environ 75% des comptes consolidés sont concernées. 13 processus finan- ciers ont été revus et testés.

“La mobilisation a été forte, tant chez les auditeurs internes et experts des fonctions financières que chez les managers. La maîtrise des risques liés au contrôle interne financier a été

6 administrateur N°8 janvier 2006

renforcée” se félicite Xavier Girre,

Directeur des risques et de l’audit interne. En outre, “nous avons créé une direction du contrôle interne qui

a notamment pour objectif de

formaliser les processus financiers”.

Chez Vivendi, Vincent Vallejo, Directeur de l’audit interne et des projets spéciaux reconnaît que

“l’application de la Loi SOX a été très lourde et nécessite une importante mobilisation des ressources internes

et externes “. Mais désormais “notre

travail est facilité. Nous disposons de

matrices de risques sur les processus clé de chaque business unit et inter- venons en contrôle qualité tant sur la démarche et que sur les conclusions de l'évaluation des contrôles”.

Chez Total, c’est l’enthousiasme qui prévaut. “A la différence de bien d’autres sociétés soumises à SOX, nous avons opté pour une approche très sélective” détaille le patron de l’audit interne Michel Piaton.

“Notre attention

s’est focalisée

uniquement sur les comptes de bilan dont une erreur de comp- tabilisation serait susceptible de provoquer une différence signifi- cative sur notre situation patrimo- niale. Notre effort s’est donc porté sur

patrimo- niale. Notre effort s’est donc porté sur un nombre limité de comptes au sein de

un

nombre limité de comptes au sein

de

notre bilan et sur un nombre limité

d’entités du groupe susceptible de les

faire varier significativement.

Cette forte sélection, validée par les instances dirigeantes et nos commis- saires aux comptes, a permis de considérablement limiter l’effet bureaucratique de SOX”.

Les services d’audit interne du sec- teur public connaissent également une révolution avec l’application de la Loi Organique relative aux Lois de Finances (Lolf) qui impose désormais de mettre en parallèle les moyens alloués et les objectifs réalisés.

Pierre Raynaud, Directeur financier et comptable de la Caisse Nationale d’Assurance vieillesse des travailleurs salariés (CNAVTS) et en charge du département d’audit interne le confesse bien volontiers : “avec la Lolf, on a encore gagné en intensité alors même que nous disposions déjà

d’une comptabilité analytique depuis 10 ans”.

Le département d’audit fonctionne sur la base d’un plan de travail annuel établi par le Directeur finan- cier et le Directeur général, qui se décline en lettres de mission. Il repré- sente 30 auditeurs au total, dont 3 placés au niveau du siège. Car la

CNAVTS se compose aussi de 20 caisses régionales, pour un total de 15.000 personnes. Elle paye 11 mil- lions de retraites dans 150 pays et affiche un résultat comptable de 100 millions d’euros.

Depuis 1993, la Caisse a mis en œuvre un contrôle interne sur un référentiel inspiré du COSO. La moitié des activités de l’audit interne consiste à réaliser des audits de conformité, avec des missions d’une durée maximum de 2 mois.

à une bonne gouvernance

L’autre moitié vise des audits de

processus nouveaux, non encore intégrés au référentiel de contrôle interne.

“En réalité, nous devons appliquer deux corps de règles explique Pierre Raynaud : la Lolf générale, d’une part, qui concerne les services de l’Etat proprement dit et les services des ministères et la Lolf Sécurité Sociale, d’autre part, qui touche les caisses régionales en tant qu’orga- nismes privés à mission d’établissement public”.

Il reconnaît aussi être en limite de capacité avec les effectifs actuels et

compte les doubler à l’échelon natio- nal avec pour objectif de revoir tous les process de l’organisme en quatre ans, soit la même durée que le contrat de plan qui lie la CNAVTS au ministère des Affaires Sociales.

Une demande d’augmentation de moyens suppose évidemment de solliciter la hiérarchie. D’une façon générale, les patrons de l’audit interne sont rattachés, soit à la direction générale, soit à la direction financière et tous participent, de même d’ailleurs que les Commissaires aux comptes, à tous les Comité d’audit. Une fois par an, ils exposent aux membres du Comité le bilan de leur programme d’audit de l’année passée et présente, pour validation, celui de l’année à venir. Ils font également un point régulier sur la mise en œuvre des recommandations qu’ils ont émises.

Hiérarchiquement, Pierre Raynaud dépend de la Direction générale de la CNAVTS. Il existe aussi un Comité National de Contrôle Interne, assimilé à un Comité d’audit, dont les membres sont les Directeurs généraux

et financiers de 8 caisses régionales.

“Le fait de dépendre à la fois de la Direction générale et de la Direction financière qui, conformément au principe de la séparation des pouvoirs ne peuvent pas agir l’une sans l’autre garantit l’indépendance des services

d’audit interne” affirme Pierre Raynaud.

L’indépendance est effectivement une condition essentielle à l’exercice de la profession d’auditeur interne et pas toujours si aisée à faire valoir dans la pratique. En outre, l’organisation des services d’audit peut être très différente d’une entité à l’autre.

peut être très différente d’une entité à l’autre. Xavier Girre est rattaché au Président directeur général

Xavier Girre est rattaché au Président directeur général de Veolia Environnement. Il chapeaute trois fonctions regroupées dans la Direction des risques : celles

de l’audit, de la gestion des risques, des assurances et des risques assurables. Au total la direction des risques com- prend 23 personnes, ce qui peut paraître peu pour un groupe de

250.000 personnes présent dans 70 pays.

“Nous sommes peu nombreux, mais cette structure doit nous permettre d’avoir une vision transversale des risques du groupe et de leur couver- ture : l’adaptation aux métiers et aux structures de chaque entreprise est plus importante que tous les ratios

régulièrement publiés.” Entre 30 et 40 missions d‘audit sont réalisées chaque année. Cette organisation est récente dans la mesure où le groupe, introduit en Bourse en 2000, s’est for- tement structuré après avoir pris son indépendance de Vivendi Universal.

Chez Vivendi Universal, Vincent Vallejo dirige un service de 23 professionnels répartis dans trois bureaux (Paris, New York, Los Angeles) auxquels il faut adjoindre les auditeurs internes de SFR (7 personnes)

et une douzaine d'auditeurs localisés dans la filiale Maroc Telecom. Au total le groupe est implanté dans 77 pays et recense

31.000 employés.

Vincent Vallejo est rattaché au Directeur financier du groupe qui est membre du Directoire. Il effectue des comptes rendus des missions au Comité d'audit groupe.

En 2004, il a réalisé, toutes équipes d’auditeurs confondues, 107 mis- sions. Le parti a été pris, depuis 1999, de sous traiter l’audit informatique à un cabinet d’audit externe “car il est difficile de trouver des spécialistes

répartis dans le monde entier”.

L’objectif est de faire le tour du groupe en cinq ans, sachant que les pays importants sont visités au moins une fois par an et les petits pays une fois tous les trois ans.

fois par an et les petits pays une fois tous les trois ans. Chez Nexans, issu

Chez Nexans, issu d’Alcatel, et introduit en Bourse en 2001, le service d’audit

a été créé début 2002. Il compte

désormais 9 personnes pour 20.000 salariés, soit un ratio de 0,5 pour 1000, habituel dans l’industrie. Le groupe dispose d’une présence industrielle dans 29 pays et commer- ciale dans 65 pays. Il effectue une vingtaine de missions par an avec comme but d’avoir audité complètement le groupe en quatre ans. Dominique Riché dépend hiérar- chiquement du Directeur financier et fonctionnellement du Président qui le nomme.

Chez Total, Michel Piaton est rattaché

à la Direction générale et au Comité

d’audit. Au moment de la fusion avec Elf, le Président Thierry Desmarest a pris la décision de réunir les services d’audit en une seule main.

Simultanément, les fonctions de contrôle interne ont été développées dans les plus grandes entités du groupe. Aujourd’hui, le service compte 80 personnes pour un groupe de 111.000 collaborateurs répartis dans 130 pays. Ce qui est un ratio

assez faible. Mais certains départements ont été conservés dans les filiales lointaines, avec au total une force d’audit supplémentaire de 80 personnes. Michel Piaton fournit au Comité d’audit un rapport chaque trimestre portant sur environ 75 missions d’au- dit, sachant que 250 sont menées à bien chaque année. Mais “nous n’au- ditons pas l’exhaustivité du groupe. Seules les entités participant au

périmètre de consolidation, qui sont déjà 900, et qui ressortent de notre screening de risques, sont contrôlées”.

Il ne faut pas pour autant perdre de

vue que, contrairement aux Commissaires aux comptes, les auditeurs internes n’interviennent pas exclusi-

vement dans le domaine financier, mais aussi sur les aspects commerciaux, marketing, administratifs… Récemment leur champ d’investigation s’est encore étendu. Au terme de la norme 2130, applicable à la profession depuis 2002, ils doivent en effet

“évaluer le processus de gouvernance et déterminer si celui-ci promeut les règles éthiques et les valeurs dans

l’organisation”. Dès lors, jusqu’où peuvent-ils ou doivent-ils aller ?

“L’évaluation du fonctionnement du Conseil d’administration ne peut être demandée que par le Conseil lui-

même ou le Comité d’audit” précise Dominique Riché.

administrateur N°8 janvier 2006 7

Dossier “Dans l’audit de la gouvernance, on n’évalue pas directement le Comex, mais indirectement des

Dossier

“Dans l’audit de la gouvernance, on n’évalue pas directement le Comex, mais indirectement des fonctions du Comex, en réalisant des missions qui les impliquent. Il en sera par exemple ainsi d’une mission de ressources humaines transversale dans le groupe ou de l’audit d’un plan de restructuration ou d’un processus d’acquisition, opérations décidées par le Comex.”

“La Direction des risques contribue à la gouvernance d’entreprise. D’une part la cohérence avec les procé- dures et instructions du groupe des pouvoirs donnés aux mandataires des filiales par les Conseils d’administra- tion est revue dans le cadre des audits. D’autre part, je rends compte régulièrement au Comité d’audit du groupe des missions d’audit et de l’évaluation du contrôle interne financier. La démarche de cartographie des risques a également été présentée”

énumère Xavier Girre.

S'agissant de la diffusion des valeurs du groupe, “c'est le Secrétariat général qui remplit la fonction de “compliance officer” avec un relais au sein de chaque business unit”

explique Vincent Vallejo. Mais l'audit interne y contribue également. D'ailleurs, une mission de deux mois, visant à s'assurer de la diffusion des valeurs dans le groupe, a été confiée par le Comité d'audit à la Direction de l'audit, conjointement avec le Secrétariat général.

Une professionnalisation encore accrue

Il apparaît donc clairement qu’il ne revient pas à l’audit interne, ni d’évaluer la bonne gouvernance des instances dirigeantes du groupe, ni a fortiori de juger de la pertinence de la stratégie adoptée. Cependant, de part leur profil polyvalent et leurs compé- tences, il leur arrive de se trouver aux limites de cette frontière. L’importance croissante prise par cette fonction, au croisement du contrôle interne, du risk management et des aspects de sécurité générale, pousse à une professionnalisation encore accrue.

“On peut noter soulève Dominique Riché que, contrairement aux Commissaires aux comptes qui sont régis par des textes réglementaires de plus en plus nombreux, la profession de l’audit interne s’est très bien auto

régulée”. C’est donc dans cet esprit que l’IFACI a développé, en 2005, une procédure de certification de services

8 administrateur N°8 janvier 2006

A QUOI SERT L’AUDIT INTERNE ? L’audit interne est une activité indépendante et objective qui
A QUOI SERT L’AUDIT INTERNE ?
L’audit interne est une activité indépendante et
objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer et contribue
à créer de la valeur ajoutée. Il aide
cette organisation
à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses processus
de management des risques, de contrôle et de
gouvernement d’entreprise, et en faisant des
propositions pour renforcer leur efficacité.
d’audit interne, dont l’impartialité
et l’indépendance sont garanties
par un Comité de certification.
La réactualisation des normes de la
profession en 1999 par l’IIA et
traduites par l’IFACI en 2000 a en
effet instauré une évaluation
obligatoire des services d’audit
interne au moins tous les cinq ans.
L’IFACI a d’ores et déjà audité un
certain nombre d’entreprises.
“Ils nous on fait des critiques qui
nous ont rappelé que l’on fait un
métier psychologiquement délicat.
Pointer les faiblesses des autres, ce
n’est pas toujours agréable. Au
mois de mai, ce sera le premier
anniversaire de notre certification
et l’IFACI va revenir constater les
points de progrès : c’est un excellent
exercice” commente Michel Piaton.
Xavier Girre y réfléchit : “ce serait
la reconnaissance du travail
accompli par tous au sein de la
Direction de l’audit et une attesta-
tion externe reconnue internatio-
nalement par l’IIA peut-être très
utile, notamment pour un groupe
coté aux Etats-Unis, donc soumis à
la loi Sarbanes-Oxley.“
“Chez Nexans, cette certification
nous a permis de faire le point trois
ans après la création du service”
relève Dominique Riché, “ce qui a
été d’autant plus utile que nous
avions élaboré les programmes de
travail au fur et à mesure de nos
missions et non préalablement. Les
conclusions de IFACI Certification
nous ont, notamment conduit, à
faire valider la Charte d’audit par
le Comité d’audit qui a bien appré-
cié l’ensemble de cette démarche.”
Françoise Blin

Q uels sont

lesnouveaux

enjeux de

la profession d’au-

diteur interne ?

Parmi les 5 défis majeurs de la profession pour demain, il y a surtout la nécessité de renforcer son rôle dans la gouvernance des organisations en développant ses relations avec le Comité d’audit, en fournissant l’as- surance que les structures et les processus de la gouvernance sont correctement conçus et fonctionnent efficacement et en apparaissant comme une activité au service de l’organisation toute entière et non comme un simple instrument de la Direction générale ou du Comité d’audit.

Je pense également que le positionnement de l’audit interne par rapport à d’autres fonctions telles que le management des risques, la qualité ou le contrôle permanent devra être clairement affirmé pour qu’il ne puisse faire l’objet de la moindre contesta- tion ou être remis en cause.

Il est affirmé que l’auditeur interne est indépendant. Est-ce compatible avec la position de salarié ? Le rattachement au Comité d’audit est-il une bonne préconisa- tion ?

L’indépendance des auditeurs internes n’est pas un dû, elle doit se mériter ; mais elle est favorisée d’une part par leur rattachement hiérarchique à la Direction générale (dans 69% des cas selon notre dernière enquête), et d’autre part par leur rattachement fonc- tionnel (à hauteur de 38%) au Comité d’audit. Cette double dépendance, la seconde s’organisant de façon de plus en plus systé- matique, est un gage d’indépendance. Je ne suis pas favorable au rattachement hiérarchique de l’audit interne au Comité d’audit, car je craindrais que le spectre de son intervention se réduise au domaine comptable et financier, qu’il apparaisse de plus en plus comme une fonction étrangère à l’organisation, avec le risque pour lui, d’avoir plus difficilement accès aux infor- mations clés de l’organisation et de voir apparaître l’émergence d’un nouveau corps auprès de la Direction générale qui vien- drait doublonner le précédent. Je crois fortement que la Direction de l’audit interne doit, pour être efficace et apporter de la valeur ajoutée, avoir la totale confiance de la Direction générale et la parfaite écoute du Comité d’audit.

Dossier INTERVIEW DE LOUIS VAURS D ÉLÉGUÉ GÉNÉRAL DE L ’I NSTITUT DE L ’A

Dossier

INTERVIEW DE LOUIS VAURS

DÉLÉGUÉ GÉNÉRAL DE L’INSTITUT DE L’AUDIT INTERNE (IFACI)

“L’auditeur interne est au service de l’organisation toute entière”

A qui est destiné le rapport des audi- teurs internes ?

Les dirigeants d’entreprise que nous avons récemment interviewés estiment être les premiers destinataires du rapport d’audit, tout en considérant qu’ils n’en ont pas l’exclusivité, car ce rapport doit évidemment être aussi diffusé aux audités et au Comité d’audit sous forme de synthèse.

En ce qui concerne la rédaction des rap- ports d’audit, les Directions générales souhaitent de la clarté et de la transpa- rence, mais aussi du doigté. Pour ce qui est du whistleblowing, l’IFACI a pris, il y

a plusieurs années, la position suivante :

l’information sensible doit être remon- tée à la Direction générale et au Comité

d’audit, mais le responsable de l’audit interne doit s’interdire de la transmettre

à l’extérieur de l'organisation, sauf s’il y

est tenu par son statut (cas des fonction- naires).

La gestion des relations de l’audit interne au sein de l’organisation et avec l’extérieur gagne de toute façon à être précisée dans une Charte d’Audit. Notre enquête montre que 82% des entre- prises consultées disposent d’une telle charte qui est approuvée à 90% par la Direction générale et à 77% par le Comité d’audit.

Seriez vous partisan de faire bénéficier les auditeurs internes d’une clause de conscience ?

J’ai effectivement reçu des demandes en ce sens de la part de responsables d’au- dit interne qui avaient dû quitter leur entreprise pour avoir refusé d’amender leur rapport. Mais je n’y suis pas per- sonnellement favorable, ne serait-ce que parce que l’auditeur interne est en position de salarié avec un contrat de subordination à un employeur et que d’autres responsables (juristes, fisca- listes, risk managers, etc…) seraient dès lors en droit de réclamer une telle pro- tection.

En même temps, j’ai bien conscience, pour l’avoir pratiqué très longtemps, que ce métier peut mettre l’auditeur interne dans des situations très délicates, voire invivables et qu’il serait souhai- table de trouver une formule juridique

qui puisse lui assurer une certaine pro- tection ou lui faire bénéficier, au pire, d’une juste indemnité. Il y a, certes, la possibilité d’un droit d’appel auprès du Comité d’audit, mais on peut considérer que cela ne pourra pas résoudre les situations les plus sen- sibles. A tout le moins, il serait souhai- table que le Comité d’audit soit informé des motifs qui amènent une Direction générale à se séparer de son directeur d’audit interne.

Vous voyez donc que pour exercer ce métier, il faut, à côté d’une grande com- pétence technique, du talent et surtout du courage.

Depuis 2002, l’audit interne doit, selon l’une des normes qui régissent la pro- fession, évaluer le processus de gouver- nance et déterminer si celui-ci promeut les règles éthiques et les valeurs dans l’entité considérée. Voilà qui peut déboucher sur des enjeux de pouvoirs considérables…

Vous avez raison, nous avons bien une norme qui nous demande d’évaluer le processus de gouvernement d’entreprise ainsi que la conception, la mise en œuvre et l’efficacité des objectifs, pro- grammes et activités de l’organisation liés à l’éthique. Les auditeurs internes s’en préoccupent de plus en plus comme le montre notre récente enquête, mais pas encore suffisamment.

Quant à dire que cela peut déboucher sur “des enjeux de pouvoirs considé- rables”, je ne le crois pas. Ce n’est pas en tout cas le rôle de l’audit interne et ce ne peut être l’objectif des auditeurs internes qui effectuent des missions pour apporter de la valeur ajoutée aux organisations et non pour servir leurs ambitions.

a

redonné une légitimité aux auditeurs

internes ?

Mais ils ne l’ont jamais perdu ! Les scan- dales financiers qui sont survenus n’avaient pas pour origine une défaillance de l’audit interne. Chez Enron, l’audit interne avait été externa- lisé chez Arthur Andersen qui faisait aussi office de commissaire aux

Est-ce que le Sarbanes Oxley Act

comptes. Chez Worldcom, c’est préci- sément l’audit interne qui a révélé les fraudes au grand jour. Mais il est clair que pour répondre aux exigences des régulateurs et aux attentes des organisations, l’audit interne devra se professionnaliser encore davantage. D’abord au niveau individuel par une formation continue aux méthodes, tech- niques et outils devant se conclure au minimum par la préparation au Diplôme Professionnel de l’Audit Interne, développé par l’IFACI et au mieux, par la préparation au Certified Internal Auditor, développé par l’IIA. Ensuite, il appartient à chaque service d’audit interne de mettre en place un programme d’assurance qualité portant sur tous les aspects de l’audit interne et faisant l’objet d’une évaluation externe se concluant par l’obtention du label qualité délivré par IFACI Certification.

L’audit interne a-t-il une responsabilité lorsqu’il ne détecte pas les risques ?

L’audit interne doit identifier et évaluer les risques et bâtir son plan d’audit à partir de cette évaluation en se focali- sant sur les risques les plus significatifs.

Sa mission n’est pas de traiter les risques, mais de s’assurer qu’il existe un processus de management des risques et que ce processus est efficace.

Tous les collaborateurs d’une organisa-

tion sont mobilisés pour maîtriser les risques, mais chacun doit agir dans le cadre des responsabilités qui lui ont été assignées. Je reprendrai, si vous le voulez bien, l’image d’un pack de rugby, chère à Henri de Castries, le Président directeur général d’AXA: “il y

a ceux”, explique-t-il, “qui sont en pre-

mière ligne, les managers de terrain qui prennent les risques. En deuxième ligne,

il y a les risk managers, qui fixent les

cadres dans lesquels les risques doivent être pris et veillent à ce que l’organisa-

tion de l’équipe soit celle que l’on sou- haitait à l’origine. En troisième ligne, il y

a l’auditeur qui veille à ce que l’on ne

sorte pas du cadre défini. L’auditeur interne constate ce qui a été fait, en tire

des leçons et, le cas échéant, suggère des corrections”.

Propos recueillis par FB

administrateur N°8 janvier 2006 9