IFACI – Institut de l’Audit Interne mars 2005

ETUDE COMPARATIVE DES PRATIQUES DE L’AUDIT INTERNE

Introduction
Au dernier trimestre 2004, Le Groupe Michelin a mené une étude à laquelle 11 sociétés,
appartenant en majorité au CAC 40, ont bien voulu participer.
Cette note de synthèse restitue dans les grandes lignes les pratiques d’audit interne telles
qu’elles ont été présentées, les tendances convergentes et les spécificités de chacun.

L’étude a porté sur deux axes :

- L’organisation et le fonctionnement général de la direction de l’Audit Interne
- Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne

L’organisation et le fonctionnement général de la direction de l’Audit Interne

Les services d‘Audit Interne présentent une structure double : un bureau central (Audit
Groupe ou Corporate) et des bureaux décentralisés (réseau d’audit) organisés selon des
branches métier, des sociétés filiales correspondant à des métiers ou des zones
géographiques. Seules deux Entreprises ne possèdent qu’un noyau central sans réseau
d’audit.

Les effectifs (réseau inclus) varient de 1 auditeur pour 4000 salariés à 1 auditeur pour 1200
salariés.
Les équipes sont composées, pour la majorité des Entreprises, de cadres expérimentés venant
des cabinets d’audit ou de l’opérationnel. Une entreprise présente la particularité de ne
recruter que des jeunes cadres, la moyenne d’âge des auditeurs est de 27 ans.

La plupart des Entreprises ont adopté une structure hiérarchique semblable à celle des
cabinets d’audit ; trois d’entre elles ont cependant opté pour une hiérarchie interne souple,
avec moins de niveaux et des rotations au poste de chef de mission.

La plupart des Directions d’Audit Interne comprend des spécialistes, en Informatique le plus
souvent. La spécificité de l’une d’entre elles est de présenter une organisation d’Audit
structurée en quatre pôles de spécialisation: Risques économiques généraux, Risques
informatiques, Risques industriels et Risques produit, des missions pluridisciplinaires
rassemblent des équipes mixtes. Cette dernière configuration permet à l’Audit Groupe de
couvrir tous les domaines de l’Entreprise, le recours aux experts extérieurs est très limité.

Le processus d’Analyse des risques et de planification de missions

Dans toutes les Entreprises, la Direction de l’Audit Interne se consacre à des missions d’audit
du Contrôle Interne (autrement dit des « missions d’assurance » dans la terminologie IFACI) ;
les missions de conseil étant exceptionnelles chez certains, totalement exclues chez d’autres.

L’Audit Interne réalise l’Analyse de risques de l’Entreprise sauf chez deux Entreprises, où une
Direction centrale des risques pilote le processus, l’Audit Interne intervenant en tant que
participant. Le processus repose principalement sur deux sources d’informations : des
entretiens plus ou moins formels avec des managers ou des tables rondes sur des thèmes de
risques, et l’analyse de l’Audit des résultats de missions d’audit passées, pris en compte de
différentes façons, plus ou moins structurées. La cartographie des risques et la planification
de missions sont ainsi élaborées.
Il existe deux approches. Soit les entretiens avec les managers, jusqu’à 150 dans une
Entreprise, sont préalables à la constitution d’une liste de missions d’audit potentielles, où

Point de repère(s) n°38 1/4

IFACI – Institut de l’Audit Interne mars 2005

l’analyse des audits passés de l’Audit entre également en compte. Puis les managers sont à
nouveau consultés, formellement dans certaines Entreprises, sur cette liste de mission.
Celle-ci est finalement soumise pour validation officielle au Comité d’Audit ou à la Direction
générale ou à la Fonction à laquelle est rattachée l’Audit. Soit l’analyse de l’Audit est
préalable, la liste de missions potentielles est ensuite discutée avec un panel de managers
variant de la vingtaine à la cinquantaine, parfois également avec les Commissaires aux
comptes, puis soumise pour validation au Président de l’Entreprise.

Dans cinq Entreprises, la détermination des missions potentielles repose également sur des
critères de récurrence de missions d’audit (ou d’objectifs de fréquence d’audit des entités).

Le processus de réalisation des missions

La phase de préparation donne lieu à un rapport formalisé (interne à l’Audit) d’orientation de

la mission dans quatre Entreprises, précisant le périmètre de mission et les ressources
allouées.
Dans une des Entreprises, il existe toujours un commanditaire personnifié, propre à chaque
mission, c’est-à-dire un responsable de haut niveau du domaine audité qui s’assimile à un
propriétaire de mission.
La phase terrain dure de 2 semaines à 5 semaines selon l’Entreprise et selon les missions.
Dans cinq Entreprises, un planning d’audit « synchronisé » est adopté: les équipes d’auditeurs
réalisent les missions simultanément, il y a donc 6 à 8 vagues de missions dans l’année.

Le rapport d’audit fait toujours l’objet de discussions avec les audités, lors des réunions de
clôture à la fin de la phase terrain, et après la phase terrain. Dans trois Entreprises, des
priorités ou degrés d’importance sont donnés aux recommandations d’audit. Dans l’une
d’entre elles, il existe un objectif de format pour les rapports : un rapport comporte 5
recommandations prioritaires, et une vingtaine de recommandations au total.
Dans deux Entreprises (où des audits d’entités sont fréquents), une note sur 4 de niveau du
Contrôle Interne est donnée à l’ensemble audité. Dans une autre, un code de 4 couleurs est
utilisé pour noter l’état de Contrôle Interne dans le processus/l’entité audité/e, le même
principe de couleur est utilisé pour le rapport d’état d’avancement du plan d’action. Cette
note constitue également un paramètre pris en compte notamment pour moduler les
fréquences d’audits lors de l’analyse de risques et la planification annuelle de missions.
La diffusion du rapport d’audit peut être limitée aux audités et commanditaires, ou
systématiquement étendue au membre du Comité Exécutif et au Président de Société (sous
forme de note de synthèse).

Le processus de suivi des recommandations

L’audit Interne Groupe n’est pas nécessairement responsable du suivi des recommandations ;
chez l’un, les services d’audit des filiales assurent le suivi de leurs propres missions, chez
l’autre, les animateurs de Contrôle Interne, rattachés aux différentes Branches, en sont
responsables.
Le suivi des recommandations a lieu systématiquement de 4 à 6 mois après le rapport d’audit
dans trois Entreprises.

Dans trois Entreprises, le processus de suivi des recommandations est formalisé. Chez l’une,
l’harmonisation méthodologique, le suivi de l’avancement et l’entretien d’une base de
données spécifique sont confiés à un auditeur ; une lettre de clôture formelle est émise quand
la mise en place du plan d’action est estimée satisfaisante après vérification par l’Audit. Chez
une autre, des synthèses trimestrielles personnalisées d’état d’avancement des plans
d’actions sont adressées aux membres du Comité Exécutif.

Point de repère(s) n°38 2/4

IFACI – Institut de l’Audit Interne mars 2005

Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne

Communication de l’Audit Interne

De l’avis unanime, la communication interne par l’Audit sur ses propres activités ou sur le
Contrôle Interne contribue à la sensibilisation des managers aux problématiques de Contrôle
Interne.
D’une part, la communication ‘permanente’ se présente dans la majorité des Groupes de
façon semblable : Charte d’audit, intranet, présentation de l’Audit lors des missions. Le
contact avec les audités et le travail d’audit lui-même constituent les actions principales de
sensibilisation pour la plupart des Directions d’Audit.
Une particularité cependant est à remarquer dans deux Entreprises: des auditeurs ou groupes
d’auditeurs sont chargés, outre leurs responsabilités sur les missions, de favoriser les
échanges avec les opérationnels dans des domaines désignés et de traiter le ‘knowledge
management’ de l’Audit dans le domaine en question. Par exemple, responsabilité du
domaine des Achats, correspondant pour la zone Amérique du Sud ou mission de
développement des connaissances sur le Business Continuity Management. Ceci contribue par
ailleurs à responsabiliser les auditeurs sur un secteur qui leur devient propre.

D’autre part, des actions spécifiques de communication mettent en avant l’Audit et les thèmes
de Contrôle Interne. Dans une des Entreprises, tous les deux ans, une réunion rassemble
auditeurs et managers pour renforcer la visibilité de l’Audit et mieux échanger sur les
problématiques de Contrôle Interne. Des projets de formation au Contrôle Interne sont pilotés
par la Direction de l’Audit dans une autre. Des séances d’information/de formation lors du
lancement de l’outil d’autoévaluation représentent aussi l’occasion de communiquer sur ces
problématiques.

Changements organisationnels induits par le projet de Contrôle Interne

La Loi de Sécurité Financière de juillet 2003 a apporté la création de direction de risques ou

de poste central de Risk Manager (dans quatre Entreprises), de fonctions
Coordinateurs/Animateurs de Contrôle Interne ou ‘Risk Managers’ dans les branches (dans
trois Entreprises). Les premiers, en tant que services centraux, mettent en place la
méthodologie et pilotent le processus d’analyse de risques, consolident et synthétisent les
analyses des risques des branches. Les seconds, des Coordinateurs, dans un poste à temps
partagé ou complet, sont rattachés aux managers de la branche, aident à la mise en place du
(projet de) Contrôle Interne dans leur branche et sont des interlocuteurs privilégiés de l’Audit
sur les sujets d’audit et de Contrôle Interne.

Rôle de l’Audit Interne dans le projet de Contrôle Interne

La démarche d’auto-évaluation, dont l’objectif, la mise en place, et le domaine d’application

varient d’un Groupe à l’autre, est présente dans tous les Groupes, sauf un. Le rôle de l’Audit
dans cette démarche diffère également.
Par exemple, dans une Entreprise, l’outil d’auto-évaluation développé par l’Audit interne est
principalement à but pédagogique. Dans trois Entreprises, des cabinets de conseil ont aidé
l’Audit à la conception ou la mise en place d’un outil informatisé, qui devient objet de
reporting consolidé, et est également utilisé par l’Audit pour la préparation de missions de
revue de Contrôle Interne. La démarche d’auto-évaluation est généralement déconnectée de
l’analyse de risque pilotée ou impliquant la Direction de l’Audit Interne telle qu’elle a été
évoquée ci-dessus.

Dans le cadre de la loi de Sécurité Financière, le projet de Contrôle Interne est mené soit par
des groupes de travail multidisciplinaires, dont font partie des représentants de l’Audit
Interne, dans la majorité des Entreprises, soit par des ressources dédiées, rattachées à la
Direction Financière ou la Direction de l’Audit, soit par l’Audit Interne seul.

Point de repère(s) n°38 3/4

IFACI – Institut de l’Audit Interne mars 2005

Le rôle de l’Audit dans le projet même varie : en 2005, dans deux Entreprises, une partie
importante des ressources de l’Audit Interne sera consacrée aux tests d’évaluation du
Contrôle Interne, dans d’autres Entreprises, l’Audit ne sera pas du tout sollicité.

Au-delà de la responsabilité ou de l’accompagnement de l’auto-évaluation, des missions de

revue de Contrôle Interne ou encore des tests d’évaluation, la Direction de l’Audit n’est pas
seulement impliquée dans l’information sur le projet de Contrôle Interne mais plus encore,
dans la formation des managers au Contrôle Interne, comme dans une des Entreprises, où un
projet de formation Contrôle Interne est en cours de développement.

Point de repère(s) n°38 4/4