IST-D/EGMCS Audit Interne & Organisationnel MEO 2018

Activité 2.2 Analyse et commentaire

L'analyse des risques enrichit l'audit
OLIVIER PIOT - LES ECHOS | LE 09/11/1999
https://www.lesechos.fr/09/11/1999/LesEchos/18022-123-ECH_l-analyse-des-risques-enrichit-l-
audit.htm

Le rôle traditionnel des auditeurs internes consiste à évaluer les dispositifs de contrôle (respect des
procédures et des logiques de management) mis en place dans les entreprises, mais ils sont
aujourd'hui de plus en plus investis d'une autre mission : participer à l'analyse et à la maîtrise des
risques. Telle est la principale conclusion de l'enquête (1) que viennent de réaliser le cabinet de
conseil Arthur Andersen et l'Institut de l'audit interne (Ifaci).

Aujourd'hui, la notion de « risque " ne se limite plus aux seuls domaines financier et technique, mais
traverse toutes les activités de l'entreprise. « Les groupes ont une vision globale, ils considèrent
comme un risque toute situation qui pourrait les empêcher d'atteindre leurs objectifs », souligne Brian
Towhill, responsable des services d'audit interne au cabinet de conseil PricewaterhouseCoopers.

Ainsi, un retard dans une livraison, le non-respect de l'environnement ou une mauvaise

communication font dorénavant partie des risques à surveiller. Sous la houlette des auditeurs,
certaines entreprises font de véritables inventaires des risques afin d'en établir une cartographie.
Réalisé en amont de leurs missions classiques, ce travail accentue la dimension stratégique et
conseil des auditeurs, comme c'est le cas chez Alcatel ou au Crédit Lyonnais.

Dans cette dernière entreprise, le plan Vigie (redéfinition de l'ensemble des processus de contrôle
interne de la banque) lancé en 1997 a même entraîné la création d'une structure de risk-
management, dont le rôle est d'aider la direction du groupe à définir sa politique en matière de
gestion des risques.

Jean Maurice RAZANAKOLONA Page 1

 IST-D/EGMCS Audit Interne & Organisationnel MEO 2018

Ce nouveau rôle : faire évoluer les bases du métier. « Au lieu de raisonner de façon segmentée pour
tel ou tel service ou unité, l'auditeur analyse de plus en plus les risques en termes de processus, c'est-à-
dire de façon transversale », indique Pierre Alexandre Bapst, directeur du département maîtrise des
risques, aide à l'audit interne chez Arthur Andersen. La méthode est appliquée chez Alcatel depuis
la fin de 1998.

A partir de quatre « processus clefs » (exécution du plan stratégique, marketing et vente, gestion
des produits, fabrication et sous-traitance), les principaux risques ont été identifiés. « Nous pouvons
ensuite les hiérarchiser et faire des propositions de bonnes pratiques pour le contrôle interne »,
précise Laurent Arnaudo, responsable qualité et évaluation des risques au service d'audit interne
d'Alcatel.

Rôle actif

Cette recherche d'anticipation rend aussi l'auditeur beaucoup plus actif : au lieu de simplement
constater le respect des règles lors du contrôle interne effectué par les opérationnels, il guide ces
derniers dans des démarches « d'autoévaluation » (sous forme de questionnaires et de séances en
ateliers) qui permettent de faire émerger les risques que les normes admises ont pu négliger. « En
associant les opérationnels dans l'analyse de leurs activités, il doit lui-même s'impliquer dans
l'amélioration des procédures », explique ce responsable de l'audit interne d'un grand groupe.

Enfin, on assiste depuis quelques années à la création de services spécialisés dans l'audit des
systèmes d'information. Interconnexion des réseaux, déploiement des boîtes aux lettres
électroniques, démocratisation de l'accès à Internet : le bond en avant de ces technologies
représente des risques nouveaux pour les entreprises (piratage, virus, confidentialité, pannes,
etc.). « Nécessaire pour évaluer la sécurité des sites et des systèmes, l'audit intervient aussi dans les
phases amont des grands projets informatiques afin de prendre en compte très tôt les exigences
nouvelles de contrôle interne et de sécurité des données et des traitements ", souligne Georges
Dumont, directeur de l'audit interne du groupe Accor.

De telles missions demandent des profils bien particuliers. En se dotant en 1998 d'une cellule
d'audit des systèmes d'information, Accor a fait appel à trois cadres, dont deux ont développé cette
spécialité au sein de cabinets de conseil.

Ailleurs, ce sont des auditeurs généralistes que l'on forme à ces technologies ou encore _ et c'est le
plus fréquent _ des informaticiens qui s'initient aux techniques de l'audit.

C'est le choix qu'a fait La Poste en créant en 1995 son département d'audit informatique. Le service
compte aujourd'hui dix auditeurs : cinq d'entre eux sont d'anciens chefs de projet informatique
internes et les autres de jeunes diplômés sortis d'écoles d'ingénieurs ou des informaticiens recrutés
à l'extérieur de l'entreprise.

OLIVIER PIOT
(1) L'audit interne en France à l'aube de l'an 2000, octobre 1999.

TRAVAIL A FAIRE
1° Analysez cet article en dégageant l’idée principale et les idées secondaires
2° Faites des commentaires
2° Donnez votre opinion

Jean Maurice RAZANAKOLONA Page 2