Vous êtes sur la page 1sur 110

L E S C A H I E R S D E L A R E C H E R C H E

L’audit interne en France


et dans le monde
Points de repères et tendances du CBOK
(Common Body Of Knowledge)

L’IFACI est affilié à


 

L’AUDIT INTERNE 
EN FRANCE ET 
DANS LE MONDE 
Points de repères et tendances du CBOK           
(Common Body Of Knowledge) 

L’IFACI est affilié à

 
REMERCIEMENTS

L’IFACI tient tout particulièrement à remercier les professionnels qui ont analysé les résultats de
l’enquête et rédigé cette synthèse :

Florence Bergeret, Superviseur, Audit interne Groupe Areva ;

Florence Fradin, Responsable Référentiels d'Audit Interne et Qualité, BNP-PARIBAS;

Béatrice Ki-Zerbo, Directeur de la Recherche, IFACI ;

Guy Noblet, Auditeur interne, Office de l’élevage ;

Louis Vaurs, Délégué Général, IFACI

ISBN : 978-2-915042-19-1

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou


de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette
représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon
sanctionnée par les articles 425 et suivants du Code Pénal.
SOMMAIRE

1.  OBJECTIFS ET PRINCIPAUX RESULTATS .................................................. 4 

1.1.  Contexte des travaux : une enquête mondiale lancée fin 2006 ............................................................. 4 
1.1.1.  Objectifs de l’enquête de l’IIA.................................................................................................................. 5 
1.1.2.  Structure des résultats et principaux livrables ........................................................................................... 6 

1.2.  Objectifs du groupe de recherche de l’IFACI ....................................................................................... 7 

1.3.  Principaux résultats ................................................................................................................................. 9 

1.4.  Analyse détaillée ..................................................................................................................................... 19 


1.4.1.  Gouvernance et indépendance................................................................................................................. 19 
1.4.2.  Zoom sur une profession en plein essor .................................................................................................. 27 
1.4.3.  Compétences et formation des auditeurs internes ................................................................................... 44 
1.4.4.  L’audit interne, une profession normée .................................................................................................. 62 
1.4.5.  L’évaluation de l’audit interne ................................................................................................................ 78 

1.5.  Enjeux d’aujourd’hui et de demain...................................................................................................... 87 


1.5.1.  La généralisation des dispositifs de contrôle interne et de gouvernement d’entreprise .......................... 87 
1.5.2.  Evolution du rôle de l’audit interne ........................................................................................................ 90 
1.5.3.  Le référentiel IIA, un cadre universel pour une pratique professionnelle de l’audit interne ................... 95 

2.  TYPOLOGIE DES REPONDANTS ................................................................ 99 

2.1.  Catégorie d’emploi ................................................................................................................................. 99 

2.2.  Age ......................................................................................................................................................... 101 

2.3.  Type d’organisation ............................................................................................................................. 102 

2.4.  Secteur d’activité.................................................................................................................................. 103 

2.5.  Taille des organisations représentées ................................................................................................. 104 

2.6.  Périmètre des organisations représentées .......................................................................................... 105 

3.  LISTE DES TABLEAUX ET SCHEMAS...................................................... 106 


1. OBJECTIFS ET PRINCIPAUX RESULTATS
Le cadre de référence de l’IIA (The Institute of Internal Auditors) fournit les
éléments nécessaires à une pratique professionnelle de l’audit interne. Mais au-delà
de ce canevas, les auditeurs internes et leurs interlocuteurs s’intéressent à la façon
dont ces principes sont respectés et pris en compte dans les activités de l’audit
interne.

Depuis 1972, la fondation de la recherche de l’IIA a réalisé cinq enquêtes pour


avoir un aperçu de la pratique de l’audit interne et mettre à jour le « Common Body
Of Knowledge » (CBOK). Le CBOK de l’IIA constitue le dénominateur commun
des auditeurs internes. Ce socle de connaissance référence notamment les
compétences attendues de la part de professionnels.
La véritable première enquête internationale a été initiée en 1999. Elle a donné lieu
à une série de publications dont les grandes lignes ont été traduites par l’Institut
Français de l’Audit et du Contrôle Internes (IFACI) et publiées dans le cahier de la
recherche « Evaluation de la compétence dans la pratique de l’audit interne _ un
cadre de référence » en janvier 2001.
Par le nombre de personnes concernées et le type de sujets abordés, l’enquête
mondiale menée par l’IIA en 2006 va encore plus loin. C’est pourquoi, l’IFACI a
décidé d’analyser les données collectées en France

1.1. Contexte des travaux : une enquête mondiale lancée


fin 2006

L’enquête réalisée par l’IIA en novembre 2006 a été relayée par les instituts
affiliés.
Des questionnaires spécifiques ont été adressés à trois catégories de
professionnels :

1. les auditeurs internes ;

2. les responsables d’audit interne. Outre les points traités par les auditeurs
internes, les responsables d’audit interne ont répondu à des questions

© IFACI juin 2008 4


spécifiques telles que les relations avec le comité d’audit, la planification
des missions, la gestion des ressources humaines ;

3. les instituts affiliés à l’IIA, tels que l’IFACI, ont fourni des éléments sur
leur organisation, l’environnement réglementaire de l’audit interne,
l’utilisation du code de déontologie et des normes professionnelles dans
leur pays.

Cette enquête se distingue des précédentes par le nombre de pays concernés (91) et
le nombre de répondants (9 366 questionnaires d’auditeurs internes et de
responsables d’audit interne ont été exploités au niveau mondial).

1.1.1. Objectifs de l’enquête de l’IIA


L’enquête mondiale doit permettre de mettre à jour le CBOK. Elle a pour ambition
de répondre aux questions suivantes:

• Comment l’audit interne est-il pratiqué à travers le monde ?


o indépendance et positionnement des services d’audit interne ;
o caractéristiques (taille, ancienneté…) des services d’audit interne ;
o périmètre des activités de l’audit interne ;
o types de missions réalisées ;
o ressources ;
o méthodes et outils.

• Qui sont les auditeurs internes ?


o leur parcours professionnel ;
o leurs compétences ;
o leur formation initiale et professionnelle.

• La définition de l’audit interne établie par l’IIA en 1999 est-elle toujours


opérationnelle ?

• Quel est le niveau d’adéquation et d’utilisation des normes


professionnelles d’audit interne ?

• Comment mesure-t-on la valeur ajoutée de l’audit interne ?

© IFACI juin 2008 5


• Quels sont les différents modes d’évaluation (interne et externe) de
l’audit ?

• Le développement de l’audit interne est-il en adéquation avec les enjeux


futurs des organisations ?

1.1.2. Structure des résultats et principaux livrables

L’analyse effectuée par l’IIA peut être résumée selon les axes suivants :
• la structure des services d’audit interne ;
• les activités de l’audit interne ;
• les connaissances et les compétences des auditeurs internes ;
• les normes professionnelles ;
• l’impact de l’environnement réglementaire des différents pays ;
• les enjeux du futur.

Ces données seront utilisées par l’IIA à différents titres :


• évolution du cadre de référence de la pratique professionnelle de l’audit
interne (normes, modalités pratiques, notes interprétatives de normes,
guides d’application…) à l’horizon 2009 ;
• promotion de la profession ;
• programmes et outils de formation ;
• certifications individuelles et examens professionnels ;
• processus d’évaluation de la qualité des services d’audit ;
• publications de la Research Foundation de l’IIA.

Les premiers résultats du CBOK ont été présentés lors de la conférence


internationale de l’IIA à Amsterdam en juillet 2007. L’IIA a publié par la suite des
documents plus détaillés (http://www.theiia.org/research/common-body-of-
knowledge/).

© IFACI juin 2008 6


1.2. Objectifs du groupe de recherche de l’IFACI

La nécessité de mieux connaître la profession a conduit l’IFACI à réaliser


régulièrement des enquêtes dont les plus récentes ont été effectuées en 2002 et en
2005.
Par ailleurs, des groupes de recherche ont initié des revues de bonnes pratiques
dont les résultats sont publiés dans les cahiers de la recherche.
Ces résultats sont utilisés par de nombreux professionnels comme points de repères
dans l’exercice de leur métier.

L’appropriation des normes professionnelles par les auditeurs internes


s’accompagne d’un besoin de se positionner par rapport aux pratiques de leurs
pairs. Cette demande de benchmark est liée au fait que l’audit interne est une
profession qui touche des organisations de plus en plus différentes, avec des
interlocuteurs et des attentes multiples.
Dans ce contexte, les points de repères tels que le CBOK permettent de se
confronter aux meilleures pratiques et de conforter le professionnalisme des
auditeurs internes.
L’enquête mondiale réalisée en 2006 est une bonne occasion d’étendre le Pour avoir d’autres points
benchmark aux pratiques internationales, d’actualiser et de compléter les données de vue sur les résultats du
CBOK, vous pouvez
des précédentes enquêtes réalisées en France par l’IFACI. consulter :
Le groupe de recherche a donc traité les 235 réponses relatives à la France, parmi • Revue Audit Interne
n°187 de Décembre
lesquelles celles de 69 responsables d’audit interne (RAI).
2007 « Audit interne :
Des analyses spécifiques ont été effectuées pour prendre en considération les Vue panoramique
internationale »
variables sectorielles (secteur d’activité, type d’organisation) ou démographiques
• Colloque du 13
(taille de l’organisation, taille du Service d’Audit Interne). décembre 2007
« L’audit interne en
Ces résultats ont été comparés à ceux de l’enquête IFACI 2005 et aux tendances de
France et dans le
l’enquête mondiale. monde : Etats des lieux
et perspectives » (Cf.
www.ifaci.com)

© IFACI juin 2008 7


Avertissement méthodologique

Le public interrogé est directement ou indirectement adhérent à l'IIA. Ainsi, en


France le questionnaire a été envoyé à tous les adhérents de l'IFACI. Il ne s'agit
donc pas de l'analyse d'un échantillon statistique mais du traitement de toutes les
réponses.

Certaines questions nous ont paru mal appréciées par les répondants en raison de
problèmes de traduction et nous les avons exclues de cette analyse.

Enfin, à la différence des précédentes enquêtes de l’IFACI, le nombre


d’organisations représentées par les 235 répondants est inconnu. Il n'a donc pas été
possible d'agréger les données individuelles par service d’audit interne.

Malgré ces réserves d’ordre méthodologique, l’analyse et l’interprétation des


réponses donnent un reflet de la pratique et des opinions des professionnels de
l’audit interne en France et dans le monde.

Lorsqu’aucune précision n’est apportée, les pourcentages commentés ci-après


renvoient aux données relatives à la France.

© IFACI juin 2008 8


1.3. Principaux résultats

L’enquête permet de confirmer la pertinence des principes développés dans la L'Audit interne est une
définition de l’audit interne proposée par l’IIA/l’IFACI. Elle précise également les activité indépendante et
objective qui donne à une
caractéristiques des services d’audit interne, le profil des auditeurs et les tendances organisation une assurance
prévues à court terme. sur le degré de maîtrise de
ses opérations, lui apporte
ses conseils pour les
Positionnement adéquat et relations étroites avec les acteurs clés de la améliorer, et contribue à
créer de la valeur ajoutée.
gouvernance Il aide cette organisation à
atteindre ses objectifs en
évaluant, par une approche
La quasi-unanimité (92%) des répondants partagent le fait que l’indépendance est systématique et méthodique,
ses processus de
un facteur clé pour que l’audit interne apporte une réelle valeur ajoutée.
management des risques, de
contrôle, et de
gouvernement d'entreprise,
Cette indépendance est notamment formalisée dans une charte d’audit interne
et en faisant des
chez 83% des répondants en France (72% au niveau mondial). propositions pour renforcer
leur efficacité.

L’indépendance est également confortée par un positionnement adéquat au sein


de l’organisation. Dans la pratique, 78% des répondants constatent que leur service
est positionné à un niveau suffisant au sein de l’organisation pour être efficace.
Par ailleurs, l’implication des dirigeants dans la nomination du responsable d’audit
interne (RAI) contribue à renforcer son indépendance vis-à-vis du management
opérationnel : 71% des répondants indiquent que le Directeur Général participe à la
nomination du responsable d’audit interne. Ce pourcentage est de 50% pour la
participation du président et 33% pour le comité d’audit.

L’audit interne est confirmé dans son rôle de partenaire clé du Directeur Général
et du Comité d’Audit. En effet, trois quart des répondants sont d’accord ou tout à
fait d’accord avec l’affirmation selon laquelle « la fonction d’audit interne fait
partie intégrante du processus de gouvernement d’entreprise en fournissant des
informations fiables à la direction générale ». Ce rôle est facilité par l’existence
d’organes de gouvernance. Ainsi l’existence d’un Comité d’Audit est citée par
80% des répondants. Cette pratique est aussi répandue au niveau mondial (73%).
Les responsables d’audit interne estiment à 78% qu’ils ont un accès approprié au
Comité d’Audit (92% au niveau IIA, 94% aux USA). Cette relation passe par la
participation aux réunions planifiées du Comité d’Audit et par les rencontres

© IFACI juin 2008 9


supplémentaires. En France, 41% des responsables d’audit interne ont des
rencontres informelles avec le Comité d’Audit ou son Président. Aux USA ce type
de rencontre est plus fréquent (63%).

Une profession en plein essor et des effectifs contrastés

Les services d’audit interne (SAI) sont plutôt récents puisque 55% des répondants
appartiennent à des services qui ont moins de 10 ans d’existence. Cette moyenne
recouvre des différences selon les secteurs d’activités (39% des répondants du
secteur bancaire sont dans des services d’audit interne de moins de 10 ans alors que
ce pourcentage est de 87% pour les industries de la transformation).
Le caractère récent des services d’audit interne est également constaté au niveau
international. Néanmoins, la proportion de service d’audit interne ayant plus de
vingt ans d’expérience est plus importante ailleurs (28% à l’IIA, 37% aux USA,
13% en France).

L’expérience moyenne en audit interne est de quatre ans et demi. Environ 50%
des effectifs interrogés ont moins de trois ans d’ancienneté en audit interne. Les
auditeurs ayant 6 ans d’expérience et plus représentent 20% des répondants.
Le turn over est moins élevé au niveau de l’IIA. On constate une expérience
moyenne en audit interne égale à 6 années. Cette tendance se retrouve également
chez les Responsables d’Audit Interne. En effet, au niveau de l’IIA, 19% des
Responsables d’Audit Interne ont plus de 10 ans d’ancienneté en audit interne. Ce
taux est de 3% en France.

Compte tenu du turn-over des auditeurs internes, les responsables d’audit interne
sont confrontés à des vacances de poste. Dans ce cas, ils choisissent de réduire leur
périmètre d’intervention (46%). Le recours à des prestataires externes n’apparaît
qu’en deuxième position (à 39%).

En termes d’effectifs, un tiers des répondants sont dans des services d’audit
interne de moins de cinq auditeurs. Ils sont 55% à appartenir à un service d’audit
interne de moins de dix auditeurs et 18% dans des services d’audit interne de plus
de quarante auditeurs.
Ces moyennes recouvrent des différences sectorielles qui sont encore plus nettes
dans l’analyse du ratio du nombre d’auditeurs rapporté à l’effectif de
l’organisation.

© IFACI juin 2008 10


Alors que dans les banques et les assurances, ce ratio est de l’ordre de un auditeur
interne pour 100 employés, dans les secteurs Industrie, Commerce, Service cet
indicateur s’exprime en nombre d’auditeurs internes pour 1000 employés.
Ces ressources internes sont occasionnellement complétées par des contributions
externes. Néanmoins, le recours aux sous-traitants reste marginal. En effet, pour
80% des répondants, les activités sous-traitées représentent moins de 10% de leurs
activités. Ces prestations sont surtout sollicitées pour répondre à des carences en
compétences techniques ou informatiques.

Périmètre d’intervention et principales activités des services d’audit


interne

Les trois domaines phares du périmètre d’intervention actuel de l’audit interne


sont :
• le processus de management des risques (77% des répondants considèrent
que leur service joue un rôle dans ce domaine) ;
• la surveillance de l’évaluation de la conformité aux réglementations
(71%) ;
• la prévention et la détection de fraudes (65%).

La composante risque est mieux représentée en France où elle est citée par 77% des
répondants au lieu de 67% à l’international.
Par rapport à la définition de l’IIA qui indique que l’audit interne évalue les
processus de management des risques, de contrôle, et de gouvernement
d’entreprise, les résultats montrent que le rôle actuel de l’audit interne est
relativement en retrait sur les questions de Corporate gouvernance (en France, 44%
des répondants citent ce domaine d’intervention par rapport à 52%au niveau
mondial).

Ces trois domaines sont cités par toutes les catégories de fonction. En outre, les
responsables d’audit interne sont plus attentifs aux problématiques transverses
comme le management de projet, l’alignement stratégique ou les fusions. Il est vrai
que ces domaines donnent plutôt lieu à des missions de conseil dont les enjeux sont
plus perceptibles pour les responsables d’audit interne.

Les ressources et les compétences sont mobilisées pour réaliser prioritairement


des :

© IFACI juin 2008 11


• audits de conformité (aux lois, règlements et procédures) : 22% du temps
passé ;
• audits opérationnels: 20% du temps passé;
• audits de processus financiers : 13% du temps passé.
L’emploi du temps des auditeurs est complété par des missions de conseil (9% du
temps passé) ou plus opérationnelles. Par exemple, les audits des systèmes
d’information (8% du temps passé), les investigations de fraude (5% du temps
passé).

Les résultats de l’enquête montrent bien que d’autres acteurs sont concernés par
l’évaluation des risques. Dans certains domaines, les services d’audit interne ont
une participation minoritaire. Ainsi les missions d’audit de la sécurité sont réalisées
à 37% par des services d’audit interne, le taux d’implication des services d’audit
interne est de 25% pour les missions « Hygiène, Sécurité, Environnement ».
L’audit interne est très concerné par les aspects relatifs aux systèmes
d’information, puisque :
• l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit interne et de 30% par d’autres
directions ;
• l’évaluation de la Direction des systèmes et technologies de l’information
est effectuée par le service d’audit interne pour 46% des répondants.
Cette implication dans le domaine des systèmes d'information nécessite des
compétences spécifiques.

Compétences-clés et formation des auditeurs internes

Les principales compétences comportementales que les responsables d’audit


interne recherchent chez un auditeur interne sont :
• la confidentialité (82%) ;
• la capacité à travailler en équipe (80%) ;
• l’objectivité (77%).

Parmi les compétences techniques attendues des auditeurs internes, les


responsables d’audit interne mentionnent principalement des savoir-faire liés au
recueil des données et l’analyse des risques. Ces compétences sont nécessaires pour
la préparation et la réalisation efficiente des missions d’audit interne :

© IFACI juin 2008 12


• l’utilisation des systèmes d’information (76% citent l’extraction et
l’analyse des données, 46% l’utilisation des technologies de
l’information) ;
• la capacité à réaliser des entretiens (68%) ;
• l’analyse des risques (51%).

Outre les compétences des auditeurs internes, l’enquête met en exergue des
qualités spécifiques attendues de la part des responsables d’audit interne telles
que :
• La capacité à promouvoir la fonction d’audit interne (citée par 75% des
répondants comme une compétence principale des responsables d’audit
interne). Elle passe notamment par le sens de la négociation (72%) et des
compétences en communication (62%) ;
• L’aptitude au leadership (62%) et à l’organisation (46%) ;
• La proactivité (se tenir à jour des changements professionnels : opinions,
normes, réglementations) est citée par 42% des répondants comme étant
une compétence nécessaire pour les responsables d’audit interne.

L’acquisition de ces compétences passe notamment par la formation


professionnelle. Elle sert surtout à développer des connaissances techniques
spécifiques telles que les normes et les pratiques professionnelles. Tous les
responsables d’audit interne mentionnent ce thème de formation et 43% d’entre
eux l’inscrivent chaque année au programme de formation de leur service.
Les certifications individuelles permettent également de développer le
professionnalisme des auditeurs. Deux tiers des répondants à la question « combien
de personnes ont une certification en audit interne ? » déclarent qu’il y a au moins
un auditeur disposant d’une certification telle que le Certified Internal Auditor
(CIA) dans leur service.

Approche par les risques et professionnalisme : éléments


incontournables de la pratique de l’audit interne

Pour assumer leur rôle et répondre aux principales attentes de l’organisation, les
auditeurs internes se fondent sur leur professionnalisme avec notamment une
approche par les risques qui se généralise.

© IFACI juin 2008 13


94% des répondants formalisent les missions d’audit dans le cadre d’un plan annuel
et, dans 79% des cas, cette planification est réalisée à partir d’une analyse de
risques.
Cette démarche est également utilisée pour la conception des programmes de
travail. Ainsi, 90% des répondants déclarent que l’approche par les risques est
utilisée dans le cadre des missions d’audit.

En plus du panel de connaissances et de compétences attendues, le


professionnalisme des auditeurs internes se fonde sur l’utilisation des normes.

Le niveau d’adéquation des normes professionnelles de l’audit interne est jugé,


en moyenne, satisfaisant par plus de 90% des répondants.
Les normes qui n'atteignent pas ce niveau de quasi-unanimité sont :
• les normes de la série 1300 « programme d’assurance et d’amélioration
qualité » (76% des répondants, en France, la jugent adéquate, ils sont 77%
au niveau mondial) ;
• les normes de la série 2600 « acceptation des risques par la direction
générale » (79%des répondants, en France, la jugent adéquate, ils sont 76%
au niveau mondial). D’ailleurs, lors de la traduction de la norme 2600,
l’IFACI avait anticipé des difficultés éventuelles à sa mise en œuvre et
avait prévu que l’acceptation des risques par la direction générale devrait
être appliquée avec sagesse et prudence ;
• les normes de la série 2500 « surveillance des actions de progrès » (83%
des répondants, en France, la jugent adéquate, ils sont 81% au niveau
mondial).

Outre la question concernant l’adéquation des normes, l’enquête donne des


précisions sur leur niveau d’utilisation. Ils sont 70% des répondants à affirmer que
leur service d’audit interne utilise les normes professionnelles de l’IIA. Ce taux
est de 82% au niveau mondial.
Il convient d’apporter une précision sur « les raisons pour lesquelles certains
services d’audit interne n’utilisent pas, en partie ou en totalité, les normes ». En
effet :
• pour 28% des répondants en France (12% au niveau mondial), la raison
principale est que le Management et/ou le Conseil n’en perçoivent pas la
valeur ;

© IFACI juin 2008 14


• 20% (12 % au niveau mondial) jugent que cela est trop consommateur de
temps ;
• 16% (6 % au niveau mondial) considèrent que les normes et les modalités
pratiques d’application qui les accompagnent sont trop complexes.

Une évolution du cadre de référence est prévue en 2009. Les notes


interprétatives des normes devraient réduire la perception de complexité et les
guides d’application seront rapidement transposables dans les services d’audit
interne.

Conformément aux préconisations des modalités pratiques d’application, et afin


d’atteindre les objectifs de leurs missions, les services d’audit interne utilisent de
plus en plus d’outils et de méthodes fondées sur les technologies de l’information.
Par rapport aux résultats constatés au niveau de l’IIA, les techniques et outils
relativement peu utilisés en France sont :
• l’audit en continu et en temps réel ;
• les outils de revue qualité des services d’audit interne ;
• les techniques de gestion totale de la qualité.
Les projections à trois ans confirment l’utilisation d’outils d’extraction et de
traitement des données avec une bonne progression des outils de revue des
programmes d’amélioration qualité des services d’audit interne.

La valeur ajoutée et l’évaluation de l’audit interne

La valeur ajoutée de la fonction se traduit notamment par la mise en œuvre des


recommandations issues des missions d'audit interne. D’où l’importance des
actions correctives. Ainsi, seulement 3% des répondants ne font pas de suivi
formel des plans d’actions.

Pour réellement apporter de la valeur à leur organisation, les recommandations


doivent s’inscrire dans un processus plus global de gestion de la qualité des
activités de l’audit interne. Dans un environnement en constant changement et de
plus en plus exigeant, un engagement permanent d’amélioration continue est
indispensable pour apporter davantage de valeur ajoutée à la Direction Générale, au
Comité d’Audit et à l’organisation.

© IFACI juin 2008 15


Ce processus permet également de :
• respecter les normes professionnelles et être en mesure d'en rendre
compte ;
• maintenir et développer la qualité des prestations au plus haut niveau ;
• renforcer l’image et la crédibilité de l’audit interne au sein de
l’organisation.

Pour les services d’audit interne récents, développer un tel programme fait partie
des éléments structurants qui permettent de renforcer leur crédibilité et leur
autorité.

Les principales activités effectuées dans le cadre du programme d’assurance et


d’amélioration qualité du service d’audit interne sont :
• la supervision des missions, pour 56% des répondants ;
• la mise en place de check-lists et de manuels donnant l’assurance que des
processus d’audit adéquats sont respectés, pour 38% ;
• le recueil de l’opinion des clients de l’audit à la fin d’une mission, pour
36% .

La mise en œuvre d’un programme d’amélioration qualité doit inclure des


évaluations internes et des revues externes indépendantes. Les résultats de
l’enquête montrent une marge de progression dans ce domaine. En effet, 42% des
répondants déclarent que leur service n’a jamais réalisé d'évaluations internes. Par
ailleurs, 34% des répondants n’ont jamais réalisé d’évaluations externes de leur
service d’audit interne.

En synthèse…

L’audit interne est une profession qui a su s’adapter aux besoins actuels des
organisations pour une meilleure maîtrise des risques.

Son rôle de partenaire clé des dirigeants n’est plus à démontrer. Les méthodes et
les différents outils développés dans les services d’audit interne permettent de
répondre aux attentes des organisations.

© IFACI juin 2008 16


Les services d’audit interne doivent développer, à travers un processus
d’amélioration continue, leur professionnalisme. Le développement des
compétences est actuellement facilité par le niveau de recrutement des auditeurs
internes (en France, 83% des auditeurs internes sont recrutés au niveau Bac+5) et
par un investissement dans leur formation professionnelle. Il est néanmoins
nécessaire de diversifier les différentes compétences existantes pour répondre aux
enjeux futurs des organisations. Les auditeurs internes de demain doivent, plus que
jamais, savoir proportionner leurs activités en fonction des risques de l’entreprise
qu’ils auront contribué à identifier.
Pour pleinement contribuer à la performance de l’organisation, l’audit interne doit
prendre en considération les autres activités d’identification des risques et de
contrôle existantes. En effet, le CBOK montre que des fonctions support de
l’entreprise (Hygiène Sécurité Environnement, SI…) participent à la maîtrise des
risques de l’entreprise. La coordination des travaux avec ces différents acteurs
devient cruciale pour mieux répondre aux attentes des opérationnels et des organes
dirigeants.

Dans les prochaines années, le triptyque de la définition de l’audit interne sera


toujours d’actualité :

• 76% des responsables d’audit interne considèrent que le rôle de l’audit


interne va augmenter en matière de gestion des risques ;

• 41% pour les questions de gouvernement d’entreprise ;

• 39% en ce qui concerne la conformité.

Le management des systèmes d’information et la sensibilisation du personnel au


contrôle interne font déjà partie du périmètre d’intervention des auditeurs internes.
Cette tendance devrait se confirmer dans les trois prochaines années. En effet, ils
sont respectivement 82% et 77% à considérer que leur service d’audit interne a un
rôle présent ou futur dans ces deux domaines.

Une implication beaucoup plus grande de l’audit interne se dessine dans les
domaines suivants :
• la gestion de projet ;
• le benchmarking ;
• l’alignement stratégique et la mesure de la performance ;

© IFACI juin 2008 17


• le Knowledge Management ;
• l’environnement et les questions de responsabilité sociale et
environnementale.

Ces évolutions du rôle de l’audit interne intègrent bien la nécessité de considérer


toutes les parties prenantes de l’organisation pour mieux gérer l’ensemble des
risques. Elles répondent également à l’exigence d’une meilleure maîtrise de
l’environnement de contrôle.

© IFACI juin 2008 18


1.4. Analyse détaillée

Les réponses à la soixantaine de questions du CBOK 2006 fournissent des


informations tangibles sur des thèmes comme :
• le positionnement des services d’audit interne ;
• les caractéristiques des services d’audit interne (type d’activités,
composition, outils et méthodes) ;
• le profil des auditeurs internes (formation, expériences professionnelles,
compétences…) ;
• l’adéquation des normes professionnelles d’audit interne et la conformité
des services d’audit interne ;
• l’évaluation de l’audit interne, les programmes d’assurance qualité ;
• les enjeux actuels en matière de gouvernance, risques et contrôle.

1.4.1. Gouvernance et indépendance


Les sociétés françaises sont de plus en plus nombreuses à se conformer aux
principes de gouvernement d’entreprise. Ainsi :
• 81% des responsables d’audit interne (RAI) indiquent que leur
organisation a établi un plan stratégique à long terme ;
• 75% des répondants disposent d’un code d’éthique ;
• 70% ont formalisé une charte pour le fonctionnement de leur comité
d’audit;
• 55% ont mis en place un code de gouvernement d’entreprise.

DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE


Responsable
Effectif total Effectif total
Type de documents Audit Interne
(IIA) (France)
(France)
Plan stratégique à long terme 66% 68% 81%
Code d’éthique/ code de conduite 73% 68% 75%
Charte du Comité d’Audit 57% 54% 70%
Code de gouvernement d’entreprise 53% 37% 55%

© IFACI juin 2008 19


Ces documents formalisent les valeurs définies par les organes du gouvernement
d’entreprise. Ils favorisent l’adhésion à ces principes de gouvernance. En
contribuant ainsi à l’atteinte des objectifs ils renforcent de fait le contrôle interne.

Les services d’audit interne ont également mis en place un certain nombre de
documents (cf. § 1.4.4.5. sur les outils et méthodes, p.71). Ainsi, 80% des
responsables d’audit interne indiquent l’existence d’une lettre de mission de la
fonction audit interne.

1.4.1.1. La charte d’audit interne


L’audit interne doit être indépendant dans l’exercice de sa mission. Il ne doit subir
aucune limitation dans la définition de son champ d’intervention, la réalisation des
travaux et la communication des résultats.
Cette exigence est formalisée par écrit dans la charte d’audit interne. Ce document
existe chez 83% des répondants (72% au niveau de l’IIA).

1.4.1.2. Nomination et évaluation du responsable de l’audit


interne
L’indépendance et le positionnement de l’audit interne comme acteur clé de
l’organisation impliquent que la nomination et l’évaluation du responsable d’audit
interne relèvent de niveaux hiérarchiques élevés.

QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ?


IIA France
Directeur Général 54% 71%
Président du Conseil 51% 51%
Comité d’Audit 33% 37%
Directeur financier 28% 34%
Autres 17% 12%

Ainsi, 71% des répondants indiquent que le Directeur Général participe à la


nomination du responsable d’audit interne. Dans la moitié des cas, le président du
Conseil est également impliqué. L’intervention de la Direction Générale est plus
marquée en France (71% au lieu de 54% au niveau de l’IIA).

© IFACI juin 2008 20


QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE
(ANALYSE DETAILLEE AU NIVEAU DE L’IIA) ?
Groupe 1 Groupe 3 Groupe 8
(dont USA) (dont UK) (dont France)
Directeur général 56% 59% 58%
Président du Conseil 18% 14% 53%
Comité d’audit 68% 67% 37%

L’analyse détaillée réalisée par l’IIA démontre des niveaux d’implication différents
du Comité d’Audit et du Conseil.
Ces résultats reflètent les différentes responsabilités attribuées au Comité d’Audit
selon les pays. Bien au-delà de la question de la nomination du responsable de
l’audit interne, la transposition de la 8ème directive européenne concernant les
contrôles légaux des comptes annuels et les comptes consolidés (2006/43/CE)
contribuera à la clarification des relations audit interne/ comité d’audit.

Outre les écarts constatés entre groupe de pays, le schéma ci-après révèle
également des niveaux d’intervention différents selon le secteur d’activité
notamment en ce qui concerne le rôle du Directeur Financier.

© IFACI juin 2008 21


LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON
LE SECTEUR

Président DG
Comité d'Audit/Président Directeur Financier
Personne rattachée au DF
100

90

80

70

60

50

40

30

20

10

Services Technologie Banque Assurance Telecom Tous secteurs


publics

Quel que soit le secteur d’activité, l’intervention du Directeur Général dans la


nomination du responsable de l’audit interne est citée par plus de 70% des
répondants.
L’intervention du directeur financier n’apparaît ni dans les services publics ni dans
les assurances et très faiblement dans la banque (10%), ces secteurs à fort
environnement réglementaire sont ceux où le nombre de décideurs dans la
nomination du responsable d’audit interne est le plus restreint. Le pôle de décision
est centré sur le Directeur Général et l’organe délibérant (Président du Conseil et
Comité d’Audit).

L’évaluation du responsable d’audit interne fait intervenir quasiment les mêmes


acteurs. Toutefois, le Comité d’Audit est clairement identifié comme un acteur
majeur de l’évaluation de l’audit interne. Cette instance est impliquée dans
l’évaluation des résultats de l’audit interne pour 57% des cas (49% au niveau IIA et
60% aux USA).

© IFACI juin 2008 22


QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ?
IIA France
Directeur Général 45% 60%
Président du Conseil 16% 36%
Comité d’Audit 49% 57%
Conseil d’Administration 16% 10%
Comité de Direction 31% 44%

1.4.1.3. Relations avec le comité d’audit


L’enquête IFACI de 2005 avait déjà mis en évidence le développement des comités
d’audit. Le CBOK confirme ce constat puisque 80% des répondants indiquent que
leur organisation a un Comité d’Audit (73% au niveau IIA et 85% aux USA).

Concernant l’influence du type d’organisation, la différence la plus forte s’observe


entre les sociétés cotées (91% des responsables d’audit interne indiquent
l’existence d’un Comité d’Audit) et les sociétés non cotées (67%).

EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION


France
Société cotée 91%
Société privée non cotée 67%
Secteur public 71%
Autres 75%
Total 80%

Les relations entre l’audit interne et le Comité d’Audit se matérialisent pas des
rencontres formelles et informelles. En effet, l’audit interne est un acteur clé de la
gouvernance d’où la nécessité d’une interaction régulière avec le Comité d’Audit.
Le responsable d’audit interne doit régulièrement rendre compte de son activité et
donner au Comité d’Audit toutes les informations nécessaires sur les processus de
gouvernement d’entreprise, de management des risques et de contrôle mis en
œuvre dans l’organisation.

L’enquête de l’IIA montre que le nombre de réunions du Comité d’Audit


auxquelles participent les responsables d’audit interne est variable.

© IFACI juin 2008 23


PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU
COMITE D’AUDIT
IIA France
Aucune participation 8% 18%
Deux réunions par an 8% 20%
Quatre réunions par an 32% 20%
Cinq réunions et plus 39% 29%

En France, 18% des responsables d’audit interne ne participent à aucune réunion


du Comité d’audit. Au niveau international, ce taux est plus faible (8%).
De plus, la fréquence de participation des responsables d’audit interne aux réunions
du Comité est plus élevée au niveau de l’IIA : 71% des responsables d’audit interne
participent à quatre réunions au moins par an. En France, le ratio équivalent est de
49%.
Ces pourcentages masquent une forte variabilité dans la composition des Comités
d’Audit (notamment entre le secteur privé et le secteur public) et dans leur agenda
(l’accent peut être mis sur l’examen des comptes laissant moins de temps à
l’examen de l’ensemble des risques et des dispositifs de contrôle).

© IFACI juin 2008 24


REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT
Relations avec le Comité d’Audit

France IIA

Nombre de
responsable d’audit OUI OUI
interne ayant répondu (%) (%)
à la question
Votre organisation dispose-
t-elle d’un Comité 69 80% 73%
d’Audit ?
Au-delà des réunions
prévues régulièrement, le
responsable d’audit interne 56 41% 63%
rencontre t-il le Comité
d’Audit ou son Président?
Le responsable d’audit
interne estime-t-il avoir
54 78% 91%
suffisamment accès au
Comité d’Audit ?

En France, 78% des responsables d’audit interne estiment qu’ils ont un accès
approprié à au Comité d’Audit. Ils sont 91% à partager ce constat au niveau de
l’IIA et 94% aux USA.

Au-delà des réunions régulières planifiées, 41% des répondants rencontrent le


Comité d’Audit ou son Président. Ce ratio est inférieur au pourcentage mondial qui
est de 63%. Pourtant, ces rencontres supplémentaires répondent à un réel besoin
puisque les responsables d’audit interne qui estiment qu’ils n’ont pas un accès
approprié au Comité d’audit sont majoritairement ceux qui ne rencontrent pas les
membres du Comité d’Audit en dehors des réunions planifiées.

L’information du Comité d’Audit porte essentiellement sur la nature des activités


de l’audit interne et sur les résultats des missions. L’audit interne peut également

© IFACI juin 2008 25


apporter une assistance au Comité d’Audit, par exemple en lui donnant des
informations sur les bonnes pratiques en matière de management des risques et de
gouvernement d’entreprise.
Selon l’enquête, 27% des responsables d’audit interne indiquent que leur service
assure la formation des membres du Comité d’Audit. Ce taux est de 34% au niveau
de l’IIA. Il est plus fort dans les pays du groupe 1 (dont USA) où l’implication de
l’audit interne dans la formation des membres du comité d’audit est citée par 47%
des répondants. Des activités similaires sont courantes dans les pays du groupe 3
(dont UK) où le pourcentage est du même ordre (43%).

© IFACI juin 2008 26


1.4.2. Zoom sur une profession en plein essor

L’audit interne est une fonction qui se développe au sein des organisations. Pour
assumer des responsabilités qui s’étendent sur un large périmètre d’intervention,
l’audit interne s’appuie sur ses propres effectifs et d’autres ressources internes ou
externes à l’organisation.

1.4.2.1. La dernière décennie confirme le développement de la


fonction
L’analyse de l’ancienneté des services d’audit interne montre que l’audit interne est
souvent une fonction récente.

DES SERVICES D’AUDIT INTERNE RECENTS

Ancienneté
>20 ans

IIA
16-20 ans
France

11-15 ans

6-10 ans

0-5 ans

0% 5% 10% 15% 20% 25% 30% 35%

Ainsi, plus de la moitié des services d’audit interne représentés (55%) ont moins de Si en France, 13% des
répondants exercent dans des
dix ans d’existence, 24% ont moins de 5 ans. services qui ont plus de 20
La proportion de services d’audit interne de moins de dix ans est sensiblement la ans d’ancienneté, cette
catégorie représente 28% au
même au niveau de l’IIA (49%). niveau de l’IIA et 37% aux
USA.

© IFACI juin 2008 27


Cette propension au développement des services d’audit interne est en partie liée
aux nouvelles réglementations en matière de contrôle interne et de gouvernement
d’entreprise. Mais, au-delà de ces exigences, la création de nouveaux services
marque surtout la reconnaissance de la valeur ajoutée de l’audit interne pour les
organisations. De plus, la complexification des activités et des risques nécessite le
recours à des professionnels qui savent s’appuyer sur une méthodologie et des
normes dont la portée est internationale.

L’ancienneté du service d’audit interne varie en fonction du secteur d’activité et du


type d’organisation.

L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE


Transformation Chimie/ Effectif
Années Banque Télécommunication Assurance industrielle Pharmacie Technologie total
0-5 17% 9% 25% 40% 29% 18% 24%
6-10 22% 45% 44% 47% 29% 35% 31%
11-25 36% 37% 28% 6% 35% 41% 36%
>25 25% 9% 3% 7% 7% 6% 9%

C’est dans le secteur bancaire qu’on retrouve les services d’audit interne les plus
anciens : 25% des services d’audit interne de ce secteur ont plus de 25 ans alors
qu’il y a 7% des auditeurs de secteurs industriels tels que la chimie/ pharmacie ou
la transformation qui exercent dans des services aussi anciens. A contrario, c’est
dans ces secteurs que le caractère récent de la fonction est encore plus marqué
(87% des Services d’Audit Interne de la transformation ont moins de 10 ans, 60%
du secteur chimie/pharmacie).
Ces écarts ne sont pas simplement dus à des différences entre secteur financier et
secteur industriel. En effet, il y a également une différence entre la banque et
l’assurance puisque seulement 3% des services d’audit interne de l’assurance ont
plus de 25 ans d’ancienneté. L’ancienneté des recommandations des instances de
régulation bancaires en matière de contrôle interne explique les spécificités de ce
domaine d’activité.

© IFACI juin 2008 28


L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE
D’ORGANISATION

Années Cotée Non cotée Secteur public Organisations à but non lucratif Effectif total
0-5 19% 28% 25% 24% 24%
6-10 34% 23% 25% 47% 31%
11-25 38% 37% 25% 29% 36%
>25 9% 12% 25% 0% 9%

On note une plus grande proportion de services d’audit interne de moins de 5 ans
d’ancienneté dans les entreprises non cotées (28%) au lieu de 19% pour les sociétés
cotées. Cette tendance s’inverse lorsque l’on remonte sur la tranche des 6 à 10 ans
d’ancienneté.
La création de services d’audit interne dans les organisations à but non lucratif est
clairement un phénomène récent (71% des services d’audit interne de ce secteur
ont moins de 10 ans).
Comme dans le secteur bancaire, 25% des services d’audit interne du secteur
public ont plus de 25 ans. Il convient de rappeler une évolution du type d’activités
depuis 25 ans, les services étaient essentiellement orientés « inspection » ;
désormais il s’agit d’évaluer la cohérence et la robustesse des dispositifs de
maîtrise des activités. Le rôle de l’audit interne évolue également dans le secteur
public notamment avec l’importance donné au renforcement du contrôle interne
dans le cadre de la LOLF (Loi Organique des Lois de Finances).

1.4.2.2. Le turn-over des auditeurs internes est-il une


spécificité française ?

Le passage à l’audit interne est souvent présenté comme un tremplin pour des
cadres à hauts potentiels. Cette hypothèse est confirmée par le fait que :
• 50 % des personnes interrogées ont moins de 3 ans d’ancienneté en audit
interne,
• 20% des effectifs ont un an d’ancienneté.

© IFACI juin 2008 29


Néanmoins, la situation reste contrastée puisque les auditeurs ayant 6 ans
d’expérience et plus représentent 20% des effectifs et parmi eux 7 % ont 10 ans et
plus d’ancienneté.

ANCIENNETE DES AUDITEURS INTERNES


Effectifs cumulés

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%
< 1 an 1 an 2 ans 3 ans 4 ans 5 ans 6 ans 7 ans 8 ans 9 ans 10 ans
et plus

En France, l’ancienneté moyenne en audit interne est de 4.5 ans ce qui est inférieur
à la moyenne constatée au niveau international (6.1 ans).

Ces données sont complétées par des éléments spécifiques concernant le


responsable d’audit interne.

© IFACI juin 2008 30


ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION.

Les responsables d’audit interne sont souvent récemment nommés. En effet, 63%
ont moins de 3ans d’ancienneté et 3% ont plus de 10 ans d’ancienneté.

COMPARAISON FRANCE/ IIA DE L’ANCIENNETE DES RESPONSABLES D’AUDIT


INTERNE

Ancienneté du Responsable d’Audit


IIA France
Interne

Inférieure ou égale à 5 ans 56% 74%

6 à 10 ans 25% 23%

Plus de 10 ans 19% 3%

Les intervalles extrêmes de ce tableau montrent que le turn-over des responsables


d’audit interne est moins élevé au niveau de l’IIA.
Ces données étant fortement corrélées à l’ancienneté des services d’audit interne, il
sera intéressant de suivre leur évolution dans les prochaines enquêtes.

1.4.2.3. Ressources des services d'audit interne

© IFACI juin 2008 31


L’enquête donne des tendances sur l’effectif moyen des services d’audit et la
gestion des ressources humaines.

L’effectif du service d’audit interne a été renseigné par 82% des personnes
interrogées. Pour notre analyse, nous n’avons retenu que les effectifs à temps plein
(ETP).

L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE

25%

20%

15%

10%

5%

0%
1 2à 4 5à 9 10 à 19 20 à 39 40 à 100 > 100

La taille moyenne des services d’audit interne représentés dans l’enquête est de
27,7 ETP. Cette moyenne recoupe des cas de figure très variés avec aux extrêmes
8% des services d’audit interne qui ont un auditeur interne unique et la même
proportion de services d’audit interne de plus de 100 auditeurs internes. Entre ces
zones limites, notons que 54% des services d’audit interne ont moins de 10
auditeurs internes. Ce pourcentage est exactement le même au niveau de l’IIA. Il
est inférieur aux 74% constatés dans l’enquête IFACI 2005.

L’effectif varie en fonction du secteur d’activité. Le meilleur indicateur de cette


variabilité est le ratio du nombre d’auditeurs internes par rapport au nombre
d’employés.

© IFACI juin 2008 32


RATIO EFFECTIF AUDIT INTERNE/EFFECTIF TOTAL DE L’ORGANISATION
< à 0,5 pour mille de 0.5 pour mille à 1 pour mille
1 pour mille à 0,5% de 0,5% à 1%
> 1%

Com m erce 50% 20% 30%

Pharm acie chim ie 11% 78% 11%

Transform ation 50% 40% 10%

Assurance 10% 10% 61% 10% 10%

Banque 10% 4% 39% 33% 15%

Ainsi, aucun service d’audit interne des secteurs « industrie commerce » n’atteint
le seuil de un auditeur interne pour 100 employés alors que 15% des banquiers et
Moins d’un tiers des
10% des assureurs indiquent que leur service d’audit interne dépasse ce seuil. responsables d’audit interne
La moitié des répondants des secteurs « commerce, transformation » ont un ratio ont répondu aux questions sur
les incitations spéciales pour
inférieur à 0,5 pour mille.
le recrutement des auditeurs
Ces écarts sont liés aux différences démographiques intrinsèques à chaque secteur internes ainsi que sur les
d’activité mais également à l’environnement réglementaire dans lesquels les méthodes pour remédier à la
vacance de poste ou à des
services d’audit interne évoluent. En effet, le fonctionnement des services d’audit
lacunes de compétences ; par
interne du secteur bancaire font l’objet d’une surveillance particulière de la part des conséquent, les tendances
régulateurs. mises en exergue ne sont
qu’indicatives et ne peuvent
être extrapolées à l’ensemble
Peu d’incitations financières sont proposées pour le recrutement des auditeurs des entités.
internes. Les mesures les plus courantes sont la mise à disposition d’un véhicule de
service, les indemnités de transport ou encore l’accélération des augmentations de
salaire.

Lorsqu’il y a une vacance de poste, les responsables d’audit interne privilégient la


réduction du périmètre d’intervention (46% en France, 31% au niveau de l’IIA).

© IFACI juin 2008 33


Le recours à des prestataires externes n’apparaît qu’en deuxième position (à 39%
en France, 29% au niveau de l’IIA). Cette dernière méthode est d’ailleurs utilisée
majoritairement (59% en France, 51% au niveau de l’IIA) pour palier le manque
d’expertises spécifiques (SI, analyse statistique, compétences métiers propres au
secteur d’activité…).
La tendance mise en exergue dans l’enquête 2005 sur la pratique de l’audit interne
en France est donc confirmée : 62% des services d’audit interne indiquaient qu’ils
collaboraient « parfois ou souvent » avec des prestataires externes notamment pour
des raisons d’accès à des spécialistes, d’accès à des méthodologies et savoir-faire,
de flexibilité par le recours à des ressources ponctuelles ainsi que d’accès aux
meilleures pratiques.

La taille du service d’audit interne n’apparaît pas comme une variable


discriminante pour le choix de la méthode de gestion des lacunes de compétences.
Mais, y a-t-il différentes approches de la gestion des lacunes de compétences selon
les secteurs d’activité ?

MODALITES DE GESTION DES LACUNES DE COMPETENCES

Ensem ble

Logiciel d'audit
Transport
Logistique

Technologie
Pas de lacunes de
com pétences

Telecom

Co sourcing interne à
Pharm acie l'organisation

Services publics
Réduction périm ètre

Banque

Sous traitance
Assurance

0 20 40 60 80 100

© IFACI juin 2008 34


La sous-traitance apparaît largement en tête dans les secteurs où les besoins en
expertise métier sont importants : qu’il s’agisse d’expertise technique ou
scientifique dans le domaine pharmaceutique (100%) ou des télécoms (83%) ; ou
de connaissances financières et réglementaires pour les banques et les assurances
(environ 70%).
On note le faible recours aux solutions alternatives (réduction du périmètre et co-
sourcing interne) dans les secteurs à fort environnement réglementaire où la
fonction d’audit interne découle d’un cadre de référence précis.
Plus marginalement, le recours à un logiciel d’audit, pour palier à des lacunes de
Les entreprises assujetties
compétence, n’apparaît que dans le secteur des technologies. doivent, selon des modalités
adaptées à leur taille et à la
nature de leurs activités,
disposer d’agents réalisant
1.4.2.4. Périmètre actuel d’intervention de l’audit interne les contrôles, permanent ou
périodique, conformément
aux dispositions ci-après.
La profession est marquée par le contexte réglementaire. Au niveau de l’IIA, 61% b) Le contrôle périodique de
des répondants indiquent que la législation locale exige une fonction d’audit la conformité des opérations,
du niveau de risque
interne. En France, la perception de cette obligation existe dans tous les secteurs effectivement encouru, du
d’activités (54% en moyenne). Néanmoins, l’analyse sectorielle révèle une nette respect des procédures, de
l’efficacité et du caractère
dominance dans la banque (78%), les assurances (70%), les services publics (69%) approprié des dispositifs
par rapport au secteur commercial (22%) ou industriel (par exemple, 33% dans le mentionnés est assuré au
moyen d’enquêtes par des
secteur de la pharmacie-chimie). agents au niveau central et,
En effet, le règlement CRBF 97-02 exige que les établissements de crédits le cas échéant, local, autres
que ceux mentionnés au
disposent d'un corps de personnel indépendant en charge du contrôle périodique point a ci-dessus.
(cf. article 6 du CRBF 97-02).
La pratique de l’audit interne
concerne les trois domaines
cités dans la définition
Article 6.b du CRBF 97-02 relatif au contrôle périodique
IIA/IFACI : le management
des risques arrive en tête
avec 77% des répondants en
Au-delà des exigences exogènes, l’enquête permet de positionner le rôle actuel de
France, l’axe contrôle est
l’audit interne par rapport aux besoins endogènes de chaque organisation. En effet, abordé ici sous l’angle de
l’évaluation de la conformité
la définition publiée par l’IIA prévoit que l’audit interne doit aider l’organisation à
réglementaire (71%) et enfin
atteindre ses objectifs en évaluant « ses processus de management des risques, de la Corporate gouvernance
(44%). Le CBOK donne
contrôle, et de gouvernement d’entreprise ».
d’autres précisions sur le
périmètre de l’audit interne
qui inclut des domaines
Le questionnaire proposait 21 domaines susceptibles d’être dans le périmètre de
comme la fraude (65%) mais
l’audit interne. également l’évaluation du
management des systèmes
d’information (48%).

© IFACI juin 2008 35


DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE
Principaux IIA USA France
Domaines

Processus de management des risques 67% 70% 77%

Conformité 64% 64% 71%

Fraude (prévention/détection) 69% 77% 65%

Evaluation du management des


46% 49% 48%
systèmes d’information
Sensibilisation et formations sur le
contrôle interne, le management des 47% 50% 47%
risques, la conformité

Corporate gouvernance 52% 57% 44%

Au regard de ces résultats, trois domaines phares ressortent :


• le processus de management des risques (77%) ;
• la conformité (71%) ;
• la prévention et la détection de la fraude (65%).
Ces trois domaines se retrouvent également en tête dans la population mondiale.

Notons que la composante gestion des risques est mieux représentée en France,
surtout lorsqu’on tient compte des réponses des responsables d’audit interne (ils
sont 82% à considérer que leur service peut jouer un rôle dans le processus de
management des risques).
Dans l’enquête de 2005, le rôle de l’audit interne dans la gestion des risques
apparaissait moins nettement : 60% des Responsables d’Audit Interne
mentionnaient un rôle principal ou secondaire dans l’identification des risques, ce
taux était de 53% pour leur évaluation et 55% pour la hiérarchisation des risques.
Les domaines les moins
Pour en revenir à la définition IIA/IFACI, il n’est pas étonnant de retrouver en tête cités dans l’enquête du
CBOK concernent la
de liste, le management des risques et des activités de contrôle. La formation (47%) mondialisation, les marchés
concerne les sessions conçues ou animées par l’audit interne sur le risque, le émergents, l’environnement
et la gestion de crise. Sur ces
contrôle interne ; elles complètent donc le rôle de l’audit interne dans l’évaluation points, il n’y a pas d’écarts
de ces processus. significatifs entre les
réponses en France et les
données mondiales.

© IFACI juin 2008 36


MPA 2100-7 : Le rôle de
l’audit interne dans
Par contre, parmi les trois processus prévus dans la définition, la gouvernance est l’identification et le
reporting des risques
moins bien lotie. Les chiffres sont sensiblement les mêmes que dans l’enquête environnementaux
IFACI 2005, puisque la moitié des répondants déclarait réaliser des missions pour 1. Le responsable de l’audit
interne doit intégrer les
évaluer les processus et les structures relatives au gouvernement d’entreprise. risques liés à
l’environnement, à la santé
et à la sécurité dans toute
DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE évaluation du management
Domaines IIA France des risques réalisée à
l’échelle de l’entité.
Mondialisation 15% 14% 6. Le responsable de l’audit
Marchés émergents 12% 8% interne doit s’efforcer de
nouer d’étroites relations de
Environnement 14% 12% travail avec le responsable
de l’environnement et de
Gestion de crise, reprise d’activité 34% 10%
coordonner ses activités
avec le plan d’audit
environnemental.
La faible implication dans les sujets liés à la mondialisation (14%) et aux marchés L’IFACI publiera
émergents (8%) est étonnante compte tenu de la représentativité des entreprises à prochainement un cahier de
la recherche sur l’Audit du
dimension internationale (58% des répondants). Ces sujets ne sont peut être pas Développement Durable.
identifiés en tant que tels dans le périmètre de l’audit mais ils sont certainement
MPA 2110-2 : Le rôle de
pris en compte dans la cartographie des risques servant de base à la planification l’Audit interne dans le
des missions. processus de continuité des
opérations
Quant aux deux autres domaines liés à l’environnement (12%) et à la gestion de 2. L’audit interne doit
crise, le cadre de référence de l’IIA indique que l’audit interne a un rôle dans évaluer régulièrement le
processus d’élaboration du
l’identification et le reporting des risques environnementaux (MPA 2100-7) et dans plan de continuité des
le processus de continuité des opérations (MPA 2110-2) en particulier pendant la opérations de l’organisation
et s’assurer que la direction
phase de reprise après sinistre. générale est informée du
degré de préparation de
l’organisation à la
Pour les domaines intermédiaires, il n’y a pas de différence notable entre les survenance d’un sinistre.
réponses en France et les données mondiales. Par contre, le tableau ci-après montre 8. Les auditeurs internes
doivent procéder
des écarts entre les réponses des responsables d’audit interne (RAI) et la population périodiquement à un audit
totale. Ces données reflètent des rôles différents au sein des services d’audit des plans de continuité et de
reprise des opérations de
interne. l’organisation. L’objectif de
cet audit est de vérifier que
les plans permettront
d’assurer rapidement la
reprise des activités et des
processus après des
circonstances défavorables,
et qu’ils reflètent
l’environnement
opérationnel actuel de
l’organisation.
L’IFACI publiera
prochainement un cahier de
la recherche sur l’Audit du
Plan de Continuité d’Activités
© IFACI juin 2008 37 (PCA).
AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE
IIA France France
Domaines (Effectif total) (Effectif total) (RAI)
Gestion de projet 40% 36% 45%
Benchmarking 29% 30% 44%
Alignement stratégique 23% 23% 31%
Fusions/ Acquisitions 18% 19% 29%

Les responsables d’audit interne sont plus attentifs aux problématiques transverses. Au-delà du rôle actuel de
l’audit interne, le CBOK
Ces domaines doivent donner lieu à des activités qui ne sont pas forcément donne une vision du
formalisées dans le plan d’audit interne. Elles peuvent prendre la forme de périmètre de leur fonction tel
que envisagé par les
missions de conseil plus perceptibles par les responsables de l’audit interne. répondants dans les trois
années à venir. Ces résultats
sont analysés dans la partie
sur les enjeux d’aujourd’hui
1.4.2.5. Types d’activités réalisées par les services d’audit et de demain (cf. p87).
interne

L’audit interne n’est pas le seul intervenant pour l’évaluation des dispositifs de
contrôle et l’amélioration de la gestion des risques. D’autres services de
l’organisation sont impliqués. Le CBOK éclaire le niveau de réalisation d’une
trentaine d’activités par l’audit interne.

© IFACI juin 2008 38


POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE
TRENTAINE D’ACTIVITES

Fusions/ Acquisitions
Relation stragie/performance de l'entreprise
Evaluation de la viabilité 
Assistance aux auditeurs externes
Audit Qualité (ISO)
Evaluation de l'audit interne
santé, sécurité, environnement
Gestion de projet
Audits développement durable
Gestion des ressources et contrôles
Projets spécifiques
Formation technique des auditeurs
Sécurité
Conformité aux règles de protection de confidentialité (Privacy)
IIA
Evaluation des risques liés à l'information
Evaluation de la DSI France
Audits liés à l'éthique
Management des risques (ERM)
Conformité aux exigences de Cordporate Governance
Audit financier
Mise en œuvre et surveillance du dispositif de contrôle
Revue/audit de l'efficacité du management
Enquêtes sur la fraude et les irrégularités
Audit interne
Audits opérationnels
Tests, évaluation du contrôle interne
Activités administrative (plan d'audit, répartition des tâches)

0% 20% 40% 60% 80%

Le service d’audit interne arrive très largement en tête sur les tâches suivantes :
L’externalisation reste une
ƒ Les tests et l’évaluation du contrôle interne sont réalisés à hauteur de 82%
pratique marginale.
(71% au niveau IIA) par le service d’audit interne ; au-delà du rôle primordial L’activité d’audit interne est
réalisée à hauteur de 80%
de l’audit interne qui consiste à évaluer les dispositifs de contrôle, la Loi de
(86% au niveau IIA) par la
Sécurité Financière en France et le Sarbanes-Oxley Act aux Etats-Unis ne sont direction de l’audit interne.
Sur les 20% restant, 6% ont
sans doute pas étrangers à ce ratio. Avec la création d’autres fonctions du
totalement externalisé
contrôle interne, le rôle de l’audit interne sur cette thématique devrait évoluer l’activité, 3% l’ont sous-
traitée.
dans le futur au moins en ce qui concerne la nature et le nombre de tests
76% des répondants sous-
réalisés. traitent moins de 10% de
leur activité. Les sujets qui
ƒ Les audits opérationnels sont effectués à hauteur de 81% (79% pour les sont le plus sous-traités
résultats globaux) par les services d’audit interne. portent sur la formation des
auditeurs et l’audit financier
(41%).
Le service d’audit interne est également très présent sur les aspects d’investigation
de fraudes et d’irrégularités (63%). Ce ratio ne signifie pas que l’audit interne y

© IFACI juin 2008 39


consacre autant de temps. En fait, ces investigations concernent 4% du temps passé
(cf graphique spécifique sur le temps passé sur chaque activité, p.30). En effet,
l’auditeur interne n’est pas un expert de la fraude ; en revanche, la méthode
systématique et rigoureuse qu’il déploie permet de détecter et dénouer certains
montages frauduleux. De plus, ce type d’activités s’inscrit dans son rôle de
promoteur d’une culture éthique et du respect des lois et règlements.
Précédemment, l’enquête menée en France en 2005 par l’IFACI indiquait déjà que
10% des répondants réalisaient « souvent » de telles missions (et 73% « parfois »).

Les trois autres sujets qui incombent majoritairement à l’audit interne sont :
ƒ l’audit d’efficacité du management: 56% ;
ƒ l’audit financier : 55% ;
ƒ la surveillance et la mise en œuvre du dispositif de contrôle : 55%.
Les chiffres internationaux sont proches de ceux de la France. L’écart le plus
important concerne l’audit d’efficacité du management qui est cité par 49% des
répondants au niveau de l’IIA.

Par contre, l’écart IIA /France est plus important en ce qui concerne le processus
de management des risques. En France, cette activité concerne à hauteur de 50%
le service d’audit interne tandis que ce taux est de 38% au niveau de l’IIA.
L’enquête ne permet pas de déterminer si l’audit interne assure la conception et la
mise en place du processus de management des risques dans l’organisation, voire
sa gestion, ou l’évaluation du processus qui correspond au rôle fondamental que
doit avoir l’audit interne en la matière.
Lorsque la conception ou la gestion du processus est confiée à l’audit interne, il est
fortement recommandé d’expliciter ces missions dans la Charte de l’audit. Afin de
préserver l’objectivité, les missions d’évaluation du processus doivent être confiées
à des personnes qui n’ont pas eu la responsabilité de sa mise en œuvre.

Quant aux aspects relatifs aux systèmes d’information, l’audit interne se positionne
bien, ce qui appelle les compétences nécessaires, puisque :
ƒ l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit et 30% par d’autres directions ;
ƒ l’évaluation de la Direction des systèmes et technologies de l’information
est également effectuée par l’audit (46%).

© IFACI juin 2008 40


En revanche, l’audit interne se préoccupe moins de domaines techniques ou
stratégiques :
ƒ les questions portant sur la sécurité sont gérées à 58% par d’autres directions
contre 37% par l’audit interne. Ce constat n’est pas surprenant si on considère
les compétences techniques que requière ce domaine, en particulier dans les
métiers industriels et de transport qui, le plus souvent, se dotent de directions
d’audit de sécurité ad hoc. Dans le même ordre d’idée, la répartition est de 51%
d’audits HSE (Hygiène, Sécurité, Environnement) réalisés par d’autres
directions et 25% par l’audit interne,
ƒ au niveau de l’IIA, le lien entre la stratégie et la performance de l’organisation
est traité à 26% par l’audit interne. Ce taux est de 16% en France. L’audit de la
stratégie, c’est-à-dire l’analyse du processus d’élaboration de la stratégie, sa
déclinaison en objectifs opérationnels et sa diffusion serait-il considéré encore
comme un domaine « tabou » pour l’audit interne ? Dans la pratique, le plan
d’audit interne est aligné sur la stratégie, plus particulièrement, les objectifs et
les risques stratégiques de l’organisation.

Ces résultats montrent que, sur des sujets requérant des compétences ou des
connaissances pointues comme la sécurité ou les questions HSE, d’autres fonctions
sont prioritairement sollicitées. Même si la Norme 1210 précise que l’audit interne
doit posséder les connaissances, le savoir-faire et les autres compétences
nécessaires à l’exercice de ses responsabilités, il est également admis, dans la
Modalité Pratique d’Application 1210.A1, que le responsable de l’audit interne
puisse recourir à des prestataires de service extérieurs à sa direction d’audit sur des
disciplines impliquant un savoir-faire et des connaissances particuliers, telles que
les spécialistes de l’environnement, les experts en sécurité… Dans ce cas, il doit
évaluer la compétence, l’indépendance et la qualité de la prestation afin d’apprécier
dans quelle mesure il peut s’appuyer sur les résultats de ce prestataire.
L’enquête ne dit pas si les activités qui sont confiées à d’autres directions le sont
sous la supervision du service d’audit interne ou si elles correspondent à des
missions confiées structurellement à ces directions. Quoiqu’il en soit, le
responsable d’audit interne doit s’assurer que les risques majeurs de l’organisation
sont traités.

63% des répondants indiquent que la fonction d’audit interne met plus l’accent sur
les activités d’assurance par rapport aux activités de conseil. Ce ratio est
légèrement inférieur à celui de l’enquête IFACI 2005 (73%). Parmi les activités

© IFACI juin 2008 41


figurant dans le schéma précédent, celles qui relèvent plutôt de missions de conseil
concerne la stratégie ou des domaines précis comme les fusions et rachats
d’entreprises (audits réalisés à 8% par le service d’audit), la gestion de projets
(27%) et les projets spécifiques (32%).

L’enquête CBOK permet également d’appréhender les activités les moins réalisées
dans l’organisation. Il s’agit de l’évaluation qualité de l’activité d’audit interne
(37%), ce qui est cohérent avec les enseignements de la partie 4.5.3 (cf p 62) sur
l’évaluation externe, ainsi que l’assistance à l’audit externe. En effet, cette
activité n’est pas réalisée par 38% des répondants, et lorsqu’elle l’est, c’est
seulement à hauteur de 21% par l’audit interne, ce qui est bien inférieur aux 46%
des résultats mondiaux. L’écart avec les données de l’IIA pourrait s’expliquer par
un problème de traduction (dans le questionnaire en français, cette option a été
traduite par assistance externe de l’audit). Néanmoins, 63% des répondants de
l’enquête IFACI de 2005 indiquaient que l’audit interne ne participait « jamais »
aux travaux de l’audit externe. Cette tendance reste vraie malgré une coordination
accrue « audit interne/audit externe » dans le cadre des rapports sur la fiabilité de
l’information financière (SOX notamment).

Enfin, 35% des répondants CBOK déclarent que des audits de l’éthique ne sont
pas réalisés dans leur organisation. Lorsqu’ils sont menés, c’est majoritairement
l’audit interne (46%) qui s’en charge. Ce qui confirme le rôle fondamental qu’il
doit jouer dans ce domaine. En effet, la norme sur le gouvernement d’entreprise
encourage les auditeurs internes à soutenir activement la culture éthique au sein de
leur organisation, notamment parce qu’on leur accorde la confiance et l’intégrité
nécessaires à ce type d’activité. Ces audits passent par des actions de
sensibilisation, ils peuvent aller jusqu’à la facilitation de la rédaction du code
d’éthique et bien entendu à la vérification du respect des principes définis au sein
de l’organisation. Notons que les audits liés aux règles de confidentialité (privacy)
sont réalisés à 38% par les services d’audit interne répondants en France au lieu de
43% au niveau IIA.

Les résultats ci-dessus traitent de la répartition des responsabilités entre l’audit


interne et les autres services chargés de la maîtrise des risques. Ils sont complétés
par une autre question sur le temps passé par l’audit interne pour traiter des
sujets mentionnés dans le diagramme ci-après. Notons que ces domaines ne

© IFACI juin 2008 42


correspondent pas exactement à ceux qui ont été précédemment déclinés. Le
temps passé à certaines activités (fraude, conseil) n’est pas proportionnel au
niveau d’implication de l’audit interne dans ces domaines.

TEMPS PASSE PAR TYPE DE MISSIONS

Conformité

Audits opérationnels

Processus financier

Audits de gestion

Conseil
IIA
Audit des SI

Gouvernance France
Investigations de fraude

Autres

0 5 10 15 20 25
Temps passé
(%)

Les auditeurs internes consacrent en priorité leur temps aux trois domaines
suivants :
ƒ les audits de conformité (aux lois, règlements et procédures) : 22% ;
ƒ les audits opérationnels : 20% ;
ƒ les audits de processus financiers : 13%.
Pour ces données, le graphe ci-dessus ne révèle pas de différences significatives
entre la France et l’IIA.

© IFACI juin 2008 43


1.4.3. Compétences et formation des auditeurs internes
Les données commentées ci-dessus montrent à quel point les activités de l’audit
interne sont variées. L'auditeur interne est un professionnel dont les multiples
compétences permettent d’atteindre ses objectifs. D’ailleurs, la norme
professionnelle 1210 précise que les auditeurs internes doivent posséder les
connaissances, le savoir-faire et les autres compétences nécessaires à l’exercice de
leurs responsabilités individuelles.
De plus, la norme professionnelle 1230 souligne que les auditeurs internes doivent
améliorer leurs connaissances, savoir-faire et autres compétences par une formation
professionnelle continue.

1.4.3.1. Des compétences très diversifiées et des spécificités


selon la catégorie d’emploi
Le CBOK permet de dresser un panorama de trois grands types de compétences :
• les compétences comportementales ;
• les compétences techniques ;
• les autres savoirs et savoir-faire.

Ces compétences sont déclinées selon les quatre catégories d’emploi définies dans
l’enquête :
• auditeur interne ;
• superviseur ;
• manager ;
• responsable d’audit interne (RAI).

L’une des questions adressées au responsable d’audit interne concernait les


compétences comportementales attendues pour chaque catégorie d’emploi d’un
service d’audit interne.

© IFACI juin 2008 44


COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION
(QUESTION POSEE AUX RESPONSABLES D’AUDIT INTERNE)
Auditeur
Superviseur Manager RAI
interne
Confidentialité 82% 59% 45% 69%
Capacité à travailler en
80% 46% 17% 22%
équipe
Objectivité 77% 55% 46% 72%
Indépendance dans le travail 52% 34% 19% 35%
Capacité à avoir un esprit 17%
49% 25% 15%
d’équipe Principes fondamentaux
Capacité à travailler avec du code de déontologie de
l’IIA
des interlocuteurs de • Intégrité
46% 26% 23% 32%
niveaux de responsabilité L’intégrité des auditeurs
internes est à la base de la
différents confiance et de la crédibilité
Aptitude relationnelle 28% 14% 32% 34% accordées à leur jugement.
• Objectivité
Sensibilité au gouvernement Les auditeurs internes
22% 25% 51% 55% montrent le plus haut degré
d’entreprise et à l’éthique
d’objectivité professionnelle
Facilitation 9% 31% 40% 43% en collectant, évaluant et
communiquant les
Aptitude à créer un esprit informations relatives à
6% 35% 35% 35%
d’équipe l’activité ou au processus
examiné. Les auditeurs
Leadership 2% 34% 46% 62% internes évaluent de manière
Gestion du personnel 0% 19% 34% 43% équitable tous les éléments
pertinents et ne se laissent
pas influencer dans leur
En France, les principales compétences comportementales que les responsables jugement par leurs propres
intérêts ou par autrui.
d’audit interne attendent d’un auditeur interne sont : • Confidentialité
• la confidentialité (82%), Les auditeurs internes
respectent la valeur et la
• la capacité à travailler en équipe (80%), propriété des informations
qu’ils reçoivent ; ils ne
• l’objectivité (77%).
divulguent ces informations
qu’avec les autorisations
requises, à moins qu’une
Au niveau de l’IIA, ce sont ces trois compétences qui arrivent également en tête
obligation légale ou
avec néanmoins des pourcentages légèrement différents : professionnelle ne les oblige
à le faire.
• la confidentialité (73%), • Compétence
• la capacité à travailler en équipe (74%), Les auditeurs internes
utilisent et appliquent les
• l’objectivité (67%). connaissances, les savoir-
faire et expériences requis
pour la réalisation de leurs
travaux.
© IFACI juin 2008 45
Rappelons que la confidentialité et l’objectivité sont deux des quatre principes
fondamentaux du code de déontologie de l’IIA.

Ces trois compétences sont également attendues, mais dans une moindre
proportion, pour les superviseurs.
Par rapport aux auditeurs internes, le panel de compétences comportementales est
plus large pour la fonction de superviseur. Ainsi, la capacité à créer un esprit
d’équipe et le leadership apparaissent dans les cinq premières compétences
comportementales requises pour un superviseur, alors que ce sont les critères les
moins cités pour les auditeurs internes.
Au niveau global, le
responsable de l’audit
Pour les responsables d’audit interne, en plus de l’objectivité (72%, 58% au niveau interne apparaît plus comme
IIA) et de la confidentialité (69% comme au niveau IIA), notons que le leadership un dirigeant qui a le sens du
leadership (75% au niveau
(62%) et la sensibilité au gouvernement d’entreprise et à l’éthique (55%) sont de l’IIA, 62% en France) et
également des compétences requises. Ces deux dernières compétences sortent qui a la capacité à travailler
avec les différents niveaux
également du lot au niveau IIA avec respectivement 75% et 55%. de responsabilité (58% au
niveau de l’IIA, 32% en
France).

© IFACI juin 2008 46


Pour ce qui est des compétences techniques, les réponses des responsables d’audit
interne sont synthétisées dans le tableau ci-après :

COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE


AUX RESPONSABLES D’AUDIT INTERNE )

Auditeur
Superviseur Manager RAI
interne
Extraction et analyse de données 75% 29% 3% 8%
Communication orale (capacité à
68% 52% 34% 43%
effectuer des interviews)
Analyse des risques 51% 59% 55% 83%
Utilisation de technologie de
46% 28% 19% 11%
l’information
Identification des types de contrôle (par
40% 43% 22% 32%
ex., la prévention, la détection)
Compréhension des métiers 35% 29% 55% 72%
Analyse financière 31% 39% 23% 40%
Aptitude à faire des recherches 26% 17% 5% 9%
Echantillonnage statistique 26% 14% 0% 0%
Compétence juridique / sensibilité à la
14% 17% 31% 40%
fraude
ISO / connaissance de la qualité 8% 6% 14% 12%
Gestion totale de la qualité 5% 17% 23% 25%
Négociation 3% 29% 51% 72%

Les responsables d’audit interne souhaitent donc que les auditeurs internes aient
des capacités pour la préparation et la réalisation des missions d’audit interne. Les
compétences techniques attendues sont en phase avec les enjeux actuels de la
profession. A savoir :

- l’utilisation des outils informatiques et la bonne compréhension des


systèmes d’information, à la fois parce qu’ils sont omniprésents dans les
activités (à travers notamment les activités de contrôle automatisées) mais
également parce que l’audit interne utilise les outils informatiques pour
plus d’efficience dans l’interprétation de la masse de données traitée.

© IFACI juin 2008 47


Ainsi, les Responsables d’Audit Interne citent des compétences liées aux
Systèmes d’Information (l’extraction et l’analyse des données, 75% et
l’utilisation de la technologie de l’information, 46%) ;
- le renforcement du rôle de l’audité à chaque étape principale du processus
d’audit (prise de connaissance du domaine audité, validation des constats,
formulation des recommandations). La capacité à réaliser des interviews
est donc citée par 68% des répondants ;
- l’approche par les risques avec des compétences en analyse des risques
(citée à 51% pour des auditeurs internes).

Les responsables d’audit interne sont moins exigeants pour des compétences
comme la négociation (3%) ou liées à la qualité (l’ISO est citées par 8% des
répondants et les méthodes de management total de la qualité mentionnées par
5%).

Alors que la technique d’échantillonnage statistique est utilisée dans 76% des cas
(cf. § 1.4.4.5 sur les outils, 71), cette compétence est peu citée même au niveau du
superviseur (compétence citée par 14% des répondants). Cette compétence est
pourtant complémentaire de la capacité d’extraction des données. Elle peut
également aider le superviseur à valider le programme de travail et les constats.
(cf.MPA 2100-10 « Vérification par sondage »).

Plus le niveau hiérarchique augmente moins les compétences pratiques sont


mentionnées. Par exemple, les compétences en échantillonnage statistique ne sont
pas indiquées pour les responsables d’audit interne et les managers. Par contre, des
compétences plus managériales (la négociation) ou plus stratégiques
(compréhension des métiers) sont citées dans 72% des cas comme étant des
qualités attendues chez un responsable d’audit interne.

Quelle que soit la fonction, l’analyse des risques est mentionnée parmi les
compétences principales. Le niveau d’attente dans ce domaine est néanmoins plus
élevé pour les responsables d’audit interne (83% au lieu de 51% pour les auditeurs
internes). Ce constat est à rapprocher du développement de la planification fondée
sur les risques. En effet, même si l’analyse des risques est utilisée pour la
construction du programme de travail d’une mission, c’est surtout au niveau de la
planification annuelle des missions que cette technique est utilisée. Or, cette

© IFACI juin 2008 48


planification constitue une des missions essentielles du responsable d’audit interne
qui doit avoir la capacité de prioriser les missions en fonction des risques majeurs.

Les données internationales montrent également des différences selon les


catégories de fonctions. Une analyse comparative plus fine met en évidence des
écarts avec les compétences techniques attendues en France :
- la capacité d’utilisation des systèmes d’information par le responsable de
l’audit interne est plus mentionnée au niveau de l’IIA (28% au niveau IIA,
11% en France) ;
- la sensibilité des auditeurs internes à la fraude et la connaissance des
techniques d’investigations liées sont citées par 21% des répondants au
niveau IIA ce qui est légèrement supérieur aux résultats en France (14%) ;
- la compréhension des métiers de l’entreprise est une des caractéristiques du
responsable d’audit interne (78% au niveau de l’IIA, 72% en France). De
même que les compétences liées aux systèmes qualité tels que l’ISO (19%,
12% en France) ou le management total de la qualité (33%, 25% en
France) ;
- l’identification des types de contrôle (préventifs/ détectifs…) est également
une compétence citée plus fréquemment au niveau international (52% par
rapport à 40% en France). Par contre, en France, les responsables d’audit
interne citent plutôt les compétences en matière d’analyse des risques. Ce
qui est cohérent avec la place accordée au processus de management des
risques (cf. § 1.4.2.4 sur le périmètre actuel d’intervention de l’audit
interne, p. 35) et à la planification fondée sur les risques (cf. § 1.4.4.5. sur
les outils et méthodes, p. 71). Ainsi, en France l’analyse des risques est
citée par 51% des répondants (28% au niveau international) comme étant
une compétence attendue de la part des auditeurs internes. L’écart est
moindre pour ce qui est de la compétence attendue pour des responsables
d’audit interne (83% en France, 75% au niveau IIA).
Enfin, les responsables d’audit interne qui ont répondu à l’enquête en France citent
plus souvent l’aptitude à mener des interviews (58% au niveau IIA, 68% en
France).

Les responsables d’audit interne indiquent d’autres connaissances ou savoir-faire


nécessaires pour les différentes activités d’un service d’audit interne.

© IFACI juin 2008 49


SAVOIR-FAIRE PAR CATEGORIE D’EMPLOIE FONCTION (QUESTION POSEE AUX
RESPONSABLES D’AUDIT INTERNE )

Auditeur
Superviseur Manager RAI
interne
Capacités rédactionnelles 54% 26% 11% 17%
Capacités analytiques 46% 37% 25% 29%
Identification des problèmes et
46% 32% 20% 20%
solutions
Rédaction de rapports 42% 37% 11% 15%
Sens critique 40% 37% 26% 25%
Communication 37% 37% 37% 62%
Connaissance de langues
étrangères 35% 23% 20% 23%
Gestion du temps 29% 26% 12% 15%
Aptitudes à la présentation 26% 31% 14% 26%
Compréhension de systèmes
20% 15% 6% 9%
d’information complexes
Conceptualisation 15% 14% 28% 37%
Veille professionnelle (opinions,
14% 19% 23% 42%
normes et réglementations)
Aptitudes à l’organisation 12% 23% 29% 46%
Capacité à promouvoir la fonction
d’audit interne au sein de 11% 15% 45% 75%
l’organisation
Résolution de conflits 6% 22% 32% 42%
Planification et gestion de projet 6% 25% 25% 23%
Gestion du changement 5% 8% 22% 17%
Formation et développement du
3% 5% 23% 31%
personnel

Comme pour les compétences techniques, ce tableau met en évidence des attentes
différentes selon la catégorie d’emploi.
Les compétences mises en avant pour l’auditeur interne sont celles qui sont liées à
leur cœur de métier : l’identification des problèmes et des solutions (46%), la
capacité analytique (46%) ainsi que l’aptitude à communiquer.

© IFACI juin 2008 50


Ainsi, la compétence rédactionnelle constitue le premier critère (54%) cité au
niveau des auditeurs internes. La capacité à élaborer un rapport apparaît également
dans les compétences clés (42%). D’ailleurs, la MPA 1210-1 relative à la
compétence, recommande que les auditeurs internes soient capables de
communiquer oralement et par écrit, pour exposer efficacement les objectifs, les
conclusions et les recommandations de la mission. Rappelons également que la
norme 2400 indique les devoirs des auditeurs internes en matière de
communication des résultats de la mission. Plusieurs modalités pratiques précisent
ces dispositions.

Pour les niveaux hiérarchiques plus élevés ce sont d’autres compétences qui sont
privilégiées pour :
• promouvoir l’audit interne. La capacité à promouvoir la fonction est la
première compétence citée pour les responsables d’audit interne (75%) ;
viennent ensuite la communication (62%) et la résolution de conflits
(42%) ;
• organiser (46%) ;
• être proactif sur les changements professionnels induits par des nouvelles
normes ou réglementations (42%).
A contrario, les attentes vis-à-vis des responsables d’audit interne sont moindres
pour des points spécifiques comme :
- la compréhension des systèmes d’information complexes (9%).
Néanmoins, le cadre de référence professionnel IIA/IFACI (notamment les
Global Technology Audit Guide, GTAG -
http://www.theiia.org/guidance/technology/gtag/?search=GTAG) insiste
sur le fait que le responsable d’audit interne doit avoir un minimum de
connaissances à propos des grands enjeux et risques relatifs aux systèmes
d’information ;
- l’aptitude à la rédaction (17%) ;
- la gestion du temps (15%).
Sur ces deux derniers points la moindre exigence à l’égard des responsables d’audit
interne doit être nuancée. En effet, le responsable d’audit interne a également
besoin de maîtriser la communication écrite lorsqu’il s’adresse aux clients internes
et externes de son service. En outre, une bonne gestion du temps est indispensable
pour le respect du programme d’audit.

© IFACI juin 2008 51


La comparaison avec les données internationales montre un certain nombre
d’écarts. Les compétences des auditeurs internes qui sont plus mentionnées au
niveau IIA sont :
+ la communication (52%, 37% en France) ;
+ la gestion du temps (40%, 29% en France) ;
+ le suivi des nouvelles normes ou obligations réglementaires (23%, 14% en
France) ;
+ les capacités organisationnelles (21%, 12% en France). En France, cette
compétence est surtout citée au niveau des responsables d’audit interne
(46%). L’écart entre les auditeurs internes et les responsables d’audit
interne (30%) n’est pas aussi marqué au niveau de l’IIA.

Cette différence de conception des compétences attendues selon la catégorie


d’emploi est également constatée en ce qui concerne les aptitudes à la présentation.
Pour les auditeurs internes, cette compétence est citée par 13% des répondants au
niveau de l’IIA (26% en France) ; alors qu’en France, il n’y a aucune différence
entre auditeurs internes et responsables d’audit interne, l’écart se creuse au niveau
IIA (37% des répondants indiquent que cette compétence est attendue chez un
responsable d’audit interne).
Enfin, la capacité à élaborer des rapports qui est citée comme une compétence clé
de l’auditeur interne en France (42%) est moins citée au niveau IIA (22%).

Une des questions du CBOK consistait à évaluer 19 connaissances requises en


audit interne. Les répondants devaient les noter de 1 (moindre importance) à 5 (très
important) selon que la connaissance en question était plus ou moins nécessaire
pour assumer leurs responsabilités. Le taux de réponse en France est assez faible
(121 répondants en moyenne sur les 235).

© IFACI juin 2008 52


APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT
INTERNE

Note moyenne
Comptabilité 3.23
Audit 4.49
Droit des affaires et réglementations 2.96
Gestion des affaires 2.93
Evolution des normes professionnelles 2.96
Le management du risque (Entreprise Risk Management) 3.98
Éthique 3.56
Finance 3.31
Sensibilisation à la fraude 3.58
Le gouvernement d’entreprise 3.35
Gestion des ressources humaines 2.93
Normes de l’audit interne 3.59
Technologie de l’information 3.51
Comptabilité de gestion 3.17
Marketing 2.21
Culture d’entreprise 3.72
Systèmes organisationnels 3.66
Stratégie et politique des affaires 2.97
Connaissances techniques spécifiques au secteur d’activité 3.85

L’audit interne apparaît comme un véritable métier dont la pratique ne s’improvise


pas puisque les répondants privilégient les connaissances spécifiques à l’audit
interne ou liées à l’exercice de la profession.
En effet, la méthodologie de l’audit interne est la première connaissance citée (4.5).
Les normes professionnelles (3.6) arrivent en 6ème position sur 19 options. Les
connaissances connexes sont également bien notées, l’ERM obtient une note de 4
(en deuxième position).
Néanmoins, ce tableau démontre bien que l’auditeur interne n’est pas uniquement
un expert du contrôle interne. Il connaît bien son secteur d’activité (3ème, 3.9) ainsi
que la culture et la structure de l’organisation dans laquelle il évolue (4ème et 5ème,
3.7).

© IFACI juin 2008 53


1.4.3.2. Une évaluation essentiellement hiérarchique
Compte tenu du panel de compétences présenté dans le paragraphe précédent la
question de leur évaluation se pose. Les responsables d’audit interne citent les
méthodes d’évaluation suivantes :
• l’évaluation périodique, par le superviseur (83%). Ce type d’évaluation est
d’ailleurs prévu dans la norme professionnelle 2340 relative à la L’IFACI a publié un cahier
de la recherche sur
supervision de la mission,
l’évaluation des
• des commentaires de clients de l’audit interne (commanditaire de la compétences des différentes
fonctions de l’audit interne.
mission, Direction Générale…) ou des audités (34%). Ce taux est cohérent [http://www.ifaci.com/fo/ad
avec celui des enquêtes réalisées dans le cadre de l’évaluation de la valeur h_login.asp].
ajoutée du service d’audit interne (cf. § 1.4.5.1 sur les modalités
d’évaluation de la valeur ajoutée de l’audit interne, p. 78) ;
• l’évaluation périodique par les pairs (17%).

1.4.3.3. Des études de haut niveau, complétées par une


formation professionnelle qualifiante
Le panel de compétences et d’activités présenté dans les paragraphes précédents
pose la question de la formation initiale et continue des auditeurs internes.

En ce qui concerne la formation initiale, les répondants étaient invités à préciser


leur plus haut niveau d’études.

NIVEAU DE FORMATION

IIA France

Licence 52% 12%

Master (y compris niveau doctorat) 40% 83%

La quasi-totalité des répondants (95%) ont fait des études supérieures. En France,
le niveau de formation se situe essentiellement à Bac+5 (83%, 40% au niveau de
l’IIA).

© IFACI juin 2008 54


Les répondants ont également précisé leur spécialisation. Ces données sont
présentées dans le graphe suivant. Les totaux sont supérieurs à 100% parce qu’il
s’agit d’une question à choix multiple.

TYPES DE SPECIALISATION

Gestion
Comptabilité
Finance
Economie
Droit
Audit
Audit Interne
Mathématiques/statistiques
Systèmes d'information
Informatique
Sciences et Techniques
Ingénieur

0% 10% 20% 30% 40% 50% 60%

Les quatre principaux domaines cités sont la spécialisation en :


• gestion (49%) ;
• comptabilité (48%) ;
• finance (47%) ;
• économie (41%).
A contrario, les formations d’ingénieurs (9%) ou les spécialisations dans les
systèmes d’information (15%) restent minoritaires.

© IFACI juin 2008 55


COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF
TOTAL)

Spécialisation IIA France

Gestion 27% 49%

Comptabilité 56% 48%

Finance 24% 47%

Économie 20% 41%

Par rapport aux autres domaines clés, la spécialisation en comptabilité est plus
marquée au niveau international. En France, les auditeurs internes mentionnent
également des compétences en économie ou en gestion. Cette diversité semble plus
cohérente avec le fait que l’audit interne n’est pas uniquement une fonction
comptable et financière.

COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION

(RESPONSABLES D’AUDIT INTERNE)

Spécialisation IIA France

Gestion 29% 67%

Comptabilité 60% 54%

Finance 26% 68%

Économie 24% 52%

Au niveau de l’IIA, la tendance à la spécialisation en comptabilité est encore plus


marquée chez les responsables d’audit interne. Alors qu’en France, le panel de
spécialisation en économie, gestion, finance est complétée par des spécialisations
en droit (36% des responsables d’audit interne en France, 7% au niveau IIA).

© IFACI juin 2008 56


Au-delà des études, le CBOK aborde la formation à travers d’autres aspects :
+ le nombre d’heures de formation professionnelle,
+ le contenu de ces formations continues.

NOMBRE D’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS


DERNIERES ANNEES

IIA France
Auditeur Responsable d’audit Auditeur Responsable
interne interne interne d’audit interne
Supérieur ou égal à
36% 48% 17% 19%
120 heures
Inférieur à 120
62% 51% 80% 81
heures
Aucune heure 2% 1% 3% 0%

Conformément à la norme professionnelle 1230 « Formation professionnelle


continue », la quasi-totalité des répondants ont été formés.
En France, il n’y a pas de différence significative entre les auditeurs internes et les
responsables d’audit interne. Au niveau de l’IIA, la proportion de responsables
d’audit qui ont reçu plus de 120 heures de formation (au cours des trois dernières
années) est de 48% ce qui est supérieur au taux constaté chez les auditeurs internes
(36%). Notons que la question ne limitait pas la formation à des sessions
classiques ; elle inclut les séminaires, colloques et autres ateliers auxquels les
responsables d’audit interne peuvent participer de manière plus privilégiée.

L’IIA requiert 80 heures de formation permanente (Continuing Professionnal


Development ou CPD) tout les deux ans, notamment pour les auditeurs internes qui
souhaitent maintenir leur certification CIA (Certified Internal Auditor). Les
personnes qui respectent ce critère doivent donc avoir au moins 120 heures de
formation au cours des trois dernières années. Les résultats du CBOK montrent que
la marge de progression reste forte en France (en moyenne 17% des répondants
dépassent les 120 heures).

Pour ce qui est du contenu de ces formations, les fréquences déclarées par
domaines sont les suivantes :

© IFACI juin 2008 57


FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME

Ce schéma montre que les auditeurs internes suivent surtout des formations qui leur
permettent d’acquérir des connaissances techniques spécifiques au métier (normes,
systèmes d’information et dans une moindre mesure la fraude). Ainsi, près de la
moitié des responsables d’audit interne indiquent des formations au moins
annuelles sur les normes et les pratiques d’audit interne.
L’apprentissage de connaissances comportementales (communication, gestion
d’une équipe) est moins fréquent.

Comme le montre le tableau ci-dessous, la situation au niveau de l’IIA est moins


contrastée entre les formations techniques et les thèmes plus généraux.

© IFACI juin 2008 58


FORMATION SUIVIE AU MOINS UNE FOIS PAR AN

IIA France

Normes et pratiques d’audit interne 46% 43%

Bureautique/ Système d’information 36% 22%

Techniques anti-fraude 32% 23%

Ethique 38% 18%

Communication 27% 15%

Gestion d’une équipe 27% 11%

Les formations annuelles sur les normes et les pratiques d’audit interne arrivent
toujours en tête. Néanmoins, la diversité des thèmes de formation est plus nette au
niveau de l’IIA. Notamment, sur des thèmes liés à l’éthique (38% au niveau de
l’IIA, 18% en France), les techniques anti-fraude (32% au niveau de l’IIA, 23% en
France) ou les systèmes d’information (36% au niveau de l’IIA, 22% en France).

Les résultats concernant le type de spécialisation montrent que peu de répondants


possèdent une spécialisation en audit interne (12% au niveau de l’IIA). Pourtant,
les connaissances et le savoir-faire spécifique au métier arrivent en tête des
compétences attendues (cf. § 1.4.3.1 sur les compétences très diversifiées et des
spécificités selon la catégorie d’emploi, p.44). La formation professionnelle
continue permet-elle de palier à ces besoins ? L’enquête permet d’aborder la
question de la qualification professionnelle sous deux aspects :
- le taux de qualification des répondants ;
- le nombre d’auditeurs internes qualifiés au sein du service d’audit interne.

Parmi les qualifications proposées examinons celles qui concernent :


- l’audit interne (telle que le Certified Internal Auditor de l’IIA) ;
- l’audit des systèmes d’information (telle que Certified Information Systems
Auditor, Certified Information Security Manager) ;
- la fraude (telle que Certified Fraud Examiner)

© IFACI juin 2008 59


TAUX DE QUALIFICATION DES REPONDANTS

IIA France

Audit interne (CIA…) 39% 27%

Audit des SI (CISA, CISM…) 10% 7%

Fraude (CFE…) 5% 2%

En France, 27% des répondants déclarent une qualification professionnelle en audit


interne (ce taux est de 39% au niveau de l’IIA).
La qualification en audit des systèmes d’information est rare (6% en France, 10%
au niveau IIA). Elle est plus courante chez les répondants spécialisés en système
d’information (ces derniers représentent 71% de ceux qui ont une qualification en
audit des Systèmes d’Information).
La qualification en matière de fraude est encore moins répandue.

Par ailleurs, les responsables d’audit interne ont indiqué le nombre de personnes
certifiées dans leur service d’audit interne.

NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE


QUALIFICATION EN AUDIT INTERNE
35%
Réponse Non réponses
30% 29%

24% 16%
25%

20%

15% 13%

10%
84%

5% 3%

0%
1 CIA… 2 à 5 CIA… 6 à 15 CIA… Plus de 16

© IFACI juin 2008 60


La portée de ces résultats est limitée par le faible nombre de réponses (taux de
réponse de 16%). Néanmoins, notons qu’un tiers des répondants indiquent qu’il n’y
a aucun auditeur interne qualifié en audit interne (CIA…) dans leur service. La
même proportion déclare un seul certifié, un quart indique deux à cinq certifiés.

Concernant les certifications spécifiques, 21% des responsables d’audit interne


considèrent qu’un certificat autre que le CIA serait nécessaire pour leur catégorie
d’emploi.

NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE


QUALIFICATION EN AUDIT INTERNE DES SYSTEMES D’INFORMATION

Réponse Non réponses


40%
36%
35% 9%

30%

25%

20%

15% 91%
9% 9%
10%
5%
5%

0%
1 CISA,,, 2 à 5 CISA,,, 6 à 15 CISA,,, Plus de 16

En ce qui concerne la qualification en audit des systèmes d’information, le taux de


réponse est encore plus faible (9%). Parmi les répondants, 41% des responsables
d’audit interne déclarent n’avoir aucun collaborateur certifié en audit des systèmes
d’information. Il y a une personne certifiée dans 36% des cas.

© IFACI juin 2008 61


1.4.4. L’audit interne, une profession normée
Le professionnalisme des auditeurs internes découle de leur formation et de leur
expérience professionnelle. Mais la véritable spécificité de la fonction reste
l’existence d’un cadre de référence professionnel partagé au niveau international.
Le CBOK permet de tester la perception des principes inscrits dans la définition
IIA/IFACI et dans les normes.

L’utilisation totale ou partielle du cadre de référence de l’IIA est citée par 70% des
répondants. Ce taux est de 82% au niveau de l’IIA.

1.4.4.1. Perception des principes inscrits dans la définition et


dans le code de déontologie IIA
Comme le montre le tableau ci-dessous, les responsables d’audit interne
considèrent majoritairement que la fonction d’audit interne est perçue comme une
activité objective et indépendante au sein de leur organisation. Leur mission
première est d’évaluer l’efficacité du dispositif de contrôle interne et celle des
processus de management des risques. Ils estiment également que leur fonction est
positionnée à un niveau suffisant au sein de l’organisation pour leur permettre
d’exercer leurs missions de manière efficace et d’être crédible (ce point arrive en
deuxième position).

© IFACI juin 2008 62


PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION
Affirmations Responsable Responsable
d’audit interne d’audit interne
(France) (IIA)
La fonction d’Audit Interne est une activité
indépendante et objective d’assurance et de 4.39 4.45
Conseil
La fonction d’Audit Interne apporte une réelle
4.37 4.41
valeur ajoutée à l’organisation
La fonction d’Audit Interne évalue d’une
manière systématique les processus de 4.20 4.03
management des risques
La fonction d’Audit Interne évalue d’une
manière systématique l’efficacité du dispositif 4.43 4.35
de contrôle interne
La fonction d’Audit Interne évalue d’une
manière systématique les processus de 3.57 3.80
gouvernance d’entreprise
La fonction d’Audit Interne examine de façon
proactive les aspects financiers, les risques 3.72 4.10
ainsi que les contrôles internes
La fonction d’Audit Interne fait partie
intégrante du processus de gouvernance en 4.12 4.10
fournissant des informations fiables à la
Direction
La fonction d’Audit Interne est à même
d’apporter une réelle valeur ajoutée à 3.71 3.52
l’organisation dans la mesure où elle dispose
d’un accès non intermédié au comité d’audit
La Fonction d’Audit Interne est positionnée à
un niveau suffisant au sein de l’organisation 4.23 4.07
pour être efficace
L’indépendance est un facteur clé pour que la
Fonction d’Audit Interne apporte une réelle 4.62 4.46
valeur ajoutée à l’organisation
L’objectivité est un facteur clé pour que la
Fonction d’Audit Interne apporte une réelle 4.7 4.58
valeur ajoutée à l’organisation
La fonction d’Audit Interne est crédible au sein 4.2 4.30
de l’organisation
La conformité aux Normes de l’IIA est un
facteur clé pour que la Fonction d’Audit 3.71 3.86
Interne apporte une réelle valeur ajoutée au
processus de gouvernance de l’organisation
La conformité au code de déontologie de l’IIA
est un facteur clé pour que la Fonction d’Audit 3.77 4.03
Interne apporte une réelle valeur ajoutée au
processus de gouvernance de l’organisation
La note indiquée est la moyenne des réponses graduées comme suit : 1 :
totalement en désaccord, 2 : en désaccord, 3 : neutre, 4 : d’accord, 5 : tout à fait
d’accord.

© IFACI juin 2008 63


Ces résultats montrent l’universalité du fait que l’objectivité est un facteur clé pour
apporter une réelle valeur ajoutée à l’organisation.

En ce qui concerne le rôle de l’audit interne dans l’évaluation des processus, le


processus de gouvernement d’entreprise arrive en dernière position. Ce processus
obtient une note (3.6) sensiblement inférieure à celle concernant l’efficacité du
dispositif de contrôle interne (4.4). Néanmoins, les responsables d’audit interne
sont d’accord avec l’affirmation selon laquelle la fonction d’audit interne fait partie
intégrante du processus de gouvernance en fournissant des informations fiables à la
Direction Générale. Les répondants partagent également le fait que l’audit interne
apporte de la valeur dans la mesure où il y a un accès direct au Comité d’Audit.

Les derniers points mentionnés dans le tableau traitent de la relation entre la


conformité au cadre de référence et la valeur ajoutée de l’audit interne. Ces
principes sont peu valorisés et pourtant ils renvoient à la notion d’exemplarité,
pierre angulaire de tout processus de gouvernement d’entreprise.

1.4.4.2. Adéquation des normes professionnelles de l’audit


interne
Le niveau d’adéquation est jugé très satisfaisant, qu’il s’agisse des normes de la
série 1000 (Qualification des services d’audit interne et des auditeurs internes) ou
celles de la série 2000 (Fonctionnement du service d’audit interne).

© IFACI juin 2008 64


NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES

Les normes ayant le niveau d’adéquation le plus faible (c'est-à-dire inférieure ou


égale à 90%) sont :
« Le responsable de l'audit
• les normes de la série 1300 « programme d’assurance et d’amélioration interne doit élaborer et tenir
qualité » qui nécessitent le plus de marge de progression. Ainsi, 76% des à jour un programme
d'assurance et d'amélioration
répondants la jugent adéquate. qualité portant sur tous les
• la norme 2600 « acceptation des risques par la direction générale » aspects de l'audit interne et
permettant un contrôle
soulève également quelques questions. Lors de la traduction de cette norme continu de son efficacité. Ce
l’IFACI avait prévu un commentaire indiquant que « la mise en œuvre de programme inclut la
réalisation périodique
cette norme s’avère particulièrement délicate pour le responsable d’audit d’évaluations internes et
interne. Elle devra être en conséquence appliquée avec sagesse et externes de la qualité, ainsi
qu’un suivi interne continu.
prudence […] Les règles du jeu doivent être claires pour tous les acteurs Il doit être conçu dans un
ce qui signifie qu’elles devront être explicitées tant dans la charte d’audit double but : aider l'audit
interne à apporter une valeur
interne que dans celle du comité d’audit ». Néanmoins, 79% des ajoutée aux opérations de
répondants la jugent adéquate. l’organisation et à les
améliorer, et garantir qu'il
• les normes de la série 2500 « surveillance des actions de progrès » ont un est mené en conformité avec
niveau d’adéquation satisfaisant (83%) ce qui est cohérent avec les les normes et le code de
déontologie. »
données sur les modalités d’évaluation de la valeur ajoutée de l’audit
interne (cf. § 1.4.5.1 sur les modalités d’évaluation de la valeur ajoutée de
l’audit interne, p. 78).

© IFACI juin 2008 65


COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS
ADEQUATES

IIA France

Oui Non Ne Je ne Oui Non Ne Je ne


l’utilise sais pas l’utilise sais pas
pas pas

Norme 1300
« programme
77% 5% 6% 11% 76% 6% 8% 10%
d’assurance et
d’amélioration qualité »

Norme 2600
« acceptation des risques
76%, 6% 5% 1% 79% 5% 6% 10%
par la direction
générale »

Norme 2500
« surveillance des actions 81% 4% 4% 10% 83% 5% 5% 8%
de progrès »

Il n’y a pas de différences significatives entre la France et les données


internationales :

La question « les Modalités Pratiques d’Application des normes sont-elles


appropriées à votre fonction d’audit interne ?» montre les mêmes tendances que
celles qui sont constatées pour les normes.

1.4.4.3. Niveau de conformité aux normes professionnelles de


l’IIA/IFACI
Outre l’adéquation des normes, les répondants se sont prononcés sur leur mise en
œuvre effective et sur le niveau de conformité de leur organisation.

Le niveau de conformité déclaré est globalement satisfaisant avec des nuances


entre la conformité totale et la conformité totale.

© IFACI juin 2008 66


NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES

Ce schéma est à rapprocher des données sur le niveau d’adéquation des normes. En
effet, ce sont les trois normes citées précédemment qui sont les moins mises en
œuvre. Le taux de non-conformité à ces normes est de :
- 20% pour la norme 1300 « programme d’assurance et d’amélioration
qualité » ;
- 13% pour la norme 2500 « surveillance des actions de progrès » ;
- 11% pour la norme 2600 « acceptation des risques par la direction
générale ». Notons que c’est cette norme qui recueille le plus fort taux
d’indécis (17% des répondant ne se prononcent pas sur la conformité à la
norme 2600). Ce point confirme la méconnaissance de cette norme et le
fait qu’elle est perçue comme étant difficilement applicable.

Lorsque l’on compare globalement la conformité (conformité totale et conformité


partielle), il n’y a pas de différences majeures entre la France et les données
internationales. Les principaux écarts concernent la norme 1300 « programme
d’assurance et d’amélioration qualité » où le taux global de conformité en France
(68%) est inférieur aux données internationales (76%). Un léger écart est
également constaté pour la norme 2600 « acceptation des risques par la direction
générale » (72% en France, 78% au niveau de l’IIA).

© IFACI juin 2008 67


Néanmoins, l’analyse fine des taux de conformité montre que la conformité
partielle est plus courante en France. Au niveau de l’IIA les taux de conformité
totale sont toujours supérieurs à ceux qui sont déclarés en France.

COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES

IIA France

Famille de norme Normes de la série


Totale Partielle Totale Partielle

1000 : Mission, pouvoirs et


63% 25% 57% 32%
responsabilités
Normes de qualification

1100 : Indépendance et
67% 22% 53% 39%
objectivité

1200 : Compétence et conscience


63% 26% 32% 35%
professionnelle

1300 : Programme d’assurance et


40% 36% 32% 35%
d’amélioration qualité

2000 : Gestion de l’audit interne


58% 29% 42% 47%

2100 : Nature du travail


58% 29% 48% 40%
Normes de fonctionnement

2200 : Planification de la mission


58% 29% 50% 40%

2300 : Accomplissement de la
60% 28% 57% 34%
mission

2400 : Communication des


64% 25% 57% 35%
résultats

2500 : Surveillance des actions de


53% 32% 44% 37%
progrès

2600 : Acceptation des risques


47% 31% 39% 33%
par la Direction Générale

© IFACI juin 2008 68


Au-delà des trois normes citées précédemment, des intensités différentes de niveau
de conformité entre la France et l’IIA sont également constatées pour :
- les normes de la série 2000 « gestion de l’audit interne » dans laquelle des
exigences en matière de planification, de gestion des ressources,
d’établissement des règles et procédures du service d’audit interne, de
coordination avec les prestataires externes et de relations avec le Conseil et
la Direction Générale sont prévues ;
- les normes de la série 2100 « Nature du travail » qui précise le rôle de
l’audit interne dans l’évaluation d’un certain nombre de domaines
notamment les processus de Gouvernance, de Management des risques et
de Contrôle ;
- les normes de la série 1100 « Indépendance et objectivité » ;
- les normes de la série 1200 « Compétence et conscience professionnelle ».

Les normes où ces écarts sont les moins notables sont :


- les normes de la série 1000 relatives aux missions, pouvoirs et
responsabilités, qui sont décrits dans la Charte d’audit ;
- les normes de la série 2300 sur « l’accomplissement de la mission ».

En outre, les traitements réalisés au niveau de l’IIA indiquent que le niveau de


conformité est corrélé avec l’ancienneté et la taille du service d’audit interne.

1.4.4.4. Modalités de mise en œuvre de certaines normes


Le CBOK précise les pratiques liées à la mise en œuvre de certaines normes.

• la norme 2010 relative à la planification.


Le chapitre concernant les documents et méthodes utilisées dans le service d’audit
interne (cf. §1.4.4.5. sur les outils et méthodes, p.71) montre le développement de
l’utilisation des plans d’audit.
Plus précisément, 94% des responsables d’audit interne indiquent qu’un plan
d’audit est réalisé au moins annuellement. Ce document se fonde principalement
sur les demandes émanant de la Direction Générale (85%), les entretiens réalisés
avec les responsables opérationnels (79%) ainsi qu’une analyse des risques (79%).
Dans 32% des cas, ce plan est mis à jour plusieurs fois dans l’année pour prendre
en compte des demandes ponctuelles émanant de la Direction Générale, ou bien
une évolution de périmètre (fusion, acquisition…).

© IFACI juin 2008 69


• les normes de la série 2400 relatives à la communication des
résultats.
Au cours d’une mission, les auditeurs internes doivent évaluer de manière objective
l’opinion des audités et valider leurs constats.
Le schéma ci-après montre que la résolution des éventuels différends entre l’audit
interne et les audités se fait au cours de la mission : lors des travaux sur le terrain
ou pendant la phase de restitution (les réunions de clôture ou les rapports
provisoires sont l’occasion de débats qui permettent de valider les constats et les
conclusions).

PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES


AUDITES

• La norme 2500 relative à la surveillance des actions de progrès.


Seulement 3% des répondants ne font pas de suivi formel des recommandations. La
responsabilité de ce suivi est précisée ci-après.

© IFACI juin 2008 70


MODALITES DE SUIVI DES RECOMMANDATIONS
IIA France
Audit interne et audité / client 50% 51%
Audit interne 31% 39%
Audité / client 14% 6%
Autre 2% 1%

Normes professionnelles et
La moitié des répondants indique une responsabilité partagée avec les audités, une
outils d’audit
minorité (6%) cite un suivi effectué uniquement par les audités. • La norme 1220.A2 relative
à la conscience
professionnelle indique que
l’auditeur interne doit
1.4.4.5. Outils et méthodes envisager l’utilisation de
techniques informatiques
La définition de l’audit interne insiste sur le fait qu’il s’agit d’une activité d’audit et d’analyse de
systématique et méthodique fondée sur un certain nombre de documents et outils. données.
• La démarche de
Certains outils sont même cités dans les normes. benchmarking est
notamment indiquée dans le
cadre de l’évaluation du
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE processus de management
Document IIA France des risques (MPA 2110-1)
ou lors de l’évaluation
Plan d’audit interne 81% 90% périodique des services
d’audit interne (MPA 1311-
Charte d’audit interne 72% 82%
1).
Lettre de mission de l’audit interne 60% 79% • La norme 2010 concerne la
planification fondée sur les
Manuel d’audit 63% 57%
risques afin de définir des
priorités cohérentes avec les
objectifs de l’organisation.
Le plan d’audit interne apparaît comme le document le plus répandu dans les La norme 2010.A1 précise
services d’audit interne, il existe dans 90% des cas. Il est suivi par la charte d’audit que le plan des missions
d’audit interne s’appuie sur
interne et la lettre de mission de l’audit interne qui sont présentes dans environ une évaluation des risques
80% des cas. réalisée au moins une fois
par an. Ces normes sont
Ces résultats ont été complétés par une analyse croisée selon l’ancienneté du complétées par la MPA
service d’audit interne. 2010-2 sur « la prise en
compte des risques pour
l’élaboration du plan
d’audit ».
• Les méthodes d’évaluation
de la performance telles que
le Balanced Scorecard1 sont
citées dans la MPA 1311-2
pour la mise en place
d’indicateurs à l’appui des
contrôles de la performance
de l’activité d’audit interne.
• La MPA 2100-10 traite de
la vérification par sondage
et des méthodes
© IFACI juin 2008 71 d’échantillonnage.
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES
D’AUDIT INTERNE

0 à 5 ans 6 à 15 ans > 16 ans Ensemble


100

90

80

70

60

50

40

30

20

10

0
Plan Audit Interne Charte Audit Interne Lettre de mission Audit Manuel audit
Interne

Le plan d’audit est systématiquement présent dans les services d’audit interne très
anciens et apparaît à près de 80% dans les services d’audit interne récents de moins
de 5 ans. La mise en place des documents de référence de la fonction (charte
d’audit interne et lettre de mission) n’est pas immédiate. Ces deux documents sont
présents pour 2/3 des membres de services d’audit interne récents.
Enfin le manuel d’audit interne est présent pour moins de 60% des répondants
(42% pour les services d’audit interne récents).

© IFACI juin 2008 72


UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT.

Pas utilisés Modérém ent et m oyennem ent utilisé très et considérablem ent utilisé

Les t echniques de gest ion t otale de la qualit é 66 25 10

Les outils de revue de l’évaluat ion de la qualit é


de l’IIA 66 28 6

L’échant illonnage de stat istiques 24 54 22

La planif ication d’audit basée sur le risque 10 42 49

Des logiciels de modélisat ion de processus 57 37 6

Des applicat ions de mappage de processus 26 47 27

D’aut res modes de communication électronique


(par exemple, Internet, courrier électronique) 2 18 80

Des logiciels d’organigrammes 44 46 11

Des document s de t ravail électroniques 7 35 58

L’extraction des données 9 45 46

L’aut o-évaluat ion du cont rôle 32 53 16

L’audit au continu / en t emps réel 59 32 10

Des t echniques d’audit support ées par


informat ique 27 54 19

Le benchmarking 20 58 22

Des tableaux de perf ormances ou une structure


similaire 31 46 23

Une revue analytique 19 41 40

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Les outils bureautiques utilisés dans tous les types d’activités sont devenus
incontournables. Ainsi, les moyens de communication électroniques désormais
universels (internet, courrier électronique…) sont utilisés à plus de 98%.
Les autres outils peuvent être classés en deux catégories :

• Les outils servant à la gestion (planification, évaluation, suivi) de l’audit


interne sont dans l’ordre :
- La planification d’audit basée sur le risque qui est très
majoritairement utilisée par les services d’audit interne (90% dont
49% d’utilisation importante). Ceci qui confirme les réponses sur

© IFACI juin 2008 73


l’adéquation et la conformité à la norme 2010 relative à la
planification. (cf. § 1.4.4 sur l’utilisation des normes, p. 62).
- Les méthodes de suivi du contrôle interne telles que l’auto-
évaluation du contrôle utilisée à 69%.
- Les outils de revue de l’évaluation de la qualité de l’IIA et les
techniques de gestion totale de la qualité sont utilisés par un tiers
des services d’audit interne et moins de 10% des répondants les
utilisent de façon fréquente.

• Les outils destinés à la conduite de la mission sont :


- L’analyse ou le traitement des données. Ainsi, l’extraction des
données est très répandue (91% d’utilisation dont 46% de façon
importante). Les autres méthodes sont dans l’ordre : la revue
analytique (81% d’utilisation), le Benchmarking (80% d’utilisation
dont 58% de façon modérée), l’échantillonnage statistique (utilisé
par 76% des répondants), les tableaux de bord et de suivi de la
performance tel que le balanced scorecard (69% d’utilisation).
- Des outils concernant les processus avec les applications de
cartographie des processus (73% d’utilisation), les logiciels de
modélisation de processus (43%) ou les logiciels de Flowchart
(56%).
- Des outils informatiques spécifiques à l’audit interne comme
l’utilisation de techniques d’audit assistées par informatique (72%
d’utilisation) ou l’audit en continu (41%).

© IFACI juin 2008 74


COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS
IIA France
Revue analytique 94% 81%
Tableaux de bord, suivi de la performance (balanced
52% 69%
scorecard)
Benchmarking 75% 80%
Techniques d'audit supportées par l’informatique 78% 73%
Audit en continu/en temps réel 61% 41%
Auto-évaluation du contrôle 66% 69%
Extraction des données 64% 91%
Documents de travail électroniques 80% 93%
Logiciels de Flowchart 69% 56%
Communication électronique 97% 98%
Application de cartographie des processus 64% 74%
Logiciels de modélisation de processus 37% 43%
Planification d'audit basée sur le risque 92% 90%
Echantillonnage de statistiques 82% 76%
Outils de revue qualité (IIA) 53% 34%
Techniques de gestion totale de la qualité 51% 35%

L’analyse comparative des données avec l’IIA montre un taux d’utilisation plus
important pour certains outils de traitement des données ou de cartographie des
processus. Le taux d’utilisation des techniques d’extractions des données est
supérieur en France (+27% par rapport au taux d’utilisation moyen au niveau de
l’IIA). Les répondants mentionnent également un plus fort taux d’utilisation des
tableaux de performance (+17% par rapport à l’IIA). En ce qui concerne la
cartographie des processus, le taux d’utilisation est supérieur de 10% en France.
Dans le même temps, les logiciels de Flowchart sont moins cités en France (-13%
par rapport à l’IIA). Il est vrai que les auditeurs internes peuvent utiliser des
logiciels bureautiques classiques pour réaliser des diagrammes de flux.
Les éléments qui apparaissent clairement en retrait par rapport à l’IIA sont :
- L’audit en continu/ en temps réel (-20%)
- Les outils de revue qualité des services d’audit interne (-19%)
- Les techniques de gestion totale de la qualité (-17%).

© IFACI juin 2008 75


NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS

prévu dans les 3 ans utilisés

34
Les techniques de gestion totale de la qualité
53

34
Les outils de revue qualité (IIA)
58

76
L’échantillonnage de statistiques
85

La planification d’audit basée sur le risque 90


96

43
Les logiciels de m odélisation de processus
59

74
L'application de cartographie des processus
87

98
La com m unication électronique
99

56
Les logiciels de Flow chart
69

Les docum ents de travail électroniques 93


96

L’extraction des données 91


96

69
L’auto-évaluation du contrôle
85

41
L’audit au continu / en tem ps réel
61

73
Les techniques d’audit supportées par inform atique 88

Le benchm arking 80
92

Les tableaux de bord, suivi de la perform ance (balanced 69


scorecard) 79

81
La revue analytique
89

0 20 40 60 80 100 120

© IFACI juin 2008 76


Les évolutions envisagées dans le futur reflètent bien les changements auxquels
sont soumis les organisations avec :
- un environnement fluctuant et concurrentiel ;
- une diversification des activités qui s’accompagne d’une densification des
flux d’informations ;
- le renforcement des dispositifs de contrôle.
Face à cette complexification, l’enquête confirme une généralisation de l’approche
par les risques. Cette méthode qui permet d’identifier des priorités cohérentes avec
les objectifs de l’organisation sera utilisée dans 96% des cas. Qui plus est, cette
utilisation deviendra plus intensive puisque l’usage fréquent de la planification
basée sur les risques est prévu par (75%) au lieu de 49% actuellement.

Les données figurant sur ce graphe indiquent une propension à mieux :


- se situer par les méthodes de benchmarking (+12%) ou l’utilisation des
tableaux de bord (+10%) ;
- comprendre l’organisation et ses activités à travers les logiciels de
flowchart (+13%), les applications de cartographie des processus (+13%)
ou de modélisation des processus (+16%) ;
- traiter les informations avec la progression des techniques d’audit
supportées par l’informatique (+15%), l’échantillonnage statistique (+9%),
l’audit en continu/ en temps réel (+20%). Malgré la progression annoncée,
le niveau d’utilisation future de l’audit en continu/ en temps réel en France
(61%) reste inférieur à celui de l’IIA (82%) ;
- utiliser les démarches mises en œuvre dans le cadre des dispositifs de
contrôle. L’auto-évaluation du contrôle progresse de 16% ;
- évaluer l’audit interne. Les outils de revue du programme qualité des
services d’audit interne progressent de 24% pour atteindre 58%. Ce taux
d’utilisation restera inférieur à celui qui est annoncé au niveau de l’IIA
(80%).

© IFACI juin 2008 77


1.4.5. L’évaluation de l’audit interne

Les normes internationales de l’IIA précisent qu’un programme d’assurance et


d’amélioration qualité, portant sur tous les aspects de l’activité d’audit interne, doit
être mis en place pour contrôler de façon continue l’efficacité du service. Ce
programme inclut la réalisation d’évaluations internes et externes.

Dans un environnement en constant changement et de plus en plus exigeant, un


engagement permanent d’amélioration continue est indispensable pour :
ƒ respecter les normes professionnelles et être en mesure de
communiquer sur le niveau de conformité du service d’audit interne ;
ƒ maintenir la qualité des prestations au plus haut niveau et s’efforcer
d’accroître en permanence celle-ci ;
ƒ apporter encore davantage de valeur ajoutée à la Direction Générale, au
Comité d’Audit et à l’organisation ;
ƒ renforcer l’image et la crédibilité de l’audit interne au sein de
l’organisation.

Dans ce contexte, il apparaît fondamental de démontrer formellement la valeur


ajoutée de l’audit interne à travers des indicateurs mesurables, notamment au
regard de l’assurance qu’elle donne à l’organisation sur le degré de maîtrise des
risques et des opérations et sur les recommandations d’amélioration qu’elle émet.

1.4.5.1. Modalités d’évaluation de la valeur ajoutée de l’audit


interne

A la question « Comment votre organisation mesure-t-elle la valeur ajoutée de


la fonction d’audit interne », les responsables d’audit interne avaient le choix
entre une dizaine d’options.

Il est important de signaler que 33% des répondants ne mesurent pas formellement
la valeur ajoutée de leur direction, alors même qu’il s’agit de la finalité de l’audit
interne inscrite dans la définition officielle IIA/IFACI. En outre, à l’instar d’autres
directions supports, il peut arriver que l’audit interne soit interrogé sur son rapport
coût/bénéfice.

© IFACI juin 2008 78


Le premier élément cité par les services d’audit interne qui ont engagé une telle
évaluation est le taux de recommandations acceptées et/ou mises en œuvre (66% en
France, 51% au niveau mondial), le second étant la confiance que les auditeurs
externes accordent aux travaux de l’audit interne (43% en France et 33 % au niveau
mondial). Le troisième critère porte sur la réalisation d’enquêtes auprès des clients
de l’audit interne et des audités (33% en France et 35% au niveau mondial).

Le graphe ci-après présente les données par type d’organisation.


Ce sont les sociétés qui font appel public à l’épargne qui mesurent le plus leur
valeur ajoutée et qui utilisent le plus pour cela les trois critères susmentionnés.

MESURE DE LA VALEUR AJOUTEE

Acceptation/MO recommandation Confiance des auditeurs externes Pas de mesure formelle de la VA

Enquête clients/audités Demandes de la direction

100

90

80

70

60

50

40

30

20

10

0
Cotée Non cotée Secteur public Population totale

En matière de mesure de la valeur ajoutée de l’audit interne, les sociétés cotées se


démarquent des autres. Ainsi, si 43% des répondants appartenant à des sociétés non

© IFACI juin 2008 79


cotées indiquent qu’aucune mesure de la valeur ajoutée n’est réalisée. Ce taux est
plus faible dans les sociétés cotées (23%).

Pour les sociétés cotées, les deux critères essentiels de mesure de la valeur ajoutée
de l’audit interne sont le taux de recommandations acceptées et mises en œuvre
(77%) et la confiance des auditeurs externe (60%).
Dans le secteur public, la confiance accordée par l’audit externe est faiblement
perçue comme un indicateur de la valeur ajoutée (12%). Tous les établissements
publics ne sont pas soumis aux audits financiers des commissaires aux comptes et
la certification des comptes des administrations publiques est une notion encore
récente.
Les entreprises cotées se distinguent également par le recours aux enquêtes auprès
des clients de l’audit interne ou auprès des audités (51% dans les entreprises cotées,
14% pour les non cotées et 25% pour le secteur public).

La mesure de la valeur ajoutée renvoie à la performance de l’activité d’audit


interne et des dispositifs qu’une direction d’audit met en œuvre pour garantir la
qualité de ses activités et l’engagement dans un processus d’amélioration
constante.
Le CBOK donne un éclairage particulier sur la proportion de directions d’audit
interne qui ont mis en place un programme d’assurance et d’amélioration qualité
conformément aux normes de la série 1300.
En France, 25% des responsables d’audit déclarent avoir mis en place un tel
programme, ce ratio est de 27% au niveau de l’IIA. De plus, 43% des responsables
d’audit n’envisagent pas de mettre en place ce programme dans l’année suivante
(29% seulement au niveau de l’IIA). Pourtant, ce type de programme est une
condition nécessaire pour l’utilisation, dans les rapports d’audit interne, de la
mention « conduit conformément aux Normes ».
Par ailleurs, il convient de rapprocher ces résultats des opinions formulées sur le
niveau d’adéquation et de conformité des normes de la série 1300 (cf. § 1.4.4.2. et
1.4.4.3 sur l’adéquation, la conformité des normes, p. 64).

Un examen plus précis des réponses révèle une légère avance dans les services
d’audit interne dont les responsables sont en poste depuis moins de deux ans. En
effet, ils représentent 52% des responsables d’audit interne qui affirment avoir déjà
ce programme ou avoir l’intention d’en mettre un en place dans les douze mois qui
suivent. Il est vrai que le développement d’un tel programme fait partie des

© IFACI juin 2008 80


éléments structurants d’un service d’audit interne. De plus, cela permet à un
nouveau responsable d’audit interne de comparer la situation du service d’audit
interne avec les meilleures pratiques rassemblées dans le cadre de référence
professionnel de l’IIA.
Par ailleurs, ce sont les sociétés faisant appel public à l’épargne et les organisations
du secteur public qui arrivent en tête, en ce qui concerne la mise en place effective
ou souhaitée au cours des douze prochains mois, d’un Programme d’assurance et
d’amélioration qualité (55% chacune).
Dans le secteur public, ce constat peut s’analyser de différentes manières. Il peut
trouver son fondement dans la création accélérée de services d’audit. Or, comme
souligné précédemment, ce sont les responsables d’audit interne les plus récents
qui sont les plus enclins à la mise en œuvre d’un programme d’amélioration qualité
leur permettant d’aligner leurs pratiques et leur organisation sur les Normes. C’est
aussi un moyen de gagner ou de renforcer leur crédibilité et leur autorité au sein de
l’organisation.

© IFACI juin 2008 81


ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET
D’AMELIORATION DE LA QUALITE DE L ’AUDIT INTERNE

Les activités effectuées dans le cadre du programme d’assurance et d’amélioration


qualité du service d’audit interne sont :
ƒ la supervision des missions, pour 56% (43% IIA) ;
ƒ la mise en place de listes de vérification (check-lists) et de manuels donnant
l’assurance que des processus d’audit adéquats sont respectés, pour 39% (41%
IIA) ;
ƒ le recueil des commentaires de clients d’audit à la fin d’une mission, pour 36%
(39% IIA) ;
ƒ la vérification de la conformité de la fonction d’audit aux Normes
internationales, pour 31% (28% IIA) ;
ƒ la vérification du respect du Code de Déontologie par les auditeurs, pour 31%
(France et IIA).
Sur ces deux derniers aspects, l’enquête ne précise pas s’il s’agit d’auto-évaluation
(évaluations internes) ou d’évaluations confiées à un prestataire externe.

© IFACI juin 2008 82


Les évaluations internes (Norme 1311), réalisées par des auditeurs internes en poste ou d’anciens auditeurs
travaillant au sein de l’organisation, comprennent :
o des contrôles continus de l’activité d’audit interne (par exemple : la supervision, la mesure et le suivi de
divers indicateurs de performance, les évaluations de fin de mission des auditeurs...) ;
o des contrôles périodiques de conformité aux Normes via des auto-évaluations.

Les évaluations externes (Norme 1312), réalisées au moins tous les cinq ans (ou plus fréquemment, selon
l’appréciation du Responsable de l’audit interne, après consultation du Conseil/Comité d’audit), par un
évaluateur ou une équipe qualifiés et indépendants, visent à apprécier :
ƒ la conformité aux Normes ;
ƒ l’utilisation de bonnes pratiques ;
ƒ l’efficacité de l’activité d’audit interne au regard de sa Charte et des attentes de ses parties prenantes ;
ƒ la valeur ajoutée apportée par l’audit interne au regard notamment des attentes de ses clients et parties
prenantes ;
ƒ l’adéquation des ressources et du champ d’intervention de l’audit ;
… et à identifier, en collaboration avec le service d’audit interne, des axes d’amélioration.
Rappelons que l’IFACI a signé en 2006 un protocole d’accord avec l’IIA Global l’autorisant à proposer aux
directions d’audit interne tout type d’évaluation externe : la validation indépendante après autoévaluation, la
revue qualité, et bien sûr la certification que nous privilégions et vers laquelle la plupart des organisations
intéressées se tournent car elles veulent obtenir un label de qualité qui constitue un gage de crédibilité et de
visibilité.

1.4.5.2. Evaluation interne du service d’audit interne

En France, 42% des répondants déclarent qu’il n’y a jamais eu d’évaluation interne
dans leur service. Ce ratio est supérieur à celui constaté au niveau de l’IIA (33%).

Au cours des trois dernières années, 36% des répondants en France indiquent la
réalisation d’une évaluation interne de leur service. La fréquence préconisée par les
Normes est annuelle, 28% des répondants déclarent une évaluation interne au cours
des douze derniers mois (24% au niveau IIA). Les traitements réalisés au niveau de
l’IIA révèlent une corrélation positive entre cette fréquence et l’ancienneté du
service d’audit interne ou sa taille.

Le graphe sur les activités effectuées dans le cadre du Programme d’assurance et


d’amélioration qualité (cf. p. 82) propose quelques exemples d’évaluations internes
périodiques (par exemple, l’auto-évaluation ou la réalisation d’enquêtes) ou
continues.

Les évaluations internes continues renvoient aux différentes modalités de


développement des compétences, connaissances et savoir-faire des auditeurs
internes. Ces actions ne servent pas uniquement à améliorer la performance du
service d’audit interne, elles contribuent également au processus global de gestion

© IFACI juin 2008 83


des ressources humaines de l’organisation. En effet, le service d’audit interne est
parfois perçu comme une pépinière de cadres de haut potentiel formés à une
méthode rigoureuse et à la connaissance des activités et processus de
l’organisation. Afin de mesurer l’atteinte de cet objectif précis, le service d’audit
interne doit mettre en place des dispositifs de mesures comme :
• la réalisation d’évaluations post-mission des auditeurs internes ;
• la mesure d’indicateurs tels que le nombre de jours de formation des
auditeurs internes ;
• la qualité des reclassements à la sortie du service d’audit interne….

Ces évaluations permettent également d’ancrer un certain nombre de contrôles dans


le processus d’audit pour vérifier :
• le respect des objectifs fixés ;
• la conformité avec la méthode adoptée par le service d’audit interne ;
• la qualité des travaux.

Les actions qui peuvent être entreprises dans le cadre d’une évaluation interne sont
donc assez variées. Cette diversité n’a peut être pas été suffisamment appréhendée
par les 42% de répondants qui disent ne pas réaliser d’évaluation interne. La
question a pu être interprétée comme faisant uniquement référence à l’évaluation
interne périodique, documentée et méthodique, sur la conformité aux Normes.

1.4.5.3. Evaluation externe du service d’audit

Les Normes indiquent plusieurs formes d’évaluation externe :


• la revue qualité,
• la validation indépendante d’une auto-évaluation,
• la certification, développée par l’IFACI. Fondée sur l’approche ISO, cette
certification induit des audits de suivi annuels et un renouvellement au
terme de trois ans. Plus exigeante que les autres formes d’évaluation
externe, elle présente aussi l’avantage d’adhérer le plus fidèlement possible
à l’esprit des Normes à savoir l’engagement dans une amélioration
continue des processus d’audit interne (Pour en savoir : IFACI
Certification, http://www.ifaci.com/fo/page.asp?id=269).

© IFACI juin 2008 84


En France, 35% des répondants déclarent que leur service d’audit interne n’a
jamais fait l’objet d’une évaluation externe, 17% citent une évaluation non
conforme à la Norme 1312. Au niveau de l’IIA, ces ratios sont respectivement de
40% et 5%.
28% des répondants français ont fait l’objet d’une évaluation externe au cours des
cinq dernières années – fréquence minimale prescrite par les Normes – parmi
lesquels 17% au cours des douze derniers mois. Au niveau de l’IIA, 33% des
répondants ont fait l’objet d’une évaluation externe, dont 22% au cours des douze
derniers mois.

L’analyse de l’ancienneté moyenne révèle qu’un quart des services d’audit interne
ont moins de cinq ans d’existence ; les responsables d’audit de ces services peuvent
donc considérer qu’ils sont encore dans la période des cinq premières années au
cours de laquelle ils n’ont pas l’obligation, au regard des Normes, de réaliser une
telle évaluation.
Il convient de rappeler qu’une telle évaluation externe, menée par un organisme
indépendant et par des personnes qualifiées et compétentes, représente bien
d’autres intérêts que le pur respect de la Norme 1312. Elle vise notamment :
ƒ l’appréciation de l’utilisation de bonnes pratiques ;
ƒ la mesure de l’efficacité de l’activité d’audit interne au regard de sa Charte
et des attentes de ses parties prenantes ;
ƒ l’analyse de la valeur ajoutée apportée par l’audit interne au regard
notamment des attentes de ses clients et parties prenantes ;
ƒ l’examen de l’adéquation des ressources et du champ d’intervention de
l’audit ;
ƒ l’identification d’axes d’amélioration du service d’audit interne.

Selon les Normes, la périodicité minimale entre deux évaluations externes est de
cinq ans. Une période de cinq ans peut être longue pour une organisation et plus
spécifiquement pour un service d’audit interne, qui voit, le plus souvent, son
équipe entièrement renouvelée en trois ou quatre ans. En effet, en cinq ans, la
situation appréciée à un instant donné peut se dégrader très rapidement. Ce risque
est désormais pris en considération par l’IIA. Preuve en est que la Norme 1312 a
été révisée en 2006. Elle énonce dorénavant que le responsable de l’audit interne
doit s’entretenir avec le Conseil ou Comité d’Audit au sujet du besoin éventuel
d’augmenter la fréquence des évaluations externes.

© IFACI juin 2008 85


© IFACI juin 2008 86
1.5. Enjeux d’aujourd’hui et de demain

Plusieurs questions du CBOK donnent des tendances sur l’évolution de la


profession à court terme. Ainsi, les répondants se sont prononcés sur la validité
d’un certain nombre d’affirmations dans les trois prochaines années. Les résultats
correspondants sont résumés en les articulant autour de trois axes :
• l’évolution des dispositifs de contrôle interne et de gouvernement
d’entreprise ;
• l’évolution des activités de l’audit interne ;
• la robustesse du cadre de référence international des pratiques
professionnelles d’audit interne.

1.5.1. La généralisation des dispositifs de contrôle interne et de


gouvernement d’entreprise

La mise en place d’un dispositif de contrôle interne se généralise. En France, 83%


des répondants déclarent l’existence d’un tel dispositif dans leur organisation (ils
sont 71% au niveau de l’IIA). Cette tendance se confirme dans le futur puisque
15% des répondants cite la prochaine mise en place de ce dispositif (soit 98% au
total en France. L’estimation globale future est de 95% au niveau IIA).

Cette quasi-unanimité masque une diversité de situation par secteur d’activité ou


type d’organisation. Ainsi, dans le secteur des assurances, ils sont 25% à prévoir la
mise en place d’un dispositif de contrôle interne dans les trois années à venir.

Cette évolution induit de nouvelles attentes. Par exemple, en ce qui concerne le


rôle de l’audit interne dans la sensibilisation du personnel au contrôle interne, au
gouvernement d’entreprise et à la conformité. Actuellement, 47% des répondants
notent une implication de leur service dans ce domaine. Ils seront 77% dans le
futur. Au niveau de l’IIA ces ratios sont respectivement de 64% et 90%. En effet, la
formalisation accrue des dispositifs de contrôle interne nécessite une explication du
contexte et des enjeux. Les auditeurs internes peuvent valablement apporter leur
savoir-faire dans ces domaines ne serait-ce que par la valeur de leur exemplarité.

© IFACI juin 2008 87


LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE
INTERNE, AU GOUVERNEMENT D’ENTREPRISE ET AUX QUESTIONS RELATIVES A

LA CONFORMITE :

Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%
Cotée Secteur public Non cotée Ensemble

Le graphe ci-dessus révèle des différences selon le type d’organisation. Le rôle de


vulgarisateur est largement intégré dans les sociétés cotées (65% actuellement et
86% dans les 3 ans).
Dans le secteur public, l’audit interne n’est pas encore un acteur clé de la
sensibilisation du personnel pour les questions de contrôle interne, de
gouvernement d’entreprise ou de conformité. Actuellement, 38% des répondants
du secteur public affirment que leur service assume ce rôle. La projection à trois
ans montre une nette évolution (près de 70% au total). Ce mouvement accompagne
la mise en place de la Loi Organique des Lois de Finance (LOLF) et la culture de
contrôle interne qu’elle introduit.

L’implantation des dispositifs de contrôle interne et leur pérennisation sont


difficilement envisageables sans la structuration et la formalisation des processus
de gouvernement d’entreprise qui pilotent et soutiennent ces dispositifs.

© IFACI juin 2008 88


Ainsi, en France, 70% des répondants indiquent une formalisation d’une charte
pour le fonctionnement des comités spécialisés du Conseil d’Administration tel que
le comité d’audit. Ils sont 57% à déclarer cette pratique au niveau de l’IIA. En
moyenne, trois quart des répondants déclarent l’existence d’un code d’éthique et la
moitié d’entre eux dispose également d’un code de gouvernement d’entreprise. La
conformité au code de gouvernement d’entreprise (57% actuellement, 23%
supplémentaires dans les 3 prochaines années)
Tous ces documents participent au renforcement des valeurs de l’entreprise et
renforcent de fait au le contrôle interne dans ces entités. Ils sont appelés à se
développer dans le futur. Ainsi, dans les trois années, 23% des répondants
considèrent que leur organisation se référera à un code de gouvernement
d’entreprise soit un total de 80%.
L’analyse par type d’organisation montre un panorama diversifié.

L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE

Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%
Cotée Non Cotée Secteur public Ensem ble

L’existence d’un code de gouvernement d’entreprise semble fortement corrélée au


fait que les sociétés sont cotées (76% actuellement et 96% au bout de trois ans).
Dans le secteur public, ce type de référence est cité par un tiers des répondants avec
une évolution globale à 60% dans le futur.
Ce formalisme va avec un renforcement du professionnalisme des acteurs du
gouvernement d’entreprise. L’audit interne devrait d’ailleurs jouer un rôle accru

© IFACI juin 2008 89


dans ce domaine. Ainsi, si 22% des répondants déclarent que leur service forme les
membres du comité d’audit en matière de contrôle interne et de gouvernance, cette
situation devrait évoluer portant le pourcentage estimé dans le futur à 48%. Malgré
cette progression, le ratio prévu en France restera inférieur aux projections
mondiales (66%).

1.5.2. Evolution du rôle de l’audit interne

L’évolution de l’environnement réglementaire en matière de contrôle interne ainsi


que les attentes des acteurs du gouvernement d’entreprise influencent l’audit
interne. Ces données influencent-elles les pratiques envisagées ?

EVOLUTION DU ROLE DE L’AUDIT INTERNE


Augmentation Baisse Identique

Audit opérationnel

Conformité

Governance 

Management des risques

Revue des processus financiers

0% 20% 40% 60% 80% 100% 120%

Ces résultats montrent que le risque management, domaine dans lequel l’audit
interne a déjà un rôle notable (cf. § 1.4.2.4, p.35) est celui où 71% des répondants
pensent que leur service d’audit interne aura un rôle encore plus accru. Cette
tendance peut s’expliquer par le renforcement des exigences réglementaires dans ce
domaine, notamment dans le secteur financier avec des dispositifs tels que Bâle II
ou Solvency II. Malgré l’émergence de fonctions dédiées au management des
risques, l’audit interne conserve sa légitimité pour évaluer la fiabilité de l’ensemble
du processus, de la phase de recensement des risques au suivi des plans d’action
prévus pour les gérer.

© IFACI juin 2008 90


Les deux pôles relativement en retrait sont la conformité et l’audit opérationnel.

EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX


REGLEMENTATIONS (DONNEES PAR TYPE D’ORGANISATION)

Augmentation Baisse Identique

Secteur public

Non cotée

Cotée

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Dans les sociétés cotées la baisse doit être analysée de manière relative. Les
services d’audit ont été généralement sollicités pour accompagner la mise en
conformité vis-à-vis de réglementations telles que SOX. Selon les résultats de
l’enquête IFACI 2005, 74% des services d’audit concernés avaient dédié 74% de
leurs ressources aux travaux SOX. En 2006, l’enquête du CBOK montre une
réduction de l’implication des services d’audit dans la mise en place des processus
de conformité aux réglementations. En quelque sorte un retour à la normale avec la
création de nouvelles fonctions dédiées à la mise en œuvre de ces dispositifs tandis
que l’audit confirme son rôle en termes de surveillance et d’évaluation.

© IFACI juin 2008 91


SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA

REGLEMENTATION (DONNEES SECTORIELLES )

Rôle actuel Role dans 3 ans Im probable Non applicable

10 0 %

90%

80%

70%

60%

50%

40%

30%

20%

10 %

0%

Banque Assurance Pharm acie Détail Gros Technologie Services Ensem ble
chim ie publics

La tendance au développement du rôle de surveillance de la conformité existe quel


que soit le secteur d’activité qu’il soit encadré par les régulateurs (Banque,
Assurance) ou non.

Au-delà de ces grands axes de développement, le CBOK donne-t-il des tendances


plus précises sur les sujets d’audit de demain ?

Les projections sur les domaines analysés dans le paragraphe (cf. § 1.4.2.4, p.35)
mettent en évidence trois grandes tendances :

- la confirmation du rôle de l’audit interne dans des domaines déjà


majoritaires comme le management des risques, la conformité, la fraude, la
gestion des systèmes d’information, la formation au contrôle interne, le
benchmarking.

© IFACI juin 2008 92


ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE, LA
CONFORMITE, LA FRAUDE, LA GESTION DES SYSTEMES D ’ INFORMATION, LA

FORMATION AU CONTROLE INTERNE ET LE BENCHMARKING

L’analyse sectorielle ne met pas en évidence de différences significatives


entre secteurs d’activités. Elle confirme la progression dans le domaine des
systèmes d’information, y compris ceux où ce domaine était un peu en
retrait.

- les domaines émergents sont cohérents avec les enjeux actuels des
organisations, qu’il s’agisse de développement durable (responsabilité
sociétale, environnement), de knowledge management, de stratégie ou de
gestion de projet. Ce sont des domaines transverses qui sont connectés à la
problématique de la bonne gouvernance et à la nécessité de prendre en
compte les attentes des différentes parties prenantes. Ils répondent à la
question de l’efficience du processus de knowledge management et de
déclinaison de la stratégie à tous les échelons opérationnels. Ils s’assurent
de leur contribution au renforcement de l’environnement de contrôle.

© IFACI juin 2008 93


LES DOMAINES EMERGENTS

- enfin, certains domaines semblent rester en retrait. Il s’agit de la gestion


des sinistres, des missions liées à la mondialisation, aux marchés émergents ou
aux dossiers de fusions acquisition. Cette position est toute relative par rapport
à la vingtaine de thèmes qui étaient proposés dans l’enquête. En outre, des
sujets comme la gestion des sinistres sont souvent couverts à travers des
missions plus globales sur le management des risques, la conformité ou la
gestion des risques qui connaissent une bonne progression.

© IFACI juin 2008 94


1.5.3. Le référentiel IIA, un cadre universel pour une pratique
professionnelle de l’audit interne

Les différents résultats du CBOK convergent vers une même évidence : le


caractère universel des principes fondateurs de la profession.
Cette universalité se fonde sur un élément fédérateur : le cadre de référence de la
pratique professionnelle de l’IIA, partagé à travers le monde et inscrit dans les
documents conçus par les services d’audit interne.
Pour mieux comprendre les freins à la non-utilisation de ce référentiel, les réponses
à la question à choix multiples correspondante sont présentées ci-après.

QU’EST CE QUI FREINE L’UTILISATION DES NORMES ?


IIA France
Responsable Effectif Responsable Effectif
Audit Interne total Audit Interne total
Non perçues, par le Conseil et la
Direction Générale, comme ayant une 12% 14% 23% 28%
valeur ajoutée
Contraintes de temps 12% 17% 26% 20%
La conformité aux normes n’est pas
exigée par le Conseil et la Direction 12% 12% 19% 18%
Générale
Non appropriées pour les petites
10% 16% 19% 17%
structures
Soumis à une réglementation ou des
11% 10% 15% 16%
normes spécifiques
Normes et modalités pratiques
6% 7% 22% 16%
d’application trop complexes
La conformité aux normes est trop
9% 13% 12% 11%
coûteuse
Autre 12% 11% 4% 7%
Conformité non exigée dans le pays 6% 6% 3% 7%
Non appropriées pour le secteur
4% 4% 7% 6%
d’activité
Auditeurs internes non qualifiés 13% 14% 10% 6%

© IFACI juin 2008 95


Ces données confirment le caractère universel du cadre de référence car très peu de
répondants évoquent le fait qu’il n’est pas adapté à leur secteur d’activité. De
même, le caractère délibéré de la démarche est mise en avant puisque l’absence
d’exigence réglementaire dans ce domaine est le dernier critère cité par les non
utilisateurs.

Les principales raisons citées par les personnes qui déclarent que leur service
d’audit interne n’utilise pas le cadre de référence de l’IIA sont :
• les contraintes de temps (20% des répondants), la complexité (16%). Ces
défauts sont surtout cités par les responsables d’audit interne
(respectivement 26% et 22%). Le critère de coût est cité par 11% des
répondants.
• l’absence de perception de la valeur ajoutée par les dirigeants (28%) et
le manque de soutien de la part des dirigeants (18%) ;
• l’inadéquation pour des petites structures (17%).

Par rapport aux données mondiales, les résultats de la France montrent :


- une différence sur la perception des normes par la Direction et du
Conseil. En France, 28% des répondants justifient l’absence d’utilisation
des normes parce qu’elles ne sont pas perçues comme génératrices de
valeur ajoutée par les organes dirigeants (ils sont 12% à partager cette
opinion au niveau de l’IIA). Ils sont également 18% à considérer que la
Direction et le Conseil ne soutiennent pas la conformité aux normes (12%
au niveau de l’IIA) ;
- une vision plus pessimiste de la complexité des normes (16% en
France, 6% au niveau de l’IIA).
A contrario, en France les répondants mettent moins en avant les contraintes de
compétences. Ils sont 6% à expliquer la non-utilisation des normes par des lacunes
de compétences au niveau du staff au lieu de 14% au niveau IIA.

Les responsables d’audit internes sont plus sensibles aux contraintes de ressources
(coût, temps, personnel qualifié) ou organisationnelles (petites structures, faible
perception de la valeur ajoutée par le management).

Rappelons que ce cadre de référence est utilisé par 70% des répondants en France
et 82% au niveau de l’IIA. Il peut sembler étonnant qu’un tiers des répondants

© IFACI juin 2008 96


n’utilise pas les normes. L’analyse des commentaires libres des non utilisateurs
nuance ces résultats puisqu’ils mettent en avant :
- l’utilisation d’autres standards (Groupe ou réglementaire) sans pour
autant préciser si ces standards prennent en compte des principes du cadre
de référence de l’IIA. Notons néanmoins que l’existence de règles plus
contraignantes est citée par 16% de ceux qui n’utilisent pas les normes en
France (10% au niveau de l’IIA) ;
- un principe de précaution dans la gestion du changement. Certains
répondants envisagent l’utilisation du cadre de référence mais sont
prudents dans l’introduction rapide de nouveaux critères alors même que la
fonction d’audit interne est en cours d’implantation.

Ces commentaires ne doivent pas occulter la robustesse de ce cadre de référence


qui s’adapte aux différents secteurs d’activités (cf. § 1.4.4.2 sur l’adéquation des
normes, p.64). Il permet déjà de couvrir les domaines phare de l’activité d’audit
notamment en ce qui concerne le processus de management des risques.

La révision du cadre de référence engagé par l’IIA doit aboutir à la parution de


l’IPPF (International Professional Practice Framework) en janvier 2009. Ce
nouveau corpus s’inscrit dans la continuité du précédent mais il prend en compte
des tendances confirmées par le CBOK.

Le processus continu de mise à jour de ce cadre devrait également permettre aux


auditeurs internes de faire face aux responsabilités émergentes. D’ores et déjà,
l’orientation plus opérationnelle et plus pragmatique (avec l’introduction de guides
d’applications qui viennent préciser et détailler les modalités pratiques
d’application des normes) devraient mieux répondre aux contraintes des petites
structures. De plus, les notes interprétatives devraient contribuer à réduire
l’impression de complexité.
Enfin, des précisions ou des compléments sont apportés sur le rôle de l’audit
interne en matière de fraude ou de relations directes avec les organes de
gouvernance.

La robustesse du cadre de référence et son utilité seront confirmées avec ces


évolutions. Les responsables d’audit interne sont déjà convaincus de la nécessité de
promouvoir leur fonction. Or, le marketing de la valeur ajoutée de l’audit interne
passe d’abord par une démarche professionnelle et donc une appropriation du cadre

© IFACI juin 2008 97


de référence professionnel de l’IIA. Il doit être aligné sur les enjeux propres à
chaque organisation.

© IFACI juin 2008 98


2. TYPOLOGIE DES REPONDANTS

L’avis d’enquête a été diffusé via les instituts affiliés à l’IIA. Au niveau mondial
93% des répondants sont adhérents d’un institut affilié à l’IIA. Pour les données
provenant de France, tous les répondants sont adhérents de l’IFACI.

2.1. Catégorie d’emploi

Les répondants avaient le choix entre cinq catégories de fonction :


• Directeur d’audit (y compris auditeur général, vice-président) ;
• Manager ;
• Senior ou superviseur ;
• Personnel d’audit interne ;
• Autres (y compris administration, services généraux de l’Audit Interne).

Le graphe ci-dessus, montre une bonne représentativité de chacune des catégories


d’emploi. Cette population est plus diversifiée que celle de l’enquête IFACI de
2005 qui s’adressait uniquement à des responsables d’audit. On note néanmoins,
une forte proportion du personnel d’encadrement des services d’audit interne

© IFACI juin 2008 99


REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI

Cette représentativité des différentes fonctions se retrouve également au niveau


mondial avec des pourcentages qui ne sont pas significativement différents de ceux
de la France.

LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE/ IIA).


Nombre % (France) % (IIA)
(France)
Responsable d’audit interne 69 29,4% 26.5%
Manager 48 20,4% 22.8%
Superviseur 60 25,5% 25.2%
Auditeur interne 52 22,1% 18.2%
Autres 6 2,6% 7.3%
Total 235 100% 100%

© IFACI juin 2008 100


2.2. Age

Les taux de réponse à cette question varient de 68% (responsables d’audit interne)
à 84% (autres) soit un taux de réponse moyen de 80%.

75% des répondants ont moins de 45 ans. Il y a une forte corrélation entre l’âge et
la position dans le service d’audit interne. En effet, près de la moitié (47%) des
responsables d’audit interne ont plus de 45 ans alors que moins du tiers (30%) des
autres fonctions se trouvent dans cette catégorie. Cette tendance se retrouve dans
les résultats internationaux.

PYRAMIDE DES AGES DES REPONDANTS

55‐64 ans

45‐54 ans

Effectifs totaux 

Responsables 
audit interne
35‐44 ans

26‐34 ans

25 ans et moins

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

© IFACI juin 2008 101


2.3. Type d’organisation

Les répondants ont classé leur organisation selon cinq catégories.

TYPES D’ORGANISATION
Responsable
Audit Interne Effectifs totaux (%) IIA (%)
(%)
Société cotée 51% 40% 38%
Société privée non cotée 29% 27% 19%
Secteur public 12% 17% 23%
Organisme à but non lucratif 6% 9% 6%
Prestataire de
3% 7% 11%
service/consultant
Autres 0% 4% 3%

Il apparaît que les répondants sont majoritairement des professionnels employés


dans des services d’audit interne (seulement 7% sont chez des prestataires de
services, ce taux baisse à 3% pour les Responsables d’Audit Interne).
Les organisations représentées sont plutôt des sociétés cotées (40% du total et la
moitié des Responsables d’Audit Interne appartiennent à des sociétés listées). Une
bonne représentativité du secteur public (17%) et non côté ; les organisations à but
non lucratif ne sont pas en reste avec 8,5% des répondants.
Les prestataires représentent 7% des répondants en France et 11% au niveau
mondial.

© IFACI juin 2008 102


2.4. Secteur d’activité

Les répondants ont eu le choix entre 22 modalités de réponse. Pour cette question à
choix multiples, le total est donc supérieur à 100%.
Les cinq principaux secteurs représentés dans l’échantillon français sont
mentionnés ci-après.

SECTEURS D’ACTIVITE
Responsable
Audit Interne Effectifs totaux (%) IIA (%)
(%)
Banque 28% 28% 25%
Services publics 7% 17% 8%
Assurance 10% 16% 9%
Autres 13% 11% 14%
Communication/Télécommunication 9% 10% 7%

Les services publics et les assurances sont mieux représentés dans la sous-
population « France » (17% et 16% au lieu de 8 et 9% au niveau mondial). A
contrario, le secteur de la transformation est mieux classé au niveau IIA (13% et
troisième position) par rapport aux données de la France (7% et 8ème position). De
même pour les services financiers : 11% et 4ème position au niveau IIA ; 8% et 7ème
position en France.

En termes de classement une différence notable avec les résultats de l’IIA concerne
le secteur de l’éducation figurant dans les 10 premiers secteurs au niveau mondial
(7%) et minoritaire en France (1%).

© IFACI juin 2008 103


2.5. Taille des organisations représentées

Au niveau de l’effectif des organisations, on retrouve sensiblement les mêmes


proportions que dans l’enquête de 2005. La moitié des organisations ont moins de
5000 employés.
La présence de l’audit interne est confirmée dans les organisations de moindre
dimension : 11% des répondants appartiennent à des organisations de moins de 500
employés et un tiers ont moins de 2500 employés.

EFFECTIF DE L’ORGANISATION
Nombre d’employés % CBOK France % IFACI 2005
<1000 16% 20%
1000 à 5000 32% 35%
5000 à 50000 31% 28%
>50000 22% 17%

Pour ce qui est du chiffre d’affaires, le taux de réponse est de 48%.

CHIFFRES D’AFFAIRES DE L’ORGANISATION


Chiffre d’affaires
% CBOK France % IFACI 2005
(millions euros)
>7500 25% 22%
7500 à 750 15% 45%
750 à 150 30% 19%
<150 22% 14%

Comme pour le nombre d’employés, on note que l’audit interne n’est pas l’apanage
des grandes organisations. Même si ¼ des répondants sont dans des organisations
qui génèrent plus de 7,5 milliards d’euros, 20% des personnes qui ont répondu à
cette question sont dans des organisations qui génèrent moins de 75 millions
d’euros de chiffre d’affaires. La tranche des organisations ayant moins de 750
millions de chiffre d’affaires et mieux représentée (52%) que dans l’enquête de
2005 (33%).

© IFACI juin 2008 104


2.6. Périmètre des organisations représentées

PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION


Les répondants appartiennent à des organisations intervenant au niveau national
(29%) et international (58%). La répartition du périmètre des organisations est
différente de celle des résultats globaux où l’échelon international est moins
représenté (39%) au profit du local (32%).

Implantation % CBOK France CBOK IIA


Internationale 58% 39%
Nationale 29% 29%
Locale, régionale 12% 32%

© IFACI juin 2008 105


3. LISTE DES TABLEAUX ET SCHEMAS

DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE   ________________________________________________ 19 
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ?  ________________________________ 20 
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE (ANALYSE DETAILLEE AU 
NIVEAU DE L’IIA) ? __________________________________________________________________________ 21 

LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON LE SECTEUR  ________________________ 22 
QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ?  __________________________________________________ 23 
EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION ________________________________________ 23 
PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU COMITE D’AUDIT  ______________________ 24 
REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT   _________________________________ 25 
DES SERVICES D’AUDIT INTERNE RECENTS  ___________________________________________________________ 27 
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE  __________________________________ 28 
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE D’ORGANISATION  ________________________________ 29 
ANCIENNETE DES AUDITEURS INTERNES ____________________________________________________________ 30 
ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION. ___________________________________ 31 
COMPARAISON FRANCE / IIA  DE L’ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE  __________________________ 31 
L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE  _______________________________________________________ 32 
RATIO EFFECTIF AUDIT INTERNE /EFFECTIF TOTAL DE L’ORGANISATION  ______________________________________ 33 
MODALITES DE GESTION DES LACUNES DE COMPETENCES   _______________________________________________ 34 
DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE  _________________________________________________ 36 
DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE ____________________________________________ 37 
AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE  __________________________________________________ 38 
POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE TRENTAINE D’ACTIVITES  ___________________ 39 
TEMPS PASSE PAR TYPE DE MISSIONS  ______________________________________________________________ 43 
COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX  
RESPONSABLES D ’AUDIT INTERNE ) ________________________________________________________________ 45 

COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES 
D’AUDIT INTERNE ) ___________________________________________________________________________ 47 

SAVOIR‐FAIRE PAR CATEGORIE D ’EMPLOIE FONCTION (QUESTION POSEE AUX RESPONSABLES D ’AUDIT 


INTERNE )  _________________________________________________________________________________ 50 
APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT INTERNE  ___________________________ 53 
NIVEAU DE FORMATION _______________________________________________________________________ 54 
TYPES DE SPECIALISATION ______________________________________________________________________ 55 
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF TOTAL) _____________________________ 56 
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (RESPONSABLES D’AUDIT INTERNE ) _________________ 56 
NOMBRE D ’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS DERNIERES ANNEES  ___________________ 57 

© IFACI juin 2008 106


FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME   __________________________________________ 58 
FORMATION SUIVIE AU MOINS UNE FOIS PAR AN  _____________________________________________________ 59 
TAUX DE QUALIFICATION DES REPONDANTS  _________________________________________________________ 60 
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE  ______________ 60 
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE 
DES SYSTEMES D ’INFORMATION   _________________________________________________________________ 61 

PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION  _____________________________________ 63 
NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES  _______________________________________________ 65 
COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS ADEQUATES  ______________________________ 66 
NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES  ______________________________________________ 67 
COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES   ________________________________________ 68 
PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES AUDITES  ______________________________ 70 
MODALITES DE SUIVI DES RECOMMANDATIONS   ______________________________________________________ 71 
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE  ___________________________________ 71 
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES D’AUDIT INTERNE  ____________________ 72 
UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT. _____________________________________ 73 
COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS   ___________________________________ 75 
NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS  ____________________________________ 76 
MESURE DE LA VALEUR AJOUTEE _________________________________________________________________ 79 
ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET D’AMELIORATION DE LA 
QUALITE DE L’AUDIT INTERNE  ___________________________________________________________________ 82 

LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE INTERNE, AU 
GOUVERNEMENT D ’ENTREPRISE ET AUX QUESTIONS RELATIVES A LA CONFORMITE : _____________________________ 88 

L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE  ____________________________________ 89 
EVOLUTION DU ROLE DE L’AUDIT INTERNE __________________________________________________________ 90 
EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX REGLEMENTATIONS (DONNEES 
PAR TYPE D ’ ORGANISATION) ____________________________________________________________________ 91 

SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA REGLEMENTATION (DONNEES 
SECTORIELLES ) ______________________________________________________________________________ 92 

ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE, LA CONFORMITE, LA FRAUDE, LA 
GESTION DES SYSTEMES D ’ INFORMATION, LA FORMATION AU CONTROLE INTERNE ET LE 

BENCHMARKING   ____________________________________________________________________________ 93 

LES DOMAINES EMERGENTS   ____________________________________________________________________ 94 
QU’EST CE QUI FREINE L’UTILISATION DES NORMES ? __________________________________________________ 95 
REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI  ______________________________________ 100 
LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE / IIA). ________________________________________ 100 
PYRAMIDE DES AGES DES REPONDANTS _____________________________________________________________ 101 
TYPES D’ORGANISATION _______________________________________________________________________ 102 

© IFACI juin 2008 107


SECTEURS D’ACTIVITE  ________________________________________________________________________ 103 
EFFECTIF DE L’ORGANISATION  __________________________________________________________________ 104 
CHIFFRES D ’AFFAIRES DE L’ORGANISATION _________________________________________________________ 104 
PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION ____________________________________________________ 105 

© IFACI juin 2008 108


12 bis, place Henri Bergson - 75008 Paris
Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20
Mel : institut@ifaci.com - Internet : www.ifaci.com
Institut Français de l’Audit et du Contrôle Internes - Association Loi 1901

L’IFACI est affilié à


The Institute of Internal Auditors