Vous êtes sur la page 1sur 36

Création et

développement
d’une fonction
audit interne*

Une démarche
en 10 étapes
[ Sommaire]
Dix étapes pour réussir ................................................................................................................................................................................... 7

Étapes 1 à 4 — Définition du cadre d’intervention ............................................................................................................. 9

1 — Identifier les attentes des parties prenantes .................................................................................................... 10

2 — Définir la mission .......................................................................................................................................................................... 11

3 — Établir un plan de développement stratégique . ............................................................................................ 13

4 — Évaluer les risques et établir un plan d’audit ................................................................................................... 14

Étapes 5 à 10 — Mise en place pratique . ................................................................................................................................ 17

5 — Établir des budgets à un horizon de plusieurs exercices ................................................................... 18

6 — Lancer les travaux de terrain le plus tôt possible ....................................................................................... 20

7 — Évaluer les compétences nécessaires ................................................................................................................... 22

8 — Développer ou acquérir les moyens techniques .......................................................................................... 24

9 — Établir une stratégie de communication . ............................................................................................................. 25

10 — Mesurer les résultats . ........................................................................................................................................................... 26

Conclusion . ............................................................................................................................................................................................................. 29

Les questions clés ........................................................................................................................................................................................... 31

Le département Services à l’audit interne en France .................................................................................................. 34

Contacts .................................................................................................................................................................................................................... 35

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 
Création et
développement
d’une fonction
audit interne
La nécessité de disposer d’un dispositif de surveillance efficace en matière de
gestion des risques et de contrôle interne ne s’est jamais autant fait ressentir
qu’aujourd’hui, en particulier avec l’adoption de la loi de Sécurité Financière
en France et de la loi Sarbanes-Oxley aux États-Unis.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 
Création et
développement
d’une fonction
audit interne
[ Dix étapes pour réussir]
Le plan de développement stratégique de la fonction audit interne doit guider les aspects
opérationnels de sa mise en place, et non l’inverse. Trop souvent, la création d’une fonction
audit interne est initiée pour faire face à des besoins immédiats. La focalisation trop impor-
tante sur les aspects opérationnels à court terme peut dans ce cas faire perdre de vue la né-
cessité d’inscrire la fonction ainsi créée dans une perspective stratégique à plus long terme.

Afin d’aider les sociétés à concevoir et mettre en place une fonction audit interne répondant
pleinement aux objectifs qui lui sont fixés dans son plan de développement stratégique,
PricewaterhouseCoopers a défini une démarche structurée en 10 étapes, éprouvée auprès
d’entreprises de tailles et d’activités différentes. Les étapes 1 à 4 sont axées sur les aspects
stratégiques, tandis que les étapes 5 à 10 se focalisent sur les aspects opérationnels.

Ces 10 étapes, bien que liées entre elles, ne doivent pas nécessairement être mises en œuvre
dans l’ordre chronologique. Par exemple, il n’est pas nécessaire que tous les éléments de la
démarche soient en place pour entreprendre les travaux de terrain. De même, la composante
« communication », développée dans l’étape 9, doit être lancée dès le démarrage et se pour-
suivre tout au long du processus.

Adopter cette démarche permet à la fois de traiter les aspects stratégiques du plan de déve-
loppement mais aussi de mettre en œuvre les décisions opérationnelles qui contribueront à
la réussite de la fonction.

Plan de création de la fonction audit interne


Stratégie Tactique
1 Attentes des parties prenantes

2 Définition de la mission

Établir un plan de
3 développement stratégique

4 Évaluation des risques et plan d’audit

Établissement
5 des budgets

6 Lancement des travaux de terrain le plus tôt possible

7 Évaluation des compétences nécessaires

Développement ou acquisition
8 des moyens techniques

9 Établissement d’une stratégie de communication

10 Mesure des résultats

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 
Étapes 1 à 4
Définition du cadre
d’intervention
La fonction audit interne contribue à une meilleure gouvernance d’entreprise lorsqu’elle s’ins-
crit dans un plan de développement stratégique établi par la direction (parties prenantes clés)
en accord avec le comité d’audit et lorsqu’elle traite des risques de l’entreprise dans son
ensemble ainsi que des problématiques de contrôle interne.

Une fois le plan de développement stratégique défini, l’organisation est en mesure de définir
correctement la mission, l’organisation, les ressources, les méthodes de travail et les modes
de communication de la fonction audit interne.

Le point de vue de PricewaterhouseCoopers

Un écueil classique consiste à mettre en œuvre des actions très opérationnelles sans défi-
nir préalablement de plan de développement stratégique. En particulier, la définition claire
des attentes en termes de valeur ajoutée, ainsi que la mise en place d’une démarche
rigoureuse pour les atteindre, permettront sans nul doute d’améliorer l’efficacité de la dé-
marche, tant sur les aspects coûts que délais.

Identifier les attentes


des parties prenantes
1
Définir
la mission
2
Établir un plan de
développement stratégique
3
Évaluer les risques et établir
un plan d’audit
4
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 
1 Identifier les attentes
des parties prenantes
La création d’une fonction audit interne efficace nécessite au préalable que les parties pre-
nantes clés déterminent les bénéfices qu’ils en escomptent.

La détermination de ces bénéfices escomptés doit aboutir à la définition des attentes spéci-
fiques, qui représentent la valeur ajoutée de l’audit interne.

Les domaines dans lesquels l’audit interne peut apporter de la valeur ajoutée sont nombreux,
parmi ceux-ci les plus communément retenus sont les suivants :
n L’apport d’une assurance complémentaire sur la gestion des risques et la maîtrise des
activités
n Une évaluation indépendante de l’efficacité et de l’efficience du dispositif du contrôle
interne accompagnée de recommandations pertinentes
n L’apport de confort au management sur les problématiques liées à la conformité aux
règlementations, aux politiques et aux procédures décidées par l’entreprise
n L’appui dans les démarches de mise en conformité aux dispositions règlementaires en
matière de contrôle interne (Sarbanes-Oxley, LSF…)
n La capacité à réagir et à intervenir dans les situations nécessitant des réponses immé-
diates, telles que la découverte de fraudes
n Les bénéfices directs issus des interventions (économies de coûts, amélioration de
l’efficacité des processus)
n Sensibilisation à tous les niveaux de l’organisation au besoin de maîtrise des risques
et de contrôle interne
n L’apport de conseils aux opérationnels pour traiter les problématiques complexes
n La participation au développement d’un vivier de « hauts potentiels » et de futurs
managers.
n Un apport d’efficacité dans la gestion des coûts d’audit par une coordination active
avec les auditeurs externes.

L’étape 2 peut être lancée à partir du moment où les parties prenantes clés de l’entreprise ont
pu exprimer clairement leurs attentes en terme de valeur ajoutée vis-à-vis de l’audit interne.

Le point de vue de PricewaterhouseCoopers

Le processus d’identification des attentes des parties prenantes doit être renouvelé
régulièrement pour permettre à la fonction audit interne de s’adapter aux évolutions et
changements susceptibles d’impacter la nature de son intervention.

10 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Définir
la mission 2
Une fois les attentes spécifiques (« value drivers ») identifiées, le directeur de l’audit interne
doit, avec la direction générale et le comité d’audit, définir de manière détaillée la mission de
l’audit interne. Cette mission doit être définie dans un document formel, par exemple, une
charte d’audit interne qui servira par la suite de base à l’établissement des critères d’évalua-
tion de la performance de la fonction audit interne.

Ce document doit délimiter l’autorité et les responsabilités de la fonction et refléter les prio-
rités de la direction générale et du comité d’audit. Sa longueur et son contenu peuvent va-
rier. Néanmoins un tel document doit déterminer dans quelles proportions la fonction audit
interne allouera ses ressources aux activités traditionnelles de conformité ou aux activités de
conseil souvent considérées par les opérationnels comme une source de valeur ajoutée.

La mission de l’audit interne doit clairement refléter les attentes des parties prenantes, qui
ont un impact direct sur les domaines d’intervention prioritaires et les compétences requises.
A défaut, la fonction audit interne risque d’aller à l’encontre de ses objectifs stratégiques. Le
schéma de positionnement de la fonction audit interne suivant (Internal Audit ContinuumTM)
décrit la manière dont l’orientation et les compétences de l’audit interne doivent évoluer en
fonction des attentes des parties prenantes.

« The Internal Audit ContinuumTM »


Attentes des parties prenantes

Préservation Équilibre Augmentation


de la valeur de la valeur

'inte rvention prioritaires de l'au


a ines d dit in
t er n
m
Do e
Processus Amélioration
de contrôle des processus
interne opérationnels
Gestion
Transactions des risques

Contrôle Couverture Gestion


interne des risques des risques

Détection de la fraude Évaluation globale


des risques
Audit de conformité de l'entreprise
aux lois et règlementations
financières Compréhension
des processus
Audit
et des produits
opérationnel
E ns ne
emb nter
le des compétences de l'audit i

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 11
Le schéma précédent montre que les compétences requises dépendent des attentes des
parties prenantes.

Lorsque les attentes sont focalisées sur la préservation de la valeur et la maîtrise du contrôle
interne, les compétences recherchées seront plutôt orientées sur l’audit financier et l’audit
de conformité.

Plus ces attentes évolueront, plus l’audit interne sera assuré d’apporter de la valeur ajoutée
au travers de l’amélioration de l’efficacité opérationnelle. L’audit interne devra alors enrichir
ses compétences en matière de conseil et de gestion des risques pour être en mesure d’ap-
porter cette valeur.

Il n’y a ni bonne, ni mauvaise réponse en matière de priorités données au département d’audit


interne. Le positionnement de la fonction sur l’Internal Audit ContinuumTM (voir schéma pré-
cédent) reflète l’appétence pour le risque des parties prenantes ainsi que leurs attentes en
termes d’assurance, telles qu’exprimées dans la mission définie pour l’audit interne. Le do-
cument formalisant cette mission doit donc être adapté à l’organisation et refléter les attentes
spécifiques déterminées lors de l’étape 1.

Trop souvent les organisations négligent ce lien entre mission et attentes spécifiques (« value
drivers ») exprimées par les parties prenantes en se contentant d’adopter des définitions de
mission standard provenant d’autres entités ou départements d’audit interne.

Le point de vue de PricewaterhouseCoopers

La mission de l’audit interne doit être partagée et communiquée aux partie prenantes
et au personnel de l’entreprise concernés afin d’obtenir compréhension et adhésion de
leur part.

12 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Établir un plan de
développement stratégique
La création et le développement d’une fonction audit interne doit s’appuyer sur un plan de dé-
3
veloppement stratégique. Ce plan de développement va au-delà d’une évaluation ponctuelle
des risques, il va permettre de définir les bénéfices apportés par la fonction audit interne, ses
« clients », ainsi que la valeur ajoutée qu’elle prévoit d’apporter à court et moyen terme à cha-
cun d’entre eux. Le plan traite également des aspects opérationnels nécessaires pour atteindre
les objectifs, ainsi que des responsabilités fonctionnelles.

Le plan de développement stratégique contient les informations relatives aux besoins de


financement et de ressources lors du démarrage de la fonction ainsi qu’à un horizon de trois
à cinq ans. Les principales hypothèses ainsi que des éléments de benchmarking par rapport
à des informations provenant de tiers sont généralement inclus dans ce document. Ce plan
doit également intégrer les coûts et les avantages d’autres approches possibles permettant
d’atteindre les résultats souhaités, par exemple :
n une collaboration avec d’autres fonctions impliquées dans la maîtrise des risques et
des contrôles, telles que les fonctions juridiques, de veille réglementaire, d’analyse
de marché ou de crédit, et les départements en charge de la sécurité (physique et
informatique), de la fraude ou de la qualité,
n un recours à des sous-traitants qui permettent d’apporter des compétences addition-
nelles à la fonction,
n un programme d’auto-évaluation du contrôle interne.

Le plan de développement stratégique traite également des questions de communication qui


sont essentielles pour la réussite de la fonction. À titre d’exemple, ce plan doit aborder les
éléments suivants :
n la communication initiale à l’ensemble de l’organisation faite par le comité d’audit et la
direction générale,
n la communication relative aux responsabilités et aux prérogatives de l’audit interne,
n les attentes de la direction générale et du comité d’audit relatives à la mission de l’audit
interne,
n les attentes en matière d’actions correctives suite à l’identification de défaillances de
contrôle interne ou de tout autre problème soulevé par l’audit interne.

Enfin, le plan de développement stratégique constitue le référentiel sur la base duquel pourront
être mesurés les décisions et les résultats futurs. Nous recommandons de revoir annuellement
le plan afin d’y inclure les changements souhaités et approuvés par les parties prenantes clés.

Le point de vue de PricewaterhouseCoopers

Tout projet de développement doit s’inscrire dans une vision stratégique. Il en est de
même pour une fonction audit interne qui doit disposer d’un plan de développement
stratégique.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 13
4 Évaluer les risques et établir
un plan d’audit
Il est essentiel que l’audit interne se dote de moyens d’analyse systématique des risques.
Un risque est défini comme tout événement qui pourrait empêcher l’organisation d’atteindre
ses objectifs.

Une évaluation des risques permet à l’auditeur d’envisager dans quelle mesure certains
événements potentiels pourraient affecter l’atteinte des objectifs de l’entreprise. Le processus
d’évaluation des risques commence par la définition de l’univers d’audit. Le champ de l’audit
inclut toutes les divisions, les processus et les opérations. Ensuite, l’auditeur doit comprendre
le modèle économique de la société au regard de son secteur d’activité et de ses objectifs
clés. Le dialogue avec les différents acteurs de l’entreprise permettra à l’audit interne de
confirmer sa compréhension de l’univers d’audit, des principaux objectifs opérationnels et
des risques inhérents à ces objectifs.

L’auditeur doit obtenir une bonne compréhension de l’entreprise, de ses objectifs et des
risques auxquels elle est confrontée. Il doit ensuite envisager l’incidence possible de ces
différents risques sur la réalisation des objectifs et évaluer leur probabilité d’occurrence afin
de fournir une vision des risques auxquels est confrontée l’organisation. Ces risques sont
présentés à la direction et au comité d’audit sous la forme d’une cartographie. Celle-ci met
en évidence, le plus souvent grâce à un code couleur, les domaines dans lesquels les niveaux
de risque sont élevés, modérés ou faibles. Cette évaluation initiale permet d’identifier pré-
cisément les divisions, les processus ou les opérations qui présentent le plus de risques et
d’élaborer la base du plan d’audit.

Le point de vue de PricewaterhouseCoopers

L’évaluation des risques et le plan de développement d’audit doivent être élaborés en ac-
cord avec les orientations du plan stratégique.

14 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Le processus d’évaluation des risques et de préparation
du plan d’audit
Objectifs opérationnels Risques

Elevée
Probabilité de survenance
Long terme
Délais de réalisation

Stratégique Préoccupants Critiques

Planification
Immédiat

Critique Préoccupants

Faible
Faible Elevé Faible Elevé

Impact sur l’activité Impact sur l’activité

Évaluation
Cartographie des risques

Risques des risques


Oui
Reporting au inhérents inhérents
comité d’audit,
Plan d’audit

au management
et aux autres Non
parties prenantes
de l’audit interne
Risques
Connaissance
résiduels
de l’efficacité
des contrôles

Au cours de l’année de création de la fonction audit interne, les sociétés ne disposent


généralement pas d’éléments de référence leur permettant d’évaluer l’efficacité des activités
de contrôle. Par conséquent, l’évaluation initiale des risques et le plan d’audit sont pour
l’essentiel établis en fonction des risques inhérents. Les risques inhérents sont ceux liés au
cours normal des affaires. Ils comprennent des risques externes tels que les changements
de conjoncture internationale, nationale et économique, ainsi que les changements d’ordre
technique, juridique et politique. Les risques inhérents comprennent également des facteurs
internes qui demandent une attention particulière tels que les modifications des systèmes
d’information, les lancements de nouveaux produits, l’entrée sur de nouveaux marchés, les
changements organisationnels et de direction, ainsi que le développement à l’international.

Au fur et à mesure de l’amélioration de la connaissance et de l’efficacité des contrôles internes,


l’évaluation périodique des risques prendra en compte la capacité de ces contrôles à atté-
nuer l’impact et/ou la probabilité de survenance des risques. Grâce à cette meilleure com-
préhension du système de contrôle interne, les priorités de traitement des risques pourront
être révisées. Toutefois, même lorsque les contrôles sont réputés efficaces, l’audit interne
doit régulièrement les tester afin de s’assurer qu’ils continuent à contribuer à la maîtrise des
risques critiques.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 15
Un plan d’audit efficace fournit une démarche systématique de classement des risques.
À l’issue de l’évaluation des risques, le responsable de l’audit interne, avec l’aval du comité
d’audit et de la direction, devra établir une hiérarchisation des risques organisationnels.
Il déterminera ensuite les compétences requises au sein de la fonction audit interne afin
d’être en mesure de traiter les risques prioritaires et de satisfaire les besoins des parties
prenantes clés.

Le point de vue de PricewaterhouseCoopers

Il convient d’être vigilant afin d’éviter un décalage entre les compétences techniques né-
cessaires à la réalisation du plan d’audit et celles existant au sein de la fonction. En effet,
les audits doivent être menés en fonction des risques identifiés et non sur la base des
compétences disponibles au sein de la fonction audit interne.

16 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Étapes 5 à 10
Mise en place pratique
Les étapes 5 à 10 sont axées sur les aspects pratiques de la mise en place d’une fonction
audit interne mais elles sont directement liées aux étapes précédentes. En effet, une fois le
cadre stratégique mis en place, le processus de lancement de la fonction audit interne passe
au stade de l’exécution operationnelle. La mise en œuvre des étapes 5 à 10 permettra au
département audit interne d’obtenir des résultats rapides tout en assurant une réussite à long
terme.

Établir des budgets à un


horizon de plusieurs exercices
5
Lancer les travaux
de terrain le plus tôt possible
6
Évaluer les compétences
nécessaires
7
Développer ou acquérir
les moyens techniques
8
Établir une stratégie
de communication
9
Mesurer
les résultats
10

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 17
5 Établir des budgets à un horizon
de plusieurs exercices
À l’issue des étapes 1 à 4, le directeur de l’audit interne dispose de suffisamment d’informa-
tions pour établir les budgets de la période en cours et à venir. Ces budgets doivent prévoir des
ressources suffisantes pour que l’audit interne puisse respecter le plan d’audit établi lors de
l’étape 4, tout en offrant une flexibilité suffisante pour répondre à d’éventuels changements.

Le budget initial est établi en fonction des résultats de l’évaluation des risques et du plan d’audit.
Des éléments sont disponibles auprès de l’IIA (Institute of Internal Auditors), de l’IFACI (Institut
Français de l’Audit et du Contrôle Internes) ou d’autres organisations afin d’établir une base
budgétaire comparable à celle de structures d’audit interne similaires issues du même sec-
teur d’activité. Le budget devra comporter une projection sur une période de trois à cinq ans,
conformément à l’étape 3 du cadre, « établir un plan de développement stratégique ».

Le budget alloué doit offrir la flexibilité requise pour permettre à l’audit interne de pallier les
urgences qui surviennent inévitablement dans la plupart des organisations. Afin d’appliquer
un plan d’audit cohérent et de qualité tout en ayant la possibilité de s’adapter au change-
ment, nous recommandons d’utiliser un Flexible Spending AccountTM.

Le Flexible Spending AccountTM fonctionne de la manière suivante :


n Le budget principal de l’audit interne est établi sur la base de l’évaluation des risques
et du plan d’audit. Ce budget principal prévoit des ressources de financement suffisan-
tes pour mettre en œuvre efficacement le plan d’audit.

n Un Flexible Spending Account™ indépendant est également ouvert. Ce compte est


dimensionné sur la base d’un pourcentage du budget d’audit interne principal ou
d’autres estimations.

n Si des projets ou des demandes non prévues dans le budget principal voient le jour, les
besoins en ressources et en compétences sont identifiés et évalués.

n Les ressources sont réallouées à partir du plan principal ou proviennent d’une source
extérieure au département d’audit interne.

18 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
n Le Flexible Spending AccountTM fournit le financement des besoins d’audit interne im-
prévus ou exceptionnels de l’organisation.

n Les fonds du Flexible Spending Account™, s’ils sont inutilisés, sont enregistrés com-
me un écart positif du budget d’audit interne. Ils font l’objet d’une estimation annuelle
concomitante au développement du processus d’évaluation des risques d’audit et à
l’élaboration du plan.

Avantages de l’utilisation d’un Flexible Spending Account™

n Le processus de budgétisation de l’audit interne est étroitement lié aux attentes spé-
cifiques (« value drivers ») des parties prenantes de l’audit interne.
n Le processus encourage un échange avec les parties prenantes relatif à l’investisse-
ment dans la fonction et à la valeur ajoutée attendue.
n Les ressources « centrales » de l’audit interne sont plus productives car elles ne sont
pas utilisées pour des projets ponctuels ou spécifiques.
n Les domaines nécessitant des compétences particulières sont clairement identifiés et
disposent d’un financement adéquat.
n Les ressources spécialisées sont disponibles si et quand cela s’avère nécessaire.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 19
6 Lancer les travaux de terrain
le plus tôt possible
Il arrive trop souvent que les départements d’audit interne en période de démarrage souhaitent
que personnel et infrastructure soient prêts avant le début des audits. Il s’agit là d’un écueil à
éviter. En effet, les parties prenantes de l’audit interne sont impatientes d’obtenir des résultats
et souhaitent constater des progrès mesurables rapidement et non au bout d’un an.

Afin de créer immédiatement de la valeur, il est préférable de commencer les travaux de terrain
après quelques semaines. Par exemple, il est préconisé d’auditer trois à cinq domaines à haut
risque déjà connus dans les 100 jours suivant le lancement de la fonction audit interne. Ces
audits initiaux se concentreront généralement sur des domaines où les problématiques de
contrôle interne sont connues, comme cela est souvent le cas des systèmes d’informations
par exemple.

L’utilisation d’un « programme de démarrage rapide » de la fonction audit interne (RSP pour
Rapid-Start Program) constitue une méthode efficace pour obtenir des résultats rapides. Le
RSP est une technique de gestion de projet qui organise les actions, les audits et les initiatives
à prendre dans les 100 jours suivant le démarrage de la fonction. Un RSP couvre à la fois les
actions stratégiques et tactiques, notamment les travaux d’audit terrain initiaux. Le plan prévoit
des dates et des étapes clés pour mesurer les progrès, identifier les problèmes et réaliser
des ajustements le cas échéant. Mais l’utilisation d’un RSP permet également d’empêcher
un démarrage trop rapide et garantit ainsi que les travaux de terrain commenceront dans des
délais optimaux.

Bien entendu, un démarrage rapide nécessite des ressources permettant de réaliser les
travaux requis sur le terrain. En règle générale, les ressources de l’audit interne contribuent à
la mise en œuvre du programme d’audit. Pour obtenir un démarrage rapide, de nombreuses
sociétés font appel à un fournisseur externe. Cette solution présente un certain nombre
d’avantages, par exemple :
n l’accès à des avis et conseils au cours du processus de développement,
n l’accès aux ressources nécessaires afin de réaliser certains audits liés à des risques
majeurs,
n l’accès à des outils et à des technologies éprouvés,
n le transfert de connaissances vers les auditeurs internes du groupe, si la fonction est
finalement internalisée ou si la société décide de ne sous-traiter qu’une partie de ses
ressources.

20 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
En utilisant cette approche, la direction de l’audit interne est en mesure de fournir de premiers
résultats aux différentes parties prenantes tout en continuant à mettre en place d’autres
éléments de cette démarche en 10 étapes.

Le point de vue de PricewaterhouseCoopers

Le processus de démarrage de l’audit interne n’est pas linéaire. Certaines décisions


stratégiques et tactiques doivent être prises simultanément et non de façon chronologique.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 21
7 Évaluer les compétences
nécessaires
Déterminer les champs de compétences requis pour la fonction audit interne nécessite de
réexaminer la mission confiée lors du démarrage de la fonction, ainsi que les attentes spéci-
fiques (« value drivers ») exprimées par les parties prenantes. En effet, il arrive trop souvent
que la direction générale et le comité d’audit se focalisent sur un nombre requis de personnes
plutôt que sur les compétences nécessaires au traitement des risques prioritaires ou à l’at-
teinte des objectifs liés aux attentes spécifiques.

L’objectif consiste à définir les ensembles de compétences nécessaires à « l’orientation


fonctionnelle » souhaitée comme illustré plus haut dans l’Internal Audit Continuum™ d’audit
interne. Atteindre le positionnement approprié dans l’Internal Audit Continuum™ nécessite
généralement un panel de compétences incluant une expertise technique et sectorielle.
Toutefois, attirer des spécialistes hautement qualifiés disposant à la fois des compétences,
du leadership et de l’expérience appropriés peut prendre du temps et retarder le processus
de démarrage.

Afin d’éviter les retards, il convient d’envisager de faire appel à un tiers capable de fournir,
selon les besoins, les ressources nécessaires à l’audit interne. Dans ce cas, un contrat
de sous-traitance permet par exemple à la direction générale et au comité d’audit de se
concentrer sur le recrutement des personnes adéquates tout en étant en mesure de fournir
de premiers résultats. Si l’organisation décide de recruter ses propres ressources, la sous-
traitance peut se transformer en co-traitance ou prendre fin.

En ce qui concerne les besoins en ressources à plus long terme, il faut garder à l’esprit que
l’audit interne est un domaine dynamique et changeant. Au cours de la dernière décennie, un
certain nombre de grands groupes ont commencé à développer des relations de co-traitance
afin de gagner en flexibilité et afin de disposer des compétences qu’ils ne pouvaient maintenir
en interne.

« Les départements d’envergure internationale font fréquemment appel à des sous-traitants


rigoureusement sélectionnés en complément de leurs propres ressources. En effet, même
les plus grandes équipes d’audit ne peuvent disposer en permanence d’une connaissance
approfondie de chaque programme informatique, de chaque produit d’investissement et
de chaque régime d’avantages sociaux de l’organisation ».

« How do internal auditors add value ? », « Internal Auditor Magazine », février 2003, James
Roth, PhD, CIA, CCSA.

22 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Afin  de  répondre  à  ce  besoin,
PricewaterhouseCoopers  a  dé-
Gestion
des risques veloppé le Hub and Spokes Re-
financiers
Auditeurs source ModelTM.
internes
(sous-traitance) Sécurité de
l’information
Ce  modèle  suppose  que  cer-
Évaluation de
taines ressources constitutives
la conformité de
l’environnement Équipe du cœur de métier de l’audit
actuel de la loi Revue des
Sarbanes-Oxley d’audit interne contrôles interne demeurent au sein de
généraux et audit
de l’entreprise des systèmes la société. Ce « noyau dur »
d’information
(hub) offre à l’audit interne le
Tests relatifs
aux intrusions leadership, la continuité et l’ex-
et aux attaques
informatiques
Revue périence qui sont propres à son
juridique
Contrôle et fiscale organisation. Les « faisceaux »
et sécurité
des ERP
(spokes) représentent les exper-
tises pouvant être mobilisées.
Dans l’exemple ci-contre, il s’agit
de domaines particuliers, complexes ou d’expertise : sécurité de l’information, contrôles de
sécurité des ERP, conformité à la loi Sarbanes-Oxley, recherches en matière de prévention
des fraudes ou problématiques de continuité d’exploitation.

Les faisceaux décrits dans le diagramme ne sont que des exemples des compétences
spécialisées qui pourraient être requises.

Ils ne se limitent pas uniquement à des domaines d’expertise. S’il existe un besoin de
ressources spécifiques à une zone géographique ou pour renforcer une équipe existante,
ce modèle garantit réactivité, qualité et cohérence, tout en permettant de supprimer ou de
maîtriser les coûts d’audit.

Le Hub and Spokes Resource Model™, associé au Flexible Spending Account™ évoqué
précédemment, permettent à l’audit interne de se doter des compétences appropriées à ses
besoins. Lorsque les priorités de l’audit interne évoluent, ces modèles offrent un niveau de
flexibilité suffisant pour permettre à l’audit interne de se focaliser sur les risques majeurs,
tandis que l’utilisation des seules ressources disponibles en interne ne le permettrait pas.

Le point de vue de PricewaterhouseCoopers

La valeur ajoutée qu’apporte l’audit interne est fortement corrélée à la compétence des
auditeurs en matière de gestion des risques.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 23
8 Développer ou acquérir
les moyens techniques
Démarrer le processus en investissant trop de temps dans le développement ou l’acquisition
de moyens techniques (infrastructure, méthodologie, technologies) constitue un écueil à éviter
lors de la création d’une fonction audit interne. Un tel investissement doit être uniquement
motivé par les objectifs opérationnels et par la nature des risques de la société. Avant de
prendre des décisions clés en matière de moyens techniques, il est primordial d’examiner les
points suivants :
n les méthodes d’évaluation des risques,
n les protocoles de planification des audits,
n Les processus de documentation et de revue,
n l’accès aux meilleures pratiques,
n les démarches d’exécution des projets d’audit interne,
n les processus de contrôle qualité,
n les processus de suivi, de résolution et de communication des résultats de l’audit,
n l’administration et la gestion des ressources humaines.

Certains outils technologiques propres à l’audit interne sont susceptibles d’accroître


sensiblement l’efficacité, la qualité et la cohérence du processus d’audit. En matière d’analyse
des données, l’utilisation d’un outil peut également améliorer les performances de l’audit en
permettant une vérification informatisée d’un ensemble de données plutôt que la vérification
d’un échantillon.

La méthodologie et les technologies d’audit interne peuvent faire l’objet d’un développement
en interne ou être acquises auprès de tiers. A titre d’exemple, PricewaterhouseCoopers
propose TeamMate™, un système conçu spécifiquement pour les auditeurs internes intégrant
les documents de travail sous forme électronique ainsi que Global Best Practices™, notre base
mondiale de connaissances des meilleures pratiques en matière de risques et contrôles.

Un département audit interne peut également se doter d’une procédure de contrôle qualité
afin de garantir la conformité aux méthodes, aux politiques de l’organisation et aux normes
professionnelles « Standards for the Professional Practice1 » de l’IIA.

Le point de vue de PricewaterhouseCoopers

Se comparer aux meilleures pratiques sur le marché permet d’améliorer les performances
de la fonction audit interne.

1
Traduites en France par l’IFACI sous le titre « Normes professionnelles de l’audit interne »

24 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Établir une stratégie
de communication 9
Selon une étude de PricewaterhouseCoopers, la communication entre la direction générale
et l’audit interne est insuffisante dans de nombreuses organisations. Ce constat est d’autant
plus pénalisant qu’en matière d’audit interne les attentes sont de plus en plus importantes.

Comme la perception des performances de l’audit interne par les parties prenantes clés est
liée à une communication efficace, la fonction audit interne doit chercher des opportunités de
dialogue avec la direction générale de façon régulière, en instaurant un lien fort et clair entre
les missions de l’audit interne et les enjeux et risques de l’organisation.

Afin de renforcer l’efficacité des communications écrites, des rapports et des notes de
synthèse, il convient d’établir des protocoles de communication clairs couvrant entre autres
les points suivants :
n la communication au sein de la fonction audit interne,
n la manière dont la planification et les résultats de l’audit seront communiqués à la
direction générale et aux directions opérationnelles,
n la revue des constats d’audit avant de quitter le terrain,
n l’utilisation dans les rapports d’audit, d’indicateurs de priorité ou d’autres moyens
afin d’indiquer la gravité des problèmes,
n les méthodes utilisées pour remédier aux différences d’interprétation des résultats
d’audit,
n l’établissement du calendrier d’émission du rapport final après avoir quitté le terrain,
n l’utilisation d’états d’avancement concernant les résultats d’audit, les
recommandations et leur mise en œuvre,
n la mise en place d’un planning de communication régulier avec les directions
opérationnelles entre les audits,
n les communications avec le comité d’audit et le reporting auprès de ce dernier,
n la coordination et la communication efficaces avec les auditeurs externes de
la société.

Le point de vue de PricewaterhouseCoopers

Pour gagner en pertinence dans sa communication avec la direction générale, l’audit in-
terne doit développer une stratégie de communication allant au-delà du simple reporting
sur les missions d’audit.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 25
10 Mesurer
les résultats
Afin de prouver son efficacité et de démontrer les résultats obtenus, l’équipe d’audit interne
doit disposer d’un système d’évaluation étroitement lié aux attentes spécifiques (« value
drivers ») identifiés lors de l’étape 1. En effet, si l’audit interne souhaite atteindre ou dépasser
les attentes de la direction, il est important de suivre et de mesurer régulièrement les
performances de cette fonction au regard de ces attentes.

Le « balanced scorecard » (tableau de bord de performance) constitue un outil efficace de


mesure de la valeur qui va au-delà des chiffres et offre une analyse globale des activités im-
portantes. Le concept du « balanced scorecard » a été créé en 1992 par Robert S. Kaplan
et David P. Norton, il s’appuie sur le principe suivant lequel l’évaluation des performances
constitue une source de motivation. A ce jour, des milliers de sociétés, d’organisations et
d’organismes gouvernementaux l’ont utilisé dans le monde entier.

Le « balanced scorecard » permet aux organisations de mettre en œuvre rapidement et effi-


cacement leur stratégie en intégrant l’évaluation des performances dans le système de ma-
nagement. Il permet d’évaluer un ensemble détaillé d’objectifs et d’activités de manière per-
manente. Chaque organisation doit établir son tableau de bord d’audit interne spécifique en
fonction des trois premières étapes de la démarche présentée dans ce document :
n identifier les attentes des parties prenantes,
n définir la mission,
n établir un plan de développement stratégique.

Vous trouverez ci-contre un exemple de ce type de tableau de bord.

26 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Exemple de tableau de bord de la performance de la fonction audit interne.

25 % Gestion des hommes 25 % Efficacité du processus d’audit interne


n Qualité du personnel professionnel n Démarrage rapide et efficace
n Capacité à répondre aux besoins spécifi- n Communication efficace et en temps utile
ques et techniques n Élaboration et remise de recommandations
n Compréhension de l’activité de la société pratiques afin d’améliorer les contrôles
et de son contexte internes et le gouvernement d’entreprise
n Interaction et communication avec les n Résultats des questionnaires de
responsables de divisions satisfaction des audités
n Développement de carrière et des compé-
tences des cadres au sein de l’organisation

25 % Gestion des risques 25 % Valeur ajoutée pour la société


n Identification efficace et en temps utile des n Protection de la valeur actionnariale à
principaux risques d’entreprise l’aide d’un environnement de contrôle
n Pourcentage des activités d’audit et des amélioré
ressources allouées à la maîtrise des ris-
n Augmentation de la valeur actionnariale :
ques clés de l’entreprise
- réduction de coûts
n Souplesse et réactivité face aux risques
- réduction des pertes de revenus
émergents
- réduction du besoin en fonds
n Compréhension des besoins et capacité à
de roulement
répondre aux besoins :
- optimisation des flux de trésorerie
- du comité d’audit
- de la direction générale

Le point de vue de PricewaterhouseCoopers

L’audit  interne  n’est  pas  différent  des  autres  processus  d’entreprise.  Ses performan-
ces et son apport de valeur peuvent être mesurés si des facteurs de valeur clairs ont été
établis initialement et si des modalités d’évaluation efficaces ont été définies.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 27
Création et
développement
d’une fonction
audit interne
Conclusion
Nous sommes convaincus qu’il est possible d’éviter les écueils
et les erreurs liés au démarrage de l’audit interne en combinant,
de façon optimale, la définition du cadre stratégique à la mise en
œuvre des actions opérationnelles.

Dans le cadre de cette démarche en 10 étapes, nous vous faisons


bénéficier de l’expérience acquise au cours de nombreuses années
durant lesquelles nous avons aidé des organisations de premier
plan à mettre en place et à améliorer les performances de leur
fonction audit interne.

Afin de vous aider à vous approprier cette démarche, nous vous


proposons ci-après un certain nombre de questions clés que vous
pourriez être amenés à vous poser pour chacune de ces étapes.

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 29
Les questions clés
Une démarche
Questions clés
en 10 étapes

1. Les attentes des acteurs et les résultats souhaités :

Identifier les attentes n Sont-ils clairement définis ?


des parties prenantes n Sont-ils mesurables ?

n Font-ils l’objet d’un consensus de la part des parties prenantes clés ?

2. La mission confiée à l’audit interne :

Définir n Est-elle adaptée à l’organisation ?


la mission n Est-elle cohérente avec l’orientation donnée à la fonction ?

n Est-elle en ligne avec les attentes des parties prenantes ?

n Définit-elle clairement les niveaux hiérarchiques et les responsabilités au sein de la


fonction ?
n Est-elle partagée et communiquée de manière appropriée à l’organisation par les
dirigeants ?

3. Le plan de développement stratégique constitue-t-il une trame qui :

Établir un plan n Inclut une note de synthèse de 2 à 3 pages ?


de développement n Fournit des directives stratégiques, tactiques et des objectifs opérationnels ?
stratégique
n Clarifie l’orientation et la valeur offerte par la nouvelle fonction et les livrables
spécifiques ?
n Identifie les données clés et inclut des sources externes le cas échéant ?

n S’assure de la coordination et de l’intégration avec les fonctions de l’organisation


impliquées dans la maîtrise des risques et du contrôle ?
n Aborde la question du modèle de financement du département, incluant les be-
soins en termes budgétaires et en termes de ressources pour les 3 à 5 ans à venir ?
n Inclut un calendrier de mise en œuvre ?

n Traite la question de la communication relative à la création de la fonction et sa


mission, son rôle et son importance au sein de l’organisation ?
n Identifie la responsabilité fonctionnelle du développement et de l’exécution du
programme d’audit interne ?
n Aborde la question du contrôle qualité, du reporting des résultats et de la
responsabilité de la résolution des faiblesses du contrôle interne ?
n Fournit une norme de comparaison permettant d’apprécier les décisions futures et
les résultats ?
n Promeut et constitue un support à une collaboration et une communication
permanentes avec le comité d’audit et les autres acteurs ?

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 31
Une démarche
Questions clés
en 10 étapes

4. L’évaluation des risques et le plan d’audit :

Évaluer les risques n Offrent-ils des moyens cohérents et systématiques pour analyser les risques au sein
et établir un plan de l’organisation ?
d’audit n Fournissent-ils une analyse de l’ensemble des risques de l’organisation ?

n Sont-ils le reflet d’une vision consensuelle (y compris des risques qui inclus celle
du management ?
n Établissent-ils un ordre d’importance entre les risques de l’organisation ?

n Fournissent-ils une base pour élaborer des alternatives au plan d’audit interne ?

n Contribuent-ils à la clarification des compétences et aptitudes requises au sein de


la fonction ?

5. Les ressources budgétaires :

Établir des budgets n Sont-elles suffisantes pour garantir la satisfaction des attentes des parties
à un horizon prenantes ?
de plusieurs exercices n Sont-elles suffisantes pour offrir la flexibilité nécessaire afin de traiter des projets
spécifiques inattendus ?
n Sont-elles suffisantes pour permettre l’accès à des ressources spécialisées en
dehors du département ?
n Portent-elles sur plusieurs exercices ?

n Permettent-elles d’établir la fonction dans les délais souhaités ?

n Incluent-elles tous les coûts de démarrage, notamment les dépenses en matière


de recrutement, de méthodologie, de développement et de technologie (matériel
informatique et logiciels) ?
n Incluent-elles les frais administratifs, tels que les frais de déplacement, de
formation et d’apprentissage, de formation technique spécialisée et de support
administratif ?

6. Les travaux d’audit interne sur le terrain sont-ils (ou seront-ils) :

Lancer les travaux n Entrepris même si la fonction est en développement ?


de terrain n Entrepris ou planifiés (3 à 5 domaines) dans les 100 premiers jours suivant la date
le plus tôt possible du démarrage ?
n Initialement orientés vers des domaines impliquant des risques, un impact ou
des besoins importants, tels que la technologie de l’information et la sécurité des
données par exemple ?
n Entravés par le manque de personnel ? A-t-il a été envisagé de faire appel à des
ressources externes afin de gérer la transition vers un modèle de ressources
propres ?

32 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Une démarche
Questions clés
en 10 étapes

7. L’évaluation des compétences :

Évaluer n Inclut-elle une analyse détaillée des ressources et des compétences nécessaires ?
les compétences n Tient-elle compte et inclut la stratégie RH prévue dans le plan de développement
nécessaires stratégique d’audit interne ?
n Résulte-t-elle d’une analyse objective des compétences requises, plutôt que de
l’utilisation des compétences internes disponibles ?
n Tient-elle compte des besoins en termes de compétences sectorielles,
spécialisées et des spécificités culturelles ?
n Tient-elle compte de l’évolution des compétences dans les 3 à 5 ans à venir ?

n Envisage-t-elle la possibilité de faire appel à des fournisseurs extérieurs pour


bénéficier des compétences requises ?

8. Les besoins en terme d’infrastructure tiennent-ils compte :

Développer ou n De l’acquisition possible de technologies, des outils et des méthodologies


acquérir les moyens disponibles sur le marché ?
techniques n De l’établissement d’une méthode d’audit cohérente et documentée afin de
garantir la qualité de l’audit ?
n Des ressources et des coûts de l’apprentissage et de la formation continue ?

n De l’accès aux meilleures pratiques et aux informations de « benchmarking » ?

n De l’accès à des outils spécialisés et à une expertise afin de les utiliser
efficacement ?
n Des contrôles qualité réguliers, incluant la conformité aux normes
professionnelles ?
n De la formation relative aux méthodes et aux outils acquis ou développés ?

9. Les protocoles de communication :

Établir une stratégie n Incluent-ils les besoins et les attentes des parties prenantes ?
de communication n Incluent-ils l’élaboration, la mise en place, la revue et la définition du calendrier des
rapports d’audit ?
n Intègrent-ils les attentes du management en termes de délai de suivi et de mise en
œuvre des recommandations tant du point de vue de l’audit interne que de celui
des audités ?
n Incluent-ils les bonnes pratiques en matière de communication interne et externe à
la fonction audit interne ?

10. Les résultats de l’audit interne :

Mesurer les résultats n Sont-ils mesurés à l’aide d’un système qui comprend des éléments de mesure
quantitatifs et qualitatifs tel qu’un « balanced scorecard » ?
n Sont-ils évalués à l’aide d’éléments de mesure s’appuyant sur les attentes des
parties prenantes clés et les « vecteurs de valeur ajoutée » identifiés dans le plan
stratégique ?
n Font-ils l’objet d’une évaluation par les parties prenantes clés ayant un lien direct
avec la fonction et étant intéressées à la mise en œuvre de sa stratégie et à la
réalisation de ses objectifs ?
n Sont-ils communiqués efficacement aux membres de l’équipe d’audit interne ?

n Constituent-ils un élément clé de l’évaluation des performances de chaque mem-


bre de l’équipe d’audit interne ?

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 33
Le département
Services à l’audit interne
de PricewaterhouseCoopers
en France
Les  services  à l’audit  interne  de  PricewaterhouseCoopers (www.pwc.fr/auditinterne) offrent
un grand nombre de solutions aux entreprises souhaitant renforcer leur contrôle interne, la
maîtrise de leurs risques ainsi que leurs compétences en matière d’audit interne. Ce département
de PricewaterhouseCoopers offre une large gamme de services organisée autour de trois
grands pôles :

Ressources Conseil Outils

PricewaterhouseCoopers
PricewaterhouseCoopers (www.pwc.fr) développe des missions d’audit et de conseil pour des
entreprises de toutes tailles, publiques et privées, privilégiant des approches sectorielles et
assurant confiance et valeur ajoutée pour ses clients et l’ensemble des parties prenantes.

Plus de 142 000 personnes travaillent en réseau dans 149 pays, partageant points de vue,
expériences et solutions pour proposer des perspectives innovantes et des conseils adaptés
à chaque problématique.

En France, PwC développe cette approche avec Landwell, cabinet d’avocats correspondant.

Constitué d’entités légalement autonomes et indépendantes, membres du réseau Pricewa-


terhouseCoopers International Limited, PricewaterhouseCoopers rassemble en France 3 500
personnes dans 25 bureaux.

© 2007 PricewaterhouseCoopers tous droits réservés. PricewaterhouseCoopers est constitué d’entités légalement
autonomes et indépendantes, membres du réseau PricewaterhouseCoopers International Limited.

34 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Contacts
Brian Towhill
brian.towhill@fr.pwc.com
01 56 57 11 24

Jean-Pierre Hottin
jean-pierre.hottin@fr.pwc.com
01 56 57 82 63

www.pwc.fr/auditinterne
www.pwc.fr/teammate

Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
63, rue de Villiers
92208 Neuilly sur Seine cedex

www.pwc.fr