Académique Documents
Professionnel Documents
Culture Documents
développement
d’une fonction
audit interne*
Une démarche
en 10 étapes
[ Sommaire]
Dix étapes pour réussir 7
. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .
2— Définir la mission 11
.. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. .
Conclusion 29
. .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. .
Contacts 35
. .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. .
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers _
Création et
développement
d’une fonction
audit interne
La nécessité de disposer d’un dispositif de surveillance efficace en matière de
gestion des risques et de contrôle inter ne ne s’est jamais autant fait ressentir
qu’aujourd’hui, en particulier avec l’adoption de la loi de Sécurité Financière
en France et de la loi Sarbanes-Oxley aux États-Unis.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 5
Création et
développement
d’une fonction
audit interne
[ Dix étapes pour réussir]
Le plan de développement stratégique de la fonction audit interne doit guider les aspects
opérationnels de sa mise en place, et non l’inverse. Trop souvent, la création d’une fonction
audit interne est initiée pour faire face à des besoins immédiats. La focalisation trop impor-
tante sur les aspects opérationnels à court terme peut dans ce cas faire perdre de vue la né-
cessité d’inscrire la fonction ainsi créée dans une perspective stratégique à plus long terme.
Afin d’aider les sociétés à concevoir et mettre en place une fonction audit interne répondant
pleinement aux objectifs qui lui sont fixés dans son plan de développement stratégique,
PricewaterhouseCoopers a défini une démarche structurée en 10 étapes, éprouvée auprès
d’entreprises de tailles et d’activités différentes. Les étapes 1 à 4 sont axées sur les aspects
stratégiques, tandis que les étapes 5 à 10 se focalisent sur les aspects opérationnels.
Ces 10 étapes, bien que liées entre elles, ne doivent pas nécessairement être mises en œuvre
dans l’ordre chronologique. Par exemple, il n’est pas nécessaire que tous les éléments de la
démarche soient en place pour entreprendre les travaux de terrain. De même, la composante
« communication », développée dans l’étape 9, doit être lancée dès le démarrage et se pour-
suivre tout au long du processus.
Adopter cette démarche permet à la fois de traiter les aspects stratégiques du plan de déve-
loppement mais aussi de mettre en œuvre les décisions opérationnelles qui contribueront à
la réussite de la fonction.
2 Définition de la mission
3 Établir un plan de
développement stratégique
5 Établissement
des budgets
8 Développement ou acquisition
des moyens techniques
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 7
Étapes 1 à 4
Définition du cadre
d’intervention
La fonction audit interne contribue à une meilleure gouvernance d’entreprise lorsqu’elle s’ins-
crit dans un plan de développement stratégique établi par la direction (parties prenantes clés)
en accord avec le comité d’audit et lorsqu’elle traite des risques de l’entreprise dans son
ensemble ainsi que des problématiques de contrôle interne.
Une fois le plan de développement stratégique défini, l’organisation est en mesure de définir
correctement la mission, l’organisation, les ressources, les méthodes de travail et les modes
de communication de la fonction audit interne.
Un écueil classique consiste à mettre en œuvre des actions très opérationnelles sans défi-
nir préalablement de plan de développement stratégique. En particulier, la définition claire
des attentes en termes de valeur ajoutée, ainsi que la mise en place d’une démarche
rigoureuse pour les atteindre, permettront sans nul doute d’améliorer l’efficacité de la dé-
marche, tant sur les aspects coûts que délais.
Définir 2
la mission
Établir un plan de _
développement stratégique
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 9
1 Identifier les attentes
des parties prenantes
La création d’une fonction audit interne efficace nécessite au préalable que les parties pre-
nantes clés déterminent les bénéfices qu’ils en escomptent.
La détermination de ces bénéfices escomptés doit aboutir à la définition des attentes spéci-
fiques, qui représentent la valeur ajoutée de l’audit interne.
Les domaines dans lesquels l’audit interne peut apporter de la valeur ajoutée sont nombreux,
parmi ceux-ci les plus communément retenus sont les suivants :
n L’apport d’une assurance complémentaire sur la gestion des risques et la maîtrise des
activités
n Une évaluation indépendante de l’efficacité et de l’efficience du dispositif du contrôle
interne accompagnée de recommandations pertinentes
n L’apport de confort au management sur les problématiques liées à la conformité aux
règlementations, aux politiques et aux procédures décidées par l’entreprise
n L’appui dans les démarches de mise en conformité aux dispositions règlementaires en
matière de contrôle interne (Sarbanes-Oxley, LSF…)
n La capacité à réagir et à intervenir dans les situations nécessitant des réponses immé-
diates, telles que la découverte de fraudes
n Les bénéfices directs issus des interventions (économies de coûts, amélioration de
l’efficacité des processus)
n Sensibilisation à tous les niveaux de l’organisation au besoin de maîtrise des risques
et de contrôle interne
n L’apport de conseils aux opérationnels pour traiter les problématiques complexes
n La participation au développement d’un vivier de « hauts potentiels » et de futurs
managers.
n Un apport d’efficacité dans la gestion des coûts d’audit par une coordination active
avec les auditeurs externes.
L’étape 2 peut être lancée à partir du moment où les parties prenantes clés de l’entreprise ont
pu exprimer clairement leurs attentes en terme de valeur ajoutée vis-à-vis de l’audit interne.
Le processus d’identification des attentes des parties prenantes doit être renouvelé
régulièrement pour permettre à la fonction audit interne de s’adapter aux évolutions et
changements susceptibles d’impacter la nature de son intervention.
10 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Définir
la mission
2
Une fois les attentes spécifiques (« value drivers ») identifiées, le directeur de l’audit interne
doit, avec la direction générale et le comité d’audit, définir de manière détaillée la mission de
l’audit interne. Cette mission doit être définie dans un document formel, par exemple, une
charte d’audit interne qui servira par la suite de base à l’établissement des critères d’évalua-
tion de la performance de la fonction audit interne.
Ce document doit délimiter l’autorité et les responsabilités de la fonction et refléter les prio-
rités de la direction générale et du comité d’audit. Sa longueur et son contenu peuvent va-
rier. Néanmoins un tel document doit déterminer dans quelles proportions la fonction audit
interne allouera ses ressources aux activités traditionnelles de conformité ou aux activités de
conseil souvent considérées par les opérationnels comme une source de valeur ajoutée.
La mission de l’audit interne doit clairement refléter les attentes des parties prenantes, qui
ont un impact direct sur les domaines d’intervention prioritaires et les compétences requises.
A défaut, la fonction audit interne risque d’aller à l’encontre de ses objectifs stratégiques. Le
schéma de positionnement de la fonction audit interne suivant (Internal Audit Continuum TM )
décrit la manière dont l’orientation et les compétences de l’audit interne doivent évoluer en
fonction des attentes des parties prenantes.
Préservation Augmentation
Équilibre
de la valeur de la valeur
io
Processus Amélioration
de contrôle des processus
interne opérationnels Gestion
Transactions des risques
éte
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 11
Le schéma précédent montre que les compétences requises dépendent des attentes des
parties prenantes.
Lorsque les attentes sont focalisées sur la préservation de la valeur et la maîtrise du contrôle
interne, les compétences recherchées seront plutôt orientées sur l’audit financier et l’audit
de conformité.
Plus ces attentes évolueront, plus l’audit interne sera assuré d’apporter de la valeur ajoutée
au travers de l’amélioration de l’efficacité opérationnelle. L’audit interne devra alors enrichir
ses compétences en matière de conseil et de gestion des risques pour être en mesure d’ap-
porter cette valeur.
Trop souvent les organisations négligent ce lien entre mission et attentes spécifiques (« value
drivers ») exprimées par les parties prenantes en se contentant d’adopter des définitions de
mission standard provenant d’autres entités ou départements d’audit interne.
La mission de l’audit interne doit être partagée et communiquée aux partie prenantes
et au personnel de l’entreprise concernés afin d’obtenir compréhension et adhésion de
leur part.
12 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Établir un plan de
développement stratégique _
La création et le développement d’une fonction audit interne doit s’appuyer sur un plan de dé-
veloppement stratégique. Ce plan de développement va au-delà d’une évaluation ponctuelle
des risques, il va permettre de définir les bénéfices apportés par la fonction audit interne, ses
« clients », ainsi que la valeur ajoutée qu’elle prévoit d’apporter à court et moyen terme à cha-
cun d’entre eux. Le plan traite également des aspects opérationnels nécessaires pour atteindre
les objectifs, ainsi que des responsabilités fonctionnelles.
Le plan de développement stratégique contient les informations relatives aux besoins de
financement et de ressources lors du démarrage de la fonction ainsi qu’à un horizon de trois
à cinq ans. Les principales hypothèses ainsi que des éléments de benchmarking par rapport
à des informations provenant de tiers sont généralement inclus dans ce document. Ce plan
doit également intégrer les coûts et les avantages d’autres approches possibles permettant
d’atteindre les résultats souhaités, par exemple :
n une collaboration avec d’autres fonctions impliquées dans la maîtrise des risques et
des contrôles, telles que les fonctions juridiques, de veille réglementaire, d’analyse
de marché ou de crédit, et les départements en charge de la sécurité (physique et
informatique), de la fraude ou de la qualité,
n un recours à des sous-traitants qui permettent d’apporter des compétences addition-
nelles à la fonction,
n un programme d’auto-évaluation du contrôle interne.
Enfin, le plan de développement stratégique constitue le référentiel sur la base duquel pourront
être mesurés les décisions et les résultats futurs. Nous recommandons de revoir annuellement
le plan afin d’y inclure les changements souhaités et approuvés par les parties prenantes clés.
Tout projet de développement doit s’inscrire dans une vision stratégique. Il en est de
même pour une fonction audit interne q ui doit disposer d’un plan de développement
stratégiq ue.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 1_
4 Évaluer les risques et établir
un plan d’audit
Il est essentiel que l’audit interne se dote de moyens d’analyse systématique des risques.
Un risque est défini comme tout événement qui pourrait empêcher l’organisation d’atteindre
ses objectifs.
Une évaluation des risques permet à l’auditeur d’envisager dans quelle mesure certains
événements potentiels pourraient affecter l’atteinte des objectifs de l’entreprise. Le processus
d’évaluation des risques commence par la définition de l’univers d’audit. Le champ de l’audit
inclut toutes les divisions, les processus et les opérations. Ensuite, l’auditeur doit comprendre
le modèle économique de la société au regard de son secteur d’activité et de ses objectifs
clés. Le dialogue avec les différents acteurs de l’entreprise permettra à l’audit interne de
confirmer sa compréhension de l’univers d’audit, des principaux objectifs opérationnels et
des risques inhérents à ces objectifs.
L’auditeur doit obtenir une bonne compréhension de l’entreprise, de ses objectifs et des
risques auxquels elle est confrontée. Il doit ensuite envisager l’incidence possible de ces
différents risques sur la réalisation des objectifs et évaluer leur probabilité d’occurrence afin
de fournir une vision des risques auxquels est confrontée l’organisation. Ces risques sont
présentés à la direction et au comité d’audit sous la forme d’une cartographie. Celle-ci met
en évidence, le plus souvent grâce à un code couleur, les domaines dans lesquels les niveaux
de risque sont élevés, modérés ou faibles. Cette évaluation initiale permet d’identifier pré-
cisément les divisions, les processus ou les opérations qui présentent le plus de risques et
d’élaborer la base du plan d’audit.
L’évaluation des risques et le plan de développement d’audit doivent être élaborés en ac-
cord avec les orientations du plan stratégique.
14 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Le processus d’évaluation des risques et de préparation
du plan d’audit
Planification
F a ib le Ele vé F ai b le Ele vé
Im p ac t s u r l ’ a ct iv i té I m pa ct su r l ’ a c ti vi té
Év al ua ti on
Ri sq u es
O ui d es ri sq u es
Re p or tin g a u in h ére n ts
i nh é ren ts
co m ité d ’ a ud i t,
au ma n ag e me nt
e t au x a u tre s No n
p art ie s p ren a nte s
d e l ’a u d it i nte rn e
Ri sq u es
Co n n ai ssa n ce
ré sid u e ls
d e l ’ ef f i ca ci té
d es c o ntr ôl es
Au cours de l’année de création de la fonction audit interne, les sociétés ne disposent
généralement pas d’éléments de référence leur permettant d’évaluer l’efficacité des activités
de contrôle. Par conséquent, l’évaluation initiale des risques et le plan d’audit sont pour
l’essentiel établis en fonction des risques inhérents. Les risques inhérents sont ceux liés au
cours normal des affaires. Ils comprennent des risques externes tels que les changements
de conjoncture internationale, nationale et économique, ainsi que les changements d’ordre
technique, juridique et politique. Les risques inhérents comprennent également des facteurs
internes qui demandent une attention particulière tels que les modifications des systèmes
d’information, les lancements de nouveaux produits, l’entrée sur de nouveaux marchés, les
changements organisationnels et de direction, ainsi que le développement à l’international.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 15
Un plan d’audit efficace fournit une démarche systématique de classement des risques.
À l’issue de l’évaluation des risques, le responsable de l’audit interne, avec l’aval du comité
d’audit et de la direction, devra établir une hiérarchisation des risques organisationnels.
Il déterminera ensuite les compétences requises au sein de la fonction audit interne afin
d’être en mesure de traiter les risques prioritaires et de satisfaire les besoins des parties
prenantes clés.
Il convient d’être vigilant afin d’éviter un décalage entre les compétences techniques né-
cessaires à la réalisation du plan d’audit et celles existant au sein de la fonction. En effet,
les audits doivent être menés en fonction des risques identifiés et non sur la base des
compétences disponibles au sein de la fonction audit interne.
16 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Étapes 5 à 10
Mise en place pratique
Les étapes 5 à 10 sont axées sur les aspects pratiques de la mise en place d’une fonction
audit interne mais elles sont directement liées aux étapes précédentes. En effet, une fois le
cadre stratégique mis en place, le processus de lancement de la fonction audit interne passe
au stade de l’exécution operationnelle. La mise en œuvre des étapes 5 à 10 permettra au
département audit interne d’obtenir des résultats rapides tout en assurant une réussite à long
terme.
Développer ou acquérir 8
les moyens techniques
Mesurer 10
les résultats
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 17
5 Établir des budgets à un horizon
de plusieurs exercices
À l’issue des étapes 1 à 4, le directeur de l’audit interne dispose de suffisamment d’informa-
tions pour établir les budgets de la période en cours et à venir. Ces budgets doivent prévoir des
ressources suffisantes pour que l’audit interne puisse respecter le plan d’audit établi lors de
l’étape 4, tout en offrant une flexibilité suffisante pour répondre à d’éventuels changements.
Le budget initial est établi en fonction des résultats de l’évaluation des risques et du plan d’audit.
Des éléments sont disponibles auprès de l’IIA (Institute of Internal Auditors), de l’IFACI (Institut
Français de l’Audit et du Contrôle Internes) ou d’autres organisations afin d’établir une base
budgétaire comparable à celle de structures d’audit interne similaires issues du même sec-
teur d’activité. Le budget devra comporter une projection sur une période de trois à cinq ans,
conformément à l’étape _ du cadre, « établir un plan de développement stratégique ».
Le budget alloué doit offrir la flexibilité requise pour permettre à l’audit interne de pallier les
urgences qui surviennent inévitablement dans la plupart des organisations. Afin d’appliquer
un plan d’audit cohérent et de qualité tout en ayant la possibilité de s’adapter au change-
ment, nous recommandons d’utiliser un Flexible Spending Account TM .
n Le budget principal de l’audit interne est établi sur la base de l’évaluation des risques
et du plan d’audit. Ce budget principal prévoit des ressources de financement suffisan-
tes pour mettre en œuvre efficacement le plan d’audit.
n Un Flexible Spending Account™ indépendant est également ouvert. Ce compte est
dimensionné sur la base d’un pourcentage du budget d’audit interne principal ou
d’autres estimations.
n Si des projets ou des demandes non prévues dans le budget principal voient le jour, les
besoins en ressources et en compétences sont identifiés et évalués.
n Les ressources sont réallouées à partir du plan principal ou proviennent d’une source
extérieure au département d’audit interne.
18 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
n Le Flexible Spending Account T M fournit le financement des besoins d’audit interne im-
prévus ou exceptionnels de l’organisation.
n Les fonds du Flexible Spending Account™, s’ils sont inutilisés, sont enregistrés com-
me un écart positif du budget d’audit interne. Ils font l’objet d’une estimation annuelle
concomitante au développement du processus d’évaluation des risques d’audit et à
l’élaboration du plan.
n Le processus de budgétisation de l’audit interne est étroitement lié aux attentes spé-
cifiques (« value drivers ») des parties prenantes de l’audit interne.
n Le processus encourage un échange avec les parties prenantes relatif à l’investisse-
ment dans la fonction et à la valeur ajoutée attendue.
n Les ressources « centrales » de l’audit interne sont plus productives car elles ne sont
pas utilisées pour des projets ponctuels ou spécifiques.
n _Les domaines nécessitant des compétences particulières sont clairement identifiés et
disposent d’un financement adéquat.
n Les ressources spécialisées sont disponibles si et quand cela s’avère nécessaire.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 19
6 Lancer les travaux de terrain
le plus tôt possible
Il arrive trop souvent que les départements d’audit interne en période de démarrage souhaitent
que personnel et infrastructure soient prêts avant le début des audits. Il s’agit là d’un écueil à
éviter. En effet, les parties prenantes de l’audit interne sont impatientes d’obtenir des résultats
et souhaitent constater des progrès mesurables rapidement et non au bout d’un an.
Afin de créer immédiatement de la valeur, il est préférable de commencer les travaux de terrain
après quelques semaines. Par exemple, il est préconisé d’auditer trois à cinq domaines à haut
risque déjà connus dans les 100 jours suivant le lancement de la fonction audit interne. Ces
audits initiaux se concentreront généralement sur des domaines où les problématiques de
contrôle interne sont connues, comme cela est souvent le cas des systèmes d’informations
par exemple.
L’utilisation d’un « programme de démarrage rapide » de la fonction audit interne (RSP pour
Rapid-Start Program) constitue une méthode efficace pour obtenir des résultats rapides. Le
RSP est une technique de gestion de projet qui organise les actions, les audits et les initiatives
à prendre dans les 100 jours suivant le démarrage de la fonction. Un RSP couvre à la fois les
actions stratégiques et tactiques, notamment les travaux d’audit terrain initiaux. Le plan prévoit
des dates et des étapes clés pour mesurer les progrès, identifier les problèmes et réaliser
des ajustements le cas échéant. Mais l’utilisation d’un RSP permet également d’empêcher
un démarrage trop rapide et garantit ainsi que les travaux de terrain commenceront dans des
délais optimaux.
Bien entendu, un démarrage rapide nécessite des ressources permettant de réaliser les
travaux requis sur le terrain. En règle générale, les ressources de l’audit interne contribuent à
la mise en œuvre du programme d’audit. Pour obtenir un démarrage rapide, de nombreuses
sociétés font appel à un fournisseur externe. Cette solution présente un certain nombre
d’avantages, par exemple :
n l’accès à des avis et conseils au cours du processus de développement,
n l’accès aux ressources nécessaires afin de réaliser certains audits liés à des risques
majeurs,
n l’accès à des outils et à des technologies éprouvés,
n le transfert de connaissances vers les auditeurs internes du groupe, si la fonction est
finalement internalisée ou si la société décide de ne sous-traiter qu’une partie de ses
ressources.
20 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
En utilisant cette approche, la direction de l’audit interne est en mesure de fournir de premiers
résultats aux différentes parties prenantes tout en continuant à mettre en place d’autres
éléments de cette démarche en 10 étapes.
Le processus de démarrage de l’audit interne n’est pas linéaire. Certaines décisions
stratégiques et tactiques doivent être prises simultanément et non de façon chronologique.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 21
7 Évaluer les compétences
nécessaires
Déterminer les champs de compétences requis pour la fonction audit interne nécessite de
réexaminer la mission confiée lors du démarrage de la fonction, ainsi que les attentes spéci-
fiques (« value drivers ») exprimées par les parties prenantes. En effet, il arrive trop souvent
que la direction générale et le comité d’audit se focalisent sur un nombre requis de personnes
plutôt que sur les compétences nécessaires au traitement des risques prioritaires ou à l’at-
teinte des objectifs liés aux attentes spécifiques.
Afin d’éviter les retards, il convient d’envisager de faire appel à un tiers capable de fournir,
selon les besoins, les ressources nécessaires à l’audit interne. Dans ce cas, un contrat
de sous-traitance permet par exemple à la direction générale et au comité d’audit de se
concentrer sur le recrutement des personnes adéquates tout en étant en mesure de fournir
de premiers résultats. Si l’organisation décide de recruter ses propres ressources, la sous-
traitance peut se transformer en co-traitance ou prendre fin.
En ce qui concerne les besoins en ressources à plus long terme, il faut garder à l’esprit que
l’audit interne est un domaine dynamique et changeant. Au cours de la dernière décennie, un
certain nombre de grands groupes ont commencé à développer des relations de co-traitance
afin de gagner en flexibilité et afin de disposer des compétences qu’ils ne pouvaient maintenir
en interne.
« How do internal auditors add value ? », « Internal Auditor Magazine », février 2003, James
Roth, PhD, CIA, CCSA.
22 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Afin de répondre à ce besoin,
PricewaterhouseCoopers a dé-
Ge st io n
d e s ri sq ues
veloppé le Hub and Spokes Re-
f in an cie rs
Aud it eurs source Model TM .
in te rnes
( sous- tra it ance ) Sé curi t é d e
l’ in f orm at io n
Ce modèle suppose q ue cer-
taines ressources constitutives
É valuat io n de
la co nf ormi té d e
l’e nviron nemen t
Équipe du cœur de métier de l’audit
d’audit interne interne demeurent au sein de
act uel d e l a l oi Re vue d es
Sarb anes- Oxl ey co nt rô le s
gé néra ux e t a ud it
de l’entreprise de s syst ème s la société. Ce « noyau dur »
d ’ in fo rma t io n
(hub) offre à l’audit interne le
Test s rela t if s
aux i nt ru sio ns leadership, la continuité et l’ex-
e t a ux a tt a qu es
in f orm at iq ue s
R evu e
périence qui sont propres à son
j uri di qu e
et f isca le
organisation. Les « faisceaux »
Co nt rô le
et sé curi t é (spokes) représentent les exper-
de s E RP
Les faisceaux décrits dans le diagramme ne sont que des exemples des compétences
spécialisées qui pourraient être requises.
Ils ne se limitent pas uniquement à des domaines d’expertise. S’il existe un besoin de
ressources spécifiques à une zone géographique ou pour renforcer une équipe existante,
ce modèle garantit réactivité, qualité et cohérence, tout en permettant de supprimer ou de
maîtriser les coûts d’audit.
Le Hub and Spokes Resource Model™ , associé au Flexible Spending Account™ évoqué
précédemment, permettent à l’audit interne de se doter des compétences appropriées à ses
besoins. Lorsque les priorités de l’audit interne évoluent, ces modèles offrent un niveau de
flexibilité suffisant pour permettre à l’audit interne de se focaliser sur les risques majeurs,
tandis que l’utilisation des seules ressources disponibles en interne ne le permettrait pas.
La valeur ajoutée qu’apporte l’audit interne est fortement corrélée à la compétence des
auditeurs en matière de gestion des risques.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 2_
8 Développer ou acquérir
les moyens techniques
Démarrer le processus en investissant trop de temps dans le développement ou l’acquisition
de moyens techniques (infrastructure, méthodologie, technologies) constitue un écueil à éviter
lors de la création d’une fonction audit interne. Un tel investissement doit être uniquement
motivé par les objectifs opérationnels et par la nature des risques de la société. Avant de
prendre des décisions clés en matière de moyens techniques, il est primordial d’examiner les
points suivants :
La méthodologie et les technologies d’audit interne peuvent faire l’objet d’un développement
en interne ou être acquises auprès de tiers. A titre d’exemple, PricewaterhouseCoopers
propose TeamMate™ , un système conçu spécifiquement pour les auditeurs internes intégrant
les documents de travail sous forme électronique ainsi que Global Best Practices™ , notre base
mondiale de connaissances des meilleures pratiques en matière de risques et contrôles.
Un département audit interne peut également se doter d’une procédure de contrôle qualité
afin de garantir la conformité aux méthodes, aux politiques de l’organisation et aux normes
professionnelles « Standards for the Professional Practice 1 » de l’IIA.
Se comparer aux meilleures pratiques sur le marché permet d’améliorer les performances
de la fonction audit interne.
1 Traduites en France par l’IFACI sous le titre « Normes professionnelles de l’audit interne »
24 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Établir une stratégie
de communication
9
Selon une étude de PricewaterhouseCoopers, la communication entre la direction générale
et l’audit interne est insuffisante dans de nombreuses organisations. Ce constat est d’autant
plus pénalisant qu’en matière d’audit interne les attentes sont de plus en plus importantes.
Comme la perception des performances de l’audit interne par les parties prenantes clés est
liée à une communication efficace, la fonction audit interne doit chercher des opportunités de
dialogue avec la direction générale de façon régulière, en instaurant un lien fort et clair entre
les missions de l’audit interne et les enjeux et risques de l’organisation.
Afin de renforcer l’efficacité des communications écrites, des rapports et des notes de
synthèse, il convient d’établir des protocoles de communication clairs couvrant entre autres
les points suivants :
n _la communication au sein de la fonction audit interne,
n la manière dont la planification et les résultats de l’audit seront communiqués à la
direction générale et aux directions opérationnelles,
n la revue des constats d’audit avant de quitter le terrain,
n l’utilisation dans les rapports d’audit, d’indicateurs de priorité ou d’autres moyens
afin d’indiquer la gravité des problèmes,
n les méthodes utilisées pour remédier aux différences d’interprétation des résultats
d’audit,
n l’établissement du calendrier d’émission du rapport final après avoir quitté le terrain,
n l’utilisation d’états d’avancement concernant les résultats d’audit, les
recommandations et leur mise en œuvre,
n la mise en place d’un planning de communication régulier avec les directions
opérationnelles entre les audits,
n les communications avec le comité d’audit et le reporting auprès de ce dernier,
n la coordination et la communication efficaces avec les auditeurs externes de
la société.
Pour gagner en pertinence dans sa communication avec la direction générale, l’audit in-
terne doit développer une stratégie de communication allant au-delà du simple reporting
sur les missions d’audit.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 25
10 Mesurer
les résultats
Afin de prouver son efficacité et de démontrer les résultats obtenus, l’équipe d’audit interne
doit disposer d’un système d’évaluation étroitement lié aux attentes spécifiques (« value
drivers ») identifiés lors de l’étape 1. En effet, si l’audit interne souhaite atteindre ou dépasser
les attentes de la direction, il est important de suivre et de mesurer régulièrement les
performances de cette fonction au regard de ces attentes.
Le « balanced scorecard » (tableau de bord de performance) constitue un outil efficace de
mesure de la valeur qui va au-delà des chiffres et offre une analyse globale des activités im-
portantes. Le concept du « balanced scorecard » a été créé en 1992 par Robert S. Kaplan
et David P. Norton, il s’appuie sur le principe suivant lequel l’évaluation des performances
constitue une source de motivation. A ce jour, des milliers de sociétés, d’organisations et
d’organismes gouvernementaux l’ont utilisé dans le monde entier.
Le « balanced scorecard » permet aux organisations de mettre en œuvre rapidement et effi-
cacement leur stratégie en intégrant l’évaluation des performances dans le système de ma-
nagement. Il permet d’évaluer un ensemble détaillé d’objectifs et d’activités de manière per-
manente. Chaque organisation doit établir son tableau de bord d’audit interne spécifique en
fonction des trois premières étapes de la démarche présentée dans ce document :
n identifier les attentes des parties prenantes,
n définir la mission,
n établir un plan de développement stratégique.
26 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Exemple de tableau de bord de la performance de la fonction audit interne.
L’audit interne n’est pas différent des autres processus d’entreprise. Ses performan-
ces et son apport de valeur peuvent être mesurés si des facteurs de valeur clairs ont été
établis initialement et si des modalités d’évaluation efficaces ont été définies.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 27
Création et
développement
d’une fonction
audit interne
Conclusion
Nous sommes convaincus qu’il est possible d’éviter les écueils
et les erreurs liés au démarrage de l’audit interne en combinant,
de façon optimale, la définition du cadre stratégique à la mise en
œuvre des actions opérationnelles.
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers 29
Les questions clés
Une démarche
en 10 étapes Questions clés
n __
Définit-elle clairement les niveaux hiérarchiques et les responsabilités au sein de la
fonction ?
n __
Est-elle partagée et communiquée de manière appropriée à l’organisation par les
dirigeants ?
n _Identifie les données clés et inclut des sources externes le cas échéant ?
n __
S’assure de la coordination et de l’intégration avec les fonctions de l’organisation
impliquées dans la maîtrise des risques et du contrôle ?
n __
Aborde la question du modèle de financement du département, incluant les be-
soins en termes budgétaires et en termes de ressources pour les _ à 5 ans à venir ?
n __
Traite la question de la communication relative à la création de la fonction et sa
mission, son rôle et son importance au sein de l’organisation ?
n __
Identifie la responsabilité fonctionnelle du développement et de l’exécution du
programme d’audit interne ?
n __
Aborde la question du contrôle qualité, du reporting des résultats et de la
responsabilité de la résolution des faiblesses du contrôle interne ?
n __
Fournit une norme de comparaison permettant d’apprécier les décisions futures et
les résultats ?
n __
Promeut et constitue un support à une collaboration et une communication
permanentes avec le comité d’audit et les autres acteurs ?
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers _1
Une démarche
en 10 étapes Questions clés
n __
Sont-ils le reflet d’une vision consensuelle (y compris des risques qui inclus celle
du management ?
n _Fournissent-ils une base pour élaborer des alternatives au plan d’audit interne ?
n __
Contribuent-ils à la clarification des compétences et aptitudes requises au sein de
la fonction ?
n __
Incluent-elles tous les coûts de démarrage, notamment les dépenses en matière
de recrutement, de méthodologie, de développement et de technologie (matériel
informatique et logiciels) ?
n __
Incluent-elles les frais administratifs, tels que les frais de déplacement, de
formation et d’apprentissage, de formation technique spécialisée et de support
administratif ?
n __
Initialement orientés vers des domaines impliquant des risques, un impact ou
des besoins importants, tels que la technologie de l’information et la sécurité des
données par exemple ?
n __
Entravés par le manque de personnel ? A-t-il a été envisagé de faire appel à des
ressources externes afin de gérer la transition vers un modèle de ressources
propres ?
_2 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Une démarche
en 10 étapes Questions clés
Évaluer n _Inclut-elle une analyse détaillée des ressources et des compétences nécessaires ?
les compétences n __
Tient-elle compte et inclut la stratégie RH prévue dans le plan de développement
nécessaires stratégique d’audit interne ?
n __
Résulte-t-elle d’une analyse objective des compétences requises, plutôt que de
l’utilisation des compétences internes disponibles ?
n __
Tient-elle compte des besoins en termes de compétences sectorielles,
spécialisées et des spécificités culturelles ?
n __
Tient-elle compte de l’évolution des compétences dans les _ à 5 ans à venir ?
n __
Envisage-t-elle la possibilité de faire appel à des fournisseurs extérieurs pour
bénéficier des compétences requises ?
Développer ou n __
De l’acquisition possible de technologies, des outils et des méthodologies
acquérir les moyens disponibles sur le marché ?
techniques n __
De l’établissement d’une méthode d’audit cohérente et documentée afin de
garantir la qualité de l’audit ?
n _Des ressources et des coûts de l’apprentissage et de la formation continue ?
n __
De l’accès à des outils spécialisés et à une expertise afin de les utiliser
efficacement ?
n __
Des contrôles qualité réguliers, incluant la conformité aux normes
professionnelles ?
Établir une stratégie n _Incluent-ils les besoins et les attentes des parties prenantes ?
de communication n __
Incluent-ils l’élaboration, la mise en place, la revue et la définition du calendrier des
rapports d’audit ?
n __
Intègrent-ils les attentes du management en termes de délai de suivi et de mise en
œuvre des recommandations tant du point de vue de l’audit interne que de celui
des audités ?
n __
Incluent-ils les bonnes pratiques en matière de communication interne et externe à
la fonction audit interne ?
n __
Sont-ils évalués à l’aide d’éléments de mesure s’appuyant sur les attentes des
parties prenantes clés et les « vecteurs de valeur ajoutée » identifiés dans le plan
stratégique ?
n __
Font-ils l’objet d’une évaluation par les parties prenantes clés ayant un lien direct
avec la fonction et étant intéressées à la mise en œuvre de sa stratégie et à la
réalisation de ses objectifs ?
n __
Constituent-ils un élément clé de l’évaluation des performances de chaque mem-
bre de l’équipe d’audit interne ?
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers __
Le département
Services à l’audit interne
de PricewaterhouseCoopers
en France
Les services à l’audit interne de PricewaterhouseCoopers (www.pwc.fr/auditinterne) offrent
un grand nombre de solutions aux entreprises souhaitant renforcer leur contrôle interne, la
maîtrise de leurs risques ainsi que leurs compétences en matière d’audit interne. Ce département
de PricewaterhouseCoopers offre une large gamme de services organisée autour de trois
grands pôles :
PricewaterhouseCoopers
PricewaterhouseCoopers (www.pwc.fr) développe des missions d’audit et de conseil pour des
entreprises de toutes tailles, publiques et privées, privilégiant des approches sectorielles et
assurant confiance et valeur ajoutée pour ses clients et l’ensemble des parties prenantes.
Plus de 142 000 personnes travaillent en réseau dans 149 pays, partageant points de vue,
expériences et solutions pour proposer des perspectives innovantes et des conseils adaptés
à chaque problématique.
En France, PwC développe cette approche avec Landwell, cabinet d’avocats correspondant.
© 2007 PricewaterhouseCoopers tous droits réservés. PricewaterhouseCoopers est constitué d’entités légalement
autonomes et indépendantes, membres du réseau PricewaterhouseCoopers International Limited.
_4 Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
Contacts
Brian Towhill
brian.towhill@fr.pwc.com
01 56 57 11 24
Jean-Pierre Hottin
jean-pierre.hottin@fr.pwc.com
01 56 57 82 6_
www.pwc.fr/auditinterne
www.pwc.fr/teammate
Création et développement d’une fonction audit interne| une démarche en 10 étapes | PricewaterhouseCoopers
6_, rue de Villiers
92208 Neuilly sur Seine cedex
www.pwc.fr