Contribution de L'auditeur À L'entreprise Risk Management

La contribution de l’auditeur interne à l’entreprise risk
management : résultats d’une étude exploratoire

Sourour Hazami-Ammar
Dans Recherches en Sciences de Gestion 2018/4 (N° 127), pages 107 à 133
Éditions ISEOR
ISSN 2259-6372
DOI 10.3917/resg.127.0107
© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)
Article disponible en ligne à l’adresse

https://www.cairn.info/revue-recherches-en-sciences-de-gestion-2018-4-page-107.htm
Découvrir le sommaire de ce numéro, suivre la revue par email, s’abonner...

Flashez ce QR Code pour accéder à la page de ce numéro sur Cairn.info.
Distribution électronique Cairn.info pour ISEOR.

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les limites des conditions générales d'utilisation du site ou, le
cas échéant, des conditions générales de la licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie, sous quelque
forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est
précisé que son stockage dans une base de données est également interdit.
GESTION ET THÉORIE COMPTABLES
revue Recherche en Sciences de Gestion-Management Sciences-Ciencias de
Gestión, n°127, p. 109 à 133
La contribution de l’auditeur interne à l’entreprise risk

management : résultats d’une étude exploratoire
Sourour Hazami-Ammar
Maître assistante - Habilitée à Diriger des Recherches
Institut des Hautes Études Commerciales
Université de Sfax
(Tunisie)
Ce papier explore dans quelles mesures l’auditeur interne

peut-il contribuer à l’Enterprise Risk Management. Les responsables
de cette fonction abordent les facteurs motivant et inhibant la portée
de cette contribution. Ils évoquent que même si un changement a été
perçu au niveau du rôle de l’auditeur interne en rapport avec l’ERM,
son incompétence, non-indépendance et non-intégration du risque de

fraude peuvent freiner l’efficacité de son intervention. Une prémisse
se manifeste selon laquelle un changement important doit se produire
dans les finalités de l’audit interne au cours des cinq prochaines
années.
Mots-clefs : Auditeur interne - Approche par les risques - Valeur

ajoutée - Contrôle interne - Innovation.
This paper explores how the internal auditor can contribute

to the Enterprise Risk Management. The managers of this function
address the factors that motivate and inhibit the scope of this
contribution. They point out that even if a change has been perceived
in the role of the internal auditor in relation to the ERM, his
incompetence, non-independence and non-integration of the fraud risk
may hinder the effectiveness of his intervention. A premise is that a
major change must occur in the purposes of internal audit over the
next five years.
110 SOUROUR HAZAMI-AMMAR
Key-words: Iinternal auditor - Risk-based approach - Value-added -

internal control - Innovation.
Este documento explora cómo el auditor interno puede

contribuir a la Gestión de riesgos empresariales. Los gerentes de esta
función abordan los factores motivadores e inhibidores de esta
contribución. Señalan que aunque ha habido un cambio en el rol del
auditor interno en relación con el MTC, su incompetencia, no
independencia y la no integración del riesgo de fraude pueden
obstaculizar la efectividad de su intervención. Una premisa es que
debe producirse un cambio significativo a los fines de la auditoría
interna durante los próximos cinco años.
Palabras-clave: Auditor interno - Enfoque de riesgo - Valor

agregado - Control interno – Innovación.
Introduction

Les pratiques managériales de gestion des risques des
décennies 1990 – 2000 se sont transformées et requièrent désormais la
concertation de l’ensemble des collaborateurs de l’organisation
(COSO II, 2005). La contribution de l’auditeur interne (AI
dorénavant) à l’Entreprise Risk Management (ERM), peu appréhendée
empiriquement, est conçue comme une innovation puisqu’elle ne peut
pas être considérée comme une pratique traditionnelle. Constatant les
arguments qu’il suscite, et les réactions divergentes qu’il provoque
dans les mondes professionnel et surtout académique, il s’avère
intéressant de tenter de montrer ce qui, dans l’intervention de l’AI
dans l’ERM, représente éventuellement une innovation. Nous
distinguons entre l’AI traditionnel axé sur la conformité et le suivi et
un nouvel AI axé sur la gestion de différentes sources de risque,
l’implication des responsables hiérarchiques et l’accroissement de leur
confiance dans les risques et les contrôles (Bou-Raad, 2000 ; Arena et
Azzone, 2009). L’impact positif de l’engagement de l’AI à l’ERM sur
l’identification des risques (IFACI – IIA, 2017) sera défendu. Les AI
sont censés aider les organisations dans l’amélioration de l’efficacité
de leur processus de gestion des risques, de contrôle et de
CONTRIBUTION DE L’AUDITEUR INTERNE 111
À L’ENTREPRISE RISK MANAGEMENT
gouvernance et peuvent constituer une source précieuse

d’informations pour les comités d’audit, les auditeurs externes et les
dirigeants (Ege, 2015 ; Pizzini et al, 2015). Pour manier un tel
cheminement, on fait la différence entre les « vraies » et « fausses »
innovations managériales. Délimiter ces groupes a nécessité
l’adoption d’une définition précise de ce qu’est une innovation
managériale. Face à une approche qui pourrait s’avérer difficile sur les
deux plans théorique et empirique, nous supposons que l’innovation
managériale est conçue, à partir non point de sa substance supposée,
mais du discours qu’elle engendre. La première section de cet article
est consacrée aux fondements théoriques ; la seconde présente la
méthodologie ; la troisième expose les résultats et leurs
interprétations ; la quatrième fournit les enseignements de l’étude.
1. – L’AI face au risque : un acteur enclin à innover ?
1.1. L’innovation : la signification restreinte et la perception
La recherche à travers la signification de l’innovation managériale


nous invite à traiter celle de l’innovation en général. Or, il apparait
que cette notion, même si elle domine le discours managérial, reste
difficile à entourer et à rendre opérationnel : une vision nouvelle, dit-
on, en considérant néanmoins qu’elle pourrait se matérialiser par une
transformation dans la boîte à outils du gestionnaire. Les
caractéristiques, qui permettent de différencier une « vraie »
innovation managériale d’une « fausse », méritent une interrogation.
Le changement induit par l’innovation est appréhendé comme une
nouveauté. Dans ce sens Hamel (2006) distingue dans sa définition
entre l’innovation et les pratiques managériales courantes. L’écart par
rapport aux processus traditionnels de management reflète, selon lui,
l’innovation managériale, qui change significativement la façon dont
le travail managériale est réalisé (Hamel, 2006). Dans
l’environnement socio-économique où l’usage des notions
« innovation » ou « innovant » démarque une action évocatrice, on
peut être étonné de la simplicité de cette définition : l’innovation
dépend de la façon avec laquelle elle est perçue et accueillie par les
acteurs impliqués. Il s’agit donc de s’arrêter sur la perception de ce
qui est nouveau, et non les seuls procédés (Van de Ven, 1986). Le
changement (ou l’évolution entre deux situations) peut refléter

l’innovation lorsque les messages échangés portent plus sur un
progrès (une idée nouvelle) que le risque de perdre un existant connu.
Dans le cadre de l’entreprise, l’innovation est captée à partir des
valeurs positives qu’elle peut véhiculer. L’innovation, synonyme de
progrès, est une source de légitimité qui s’approvisionne de la
technologie et la science. La notion d’innovation en général et celle
d’innovation managériale en particulier, sont censées être porteuses
d’une bonne raison pour changer, peu importe la nature du
changement. La démarche que nous proposons consiste à recouper
entre deux objets, l’innovation et l’AI. Autrement, il ne s’agit pas
d’explorer un objet (l’AI vis-à-vis de l’ERM) à partir d’un concept
(l’innovation managériale), qui, aux termes des définitions avancées
étoufferait une classe très étroite ou plutôt étendue. Ce recoupement
doit passer, dans un premier temps, par l’étude du contexte de l’AI et
sa contribution à l’ERM.
1.2. Contexte et objet de recherche : contribution de l’AI à l’ERM
1.2.1. Le risque : approche conceptuelle versus sociale


L’évolution historique de la notion de risque et sa gestion
peuvent être remontées à l'ère pré-moderne où les risques liés à des
événements naturels étaient au-delà de l'action humaine. La gestion
des risques, telle qu'elle est actuellement comprise, était largement
absente. En effet, la souscription des polices d’assurance par les
entreprises permet de se couvrir contre des pertes causées par des
incendies, vols, tremblement de terre. Le risque est le simple résultat
de la fatalité ou « actes de Dieu ». L’approche traditionnelle, ayant le
mérite de reconnaître l’existence du risque en tant que menace
(Mullins, Forlani, 2005) opte, cependant, pour son élimination, quoi
que cette tentative puisse « aboutir au plus grand de tous les risques :
la rigidité » (Drucker, 1973).
Les développements de la science et de la technologie, tout
en offrant une protection contre certain risques, ont également crées de
nouveaux, ce qui donne lieu à des demandes pour des processus de
gestion des risques efficaces en vue de faire face à une complexité
croissante du ‘calcul du risque’ au niveau de l’organisation. C’est
ainsi que l’ERM se définit en tant qu’un processus permettant de gérer
les risques dans les limites de son appétence pour le risque. Il se
présente comme une approche d’identification de tous les risques qui

menacent l’atteinte des objectifs de l’organisation. Plusieurs
catégories de risque ont été envisagées par la littérature.
L’identification des risques, n’étant pas une fin en soi, sera suivie par
une étape de qualification selon deux paramètres : la probabilité de
survenance et l’impact en cas de survenance (Ebondo Wa Mandzila &
Zéghal, 2009). Les risques identifiés et évalués permettront à la
direction la définition de la stratégie adéquate. Par ailleurs, les
individus se sentent vulnérables et la notion d’être en mesure de gérer
les risques fournit un certain confort (Giddens, 1991). Les risques sont
désormais quantifiés ce qui implique que les stratégies d’évitement et
de prévention sont possibles. La conception sociale du risque se
singularise par la contradiction progressive de l’environnement : d’une
part la dégradation perçue et possible, et d’autre part l’expansion de la
réglementation. Seulement, aucun individu ou institution apparaît être
particulièrement répréhensible de n’importe quoi. Dans le cadre du
gouvernement d’entreprise, la gestion des risques n’est qu’une
réponse aux demandes de responsabilisation.
Dans le contexte du débat sur la gouvernance d’entreprise,
l’approche technico-scientifique constitue la base d’une rhétorique qui

relie les processus de gestion des risques pour la bonne gouvernance.
Cette approche suppose que la perception du risque n’est qu’une
réponse à un stimulus extérieur et est communiqué, souvent sous la
forme d’informations quantitatives et génère des processus de gestion
des risques, qui sont directives et sur la base de la procédure. Pourtant,
au sein des organisations, en raison de la façon dont les différents
types de risques ne sont pas intégrés, non considération de l’ERM, il
n'y a probablement pas de consensus sur le sens du risque et les
moyens appropriés pour le gérer. En effet, le risque est un concept
vaguement défini et mutable qu’il est devenu une partie du domaine
de la gouvernance d’entreprise. Ainsi, l’argument que les risques sont
gérés dans le cadre de la gouvernance d’entreprise suppose que les
risques peuvent être objectivement identifiés, quantifiés et donc gérés
stratégiquement. Une illustration est l’évolution de la contribution de
l’AI et la nécessité de comprendre s’il s’agirait d’une innovation
managériale. Comme, nous l’avons déjà signalé, c’est au discours que
nous attacherons la fonction de déterminer ce qu’est une innovation.
1.2.2. Le management des risques et le contrôle interne :

complémentaires ou substitutifs ?
En apparence, le management des risques est le prolongement

du contrôle interne (Ebondo Wa Mandzila & Zéghal, 2009).
Néanmoins, une lecture approfondie laisse penser qu’il s’agit
simplement d’un changement de terminologie. L’hypothèse d’une
extension est déjà confirmée par le COSO. Dans le même cadre, le
contrôle interne est considéré comme un mécanisme de gouvernance
de l’entreprise, sensé réduire les risques auxquels l’entreprise est
exposé (Pigé, 2011 ; Ebondo Wa Mandzila, 2006). Le contrôle interne
est représenté comme une coalition de cinq paramètres :
l’environnement de contrôle, l’évaluation des risques, les activités de
contrôle, l’information et la communication, le pilotage du contrôle.
L’ERM inclut le contrôle interne et le complète (Schéma 1). Il
s’attribue les trois objectifs et les cinq composantes du contrôle
interne qu’il rajoute par trois autres éléments, dont notamment le
traitement des risques, et un quatrième objectif : la stratégie. Le cadre
de l’ERM élaboré par le COSO demande à la fonction d’AI d’aider la
direction par l’évaluation de l’efficacité du risque d’entreprise (Ege,

2015). Néanmoins, les frontières entre l’AI et le risk manager sont
encore flous (Aubry, 2012).
Schéma 1 : Le contrôle interne et l’ERM se complètent
L’hypothèse d’une substitution trouve son fondement dans le

contenu informationnel relativement pauvre du reporting sur le
contrôle interne (Gumb et Noël, 2007). En effet, le contrôle interne a
été règlementé et l’information qui s’y rapporte a été formalisée. Les
actionnaires et le marché doivent désormais être informés sur les
procédures de contrôle interne (SOX, LSF). Le contrôle interne s’est
vu alors considéré comme la solution au problème et le rétablissement
de la confiance des investisseurs était son enjeu. La fiabilité et la
transparence de l’information comptable et financière sont supposées
être garanties par un contrôle interne de qualité. Seulement, la
littérature montre que les failles potentielles du contrôle interne
demeurent toujours du domaine du caché (Gumb et Noël, 2007). Une
explication parmi plusieurs pourrait la nature ponctuel et subi du
management traditionnel du contrôle interne, n’étant pas considéré,
jusque-là, par la plupart des entreprises comme une fonction à part
entière permanente et active (Cappelletti, 2006). Un reporting réussi
nécessite la mise en œuvre permanente de dispositifs et d’outils de
synchronisation, de pilotage, de toilettage, et d’information dédiés au
contrôle interne ainsi qu’un AI qui, en lien avec la direction générale,

pilote cette fonction, ce ci risque de poser problème pour les
entreprises qui ne possèdent pas une fonction d’audit interne. Dans
l’hypothèse d’une fonction de contrôle interne structurée, les auditeurs
internes conviennent que le reporting tel qu’imposé par la loi améliore
les contrôles et de facto le travail de vérification sans qu’il soit
instructif pour la prise de décisions (Hermanson, 2000). Ces éléments
sous-jacents à la rhétorique d’un changement de terminologie du
contrôle interne vers la gestion des risques, effet de mode, corroborent
l’hypothèse que la volonté était de dépasser l’échec qu’a vécu le
reporting sur le contrôle interne mais aussi de tenter de fournir aux
entreprises l’appétit et la légitimité de l’existence d’une telle fonction.
L’engagement du management vis-à-vis de l’AI, la légitimité de la
contribution de l’AI vis-à-vis de l’ERM et la relance du contrôle
interne expliquent cet effet de substitution du contrôle interne vers
l’ERM, schéma ci-dessous :
Schéma 2 : Le contrôle interne et l’ERM se substituent
1.2.3. La contribution de l’AI à l’ERM : abandon, mérite et impact
« Le référentiel, au moment où il remplit sa fonction, ne se

présente comme une réalité déjà séparée : il est actualisé par la façon
d’être, quant à nous de la situation ». C’est sur cette hypothèse que
semble reposer la rhétorique de l’innovation. Le contexte conceptuel
et pratique actuel est présenté comme en état d’abandon avec
l’univers dans lequel des pratiques « révolues » ont été conçues. A ce
jour, par exemple, la turbulence de l’environnement et la complication
des stratégies sont censées interpeller un renouvellement dans
l’implication d’autres acteurs dans l’ERM. L’AI est, ainsi déclaré

comme, censé aider la direction, le conseil d’administration ou le
comité d’audit en recommandant une amélioration de l’adéquation et
l’efficacité du risque d’entreprise (COSO II). Son intervention est
censée être en abandon avec les pratiques qui résument son
implication dans la fonction financière. Elle se pose aussi comme en
rupture avec l’impasse de la méconnaissance de certains dirigeants
d’entreprise vis-à-vis de la volonté de percevoir l’AI comme un
collaborateur susceptible d’intervenir dans tous les processus et à
toutes les fonctions d’une organisation. Ce ci signifie que la mise en
relation des dimensions financières, organisationnelles et structurelles,
devrait briser la barrière de l’ignorance : « la mutation bien intégrée
par la majorité des auditeurs, n’a pas été réellement perçue par nos
managers » (Vaurs, 2002). Le changement qui en résulte concerne les
hypothèses sur lesquelles s’appuie son domaine d’intervention, qui
abandonne l’idée d’un contrôle limité dans l’espace pour entrer dans
celle d’une assistance à la gestion des risques. Cet abandon n’est
concrètement consommé que lorsque l’innovation s’accompagne d’un
lexique spécifique. Ce lexique tient tout d’abord à l’innovation en
elle-même. Le champ terminologique qui l’accompagne doit rendre

l’abandon plus facilement saisissable. Plus généralement, les mots
utilisés pour décrire l’idée « nouvelle » sont empruntés dans le
vocabulaire des innovations les plus récentes.
Le mérite attribué au niveau de la cognition ne peut pas à lui
seul établir le bien-fondé de l’innovation, il faut que cette dernière
suscite une progression marquante en terme plus immédiatement
pratique. Sa genèse est le fruit de multiples réflexions ou d’études
empiriques, censées apporter une garantie supplémentaire aux
managers. La contribution de l’AI à l’ERM est affichée comme
répondant à ces exigences parce qu’elle aboutit à des connaissances
« nouvelles », et « mieux organisées », elle ne peut aboutir qu’à de
meilleures décisions. D’ailleurs, dans le cadre de l’environnement
externe, en rapport avec l’ERM, trois types d’analyse sont mises en
place par l’AI : l’analyse des risques stratégiques, l’analyse des
risques de processus et l’analyse des risques résiduels (Knechel,
2007). Au niveau interne, l’examen du contrôle interne, déjà en place,
permet à l’AI de comprendre comment le management de l’entreprise
conçoit et met en place des procédures pour identifier les risques et y
faire face. Les risques correctement traités par le management seront

éliminés de la liste dûment arrêtée par l’AI, les autres risques, non
encore maîtrisés feront l’objet d’un repérage. Une telle évaluation lui
donne une compréhension de la culture en matière de management des
risques de l’organisation, son appétence pour le risque ainsi que la
surveillance exercée par le conseil d’administration. D’autres
paramètres sont prises en considération tels que l’intégrité, les valeurs
éthiques, la compétence du personnel, la politique de délégation des
pouvoirs et de responsabilités, l’organisation et le développement des
collaborateurs.
L’innovation tient à la fois sur l’abandon et sur le mérite. Il
est nécessaire, en plus, de se demander dans quelle mesure et sous
quelles conditions l’innovation managériale est un facteur de
performance (Reinmoeller et al., 2011 ; Heij et al. 2012). Dans ce
cadre le concept de ‘valeur ajoutée’ s’est considéré comme le motif
permettant de faire évoluer la contribution de l’AI vers la gestion des
risques (Arena et Azzone, 2009) et de facto à la réalisation des
objectifs de l’organisation (Gramling et al., 2004 ; Yee et al., 2008).
C’est ainsi qu’il est censé aider à conserver la valeur actuelle par la
prévention du gaspillage de capital (Marx, 1978, 1981) contre la
fraude et l’inefficacité, mais aussi par l’amélioration des processus

opérationnels. D’ailleurs on peut penser que l’approche par les risques
mise en place par l’auditeur externe plus orientée sur le métier et la
stratégie du client (Trunny-Dususson, 2003, Burt, 2016) pourrait être
considérée comme un point de rencontre avec celle adoptée par l’AI.
Mieux encore, l’AI peut contribuer à l’allègement des travaux de
l’audit externe notamment en ce qui concerne le risque inhérent
(Zulkifflee, 2012), créant ainsi de la valeur ajoutée à travers la
réduction des honoraire d’audit externe (Morill et Morill, 2003). La
validité de la notion selon laquelle l’AI pourrait ajouter de la valeur
aux organisations repose sur l’hypothèse implicite que l’AI est
efficace. Or, quelques études (Mat Zain et al., 2006 ; Mihret et
Yismaw, 2007), suggèrent que cette fonction n’est pas toujours
efficace. Le degré d’efficacité de l’AI a tendance à varier selon la
dynamique du milieu de l’AI en rapport avec le type de pays et la
nature de l’organisation (Arena et al. 2006).
2. – Méthodologie
2.1. Choix méthodologiques


La recherche a pour objet de réfléchir sur le positionnement
de l’AI dans le processus de management des risques en vue d’étudier
sa contribution à l’identification des risques dans son approche
d’audit. En France, l’IFACI, chapitre français de l’IIA, veille à la
promotion d’études en matière d’AI. Dans ce cadre, l’étude de
l’impact des directeurs de l’AI les plus performants a donné lieu à une
série de points de vue communiqués par l’IIA1. Ces points de vue,
exprimés par des AI responsables de grandes organisations, ont été
exploités pour les besoins de la recherche. L’intérêt manifesté pour ce
recueil réside dans la richesse du corpus d’une part et aussi le souci
d’être au plus proche du terrain et des professionnels en exercice. Par
ailleurs, les personnes interviewées ont abordé le thème relatif au
management des risques ainsi que l’apport de l’AI à ce thème de
manière volontaire dans le cadre de leurs discours sans être dirigées
ou orientées par une question posée. Ceci dénote que les responsables
1
IIA & KORM/FERRY INSTITUE (2010).
de l’audit interne (RAI), tout comme le chercheur, s’interrogent

souvent sur leurs positionnements et comportements par rapport au
management des risques. Ainsi, la contribution des points de vue de
ses professionnels à la mise en épreuve de nos propositions de départ
ne peut qu’être enrichissante, valorisante et surtout authentique. La
démarche adoptée est pragmatique. En effet, le corpus des entretiens
n’était pas notre seule source de recherche. Il a été complété par une
deuxième investigation concernant la biographie de chacun des
participants. Cette étape était nécessaire en vue de vérifier la
représentativité de l’échantillon. Notre contribution s’inscrit, alors,
dans une perspective qualitative. Notre objectif est de comprendre la
réalité d’un phénomène en cours d’évolution, d’où une approche basée
sur l’analyse du discours et le point de vue des acteurs ouvrant au
centre de ce phénomène. Il s’agit en d’autres termes de « repérer dans
les expressions verbales ou textuelles des thèmes généraux récurrents
qui apparaissent sous divers contenus plus concrets », (Mucchielli,
1996). Nous tentons de cerner les motivations sous-jacentes à la mise
en place d’une approche par les risques. Le listing des interviewés
était dispersé puisque composés de hauts responsables de l’institut des
auditeurs internes (l’IIA-IFACI, IIA-ATAI, UFAI) ainsi que de

représentants de fonction d’audit interne des plus grands groupes
mondiaux tels que Audea, Microsoft, Veolia Environnement, Siemens
AG, etc. A l’issu de notre analyse, l’échantillon se compose de vingt-
cinq interviewés dont le détail est le suivant :
Encadré 1: Caractéristiques des interviewés
2.2. Analyse du corpus d’entretiens


Une analyse thématique, catégorielle (Bardin, 1996) a permis
de repérer quels étaient les thèmes les plus fréquemment abordés et
quelles étaient les différentes perceptions des acteurs de leur
évaluation des risques. La question qui se pose à ce niveau est :
comment peut-on passer à un deuxième niveau plus général et plus
explicatif et ce à partir d’un ensemble opérationnel de significations ?
Il faut comprendre les « patterns », les récurrences, les pourquoi. Les
codes thématiques sont des codes explicatifs ou inférentiels, qui
identifient un thème, un pattern ou une explication émergente
suggérée par l’interviewé. Leur fonction est de rassembler une grande
quantité de matériels dans des unités d’analyse plus significatives et
économiques. L’identification des thèmes a exigé de procéder à un
découpage du discours par thème. Ce découpage est guidé d’une part
par notre problématique et d’autre part par le respect des principes de
l’analyse de contenu (choix des unités de sens associés, des unités de
contexte…). A chaque unité de discours ainsi découpée est affecté un
mot ou groupe de mots susceptible de résumer le thème sélectionné.
Durant cette phase, nous avons noté tous les nouveaux thèmes
susceptibles d’apparaître. L’examen du corpus des entretiens ainsi que

le croisement des différents thèmes évoqués a permis de distinguer
dans un premier temps le contexte d’implantation de cette approche :
l’AI est-il suffisamment acteur dans la gestion des risques ? Dans un
second temps, cette analyse met en évidence les atouts procurés par le
management des risques et les freins à son adoption.
3. – Présentation et interprétation des résultats
3.1. Caractère trop innovant de l’AI pour traiter l’ERM
La considération de la contribution de l’AI à l’ERM comme trop

innovante n’est pas sans preuve véritable. Si ce sujet est aujourd’hui
d’importance, ce n’est que dû à des efforts de franchissement fournis
en vue d’aller au-delà d’une conception historique qui appréhende
l’AI en tant que « policier et gardien » (Morgan, 1979). En effet, les
AI sont confrontés à de nouveaux défis du fait de l’élargissement des
activités de l’entreprise (Brauweiler, 2017). L’AI dispose d’un atout
considérable lorsqu’il traire l’ERM. Nous mettons en évidence le

changement perçu au niveau du rôle de l’AI, l’optimisation des
contrôles, la maîtrise des spécificités de l’entreprise et l’amélioration
de la légitimité de l’AI.
Les scandales financiers de la fin du siècle passé et du début du
siècle présent ont contraint les entreprises à se recentrer sur elles-
mêmes en vue de repenser leur gestion du risque dans tous les aspects
de leurs activités et les auditeurs internes ont vu leur modèle
traditionnel de revue des risques se métamorphoser. Ainsi, à titre
d’exemple, un AI cite que l’approche basée sur la mise en relation du
risque de l’entreprise avec les opportunités du marché ne peut qu’être
inventif : «dans l’environnement actuel, les entreprises n’ont plus les
moyens de supporter le surcoût de ces contrôles supplémentaires.
C’est pourquoi un bon RAI doit se montrer à la fois rigoureux et
suffisamment souple pour voir au-delà du plan d’audit». L’AI ne peut
plus être perçu à travers son rôle de contrôle mais plutôt en tant que
créateur de valeur tout en s’adaptant à l’évolution perpétuelle des
technologies de l’information et de la communication : «le contrôle
prend une autre dimension et signification. Il s’entend, désormais,
comme le moyen de prévention, de maîtrise et d’atténuation des
risques de l’entreprise…ce contrôle implique la considération des

mutations économiques … avec l’influence des technologies de
l’information et de la communication». L’anticipation des
changements au niveau de l’environnement n’est pas le seul paramètre
à être assurée par une approche par les risques. Selon les personnes
interviewées, il existe une sorte de conviction que cette approche n’est
pas une alternative mais plutôt un sort. En contrepartie, les
organisations sont censées être confrontées à des restructurations, à
une refonte des processus, à un redimensionnement, à la
mondialisation et à une surveillance accrue : « Ceci passe
inéluctablement par une bonne gouvernance, par une maîtrise des
risques et par un meilleur système de contrôle interne, où l’AI
constitue l’un des maillons déterminant, voire le pivot ».
L’AI peut, grâce à l’ERM, optimiser la nature et l’ampleur de ses
contrôles, puisque prenant en considération les risques les plus
imminents mentionnés par la gestion des risques. L’un des interviewés
déclare que : «L’importance croissante prise par cette fonction, au
croisement du contrôle interne, du risk management et des aspects de
sécurité générale, pousse à une professionnalisation encore accrue».
La priorisation des contrôles effectués se référant à la cartographie des
risques permet d’améliorer l’efficacité et l’efficience de l’AI. Aussi,

les comptes rendu rédigés par la gestion des risques ne sont basés sur
les informations contenues dans les rapports de l’AI, et une
dynamique de contrôle commune se créée. Le contrôle interne, mis en
place en réponse aux risques identifiés, s’améliore continuellement sur
la base des insuffisances dûment relevées par l’AI. Une atmosphère de
sécurité générale se répand dans l’entité et des bonnes pratiques
peuvent être reconnues comme telles par les AI et pourquoi pas
renforcées et généralisées. D’ailleurs et comme le confirme le RAI
d’une entreprise spécialisée dans les systèmes de défense,
d'électronique et l'aérospatiale : «Pour les AI, le problème actuel
consiste à déterminer comment ils peuvent aider la direction à
réussir». La compréhension, la coordination et la communication
perfectible sur les risques à définir auprès du comité d’audit
caractérisent la contribution de l’AI dans le cadre de l’ERM. D’autre
part, l’intérêt que porte le comité d’audit à l’AI est commode avec
l’accroissement des attentes du premier envers le second. Il s’agit,
selon les entretiens, de l’évaluation du contrôle interne et des risques
notamment sur les aspects opérationnels, recommandations sur
l’amélioration du contrôle interne, mais aussi sur la performance des
processus au sens large. La majorité des interviewés admettent que

l’ERM ne concernent pas toutes les entreprises. D’ailleurs l’ERM,
comme a été présenté par le COSO II, est un processus suscitant
l’intervention de plusieurs spécialistes et à chacun son point de vue et
son diagnostic.
L’adoption d’une approche ERM permet de mieux connaître
l’entreprise. En effet, «Vous devez avoir une approche globale, être
capable de relier différents éléments entre eux et comprendre les
implications et les conséquences des décisions de l’entreprise, de
façon à utiliser les ressources avec le plus d’efficacité possible». La
compréhension des spécificités de l’entreprise permet à l’AI de faire
des économies de coût et d’œuvrer en vue d’accroître la synergie entre
l’audit interne, le contrôle interne et l’ERM, souvent réclamées par le
management.
D’après les interviews, l’ERM procure à l’AI un atout
considérable puisqu’il permet de légitimer et démarquer cet
intervenant. L’un des AI l’a bien dit : «En général, on ne s’aperçoit de
notre présence que lorsqu’une crise survient». L’AI s’interroge et
peut procéder à la révision de son modèle notamment en période de
crise. Dans ce sens, il minimise ses dépenses, n’épargne pas ses efforts

pour formuler des recommandations et solutions et créée de la valeur
ajoutée. Cet interviewé ajoute : «Et, le plus souvent, ce que nous
faisons, si nous le faisons vraiment bien, reste énigmatique pour la
plupart des gens. Il est donc pour nous capital d’être présents et de
bien faire passer notre message». Selon un AI faisant partie d’une
entreprise spécialisée dans la fabrication et la distribution des produits
sidérurgiques et métallurgiques : «En raison de la crise économique
mondiale, je pense que l’avenir se joue aujourd’hui. Les RAI doivent
exercer le leadership en conciliant, dans les plans d’audit, la
conformité à la réglementation et la création de valeur».
3.2. Les défaillances affectant la capacité de l’AI à traiter l’ERM
Même si une activité d’assurance, visant l’évaluation objective et

indépendante du processus de gestion des risques, est à la charge de
l’AI (IFACI-IIA, 2017), des obstacles peuvent limiter la portée de
l’AI à traiter l’ERM. Dans ce qui suit, nous analysons les difficultés
rencontrés dans le cas d’une organisation qui proteste l’ERM,
l’empêchement dû à la non-indépendance de l’AI et à la confusion de
son périmètre d’intervention, son insuffisante contribution à cause de

son incompétence et l’inefficacité de son action due à la non-
intégration du risque de fraude.
L’interaction entre les risques stratégiques, financiers et
opérationnels implique la mise en place d’un système ERM. Cette
interdépendance, pour être à son plein emploi, doit obéir à un nombre
de conditions. Les AI, affilié à un corps de normes professionnelles,
sont conscients de la valeur ajoutée qu’une telle approche procure à
l’organisation. En contrepartie, tout changement vaut résistance. Il
s’agit de passer d’une appréhension limitée aux risques financiers et
comptables à l’intégration de tous les risques liés aux différents
processus de l’entreprise. Sur ce point les RAI sont d’accord et
confirment la nécessité de faire preuve de courage dans l’adversité.
Des pressions et des obstacles considérables, inhibant la portée d’une
approche ERM, doivent être surmontées «Vous devez être prêt à vous
battre seul quand les choses vont de travers, et à transmettre un
message rapidement», affirme un AI d’une entreprise d’assurance, il
ajoute : «Il faut avoir envie d’agir pour le bien de l’entreprise, et ne
pas penser à sa propre carrière». Néanmoins, la mission de l’AI n’est
pas de traiter les risques, mais de s’assurer qu’il existe un processus de
management des risques et que ce processus est efficace. Une

clarification en terme de ses attributions anéantisse les possibles
pressions comme confirmé par l’un des interviewés, directeur de
l’audit interne d’une entreprise spécialisée dans l’industrie du câble :
«Je pense également que le positionnement de l’AI par rapport à
d’autres fonctions telles que le management des risques, la qualité ou
le contrôle permanent devra être clairement affirmé pour qu’il ne
puisse faire l’objet de la moindre contestation ou être remis en
cause».
Repenser son professionnalisme aux vues de l’ERM, invite
forcément les AI à avoir la capacité d’agir en toute indépendance et
dans les limites de la frontière des autres fonctions déjà en place et
bien structurées. Comme le souligne un AI : «comme l’image d’un
pack de rugby, il y a ceux qui sont en première ligne, les managers de
terrain qui prennent les risques. En deuxième ligne, il y a les risk
managers, qui fixent les cadres dans lesquels les risques doivent être
pris et veillent à ce que l’organisation de l’équipe soit celle que l’on
souhaitait à l’origine. En troisième ligne, il y a l’auditeur qui veille à
ce que l’on ne sorte pas du cadre défini. L’AI constate ce qui a été
fait, en tire des leçons et, le cas échéant, suggère des corrections ».
« Je crois fortement que la Direction de l’AI doit, pour être efficace et

apporter de la valeur ajoutée, avoir la totale confiance de la Direction
générale et la parfaite écoute du Comité d’audit», l’affirme un AI.
Même si une approche ERM est déjà en place, l’AI ne peut exercer
pleinement son activité de surveillance s’il n’est pas indépendant. Un
rattachement hiérarchique à la direction générale et fonctionnel au
comité d’audit, comme c’est la tendance actuellement, a été
considérée comme un gage d’indépendance, étant donné que cette
dernière n’est pas un dû mais plutôt se mérite. Ces propos ont été
confirmé par l’un des AI: «L’auditeur marche sur un fil : il rend
compte à la fois au comité d’audit et à la direction».
Les professionnels qui font toute leur carrière dans l’audit interne
ne correspondent plus aux compétences recherchées par les
organisations. Un RAI d’une organisation spécialisée dans le domaine
de l’énergie et du transport, dit : «un RAI performant a un réel sens de
l’activité de l’entreprise et une expérience opérationnelle ». Pour y
faire, l’audit interne sera conçu en tant qu’une entité et l’organisation
sera considérée comme le client de cette entité. Selon les interviewés,
le poste de RAI n’est plus systématiquement occupé par un expert-
comptable ou par un AI de carrière : «Les RAI de la vieille école ne

correspondent plus au profil recherché par le conseil
d’administration …C’est tout simplement un nouvel ensemble de
compétences qui est requis». Quelques interviewés sont allés plus loin
en faisant récit d’une approche déjà en place basée sur un modèle de
rotation pour l’AI, qui dicte le mouvement des cadres dans
l’organisation, ce qui permet à ces intervenants d’acquérir une
expérience dans de nombreux domaines d’activité. « Au sein de notre
groupe, un principe clair a été posé : vous ne pouvez pas prendre ma
place si vous n’avez pas une certaine expérience opérationnelle ….Il
n’y a plus de carrière toute tracée pour un RAI. À présent, plus le
parcours est varié, mieux c’est ». Opter pour tel ou tel modèle n’a pas
de sens si l’AI n’appréhende pas cette migration vers l’ERM. « Ce qui
a changé ces dernières années, c’est que le comité d’audit demande
désormais au RAI d’avoir une vision plus complète, plus globale ».
Les attentes vont suivre puisque : « ils attendent du RAI qu’il apporte
cette vision, que ce soit pour la gestion du risque, les risques de
l’entreprise ou le risque opérationnel ».
Faire appel à une approche par les risques et considérer les AI
comme partie prenante conduit à nous interroger sur le défi dont l’AI
doit faire face vu la nature de la tâche qui pèse lourd notamment en ce

qui concerne le risque de fraude. Se pose alors la question suivante :
comment les AI peuvent-ils aider à contrer la fraude et permettre aux
organisations d’être en contrôle sur ces risques ? «Le traitement de ces
dossiers devient de plus en plus complexe parce que les ressources
pour lutter contre ces crimes sont rares et souvent débordée »,
l’affirme un AI administrateur de l’IIA Québec. Il ajoute que : «l’AI
compétent et voué à l’organisation va être capable de reconnaître les
éléments ‘red flags’ constituant un risque ainsi que les signes de
fraude». Pour citer quelques exemples, cet AI ajoute : «l’AI
perspicace détectera facilement si la planification opérationnelle et
financière est discutable et qu’il y a des manquements et des déficits
de caisses récurrents malgré les prévisions optimistes. Il saura
détecter les problèmes s’il constate une rotation inhabituelle du
personnel de contrôle ou de gestion». L’approche par les risques
suscite de la part de l’AI plus de vigilance en ce qui concerne le
domaine des services financiers et comptables de l’entreprise.
Plusieurs exemples ont été cités par cet administrateur, nous reportons
quelques-uns. Selon lui, l’AI sera alerte sur l’application des principes
comptables, l’historique des pertes, de la fluctuation marquée au
chapitre des revenus et des dépenses. Le climat social, ne devant pas

s’en échapper puisque l’AI devra s’intéresser aux traitements des
plaintes des employés, des clients et des fournisseurs et regarder
combien de litiges ou de réclamations n’ont pas été réglés et quel en
est le coût. Le respect des lois et de la réglementation fait partie, selon
cet AI, de son champ d’activité, il dit : «l’AI s’intéressera également
aux diverses inobservations des lois et des règlements des organismes
de contrôle ou de réglementation. Il devra regarder, dans la mesure
du possible, si des membres du personnel semblent mener un gros
train de vie, par rapport aux salaires payés». Pour présenter en des
termes concis le reste des propos de cet AI, nous disons que les
attributions en matière d’évaluation des risques sont très vastes et
qu’un excès est songé dans les systèmes d’information, le secteur des
inventaires, les achats et ventes, la liquidité, les encaisses, les écritures
d’ajustement, l’utilisation des marges de crédit, la mauvaise
évaluation des actifs et la suppression ou modification de pièces
comptables ou justificative. Bref, autant d’éléments signifient autant
de défis. Pour y succomber, rien ne vaut qu’un examen au plus près
dans le but d’y déceler les indices de fraudes ou d’irrégularités.
4. – Enseignements de l’étude
Nos résultats permettent de mettre en exergue les signes

d’une influence mutuelle entre l’AI et l’ERM (4.1), proposer une
explication théorique de l’engagement de l’AI dans une approche par
les risques (4.2) puis de s’interroger sur les prolongements de l’étude
(4.3).
4.1. L’AI et l’ERM : les signes d’une influence mutuelle
La gestion des risques, du point de vue de son histoire (Giddens

& Lash, 1994), permet de mettre en évidence les événements à
l’origine de l’intérêt des entreprises pour la démarche de gestion des
risques : expansion du domaine du risque (Charreaux, 2002),
perception plus complexe du risque, nouvelles logiques de protection
de la valeur et nouvelles réglementations (Cappelletti, 2006). A partir
de 2005, la mise en place par les législateurs et régulateurs aux Etats-
Unis comme en Europe, d’un mode de gestion adapté à un
environnement de plus en plus risqué, a conduit au lancement de
l’ERM, un renouvellement dans la forme d’appréhension des risques

(Ebondo Wa Mandzila & Zéghal, 2009). Cette approche, outil
intégrant le management des risques dans le management global des
activités, place l’AI dans un environnement dynamique et en
transformation (Autissier, 2001). Tandis que le rôle de l’AI évolue
dans le but de s’adapter aux risques auxquels font face les entreprises ;
risque de technologie d’information, risque lié à la lutte contre la
corruption (Chotitumtara et Pigé, 2012), risque de fraude (Dufour,
2016), risque de comportements opportunistes (Pigé, 2011) ; ces
risques influent sur la façon dont cette fonction est structurée et
l’approche d’audit qu’elle adopte (Autissier, 1999). De prime abord,
l’AI, véhiculant de nouvelles idées sur le risque et sa gestion,
contribue à l’ERM et son apport pourrait aboutir à des changements au
niveau de certaines pratiques managériales. L’analyse du cadre de
l’ERM permet enfin de caractériser l’AI de fonction d’évaluation,
d’établir qu’elle s’implémente de manière éparpillée et que ses
frontières restent perplexes. « Le manager qui dirige un de ces silos ne
se préoccupe généralement que de celui-ci … il faut des gens qui ont
une vue d’ensemble de toute l’organisation, et l’AI est l’une des rares
fonctions à avoir cette capacité », selon l’AI d’une entreprise de

télécommunication.
4.2. Une interprétation du rôle de l’AI dans le management des

risques
La réflexion sur la contribution de l’AI à l’ERM trouve son

origine dans les lois et réglementations (Mihret et al. 2010). Ces
dernières, par leur contenu peu structurant, ont conduit à des
approches de sur-réaction et de sur-référence à des procédures
(Pesqueux, 2012). « Si la loi doit idéalement s’en tenir aux principes,
cet objectif devient cependant de plus en plus difficile à respecter, tant
la complexité de la réalité s’accommode mal avec la réalité des
normes ». D’autres parties prenantes tels que les dirigeants, le conseil
d’administration via le comité d’audit, avec lesquels il faut d’avantage
communiquer, jouent un rôle important (Soh & Bennie, 2011). Les AI
ont eux aussi joué un rôle de préconisateurs de pratiques, nettement
influencées par la taille de l’organisation, son secteur d’activité, sa
nature privé ou publique (Coram & al. 2008). Ces mécanismes
fonctionnent pour préserver l’organisation contre des risques,
demeurant souvent non identifiés, étant donné que leurs détections

n’incombent pas à l’AI (IIA, 2017). Inutile d’être surpris que son
engagement pourrait s’apparenter à une description des risques
routiniers (Mihret et al. 2010). Les organisations doivent savoir que
l’AI implique intrinsèquement un conflit de contribution pourtant les
efforts visant à l’éliminer peuvent entraîner le refus des AI (Fogarty et
Kalbers, 2000). Ainsi, se livrer à ces activités soulève des menaces
importantes pour l'objectivité de l’AI sous plusieurs formes : auto-
évaluation, pression sociale et familiarité (Brody et Lowe, 2000;
Ahlawat et Lowe, 2004; Fraser et Henry, 2007). D’ailleurs
l’engagement de l’AI vis-à-vis de l’ERM, processus devant clairement
prévoir ses intervenants, dépend des perceptions du RAI par rapport à
son aptitude à évaluer les risques déjà détectés (Coetzee & Fourie,
2010). Le modèle de rotation de l’effectif est un outil de gestion des
ressources humaines qui peut s’avérer adéquat. Les organisations ont
l’assurance qu’elles confronteraient le pire si elles ne le faisaient pas.
4.3. Prolongements de l’étude
Au-delà de l’audit financier et opérationnel, de nouveaux

besoins se font jour dans les organisations (Spira & Page, 2003). Le
COSO II réconforte cette évolution en élargissant le terrain
d’intervention de l’AI vers la surveillance des objectifs stratégiques de
l’organisation. La dualité entre les dimensions stratégique-
opérationnelle, ou positionnement stratégique-processus internes,
caractérise le changement induit par l’AI sans pour autant engendrer le
chao (Autissier, 2001). L’AI ne devrait-il pas avoir une feuille de
route sur un horizon précis basée sur la stratégie générale de
l'organisation, les attentes des parties prenantes, les exigences
réglementaires et le rôle des autres acteurs de risque, schéma ci-
dessous :
Schéma 4 : L’AI au croisement entre le risque et la stratégie de

l’entreprise

L’AI se conçoit comme un contributeur à la stratégie globale

de l’entreprise. Pour ce faire, rien ne vaut qu’un positionnement
adéquat, une compréhension de ses impératifs de changement, une
évaluation de son état et son niveau d’adaptation à l’ERM. Par
ailleurs, les comités d’audit évaluent si l’audit interne réussit à
identifier les risques à un stade précoce, à faire le suivi des contrôles
essentiels et à aider à répondre aux risques émergents (DeZoort 1997).
Une relation significative existe entre l’expertise financière du comité
d’audit et la probabilité d’une faiblesse (Krishnan et Sivanathan,
2007). De plus : «la direction et le comité d’audit sont à l’affût de
signes supplémentaires : ils veulent sentir le pouls de l’organisation.
On reconnaît un bon leader notamment à son aptitude à transmettre
ce genre de choses». Là encore se pose l’atout du savoir, savoir-faire
et savoir-être du responsable de l’audit interne et son équipe. Cette
idée converge avec les propos d’un autre auditeur en disant : «Parmi
les auditeurs de carrière, ceux qui s’apparentent le plus au stéréotype
du comptable introverti et peu sociable ont des relations difficiles,
voire impossibles, avec le comité d’audit ». Une interrogation,
méritant d’être posée, consiste à étudier les attentes des comités
d’audit envers l’audit interne. La réponse à cette question détermine
une éventuelle implication de cette fonction dans des objectifs

stratégiques. En effet, l’AI sera plus efficace si son directeur
comprend les attentes du comité d’audit et de la direction, et si les
attentes concordent. Comme l’a clairement exprimé un interviewé :
«Le conseil d’administration attend de lui qu’il s’exprime avec
franchise et transparence, et qu’il sache aisément présenter les faits et
les circonstances tels qu’il les voit, sans se préoccuper de manœuvres
politiques ou de perceptions individuelles ». Ainsi, le comité d’audit
s’attend-il à ce que l’AI fournisse avant tout assurance et protection de
la valeur, orientation stratégique et création de valeur, conseils
d’affaires et atténuation des risques, ou encore une combinaison des
trois ?
Conclusion
L’objectif de notre travail était de présenter quelques

réflexions sur la contribution de l’AI à l’ERM et d’identifier les
facteurs de contingence en faveur d’un apport de plus en plus
important. Pour atteindre cet objectif, nous nous sommes basées sur
une approche qualitative qui a consisté à analyser le point de vue de
vingt-cinq AI. Les résultats de l’étude exploratoire montrent que les
AI impliqués dans l’ERM perçoivent un changement au niveau de leur
rôle, mettent en œuvre des contrôles plus optimisés en adéquation
avec des spécificités plus maîtrisées de l’entreprise et se conçoivent
comme des leaderships capables de concilier dans leurs plans d’audit
entre la conformité à la réglementation et la création de valeur. Les
résultats montrent aussi que la portée de l’AI à traiter l’ERM pourrait
s’avérer affectée par un certain nombre de défaillances telles que la
résistance au changement, le manque d’indépendance de l’AI et
l’insuffisante coordination avec les autres intervenants, l’inadéquation
du profil actuel et le manque de sensibilisation sur le risque de fraude.
A la question : « au-delà du rôle de l’AI dans l’ERM, pourquoi l’AI
n’a-t-il qu’une contribution limitée ? », nous avons écarté l’hypothèse

selon laquelle l’apport de l’AI à l’ERM est un prolongement par
rapport à sa contribution au contrôle interne. La prémisse d’une
substitution a été adoptée. A l’origine, l’étude de l’efficacité du
contrôle interne, dont un rôle d’évaluation a été préconisé à la charge
de l’AI, montre la pauvreté du contenu informationnel de son
reporting et la remise en cause de l’argumentation selon laquelle le
contrôle interne pourrait améliorer la fiabilité de l’information
financière. La volonté était de remplacer le contrôle interne par la
gestion des risques. Mais, puisque l’échec caractérise la première
contribution, rien n’a fait échappé l’AI d’un deuxième échec : une
contribution limitée à l’ERM, aux termes des interviewés. Aller au-
delà de cet état de fait, l’efficacité de la contribution de l’AI à l’ERM,
tient au vecteur de l’innovation, lequel ne serait ni une pratique, ni une
théorie, mais un discours, marqué par l’abandon, le mérite et l’impact.
Ces trois indicateurs légitiment l’innovation. L’abandon garanti que
l’idée suggérée est pionnière, le mérite atteste que cette idée conduit à
des pratiques managériales meilleures, et l’impact en assure les
conséquences sur la performance.
RÉFÉRENCES BIBLIOGRAPHIQUES
ARENA M. & AZZONE G., « Identifying organizational divers of internal audit

effectiveness », International Journal of Auditing, Vol. 13, Issue 1, 2009,
p43.-60.
AUBRY C., « Naissance de la fonction ‘risk manager’ en France », Revue
Management & Avenir, N°55, 2012, p14.-35.
AUTISSIER D., « Les mécanismes d’assimilation d’une mission d’audit interne
: le modèle ‘activation – sélection – rétention’ de K.E. Weick à l’épreuve
du terrain », Finance Contrôle Stratégie, Vol. 4, N° 1, 2001, p5.- 30.
AUTISSIER D., « L’impact des démarches qualités sur les processus d’audit
interne : vers une nouvelle typologie de l’audit interne », Actes du
10e congrès AFC, 1999, p312.-320.
BOU-RAAD G., « Internal auditors and a value-added approach: The new
business regime », Managerial Auditing Journal, N°4, Vol. 15,
2000, p182.-187.
BRAUWEILER C., « Internal audit in a multinational perspective: problems and
challenges », Global challenges of management control, N°474,
2017, p25.-32.
BURT I., « An understanding of the differences between internal and external

auditors in obtaining information about internal control weaknesses
», Journal of management accounting research, N°3, Vol. 28, 2016,
p83.-99.
CAPPELLETTI L., « Vers une institutionnalisation de la fonction contrôle
interne? », Comptabilité, Contrôle, Audit, Tome 12, vol. 12, 2006,
p27.-43.
CAUCHIE J.-F. & HUBERT H-O., « La société du risque, d’Ulrich Beck », La
Revue Nouvelle, Vol. 115, N°7-8, 2002, p86.-97.
CHOTITUMTARA A. & PIGE B., « Les transactions entre parties liées, spoliation
des actionnaires ou mécanisme relationnel complexe, le cas de la
Thaïlande », Recherches en Sciences de gestion, N°89, 2012, p61.-
80.
COETZEE P. & FOURIE H., « Perceptions on the role of the internal audit
function in respect of risk », African Journal of Business
Management, .N°3 (13), 2010, p959.-968.
DRUCKER P., Management: Tasks, Responsibilities, Practices, Harper & Row
Publishers, New York, 1973.
DUFOUR N. & LAFFORT E., « La prévention de la fraude dans les
établissements financiers, un enjeu d’appropriation croisée »,
Annales des Mines – Gérer et comprendre, N°124, 2016, p14.-28.
EBONDO WA MANDZILA E. & ZEGHAL D. ; « Management des risques de

l'entreprise : Ne prenez pas le risque de ne pas le faire ! », Revue des
Sciences de Gestion, N° 3, 2009, p5.-14.
EBONDO WA MANDZILA E., La gouvernance de l’entreprise: une approche par
l’audit et le contrôle interne, édition l’Harmattan, 2006.
EGE M. S., « Does internal audit function quality deter management
misconduct? », Accounting Review, N°2, Vol. 90, 2015, p495.-527.
GRAMLING A.A. & MYERS P., « The role of the internal audit function in ERM
», The Internal Auditor, 2006, p52.-56.
GUMB B. & NOEL C., « Le rapport des dirigeants sur le contrôle interne à
l’épreuve de l’analyse de discours », Comptabilité Contrôle Audit,
13, Vol. 2, 2007, p97.-126.
HAMEL G., « The why, what and how of management innovation », Harvard
Business Review, Vol. 84, N°2, 2006, p72.-84.
HERMANSON H. M., «An analysis of the demand for reporting on internal
control », Accounting horizons, Vol. 14, N°3, September 2000,
p325.-341.
IFAI – IIA, « Normes internationales pour la pratique professionnelle de
l’audit interne », 2017.
IIA & KORM / FERRY INSTITUE, « Une âme de leader», Recueil d’opinions,
réalisé par CHAMBERS. R. F., ELDRIDGE. C. B & PARK.P, 2010.
PESQUEUX Y., « La gestion du risque : une question d’expert », Prospective et
Stratégie, N° 2-3, 2012, p243.-265.

PIGE B., « Ontologie, théorie et gouvernance des organisations ou la question
de l’Etre aux fondements des enjeux de l’organisation », La Revue
des Sciences de gestion, Direction et Gestion, N°251, 2011, p37.-49.
RENARD J., Théorie et pratique de l’audit interne, édition Eyrolle, Paris,
2007.
SARENS G. & DE BEELDE I., « Internal auditors' perception about their role in
risk management: a comparison between US and Belgian companies
», Managerial Auditing Journal, N° 21(1), 2006, p63.-80.
VAN DE VEN A.H., « Central problems in the management of innovation »,
Management Science, Vol. 32, N°5, 1986, p590.-607.

Contribution de L'auditeur À L'entreprise Risk Management

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Contribution de L'auditeur À L'entreprise Risk Management

Transféré par

Droits d'auteur :

Formats disponibles

La contribution de l’auditeur interne à l’entreprise risk

management : résultats d’une étude exploratoire

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

Article disponible en ligne à l’adresse

Découvrir le sommaire de ce numéro, suivre la revue par email, s’abonner...

Distribution électronique Cairn.info pour ISEOR.

La contribution de l’auditeur interne à l’entreprise risk

Ce papier explore dans quelles mesures l’auditeur interne

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

Mots-clefs : Auditeur interne - Approche par les risques - Valeur

This paper explores how the internal auditor can contribute

Key-words: Iinternal auditor - Risk-based approach - Value-added -

Este documento explora cómo el auditor interno puede

Palabras-clave: Auditor interno - Enfoque de riesgo - Valor

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

gouvernance et peuvent constituer une source précieuse

1. – L’AI face au risque : un acteur enclin à innover ?

1.1. L’innovation : la signification restreinte et la perception

La recherche à travers la signification de l’innovation managériale

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

changement (ou l’évolution entre deux situations) peut refléter

1.2. Contexte et objet de recherche : contribution de l’AI à l’ERM

1.2.1. Le risque : approche conceptuelle versus sociale

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

présente comme une approche d’identification de tous les risques qui

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

1.2.2. Le management des risques et le contrôle interne :

En apparence, le management des risques est le prolongement

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

L’hypothèse d’une substitution trouve son fondement dans le

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

Schéma 2 : Le contrôle interne et l’ERM se substituent

1.2.3. La contribution de l’AI à l’ERM : abandon, mérite et impact

« Le référentiel, au moment où il remplit sa fonction, ne se

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

elle-même. Le champ terminologique qui l’accompagne doit rendre

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

fraude et l’inefficacité, mais aussi par l’amélioration des processus

2.1. Choix méthodologiques

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

de l’audit interne (RAI), tout comme le chercheur, s’interrogent

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

Encadré 1: Caractéristiques des interviewés

2.2. Analyse du corpus d’entretiens

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

susceptibles d’apparaître. L’examen du corpus des entretiens ainsi que

3. – Présentation et interprétation des résultats

3.1. Caractère trop innovant de l’AI pour traiter l’ERM

La considération de la contribution de l’AI à l’ERM comme trop

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

risques de l’entreprise…ce contrôle implique la considération des

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

processus au sens large. La majorité des interviewés admettent que

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

3.2. Les défaillances affectant la capacité de l’AI à traiter l’ERM

Même si une activité d’assurance, visant l’évaluation objective et

son périmètre d’intervention, son insuffisante contribution à cause de

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

« Je crois fortement que la Direction de l’AI doit, pour être efficace et

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

doit faire face vu la nature de la tâche qui pèse lourd notamment en ce

© ISEOR | Téléchargé le 13/10/2023 sur www.cairn.info (IP: 154.125.204.197)

Nos résultats permettent de mettre en exergue les signes