L'audit interne s'est fondamentalement transformé, passant d'une fonction de contrôle en back-office à un véritable partenaire stratégique qui génère de la valeur pour l'organisation, pilote les risques d'entreprise et renforce la gouvernance au sein de tous les services et niveaux hiérarchiques.
Face à des environnements réglementaires de plus en plus complexes, des évolutions technologiques rapides et des attentes croissantes des parties prenantes, la fonction audit interne se réinvente pour fournir des analyses prospectives, une rigueur analytique et un accompagnement proactif en gestion des risques qui vont bien au-delà du simple contrôle de conformité.
L'audit interne est défini par l'Institute of Internal Auditors (IIA) comme une activité indépendante et objective d'assurance et de conseil, conçue pour apporter de la valeur et améliorer les opérations d'une organisation.
En fournissant cette assurance, l'audit interne contribue au cadre de gouvernance, de gestion des risques et de conformité (GRC) de l'organisation, qui vise à garantir le respect des réglementations et des exigences internes comme externes.
Ce qui différencie l'audit interne des fonctions de conformité ou de finance traditionnelles, c'est son approche systématique et méthodique pour évaluer et améliorer l'efficacité de la gestion des risques, du contrôle interne et des processus de gouvernance d'entreprise.
Les organisations font face à un éventail écrasant de menaces couvrant les dimensions financières, opérationnelles, de conformité, stratégiques, réputationnelles, de cybersécurité et de durabilité. Sans fonction d'assurance indépendante comme l'audit interne, la direction générale et les organes de gouvernance manquent de l'objectivité et de la visibilité nécessaires pour comprendre si ces risques sont correctement identifiés et gérés.
Le modèle des trois lignes de défense fournit un cadre pour comprendre comment les différentes fonctions au sein d'une organisation partagent la responsabilité de la gestion des risques et du maintien du contrôle interne.
La première ligne de défense se compose des unités opérationnelles et des fonctions métier qui gèrent directement les risques au quotidien à travers l'exécution des processus et la mise en œuvre des recommandations de contrôle. La deuxième ligne de défense englobe les fonctions de gestion des risques, de conformité et de contrôle interne qui assurent la supervision et la surveillance des activités de gestion des risques de première ligne.
La troisième ligne de défense est représentée par la fonction audit interne. Ce qui distingue l'audit interne, c'est son indépendance organisationnelle vis-à-vis de la direction. Les auditeurs internes ne gèrent pas les risques, ne prennent pas de décisions managériales et n'opèrent pas les contrôles établis par d'autres fonctions. L'audit interne doit équilibrer son interaction avec le métier afin de fonctionner comme un conseiller de confiance tout en maintenant l'indépendance nécessaire pour rendre des évaluations impartiales.
Les audits financiers examinent l'efficacité du contrôle interne entourant les processus de reporting financier, l'intégrité des systèmes et registres comptables, et la pertinence des transactions financières et soldes de comptes significatifs.
Les audits de conformité se concentrent sur l'évaluation du respect par l'organisation des lois applicables, des réglementations, des politiques internes et des obligations contractuelles. En menant des audits de conformité rigoureux, les fonctions d'audit interne aident les organisations à éviter des pénalités coûteuses et des sanctions réglementaires, tout en permettant de démontrer aux régulateurs que des mécanismes de surveillance appropriés sont en place.
Les audits opérationnels évaluent l'efficience et l'efficacité de la performance opérationnelle d'une organisation. Ces audits aboutissent souvent à des recommandations qui impactent directement les résultats en identifiant des opportunités de réduction des coûts, des améliorations de processus et des changements d'allocation des ressources.
Les audits informatiques examinent la sécurité et l'efficacité de l'infrastructure technologique d'une organisation, des applications, des systèmes d'exploitation et des bases de données. Ces audits ont pris une importance accrue ces dernières années, alors que les menaces de cybersécurité deviennent plus sophistiquées et dommageables.
L'audit ESG évalue l'alignement d'une organisation avec les standards ESG et identifie les domaines d'amélioration en matière de pratiques de durabilité, d'initiatives de responsabilité sociale et d'efficacité de la gouvernance. La croissance de l'audit ESG reflète l'attention intensifiée des investisseurs, régulateurs et autres parties prenantes sur la durabilité d'entreprise et les pratiques commerciales responsables.
Une planification efficace de l'audit interne commence par une évaluation exhaustive des risques et un alignement stratégique pour garantir que le plan d'audit annuel est aligné sur les priorités organisationnelles et concentré sur les zones présentant les risques les plus importants.
Plusieurs référentiels peuvent être utilisés lors de la planification d'un audit interne :
Les Normes internationales pour la pratique professionnelle de l'audit interne de l'IIA stipulent que les fonctions d'audit interne doivent développer et maintenir un plan d'audit interne fondé sur les risques, approuvé par le comité d'audit ou le conseil d'administration.
La norme ISO 19011 guide les organisations sur l'établissement des objectifs du programme d'audit, la définition du périmètre et de la fréquence des audits, et l'amélioration continue des processus d'audit.
Le cadre de l'Autorité des marchés financiers (AMF) en France fournit des recommandations pour les sociétés cotées concernant le contrôle interne et la gestion des risques. L'AMF publie régulièrement des positions et recommandations qui façonnent les attentes en matière d'audit interne.
La loi Sapin II (2016) a renforcé les obligations de conformité des entreprises françaises, notamment en matière de lutte contre la corruption. Cette législation a considérablement accru le rôle de l'audit interne dans l'évaluation des dispositifs anticorruption et des programmes de conformité.
Le cadre COSO de contrôle interne intégré fournit des orientations complètes sur la conception, la mise en œuvre et l'évaluation des systèmes de contrôle interne, façonnant la manière dont les organisations conceptualisent le processus de planification de l'audit.
Une fois qu'une mission d'audit a été planifiée et approuvée, les auditeurs internes effectuent le travail de terrain pour rassembler des preuves, tester les contrôles et développer des constats qui soutiennent les conclusions sur l'adéquation et l'efficacité des processus de gouvernance, de gestion des risques et de contrôle.
Le cœur du travail de terrain d'audit consiste à mener des entretiens avec les collaborateurs de l'entreprise pour comprendre les processus et contrôles, examiner la documentation et les systèmes, effectuer des procédures de test pour évaluer l'efficacité du contrôle, et rassembler des preuves pour soutenir les observations et conclusions d'audit.
Les procédures de test impliquent l'examen d'échantillons de transactions ou d'enregistrements pour évaluer si les contrôles ont fonctionné efficacement durant la période examinée. Au fur et à mesure que le travail progresse, les auditeurs organisent des réunions de clôture avec la direction pour discuter de leurs observations et valider leur compréhension des processus.
Durant le processus de planification de l'audit interne, l'équipe peut utiliser une matrice de risques pour prioriser les risques identifiés en fonction de leur probabilité d'occurrence et de leur impact potentiel. Les risques évalués comme ayant un impact élevé et une probabilité élevée sont généralement priorisés dans le plan d'audit. Les zones à risque modéré peuvent être auditées moins fréquemment, avec un périmètre de travail moins étendu. Les zones à faible risque peuvent recevoir une attention d'audit sur des cycles moins fréquents.
Les équipes d'audit interne utilisent généralement une combinaison de missions d'audit récurrentes planifiées sur des cycles établis et d'audits ad hoc traitant de préoccupations spécifiques ou de risques émergents.
La distinction la plus fondamentale entre l'audit interne et l'audit externe concerne leurs objectifs respectifs et leurs publics principaux. L'audit interne se concentre sur l'aide à l'organisation pour améliorer la gestion des risques, renforcer les contrôles et améliorer l'efficacité opérationnelle. L'audit externe, en revanche, fournit une assurance orientée conformité aux parties prenantes externes concernant la situation financière de l'organisation et l'exactitude du reporting financier.
Le périmètre des audits internes est généralement déterminé par la direction et le comité d'audit, reflétant les priorités de l'organisation. Le périmètre des audits externes est déterminé par les normes comptables applicables et les exigences réglementaires, se concentrant sur les comptes des états financiers matériels.
Les audits internes sont menés selon des calendriers déterminés par l'évaluation des risques organisationnels. Les audits externes sont généralement effectués sur des calendriers annuels, car les parties prenantes externes attendent une assurance cohérente et périodique.
Les auditeurs internes doivent être indépendants des fonctions qu'ils auditent et maintenir une distance professionnelle vis-à-vis de la direction pour préserver un jugement impartial. Les auditeurs externes doivent être indépendants de l'organisation, ce qui signifie que les cabinets d'audit externe ne peuvent pas simultanément fournir des services qui compromettraient leur capacité à rendre des opinions objectives.
Le directeur de l'audit interne (Chief Audit Executive - CAE) est responsable de diriger la fonction audit interne et sert de représentant principal de l'audit interne auprès de la direction générale, du comité d'audit et du conseil d'administration, portant la responsabilité de positionner l'audit interne comme un conseiller de confiance et un partenaire stratégique.
Au-delà du rôle de CAE, les fonctions d'audit interne typiques incluent des rôles d'audit spécialisés concentrés sur différents domaines tels que l'audit financier, l'audit opérationnel, l'audit informatique et l'audit de conformité. Les auditeurs seniors ou les responsables d'audit supervisent généralement des missions d'audit spécifiques, tandis que les auditeurs en charge dirigent l'exécution de missions individuelles, et les auditeurs juniors effectuent les tests détaillés et la collecte de preuves.
La taille des fonctions d'audit interne varie considérablement selon les organisations en fonction de la complexité organisationnelle, du profil de menace, des exigences réglementaires et de la disponibilité des ressources.
Les attentes concernant les compétences des auditeurs ont subi une transformation significative ces dernières années pour refléter la nature évolutive des menaces commerciales et des exigences organisationnelles.
Les compétences émergentes hautement valorisées chez les auditeurs internes modernes incluent l'analyse de données et la maîtrise des données permettant aux auditeurs d'analyser de grands ensembles de données pour identifier des anomalies et des tendances, une culture de l'intelligence artificielle pour comprendre comment les systèmes d'IA fonctionnent et quels risques ils présentent, une connaissance du domaine de la cybersécurité pour évaluer les contrôles de sécurité technologique, et une expertise en durabilité pour évaluer les pratiques de gouvernance environnementale et sociale.
Et parce que l'audit interne fonctionne désormais de plus en plus comme un conseiller stratégique plutôt que simplement comme un vérificateur de conformité, les auditeurs doivent également posséder de solides soft skills incluant des capacités de communication, une aptitude à construire des relations, une pensée critique, une intelligence émotionnelle et une compréhension de la gestion du changement.
La structure de reporting de la fonction audit interne est essentielle pour préserver l'indépendance et l'objectivité et est explicitement abordée dans les normes d'audit interne et les cadres de gouvernance.
Les auditeurs internes maintiennent une double ligne de reporting : un rattachement fonctionnel au comité d'audit ou au conseil d'administration et un rattachement administratif à la direction générale, généralement au directeur général (PDG) ou au directeur financier (DAF).
Ce rattachement administratif a généré un débat continu au sein de la profession d'audit interne quant à savoir si cet arrangement crée l'apparence d'un compromis sur l'indépendance de l'audit interne et crée un potentiel de biais vers les domaines d'audit financier relevant du DAF.
Richard Chambers, ancien président et directeur général de l'Institute of Internal Auditors, a déclaré que « les statistiques [qu'il a] vues au fil des ans indiquent que les directeurs financiers sont plus susceptibles d'utiliser l'audit interne pour traiter les risques clés dans leurs domaines de responsabilité au détriment potentiel des risques non-DAF dans l'organisation. »
La relation entre le directeur de l'audit interne et le président du comité d'audit est fondamentale pour le succès de la fonction audit interne et l'efficacité du rôle de supervision du comité d'audit. Le comité d'audit est généralement composé de membres du conseil d'administration indépendants de la direction et possédant une expertise financière, de gouvernance ou d'audit.
Le directeur de l'audit interne doit s'assurer que le comité d'audit reçoit une communication opportune et claire concernant les constats et risques significatifs, mais doit le faire de manière à préserver la capacité de la direction à traiter les constats et à mettre en œuvre des améliorations.
Un logiciel d'audit interne désigne des plateformes technologiques qui soutiennent systématiquement l'exécution des fonctions d'audit interne, y compris la planification, la conduite des missions, la documentation des constats et le reporting des résultats.
La catégorie la plus complète de logiciels d'audit interne englobe les plateformes de gouvernance, risques et conformité (GRC) qui intègrent les capacités de gestion des risques, de gestion de la conformité, de gestion de l'audit et d'évaluation du contrôle interne dans des systèmes unifiés.
Une gestion efficace de l'audit nécessite de gérer des volumes substantiels d'informations incluant les plans d'audit, les évaluations de risques, la documentation d'audit, les preuves de test de contrôle, les constats, les plans d'action de la direction et le suivi. Les logiciels d'audit interne résolvent ces défis en fournissant des processus structurés pour planifier les audits, assigner le travail, collecter des preuves, documenter les constats et consolider les résultats, tout en s’appuyant sur un logiciel audit analytics spécialisé pour renforcer l’audit continu et la surveillance des contrôles.
Plutôt que de s'appuyer sur des tableurs fragmentés, des communications par email et une gestion manuelle des dossiers de travail, les logiciels et plateformes d'audit interne consolident les workflows d'audit dans des systèmes centralisés qui fournissent une visibilité en temps réel, une collecte automatisée de preuves et des insights alimentés par l'IA.
L'audit interne et le contrôle interne représentent des fonctions organisationnelles complémentaires mais distinctes qui ensemble soutiennent une gestion efficace des risques et la gouvernance.
La direction est responsable d'établir et de maintenir des contrôles internes appropriés au profil de risque et aux objectifs stratégiques de l'organisation. Le rôle de l'audit interne est d'évaluer si l'environnement de contrôle que la direction a établi est suffisant pour atténuer les menaces identifiées, si les activités de contrôle spécifiques fonctionnent efficacement pour prévenir ou détecter les erreurs et fraudes, et si des activités de surveillance se produisent pour vérifier l'efficacité continue du contrôle.
Une gestion efficace des risques nécessite l'intégration de la mise en œuvre du contrôle par la direction, des activités de surveillance de la direction, et de l'assurance indépendante de l'audit interne. Lorsque ces fonctions travaillent efficacement ensemble, les organisations bénéficient d'une identification complète des risques émergents, d'une conception et mise en œuvre appropriées de contrôles pour atténuer ces risques, et d'une assurance indépendante fournissant la confiance que les risques sont gérés de manière appropriée.