5 questions à David Bousseau, Directeur de l’audit interne de l’ADIE* (Association pour le droit à l’initiative économique)

Pourriez-vous vous présenter rapidement pour nos lecteurs et présenter l’ADIE?

David Bousseau : Après une formation universitaire en gestion des entreprises à l’IAE de Toulouse, j’ai fait l’essentiel de ma carrière à l’ADIE puisque j’y suis entré il y a maintenant 15 ans. J’y ai occupé plusieurs postes avant d’intégrer le service d’audit interne il y a une dizaine d’années. J’en suis le directeur et je travaille avec deux collaborateurs, un pour l’audit interne et le second pour le contrôle interne.

L’ADIE est une association qui depuis une trentaine d’années finance, accompagne la création et le développement des entreprises, en facilitant les démarches et en aidant particulièrement celles et ceux qui n’ont pas forcément les revenus suffisants pour mener à bien leur projet. C’est un réseau présent sur l’ensemble du territoire, avec 140 antennes locales, 600 salariés et 1 200 bénévoles.

 

Vous êtes l’un des speakers de la dernière réunion mensuelle de l’IFACI* sur « Comment élaborer un programme de travail complet et pertinent lors d’une mission d’audit interne ». En quoi êtes-vous particulièrement sensible à ce sujet ?

D.B. : Cela fait un moment que je participe aux différentes réunions proposées par l’IFACI, qui sont toujours très intéressantes. Et je m’intéresse particulièrement aux sujets très techniques, très « métier ». Le programme d’audit interne est un sujet extrêmement important pour toute la démarche de l’auditeur, qui va permettre de bien démarrer la mission d’audit.

Lorsque j’ai été sollicité pour participer, j’y ai vu l’occasion de partager des expériences sur un sujet majeur.

 

Quels sont les points clefs que vous retenez de cette réunion mensuelle ?

D.B. : Déjà, comme premier point, je dirais que les échanges avec les autres intervenants – Elisabeth Quin, consultante chez ACTAVERBA et Formatrice IFACI, pour la partie plus théorique, et Valérie Levrel, Directrice de l'audit interne chez INETUM, comme moi plus axée sur les aspects pratiques – ont été très riches. Nous nous complétions très bien, ce qui a permis un bon équilibre entre théorie et pratique et donc de proposer des choses très concrètes pour une mise en application. J’ai trouvé notamment les exemples donnés par Valérie très pertinents, en permettant de voir de façon très concrète comment cela se déroulait dans son entreprise. Ça m’a vraiment inspiré pour voir comment l’on pouvait s’améliorer au sein de l’ADIE.

Et puis, en toute modestie, j’ai apprécié de pouvoir intervenir et mettre un point d’attention sur la partie système d’information en dernière partie. Cela permet de faciliter le travail dans la phase de test et de préparation de la mission d’audit. C’est une partie importante dans la préparation du programme.

 

Quels sont selon vous les avantages et les limites de la sollicitation du contrôle interne par l’Audit interne en phase de préparation ?

D.B. : Tout dépend… Lorsque l’on a la chance d’avoir dans son entreprise un dispositif de contrôle interne qui est assez bien structuré, avec un contrôle de premier et de 2e niveau en place, cela facilite le travail pour l'auditeur, qui intervient en 3e niveau. Parce qu'il peut s'appuyer sur ce premier état des lieux, ce qui va faciliter sa construction du programme. Ça, c'est l'avantage de mon point de vue. Mais il ne faut pas s'arrêter là, c'est-à-dire qu'il ne faudrait pas se dire : « voilà, c'est bon, c'est fait sur le premier et le 2e niveau et nous on va aller au-delà ». Au contraire, je pense que c'est important d'ouvrir sa réflexion et de se dire : est-ce que ces contrôles qui sont opérés sont toujours pertinents ? Est-ce que le périmètre est toujours adapté ? Est-ce qu’il répond aux attentes de la structure et à l’objectif qui a été déterminé ? C'est la limite que j'y vois. C'est bien d'avoir un bon dispositif de contrôle interne, encore faut-il savoir l'évaluer correctement pour qu’il réponde à vos attentes et à celle de votre structure.

 

Vous avez tenu à apporter un point d’attention lors de votre intervention sur la partie système d’information. Comment optimiser l’analyse de données par les SI pour une information fiable, pertinente, suffisante et utile ?

D.B. : Pour moi, c’était effectivement important de finir la réunion sur ce sujet pour que cela soit pris en considération. Mais la principale question c'est : comment fait-on pour que cela fonctionne ? À l’ADIE, nous avons largement développé nos systèmes d'information, ce qui a complètement modifié notre façon d'aborder nos missions d'audit. On peut de plus en plus s'appuyer sur ces outils informatiques pour mener différents contrôles et avoir accès à une base réellement exhaustive. Auparavant, nous étions plutôt sûr de l'échantillonnage, ce qui est déjà bien, mais on voit bien que cela ne fonctionne en fait que si l’on a une base robuste avec de la donnée fiable. Sinon, cela veut dire que l’on crée une nouvelle zone de risque. Et dans ce cas, il faut donc s'assurer que cette zone de risque soit couverte. Nous avons ainsi déjà mis en place des mesures supplémentaires sur la fiabilité des ouvertures de comptes et des droits applicatifs qui sont accordés aux différentes personnes. Forcément, nous vérifions régulièrement que les droits sont ouverts aux bonnes personnes, ne serait-ce que sur les entrées et sorties. C'est-à-dire que quand tout nouveau collaborateur arrive, il faut lui affecter un profil. Quand il quitte l’ADIE, il faut supprimer ce profil-là. Et entretemps, il faut que son profil soit en cohérence avec ce qu'il fait, avec son poste. À l’ADIE, c’est compliqué, parce que comme je le disais, nous avons des collaborateurs salariés et des bénévoles. Et ces derniers peuvent avoir des missions différentes et donc avoir des profils qui évoluent. Nous sommes obligés d'avoir un regard particulier et des vérifications régulières.

Sur l’aspect fiabilité, nous avons élargi les contrôles. Nous sommes maintenant plutôt sur une base exhaustive et quand on identifie des écarts, cela nous permet de voir s’il s’agit juste d’erreurs ou de non-respect de procédure, ou est-ce que l’on une faille dans le système et donc de la donnée qui n’est pas fiable. On peut alors replacer des curseurs ou en tout cas verrouiller des mécanismes si besoin est.

Élargir le SI, cela donne des limites supplémentaires, parce qu’il faut s'assurer qu'effectivement ce soit pertinent, que l’on ne fasse pas n'importe quoi. Mais comme nous avons désormais la possibilité d’aller faire des contrôles sur la base entière, forcément, cela nous permet de nous assurer régulièrement que cette base est solide et est bien consolidée.

Pour autant, cela reste un travail au quotidien. Nous essayons de sensibiliser à chaque fois toutes les directions métiers pour que chacune soit responsable de la fiabilité des données sur son périmètre d'intervention. C'est noté dans la fiche de poste, dans la fiche de mission, dans la note organisationnelle… Encore faut-il donner à tous des outils et des moyens pour que chacun soit au clair sur les écarts qui peuvent être identifiés. Donc, nous travaillons régulièrement en lien avec les directions métiers, pour mettre en place les bons contrôles et leur donner la bonne information, rapidement, sur d’éventuelles anomalies constatées.

* Vous aussi participez aux Réunions Mensuelles de l'IFACI en devenant adhérent de l'institut, pour en savoir plus cliquez ICI