Faut-il repenser le rôle de l'audit interne, dans un monde aujourd'hui en profonde mutation ?

C’est la question que se sont posés Valérie Moumdjian, Directrice de l’audit interne et des risques du groupe Solvay et membre du Conseil d’Administration de l’IFACI, et les autres membres du « Cercle résilience et prospective ». Leurs travaux ont porté sur les grandes tendances sociétales qui vont avoir un impact sur nos métiers. « Des changements avérés », comme elle l’explique, « que l’on ne peut pas nier et que l’on doit rapidement prendre en compte ».

Pourriez-vous vous présenter pour les adhérents de l’IFACI et nous parler de votre poste actuel ?

Valérie Moumdjian : Après mon diplôme d’école de commerce et un MBA, j’ai commencé comme analyste financière dans un groupe qui s’appelait alors Elf-Aquitaine. J’ai ensuite rejoint le cabinet EY en audit où je suis restée 6 ans. Après cela, j’ai travaillé dans une société de conseil auprès des collectivités locales où j’étais en charge de l’audit et de la renégociation des contrats de délégation de services publics. En 2001, j’ai rejoint le groupe Rhodia, où j’ai occupé différentes fonctions, dont la direction du département Corporate finance jusqu’en 2009, date à laquelle j’ai évolué vers la direction de l’audit interne. Puis, quand Rhodia été rachetée par Solvay en 2011, j’ai été nommée Directrice de l’audit interne pour l’ensemble du groupe. Et en 2014, j’ai également repris la Direction des risques et du contrôle interne.

En quoi cette double-responsabilité – audit et gestion des risques – vous donne-t-elle une meilleure vision sur l’activité ?

VM : J’ai connu les deux organisations, avec et sans la gestion des risques. Il y a bien sûr un certain nombre de garde-fous à respecter, de façon à assurer l’indépendance de l’audit. La première règle est d’avoir deux pôles séparés, aucun collaborateur ne travaille pour les deux activités, la synthèse ne se faisant qu’à mon niveau. Sur la partie risques, notre équipe n’a pas de rôle opérationnel. Nous sommes les garants de la méthodologie et de son application homogène dans toutes les entités du Groupe, mais nous ne prenons pas de décision opérationnelle en matière de gestion des risques. La seconde règle, c’est que l’audit interne ne peut pas auditer le système de gestion des risques. Je fais donc appel à des tiers régulièrement pour auditer la qualité du dispositif. Si l’on respecte ces principes, ce sont des activités qui sont tout à fait compatibles et j’y ai même vu une réelle avancée en termes d’efficacité, car chaque activité nourrit l’autre. La connaissance des risques permet d’orienter les travaux d’audit et d’allouer les ressources là où se situent les enjeux. Réciproquement, l’audit interne appuie la gestion des risques en donnant une assurance raisonnable sur l’efficacité des actions de réduction de risque.

[box type="info" align="" class="" width=""]

Solvay

Groupe créé en 1863 24 500 collaborateurs Présent dans 62 pays 10,3 milliards de CA Présidente du Comité Exécutif et CEO depuis le 1er mars dernier : Ilham KADRI Lauréat du Prix 2018 de l’Integrated Thinking Award dans la catégorie Capitalisation > 7 Mds €[/box]

Vous vous êtes également investie dans les travaux de l’IFACI. Cette démarche vous a paru importante face à l’évolution des métiers ?

VM : J’ai rejoint le Conseil il y a un peu plus d’un an après avoir été sollicitée par Jean-Marie Pivard, Président du Conseil. Je connaissais l’IFACI d’un peu loin pour ses activités de formation et de certification. Ce qui m’a motivée, c’est la volonté que j’ai ressentie de transformation et de modernisation. Une ambition forte de transformation portée par les membres du Conseil, chacun contribuant de façon concrète en apportant son expérience et son réseau. C’est d’autant plus intéressant qu’il y a une bonne diversité en termes de secteurs et de tailles d’entreprise représentées. Et tout le monde est très actif. Le Comité des Affaires Publiques, présidé par Céline Van Hamme, auquel je participe, est l’émanation du Conseil qui a pour mandat de porter la voix de la profession et des adhérents à l’extérieur de la communauté et d’assurer les relations avec nos parties prenantes externes : les régulateurs, les autres associations professionnelles comme le MEDEF, par exemple, les universités, les écoles…

Quels sont les domaines sur lesquels vous avez particulièrement travaillé ?

VM : Il n’y a pas de rôle prédéfini au sein du Comité des Affaires Publiques. L’an dernier, j’ai travaillé sur l’élaboration du programme de la conférence annuelle et j’ai participé à une matinale sur le devoir de vigilance en partenariat avec le C3D. Par ailleurs, j’anime un module « audit-contrôle interne » dans le cadre de la formation certifiante de l’IFA (Institut Français des Administrateurs). Et puis cette année, nous avons travaillé sur un thème qui est né au moment de la réunion annuelle stratégique du Conseil, à laquelle participait une prospectiviste et géopolitologue, Virginie Raisson- Victor. Elle a partagé avec nous les grandes tendances de la société actuelle, ce qui nous a amené à nous poser la question : « faut-il repenser le rôle de l’audit interne, dans un monde aujourd’hui en profonde mutation ? ». Dans le prolongement, nous avons décidé de créer un groupe de travail, le « Cercle résilience et prospective », qui regroupait des membres du Conseil de l’IFACI mais aussi des personnalités externes, comme Virginie Raisson- Victor, Geneviève Férone-Creuzet, Vice-présidente de la Fondation pour la Nature et l’Homme et du Shift Project, ou Philippe Peuch- Lestrade, Directeur général délégué de l’Institut du Capitalisme Responsable (ICR). À l’issue de ces travaux, a été rédigé un document de synthèse sur notre vision du rôle de l’audit interne, validé en Conseil d’administration, que nous allons maintenant commencer à partager.

Les conclusions de ces travaux sont-ils à même de faire évoluer la vision du métier d’auditeur ?

VM : Pour nous, c’était important de réfléchir à ce qu’allaient être nos équipes dans le futur. Car il va aussi falloir être capables de continuer à attirer des talents dans les années à venir, de montrer que ce métier est en mutation, qu’il va s’adapter aux changements de la société et qu’il peut même jouer un rôle moteur. C’était donc tout à fait le bon timing pour mener cette réflexion sur les défis à venir de notre profession. On ne peut pas nier les grandes tendances sociétales qui vont impacter les modèles d’entreprise et donc nos métiers, et nous sommes là pour protéger les actifs de l’entreprise. C’est le rôle premier de l’audit : alerter l’organisation sur un certain nombre de signaux, de tendances, de risques émergents. Nous avons couvert un grand nombre de sujets de société, comme la transition climatique, les nouvelles technologies, l’accroissement de la pression réglementaire, les questions éthiques … Des faits avérés, des changements que l’on ne peut pas nier et que l’audit interne doit rapidement prendre en compte pour jouer un rôle moteur dans la résilience de l’organisation et lui permettre de protéger ses actifs dans le temps.

Quels sont les signes qui montrent déjà que le métier d’auditeur a changé ?

VM : Auparavant, les natures de risques étaient assez clairement différenciées et résultaient essentiellement de l’activité de l’entreprise et de son secteur : des risques de nature financière, des risques QHSE, l’éthique, etc. Une entreprise pouvait facilement établir les risques auxquels elle était confrontée, généralement liés à son domaine d’activité. Mais on prenait peu en compte les risques externes. Aujourd’hui, les cartographies des risques sont beaucoup plus étendues et complexes. On parle maintenant de « méta-risques », qui ont une ampleur et une vélocité beaucoup plus importantes et qui sont corrélés entre eux. Il y avait déjà des signaux ces dernières années. Il n’y a qu’à voir ce qui s’était passé avec Arthur Andersen, il y a plus de 15 ans : il a suffi d’un scandale financier sur un de leurs clients pour que la société soit démantelée en un an, parce qu’il y a eu rupture de la confiance.

Au sein du Cercle, nous avons évoqué par exemple le cas de cette grande société d’énergie américaine, «Pacific Gas & Electric Company », qui a fait faillite parce qu’il a été considéré qu’elle n’avait pas eu une attitude suffisamment responsable. Un de ses pylônes, entré en contact avec une ligne à haute tension, a provoqué une étincelle à l’origine d’un gigantesque incendie en Californie : 15 000 foyers détruits, 86 morts, 30 milliards de dollars de dommages… L’entreprise respectait la réglementation, mais pour autant elle a été tenue pour seule responsable de ce qui s’était passé car elle n’avait pas mis en oeuvre les mesures de précaution nécessaires. Tout peut aller très très vite aujourd’hui. Un incident qui se produit à l’extérieur de l’entreprise est souvent un accélérateur de notre propre réflexion, qui nous pousse à nous poser des questions : « est-ce que cela pourrait nous arriver ?». Et au final à franchir une étape vers une meilleure protection.

Le plan d’audit lui-même a déjà beaucoup évolué…

VM : Quand on regarde les plans d’audit d’il y a quelques années, on constate qu’ils étaient pour l’essentiel élaborés selon un principe de rotation et portaient surtout sur des sites industriels… Aujourd’hui, le plan d’audit a complètement changé. On le construit à partir des différents risques, on réalise un benchmark, on regarde ce que font nos pairs. Il intègre dorénavant une part significative d’audits thématiques et transversaux. Une seconde grande tendance, c’est la complexité des missions. On sort des sujets traditionnels de conformité. On n’audite pas le respect des droits humains ou les risques liés à la transition climatique comme on audite la gestion des immobilisations ou des stocks. Je dis souvent à mes auditeurs que l’univers d’audit est infini. Il faut donc choisir ses batailles, identifier les sujets à forts enjeux sur lesquels on va mettre des ressources. Il faut une grande mobilité intellectuelle pour appréhender des sujets très divers. Mais c’est aussi ce qui rend ce métier attractif et passionnant.

Justement, quelles sont les principales motivations des jeunes générations d’auditeurs ?

VM : La prise en compte des questions RSE est très importante. Après leur diplôme, 20% des étudiants de l’ESSEC intègrent une ONG. C’est du jamais vu. Ils ne cherchent plus à entrer dans des grands groupes qui offrent juste des perspectives de carrière. Ils veulent d’abord donner du sens à ce qu’ils font. Générer des profits financiers ne saurait constituer une raison d’être en soi, c’est au mieux une conséquence. Pouvoir contribuer à quelque chose de positif fait de l’audit un véritable levier d’amélioration, très attractif pour les jeunes générations. Et puis il y a la variété des sujets traités qui les motive aussi beaucoup.

La RSE, mais également l’éthique, sont donc devenus des sujets clés aujourd’hui ?

VM : La responsabilité de l’entreprise n’est plus limitée au respect de la loi et à ses actifs physiques et humains. Selon le principe de « l’entreprise étendue », elle doit agir de façon responsable vis-à-vis de l’ensemble de ses parties prenantes : ses employés mais aussi ses clients, ses fournisseurs, les collectivités locales, tous ses partenaires en fait. En matière d’éthique, l’audit interne a un rôle pédagogique à jouer car il doit contribuer à promouvoir une culture d’éthique. Chez Solvay, notre « code de conduite » traite un grand nombre de questions : l’éthique et l’intégrité sur le lieu de travail, dans la conduite des affaires et dans la société en général en tant qu’entreprise citoyenne. Les cultures et les pratiques pouvant différer d’un pays à l’autre, il est essentiel d’avoir un socle commun. L’exemplarité aussi est très importante, le « tone at the top », et elle commence par le CEO. Par exemple, chaque année nous auditons les notes de frais de tous les membres du COMEX. Nous avons travaillé sur ces questions, et notamment les droits humains, avec des ONG comme « Amnesty international » pour être sûrs de traiter les « bons sujets ». Une collaboration très constructive de leur point de vue comme du nôtre. Car, comme ils nous l’ont expliqué : « aujourd’hui, ce sont les grands groupes qui doivent montrer l’exemple et peuvent tirer les autres entreprises vers le haut ».

Le comité des affaires publiques (CAP) a été créé en 2015. Il a pour mandat de porter la voix de la profession et des adhérents à l’extérieur de la communauté et d’assurer les relations avec les parties prenantes externes.

Le comité est présidé par Céline Van Hamme, Vice-Présidente de l’IFACI et Directrice de l’Audit, des Risques et du Contrôle Interne d’Hermès International. Il comporte 10 membres administrateurs de l’IFACI et personnalités qualifiées.

Le CAP gère de nombreux projets impliquants les adhérents et les parties prenantes de l’IFACI. Parmi ces derniers, le Cercle Résilience & Prospective a pour objectif d’imaginer les transformations des métiers de l’audit et du contrôle internes.

L’actualité du CAP est disponible sur son groupe Workplace.