23 avril 2024
Lecture 6 mn
Les grandes lignes directrices des nouvelles normes de l’audit interne
Les nouvelles normes d’audit interne de l’IIA, qui seront applicables à partir de janvier 2025, proposent une nouvelle lecture du rôle de l’auditeur, plus étendu, qui maximise son impact sur l’organisation. Premier tour d’horizon avec Benoît Harel, gérant d’IFACI Certification, qui revient sur les grandes lignes directrices du nouveau cadre, avant les présentations plus détaillées qui seront organisées prochainement pour les adhérents.
Les nouvelles normes encouragent les fonctions d'audit interne à s'ouvrir encore plus sur les enjeux de leur organisation
C’est vraiment l’un des éléments qui m'a le plus marqué : la notion de coopération pour prendre en compte les attentes des parties prenantes, en favorisant toute communication avec les membres de l'organisation, à tous les niveaux. Aussi bien avec les organes de gouvernance, de direction, qu’avec les responsables audités. L’idée étant de mieux comprendre et assimiler les enjeux, les ambitions, les initiatives de l'organisation, pour accentuer le travail d'optimisation de l'action de l'audit interne. C’est une première dimension qui me semble importante et que l’on va retrouver au travers d'autres éléments de réflexion.
Une évolution des normes qui tendent vers une plus grande clarté, avec une nouvelle structuration
C’est le deuxième élément que je retiens, qui découle d’ailleurs du premier. Pour bien marquer cette transition, les notions de clarté et de structuration étaient nécessaires. Les nouvelles normes bénéficient d’une structure plus claire, avec un découpage en 5 domaines, 15 principes et 52 normes. Cela rappelle d’ailleurs un peu la structure du COSO, en 5 domaines et 17 principes. Avec ces nouvelles normes, nous pouvons plus clairement attribuer une responsabilité à telle ou telle partie prenante dans l’écosystème d’audit interne. Par exemple, les Principes du domaine III commencent par « le Conseil établit…ou supervise… ». Les Principes du Domaine IV commencent par « le directeur de l'audit interne planifie, gère, guide, est responsable… ». Et les Principes du Domaine V débutent par par « l'auditeur interne planifie, met en place, communique… ». Une rédaction qui énonce clairement et simplement qui fait quoi finalement dans le cadre de cet écosystème. Cette notion d’écosystème qui est d’ailleurs pour moi importante, parce que l’on voit bien, notamment dans le cadre du point précédent, que nous n’évoluons pas dans un dispositif qui est centré sur l'audit interne, mais en interaction permanente. Et toutes ces interactions ont été justement détaillées dans ces nouvelles normes.
Une mission élargie pour l’audit interne
Dès la première phrase du nouveau cadre, on dit bien que l'audit interne a pour mission de renforcer la capacité d'organisation à créer, protéger et pérenniser la valeur. Cette notion de valeur par une contribution à la performance de l’organisation, est un élément clé. Cela permet de fonder dès le départ une ambition pour l'audit interne. Il est ainsi bien précisé qui sont les principaux « clients » de l’audit interne : la direction générale et le Conseil au sens large, et sont également définies ses missions : apporter une assurance, un conseil, un éclairage, une prospective… Un panel de services complet et élargi, en montrant bien que la fonction d'audit interne n'a pas pour objet unique de réaliser des missions.
La notion de prospective est importante pour l’audit interne : le Principe 9 fait référence à l’atteinte du succès à long-terme, la Norme 9.4 évoque les risques émergents, la Norme 11.3 mentionne l‘identification et la communication de modèles et de tendances, et de nombreuses Normes insistent sur l’aide apportée à l'organisation pour réaliser ses objectifs prévisionnels.
Une nouvelle conception de la « qualité » de l'audit interne
Pour bien refléter la double dimension de conformité et de performance, les nouvelles normes viennent souligner qu'un audit interne de qualité, c'est un audit interne qui certes applique les Normes, mais qui est également un audit performant. Et performant en ce sens qu'il est dans une dynamique d’amélioration continue, qu’il ne se satisfait pas de compliments sur l’audit interne, bien au contraire, qu’il reste ouvert à la critique constructive, et qu’il est attentif aux attentes des différentes parties prenantes. La vraie difficulté à ce sujet, je l’observe, c'est d'obtenir auprès de la direction générale et du comité d'audit, des éléments qui justement traduisent ces enjeux et ces attentes. Des éléments qui permettent effectivement de bien les définir et de bien les mesurer.
Cette nouvelle dimension de qualité, combinant à la fois conformité et performance, est une véritable avancée. Cela va par exemple notamment, d’après moi, conduire à étoffer le rapport d'activité de l'audit interne, pour mieux expliquer la façon dont la fonction s'organise, développe ses outils et ses compétences etc…
On trouve des notions qui sont liées à la performance dans une douzaine de normes. Cela passe par une véritable stratégie de l’audit interne qui va permettre de définir les besoins, un certain nombre de plans d'action, d'indicateurs, d'objectifs de performance, que l’on va mesurer et que l'on va reporter...
Un véritable guide avec des conseils pour la mise en place de chacune des normes
Chaque norme est accompagnée d’une explication pas-à-pas pour savoir comment la mettre en place, mais aussi les bonnes pratiques que l'on observe ou qui peuvent répondre à cette norme. Il y a également des exemples de livrables, de documents qui peuvent démontrer leur bonne application. Un ensemble qui constitue un guide complet qui permet de bien comprendre ce qu'est la fonction d'audit interne des années 2020-2030 et comment la mettre en œuvre.
Servir l’intérêt général : un champ d’action élargi de l’audit interne
C’est aussi un élément fort que les concepteurs des normes ont vraiment tenu à maintenir. À plusieurs reprises dans les normes, ils insistent beaucoup sur cette nécessaire prise en compte de l’intérêt général et des intérêts des parties prenantes au sens large.
Les Fondamentaux, le Domaine I et certains aspects des Normes liées à la conscience professionnelle, au plan d’audit et à la communication des résultats insistent non seulement sur les intérêts internes à l’organisation mais aussi sur ceux des autres parties prenantes. Avec cette dimension, on élargit vraiment le champ d’action de l'audit interne à une responsabilité d’ordre sociétal.
Une clarification de la gouvernance de l’audit interne
Les nouvelles normes, dans le Domaine III, définissent les conditions essentielles qui doivent permettre à l'audit interne d'exprimer pleinement son potentiel, en établissant clairement qui, du directeur de l’audit interne, du Conseil ou de la direction générale, porte la responsabilité d'approuver un certain nombre d'éléments comme la charte, le mandat, le plan, le budget, les rémunérations, l'évaluation des résultats… Un véritable aide-mémoire qui, même s’il n’est pas appliqué in extenso dans toutes les organisations, promeut une discussion avec le comité d'audit et la direction générale. Si par exemple, pour une raison ou pour une autre, on estime que le comité d'audit n'a pas d’avis à donner sur la performance du directeur de l'audit interne, du moins le sujet pourra être envisagé et justifié.
Une notion de management des risques précisée
La notion de management des risques était déjà présente dans les normes 2017, mais elle est nettement accentuée et dynamisée dans cette nouvelle version 2025. Plus de 13 Normes sur 52 au moins y font référence. De nouveaux concepts sont introduits : par exemple la Norme 6.2 sur la Charte d’audit interne indiquant que le mandat de l'audit interne doit tenir compte de l'évolution des risques de l'organisation en termes de nature, de gravité et d'interdépendance ; une notion d’interdépendance qui n'apparaissait pas dans les normes précédentes et qui encourage vraiment à avoir une vision très transversale des différents risques.
De même, un autre dispositif mis en avant dans ces Normes, est la notion de tolérance aux risques, qui est un encouragement pour la direction générale et le comité d'audit à mieux définir ce qui est acceptable ou ce qui est inacceptable en termes de matérialisation d'un risque. C'est un élément important qui conduit à renforcer le dialogue sur la maîtrise des risques pour bien comprendre ce qui est attendu de l'audit interne. Là encore, les nouvelles Normes vont un peu plus loin que précédemment.
Une dimension technologique bien présente
Cette dimension est évoquée à plusieurs niveaux : celui des compétences des auditeurs internes, du plan d'audit interne, mais aussi au niveau des ressources. Par exemple, la Norme 10.1 demande à ce que les auditeurs internes disposent bien des moyens pour se former et pour acquérir les bons outils technologiques, afin de rendre les services définis dans leur mandat. Il est indiqué que le directeur de l’audit interne doit évaluer régulièrement la technologie utilisée et réfléchir à la façon d'améliorer encore son efficacité, en collaborant notamment avec les responsables des systèmes d'information.
L’éthique et le professionnalisme mis en avant
Ces notions sont évoquées dans le Domaine II, qui rassemble les éléments qui ressortent de la dimension comportementale de l'auditeur interne. Ce domaine II est vraiment un guide pratique très intéressant par exemple pour s'adresser à un nouvel auditeur qui rejoint la fonction d'audit interne, et qui constitue une sorte de code de bonne conduite intégrant un certain nombre d'éléments nouveaux. Des éléments étaient déjà présents comme l'intégrité, l'objectivité, la compétence, la confidentialité… S’y ajoutent désormais le courage professionnel. Ne pas avoir le courage de dire les choses et de défendre ses convictions serait effectivement un peu problématique dans nos métiers.
Un deuxième élément dans cette partie comportementale est la notion de scepticisme professionnel : cette capacité à franchir un certain nombre de biais cognitifs, en allant au-delà finalement des apparences pour vraiment comprendre ce que mon organisation a fait ou n'a pas fait, ou n'a pas su mettre en place, pour que l’on n’en arrive à telle ou telle situation. Les Normes encouragent une prise de recul, de distance, afin de pouvoir apporter des explications au-delà des simples éléments factuels, notamment par une analyse renforcée des causes et des conséquences.