14 juin 2017

pictogramme temps Lecture 5 mn

Que retenir de l’expérience des fonctions d’audit interne de petite taille

Plus que jamais, les organisations sont confrontées à des risques aussi variés que compliqués. La cyber-sécurité, les technologies, le Big Data, les évolutions sociales et géopolitiques, sont autant d’éléments qui contribuent à la complexification et à l’évolutivité du panorama des risques. Dans leur engagement en matière de gestion de ces risques, les administrateurs et les dirigeants se tournent de plus en plus vers l’audit interne pour bénéficier d’une assurance et de conseils. Cette demande va au-delà des missions plus classiques concernant l’information financière et la conformité où de nombreux auditeurs internes sont particulièrement à l’aise. Une demande plus exigeante, des ressources et des délais plus contraints, le développement de nouvelles compétences et la stimulation d’une réflexion qui sorte des sentiers battus entraînent des défis significatifs pour les fonctions d’audit interne. En effet, la principale menace pour la profession serait de ne pas répondre aux attentes croissantes tout en proposant un service de haute qualité. Ces enjeux peuvent paraître accablants. Pourtant, les auditeurs internes devraient se sentir rassurés pour deux raisons essentielles : tout d’abord, l’histoire de la profession montre sa capacité à évoluer pour être à même de relever de nouveaux défis. Ensuite, elle dispose déjà d’un modèle éprouvé pour relever les enjeux les plus récents. Les défis que les fonctions d’audit interne de petite taille ont toujours gérés ressemblent à ceux auxquels l’ensemble de la profession se trouve confrontée aujourd’hui. La première fonction d’audit interne dont j’ai été responsable comptait seulement trois auditeurs à temps plein. Compte tenu de la taille et de la complexité de l’entreprise, cet effectif aurait dû être de 30 auditeurs. Mais j’ai vite appris et, comme dans un jeu de cartes, j’ai même joué avec la main qui m’était attribuée. J’ai parfaitement compris que le seul moyen d’optimiser ces ressources était de répondre aux besoins d’audit de l’organisation d’une manière remarquable qui attire l’attention du management. L’effectif a été doublé au bout d’un an. Cette expérience a été d’autant plus bénéfique quand j’ai été responsable de centaines d’auditeurs. Quelle que soit la taille de votre service d’audit, vous pouvez toujours tirer des enseignements extrêmement précieux des stratégies ayant fait leurs preuves dans des petits services d’audit interne. Je suis convaincu que toute fonction d’audit interne peut avoir un impact significatif en suivant les six stratégies proposées dans deux articles précédents de mon blog :  Generating a Big Impact With a Small Audit Staff Partie 1 et Partie 2. Vous pourrez prendre connaissance de ces articles. En attendant, la synthèse proposée ci-après met en lumière l’intérêt des stratégies qui y sont évoquées pour répondre aux défis actuels de l’audit interne. Stratégie #1 :  Pister les risques Vous ne pouvez pas auditer tous les aspects de votre organisation. Autant réaliser des missions sur les systèmes, processus, contrôles ou risques susceptibles de causer le plus de dégâts. Les lecteurs de ce blog savent que « pister les risques » est l’une de mes devises. Elle est plus que jamais valable à l’heure où l’audit interne doit avancer à la vitesse des risques. C’est une évidence qu’il est bon de rappeler au moment où la « boîte de Pandore » des risques émergents peut renvoyer aux oubliettes ou masquer les principes de base. En voulant achever au plus vite une mission, la phase de planification peut être écourtée ou le programme d’audit précédent peut être repris à l’identique. Inutile de vous dire que ce sont des pratiques à éviter. Stratégie #2 : Innover dans la gestion des ressources Autrement dit, s’ils veulent continuer de répondre aux attentes croissantes des parties prenantes, les responsables de l’audit interne devront se décarcasser pour mobiliser les ressources appropriées. Après quatre décennies de métier, je trouve que les stratégies qui fonctionnent le mieux consistent à : a) utiliser les travaux d’autres prestataires d’assurance, b) faire appel aux directions fonctionnelles, c) augmenter l’effectif d’audit interne et d) pratiquer la co-traitance. La prudence est toutefois de mise : chacune de ces approches comporte des avantages et des inconvénients. Mal comprises, elles peuvent nuire à la crédibilité de la fonction ou éroder son indépendance. Assurez-vous que l’intégrité de la fonction n’est pas compromise dans la ruée vers les ressources. Stratégie #3 : Comparer vos pratiques pour confirmer la voie du succès Il est probable que d’autres fonctions d’audit interne soient également confrontées aux mêmes défis que vous. L’analyse comparative de la performance ou des pratiques peut permettre à un responsable de l’audit interne de s’améliorer en tirant parti d’autres expériences. Par exemple, l’Audit Executive Center de l’IIA facilite la mise en réseau des responsables de services d’audit interne de taille similaire ou confrontés à des défis similaires. Stratégie #4 : Améliorer les processus d’audit interne C’est une stratégie que j’ai promue dans le monde entier dans ma présentation « Poised for the Future » (Prêts pour le futur) où j’analyse la manière dont la profession devrait s’adapter aux défis du XXIe siècle. Les processus inefficaces et inefficients peuvent être un frein majeur à la productivité d’un service d’audit interne, quelle que soit sa taille. Même les plus grands services d’audit interne ne peuvent se permettre le luxe d’être inefficaces. Les revues d’assurance qualité peuvent aider à déterminer les aspects des processus qui peuvent être améliorés dans la planification annuelle et la planification de chaque mission, la réalisation de la mission, la documentation, la communication et le suivi des résultats ainsi qu’au niveau des contrôles qualité. Heureusement, les technologies facilitent l’amélioration, l’extension et la rationalisation de bon nombre de nos processus. L’analyse des données, l’audit en continu et l’intelligence artificielle sont des outils importants. Mais, comme indiqué au sujet de la mobilisation des ressources, les responsables de l’audit interne doivent comprendre les avantages et les inconvénients de chaque activité d’amélioration de l’efficacité et de l’efficience. Stratégie #5 : Mesurer les résultats Le fait de comprendre quelles stratégies fonctionnent ou pas devient encore plus important lorsque la demande est forte. L’auto-évaluation des performances donnent aux responsables de l’audit interne une vision plus claire de la façon dont les ressources sont mobilisées, qu’il s’agisse du suivi du retour sur investissement, de la durée de chaque cycle, de la satisfaction des clients ou du pourcentage de recommandations d’audit interne mises en œuvre avec succès. Stratégie #6 : Mission de conseil et avis Les articles du blog mentionnés précédemment prouvent que les missions de conseil et les avis peuvent engendrer des bénéfices significatifs pour une organisation. Cette idée est désormais communément admise et explique en partie l’augmentation de la demande. En effet, plus que jamais, les parties prenantes se tournent vers l’audit interne pour des points de vue et une vision prospective. Ces missions peuvent apporter de la valeur ajoutée à l’organisation et l’aider à atteindre ses objectifs. Bien sûr, chaque responsable d’audit interne doit être attentif au fait que ce type de mission peut créer des conflits d’intérêts. Cette proposition d’approches est loin d’être une liste exhaustive des options que les responsables de l’audit interne ont à leur disposition dans leur bataille pour répondre aux exigences croissantes des parties prenantes. Je suis impatient de connaître les stratégies qui vous semblent efficaces pour répondre à la demande et créer de la valeur ajoutée pour vos organisations. Richard Chambers  Information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog un article sur les enjeux et les tendances concernant la profession d'audit interne.