Livre audit
110
L’audit interne en France et dans le monde Points de repères et tendances du CBOK (Common Body Of Knowledge) L E S C A H I E R S D E L A R E C H E R C H E L’IFACI est affilié à
-
Upload
amine-kandi -
Category
Documents
-
view
2.034 -
download
1
Transcript of Livre audit
L’audit interne en Franceet dans le monde
Points de repères et tendances du CBOK
(Common Body Of Knowledge)
L E S C A H I E R S D E L A R E C H E R C H E
L’IFACI est affilié à
L’AUDIT INTERNE EN FRANCE ET DANS LE MONDE Points de repères et tendances du CBOK (Common Body Of Knowledge)
L’IFACI est affilié à
REMERCIEMENTS
L’IFACI tient tout particulièrement à remercier les professionnels qui ont analysé les résultats de
l’enquête et rédigé cette synthèse :
Florence Bergeret, Superviseur, Audit interne Groupe Areva ;
Florence Fradin, Responsable Référentiels d'Audit Interne et Qualité, BNP-PARIBAS;
Béatrice Ki-Zerbo, Directeur de la Recherche, IFACI ;
Guy Noblet, Auditeur interne, Office de l’élevage ;
Louis Vaurs, Délégué Général, IFACI
ISBN : 978-2-915042-19-1
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou
de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette
représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon
sanctionnée par les articles 425 et suivants du Code Pénal.
SOMMAIRE
1. OBJECTIFS ET PRINCIPAUX RESULTATS .................................................. 4
1.1. Contexte des travaux : une enquête mondiale lancée fin 2006 ............................................................. 4
1.1.1. Objectifs de l’enquête de l’IIA .................................................................................................................. 5
1.1.2. Structure des résultats et principaux livrables ........................................................................................... 6
1.2. Objectifs du groupe de recherche de l’IFACI ....................................................................................... 7
1.3. Principaux résultats ................................................................................................................................. 9
1.4. Analyse détaillée ..................................................................................................................................... 19
1.4.1. Gouvernance et indépendance................................................................................................................. 19
1.4.2. Zoom sur une profession en plein essor .................................................................................................. 27
1.4.3. Compétences et formation des auditeurs internes ................................................................................... 44
1.4.4. L’audit interne, une profession normée .................................................................................................. 62
1.4.5. L’évaluation de l’audit interne ................................................................................................................ 78
1.5. Enjeux d’aujourd’hui et de demain ...................................................................................................... 87
1.5.1. La généralisation des dispositifs de contrôle interne et de gouvernement d’entreprise .......................... 87
1.5.2. Evolution du rôle de l’audit interne ........................................................................................................ 90
1.5.3. Le référentiel IIA, un cadre universel pour une pratique professionnelle de l’audit interne ................... 95
2. TYPOLOGIE DES REPONDANTS ................................................................ 99
2.1. Catégorie d’emploi ................................................................................................................................. 99
2.2. Age ......................................................................................................................................................... 101
2.3. Type d’organisation ............................................................................................................................. 102
2.4. Secteur d’activité .................................................................................................................................. 103
2.5. Taille des organisations représentées ................................................................................................. 104
2.6. Périmètre des organisations représentées .......................................................................................... 105
3. LISTE DES TABLEAUX ET SCHEMAS ...................................................... 106
1. OBJECTIFS ET PRINCIPAUX RESULTATS
Le cadre de référence de l’IIA (The Institute of Internal Auditors) fournit les
éléments nécessaires à une pratique professionnelle de l’audit interne. Mais au-delà
de ce canevas, les auditeurs internes et leurs interlocuteurs s’intéressent à la façon
dont ces principes sont respectés et pris en compte dans les activités de l’audit
interne.
Depuis 1972, la fondation de la recherche de l’IIA a réalisé cinq enquêtes pour
avoir un aperçu de la pratique de l’audit interne et mettre à jour le « Common Body
Of Knowledge » (CBOK). Le CBOK de l’IIA constitue le dénominateur commun
des auditeurs internes. Ce socle de connaissance référence notamment les
compétences attendues de la part de professionnels.
La véritable première enquête internationale a été initiée en 1999. Elle a donné lieu
à une série de publications dont les grandes lignes ont été traduites par l’Institut
Français de l’Audit et du Contrôle Internes (IFACI) et publiées dans le cahier de la
recherche « Evaluation de la compétence dans la pratique de l’audit interne _ un
cadre de référence » en janvier 2001.
Par le nombre de personnes concernées et le type de sujets abordés, l’enquête
mondiale menée par l’IIA en 2006 va encore plus loin. C’est pourquoi, l’IFACI a
décidé d’analyser les données collectées en France
1.1. Contexte des travaux : une enquête mondiale lancée
fin 2006
L’enquête réalisée par l’IIA en novembre 2006 a été relayée par les instituts
affiliés.
Des questionnaires spécifiques ont été adressés à trois catégories de
professionnels :
1. les auditeurs internes ;
2. les responsables d’audit interne. Outre les points traités par les auditeurs
internes, les responsables d’audit interne ont répondu à des questions
© IFACI juin 2008 4�
spécifiques telles que les relations avec le comité d’audit, la planification
des missions, la gestion des ressources humaines ;
3. les instituts affiliés à l’IIA, tels que l’IFACI, ont fourni des éléments sur
leur organisation, l’environnement réglementaire de l’audit interne,
l’utilisation du code de déontologie et des normes professionnelles dans
leur pays.
Cette enquête se distingue des précédentes par le nombre de pays concernés (91) et
le nombre de répondants (9 366 questionnaires d’auditeurs internes et de
responsables d’audit interne ont été exploités au niveau mondial).
1.1.1. Objectifs de l’enquête de l’IIA
L’enquête mondiale doit permettre de mettre à jour le CBOK. Elle a pour ambition
de répondre aux questions suivantes:
• Comment l’audit interne est-il pratiqué à travers le monde ?
o indépendance et positionnement des services d’audit interne ;
o caractéristiques (taille, ancienneté…) des services d’audit interne ;
o périmètre des activités de l’audit interne ;
o types de missions réalisées ;
o ressources ;
o méthodes et outils.
• Qui sont les auditeurs internes ?
o leur parcours professionnel ;
o leurs compétences ;
o leur formation initiale et professionnelle.
• La définition de l’audit interne établie par l’IIA en 1999 est-elle toujours
opérationnelle ?
• Quel est le niveau d’adéquation et d’utilisation des normes
professionnelles d’audit interne ?
• Comment mesure-t-on la valeur ajoutée de l’audit interne ?
© IFACI juin 2008 5�
• Quels sont les différents modes d’évaluation (interne et externe) de
l’audit ?
• Le développement de l’audit interne est-il en adéquation avec les enjeux
futurs des organisations ?
1.1.2. Structure des résultats et principaux livrables
L’analyse effectuée par l’IIA peut être résumée selon les axes suivants :
• la structure des services d’audit interne ;
• les activités de l’audit interne ;
• les connaissances et les compétences des auditeurs internes ;
• les normes professionnelles ;
• l’impact de l’environnement réglementaire des différents pays ;
• les enjeux du futur.
Ces données seront utilisées par l’IIA à différents titres :
• évolution du cadre de référence de la pratique professionnelle de l’audit
interne (normes, modalités pratiques, notes interprétatives de normes,
guides d’application…) à l’horizon 2009 ;
• promotion de la profession ;
• programmes et outils de formation ;
• certifications individuelles et examens professionnels ;
• processus d’évaluation de la qualité des services d’audit ;
• publications de la Research Foundation de l’IIA.
Les premiers résultats du CBOK ont été présentés lors de la conférence
internationale de l’IIA à Amsterdam en juillet 2007. L’IIA a publié par la suite des
documents plus détaillés (http://www.theiia.org/research/common-body-of-
knowledge/).
© IFACI juin 2008 6�
1.2. Objectifs du groupe de recherche de l’IFACI
La nécessité de mieux connaître la profession a conduit l’IFACI à réaliser
régulièrement des enquêtes dont les plus récentes ont été effectuées en 2002 et en
2005.
Par ailleurs, des groupes de recherche ont initié des revues de bonnes pratiques
dont les résultats sont publiés dans les cahiers de la recherche.
Ces résultats sont utilisés par de nombreux professionnels comme points de repères
dans l’exercice de leur métier.
L’appropriation des normes professionnelles par les auditeurs internes
s’accompagne d’un besoin de se positionner par rapport aux pratiques de leurs
pairs. Cette demande de benchmark est liée au fait que l’audit interne est une
profession qui touche des organisations de plus en plus différentes, avec des
interlocuteurs et des attentes multiples.
Dans ce contexte, les points de repères tels que le CBOK permettent de se
confronter aux meilleures pratiques et de conforter le professionnalisme des
auditeurs internes.
L’enquête mondiale réalisée en 2006 est une bonne occasion d’étendre le
benchmark aux pratiques internationales, d’actualiser et de compléter les données
des précédentes enquêtes réalisées en France par l’IFACI.
Pour avoir d’autres points de vue sur les résultats du CBOK, vous pouvez consulter : • Revue Audit Interne
n°187 de Décembre 2007 « Audit interne : Vue panoramique internationale »
• Colloque du 13 décembre 2007 « L’audit interne en France et dans le monde : Etats des lieux et perspectives » (Cf. www.ifaci.com)
Le groupe de recherche a donc traité les 235 réponses relatives à la France, parmi
lesquelles celles de 69 responsables d’audit interne (RAI).
Des analyses spécifiques ont été effectuées pour prendre en considération les
variables sectorielles (secteur d’activité, type d’organisation) ou démographiques
(taille de l’organisation, taille du Service d’Audit Interne).
Ces résultats ont été comparés à ceux de l’enquête IFACI 2005 et aux tendances de
l’enquête mondiale.
© IFACI juin 2008 7�
Avertissement méthodologique
Le public interrogé est directement ou indirectement adhérent à l'IIA. Ainsi, en
France le questionnaire a été envoyé à tous les adhérents de l'IFACI. Il ne s'agit
donc pas de l'analyse d'un échantillon statistique mais du traitement de toutes les
réponses.
Certaines questions nous ont paru mal appréciées par les répondants en raison de
problèmes de traduction et nous les avons exclues de cette analyse.
Enfin, à la différence des précédentes enquêtes de l’IFACI, le nombre
d’organisations représentées par les 235 répondants est inconnu. Il n'a donc pas été
possible d'agréger les données individuelles par service d’audit interne.
Malgré ces réserves d’ordre méthodologique, l’analyse et l’interprétation des
réponses donnent un reflet de la pratique et des opinions des professionnels de
l’audit interne en France et dans le monde.
Lorsqu’aucune précision n’est apportée, les pourcentages commentés ci-après
renvoient aux données relatives à la France.
© IFACI juin 2008 8�
1.3. Principaux résultats
L’enquête permet de confirmer la pertinence des principes développés dans la
définition de l’audit interne proposée par l’IIA/l’IFACI. Elle précise également les
caractéristiques des services d’audit interne, le profil des auditeurs et les tendances
prévues à court terme.
L'Audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité.
Positionnement adéquat et relations étroites avec les acteurs clés de la
gouvernance
La quasi-unanimité (92%) des répondants partagent le fait que l’indépendance est
un facteur clé pour que l’audit interne apporte une réelle valeur ajoutée.
Cette indépendance est notamment formalisée dans une charte d’audit interne
chez 83% des répondants en France (72% au niveau mondial).
L’indépendance est également confortée par un positionnement adéquat au sein
de l’organisation. Dans la pratique, 78% des répondants constatent que leur service
est positionné à un niveau suffisant au sein de l’organisation pour être efficace.
Par ailleurs, l’implication des dirigeants dans la nomination du responsable d’audit
interne (RAI) contribue à renforcer son indépendance vis-à-vis du management
opérationnel : 71% des répondants indiquent que le Directeur Général participe à la
nomination du responsable d’audit interne. Ce pourcentage est de 50% pour la
participation du président et 33% pour le comité d’audit.
L’audit interne est confirmé dans son rôle de partenaire clé du Directeur Général
et du Comité d’Audit. En effet, trois quart des répondants sont d’accord ou tout à
fait d’accord avec l’affirmation selon laquelle « la fonction d’audit interne fait
partie intégrante du processus de gouvernement d’entreprise en fournissant des
informations fiables à la direction générale ». Ce rôle est facilité par l’existence
d’organes de gouvernance. Ainsi l’existence d’un Comité d’Audit est citée par
80% des répondants. Cette pratique est aussi répandue au niveau mondial (73%).
Les responsables d’audit interne estiment à 78% qu’ils ont un accès approprié au
Comité d’Audit (92% au niveau IIA, 94% aux USA). Cette relation passe par la
participation aux réunions planifiées du Comité d’Audit et par les rencontres
© IFACI juin 2008 9�
supplémentaires. En France, 41% des responsables d’audit interne ont des
rencontres informelles avec le Comité d’Audit ou son Président. Aux USA ce type
de rencontre est plus fréquent (63%).
Une profession en plein essor et des effectifs contrastés
Les services d’audit interne (SAI) sont plutôt récents puisque 55% des répondants
appartiennent à des services qui ont moins de 10 ans d’existence. Cette moyenne
recouvre des différences selon les secteurs d’activités (39% des répondants du
secteur bancaire sont dans des services d’audit interne de moins de 10 ans alors que
ce pourcentage est de 87% pour les industries de la transformation).
Le caractère récent des services d’audit interne est également constaté au niveau
international. Néanmoins, la proportion de service d’audit interne ayant plus de
vingt ans d’expérience est plus importante ailleurs (28% à l’IIA, 37% aux USA,
13% en France).
L’expérience moyenne en audit interne est de quatre ans et demi. Environ 50%
des effectifs interrogés ont moins de trois ans d’ancienneté en audit interne. Les
auditeurs ayant 6 ans d’expérience et plus représentent 20% des répondants.
Le turn over est moins élevé au niveau de l’IIA. On constate une expérience
moyenne en audit interne égale à 6 années. Cette tendance se retrouve également
chez les Responsables d’Audit Interne. En effet, au niveau de l’IIA, 19% des
Responsables d’Audit Interne ont plus de 10 ans d’ancienneté en audit interne. Ce
taux est de 3% en France.
Compte tenu du turn-over des auditeurs internes, les responsables d’audit interne
sont confrontés à des vacances de poste. Dans ce cas, ils choisissent de réduire leur
périmètre d’intervention (46%). Le recours à des prestataires externes n’apparaît
qu’en deuxième position (à 39%).
En termes d’effectifs, un tiers des répondants sont dans des services d’audit
interne de moins de cinq auditeurs. Ils sont 55% à appartenir à un service d’audit
interne de moins de dix auditeurs et 18% dans des services d’audit interne de plus
de quarante auditeurs.
Ces moyennes recouvrent des différences sectorielles qui sont encore plus nettes
dans l’analyse du ratio du nombre d’auditeurs rapporté à l’effectif de
l’organisation.
© IFACI juin 2008 10�
Alors que dans les banques et les assurances, ce ratio est de l’ordre de un auditeur
interne pour 100 employés, dans les secteurs Industrie, Commerce, Service cet
indicateur s’exprime en nombre d’auditeurs internes pour 1000 employés.
Ces ressources internes sont occasionnellement complétées par des contributions
externes. Néanmoins, le recours aux sous-traitants reste marginal. En effet, pour
80% des répondants, les activités sous-traitées représentent moins de 10% de leurs
activités. Ces prestations sont surtout sollicitées pour répondre à des carences en
compétences techniques ou informatiques.
Périmètre d’intervention et principales activités des services d’audit
interne
Les trois domaines phares du périmètre d’intervention actuel de l’audit interne
sont :
• le processus de management des risques (77% des répondants considèrent
que leur service joue un rôle dans ce domaine) ;
• la surveillance de l’évaluation de la conformité aux réglementations
(71%) ;
• la prévention et la détection de fraudes (65%).
La composante risque est mieux représentée en France où elle est citée par 77% des
répondants au lieu de 67% à l’international.
Par rapport à la définition de l’IIA qui indique que l’audit interne évalue les
processus de management des risques, de contrôle, et de gouvernement
d’entreprise, les résultats montrent que le rôle actuel de l’audit interne est
relativement en retrait sur les questions de Corporate gouvernance (en France, 44%
des répondants citent ce domaine d’intervention par rapport à 52%au niveau
mondial).
Ces trois domaines sont cités par toutes les catégories de fonction. En outre, les
responsables d’audit interne sont plus attentifs aux problématiques transverses
comme le management de projet, l’alignement stratégique ou les fusions. Il est vrai
que ces domaines donnent plutôt lieu à des missions de conseil dont les enjeux sont
plus perceptibles pour les responsables d’audit interne.
Les ressources et les compétences sont mobilisées pour réaliser prioritairement
des :
© IFACI juin 2008 11�
• audits de conformité (aux lois, règlements et procédures) : 22% du temps
passé ;
• audits opérationnels: 20% du temps passé;
• audits de processus financiers : 13% du temps passé.
L’emploi du temps des auditeurs est complété par des missions de conseil (9% du
temps passé) ou plus opérationnelles. Par exemple, les audits des systèmes
d’information (8% du temps passé), les investigations de fraude (5% du temps
passé).
Les résultats de l’enquête montrent bien que d’autres acteurs sont concernés par
l’évaluation des risques. Dans certains domaines, les services d’audit interne ont
une participation minoritaire. Ainsi les missions d’audit de la sécurité sont réalisées
à 37% par des services d’audit interne, le taux d’implication des services d’audit
interne est de 25% pour les missions « Hygiène, Sécurité, Environnement ».
L’audit interne est très concerné par les aspects relatifs aux systèmes
d’information, puisque :
• l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit interne et de 30% par d’autres
directions ;
• l’évaluation de la Direction des systèmes et technologies de l’information
est effectuée par le service d’audit interne pour 46% des répondants.
Cette implication dans le domaine des systèmes d'information nécessite des
compétences spécifiques.
Compétences-clés et formation des auditeurs internes
Les principales compétences comportementales que les responsables d’audit
interne recherchent chez un auditeur interne sont :
• la confidentialité (82%) ;
• la capacité à travailler en équipe (80%) ;
• l’objectivité (77%).
Parmi les compétences techniques attendues des auditeurs internes, les
responsables d’audit interne mentionnent principalement des savoir-faire liés au
recueil des données et l’analyse des risques. Ces compétences sont nécessaires pour
la préparation et la réalisation efficiente des missions d’audit interne :
© IFACI juin 2008 12�
• l’utilisation des systèmes d’information (76% citent l’extraction et
l’analyse des données, 46% l’utilisation des technologies de
l’information) ;
• la capacité à réaliser des entretiens (68%) ;
• l’analyse des risques (51%).
Outre les compétences des auditeurs internes, l’enquête met en exergue des
qualités spécifiques attendues de la part des responsables d’audit interne telles
que :
• La capacité à promouvoir la fonction d’audit interne (citée par 75% des
répondants comme une compétence principale des responsables d’audit
interne). Elle passe notamment par le sens de la négociation (72%) et des
compétences en communication (62%) ;
• L’aptitude au leadership (62%) et à l’organisation (46%) ;
• La proactivité (se tenir à jour des changements professionnels : opinions,
normes, réglementations) est citée par 42% des répondants comme étant
une compétence nécessaire pour les responsables d’audit interne.
L’acquisition de ces compétences passe notamment par la formation
professionnelle. Elle sert surtout à développer des connaissances techniques
spécifiques telles que les normes et les pratiques professionnelles. Tous les
responsables d’audit interne mentionnent ce thème de formation et 43% d’entre
eux l’inscrivent chaque année au programme de formation de leur service.
Les certifications individuelles permettent également de développer le
professionnalisme des auditeurs. Deux tiers des répondants à la question « combien
de personnes ont une certification en audit interne ? » déclarent qu’il y a au moins
un auditeur disposant d’une certification telle que le Certified Internal Auditor
(CIA) dans leur service.
Approche par les risques et professionnalisme : éléments
incontournables de la pratique de l’audit interne
Pour assumer leur rôle et répondre aux principales attentes de l’organisation, les
auditeurs internes se fondent sur leur professionnalisme avec notamment une
approche par les risques qui se généralise.
© IFACI juin 2008 13�
94% des répondants formalisent les missions d’audit dans le cadre d’un plan annuel
et, dans 79% des cas, cette planification est réalisée à partir d’une analyse de
risques.
Cette démarche est également utilisée pour la conception des programmes de
travail. Ainsi, 90% des répondants déclarent que l’approche par les risques est
utilisée dans le cadre des missions d’audit.
En plus du panel de connaissances et de compétences attendues, le
professionnalisme des auditeurs internes se fonde sur l’utilisation des normes.
Le niveau d’adéquation des normes professionnelles de l’audit interne est jugé,
en moyenne, satisfaisant par plus de 90% des répondants.
Les normes qui n'atteignent pas ce niveau de quasi-unanimité sont :
• les normes de la série 1300 « programme d’assurance et d’amélioration
qualité » (76% des répondants, en France, la jugent adéquate, ils sont 77%
au niveau mondial) ;
• les normes de la série 2600 « acceptation des risques par la direction
générale » (79%des répondants, en France, la jugent adéquate, ils sont 76%
au niveau mondial). D’ailleurs, lors de la traduction de la norme 2600,
l’IFACI avait anticipé des difficultés éventuelles à sa mise en œuvre et
avait prévu que l’acceptation des risques par la direction générale devrait
être appliquée avec sagesse et prudence ;
• les normes de la série 2500 « surveillance des actions de progrès » (83%
des répondants, en France, la jugent adéquate, ils sont 81% au niveau
mondial).
Outre la question concernant l’adéquation des normes, l’enquête donne des
précisions sur leur niveau d’utilisation. Ils sont 70% des répondants à affirmer que
leur service d’audit interne utilise les normes professionnelles de l’IIA. Ce taux
est de 82% au niveau mondial.
Il convient d’apporter une précision sur « les raisons pour lesquelles certains
services d’audit interne n’utilisent pas, en partie ou en totalité, les normes ». En
effet :
• pour 28% des répondants en France (12% au niveau mondial), la raison
principale est que le Management et/ou le Conseil n’en perçoivent pas la
valeur ;
© IFACI juin 2008 14�
• 20% (12 % au niveau mondial) jugent que cela est trop consommateur de
temps ;
• 16% (6 % au niveau mondial) considèrent que les normes et les modalités
pratiques d’application qui les accompagnent sont trop complexes.
Une évolution du cadre de référence est prévue en 2009. Les notes
interprétatives des normes devraient réduire la perception de complexité et les
guides d’application seront rapidement transposables dans les services d’audit
interne.
Conformément aux préconisations des modalités pratiques d’application, et afin
d’atteindre les objectifs de leurs missions, les services d’audit interne utilisent de
plus en plus d’outils et de méthodes fondées sur les technologies de l’information.
Par rapport aux résultats constatés au niveau de l’IIA, les techniques et outils
relativement peu utilisés en France sont :
• l’audit en continu et en temps réel ;
• les outils de revue qualité des services d’audit interne ;
• les techniques de gestion totale de la qualité.
Les projections à trois ans confirment l’utilisation d’outils d’extraction et de
traitement des données avec une bonne progression des outils de revue des
programmes d’amélioration qualité des services d’audit interne.
La valeur ajoutée et l’évaluation de l’audit interne
La valeur ajoutée de la fonction se traduit notamment par la mise en œuvre des
recommandations issues des missions d'audit interne. D’où l’importance des
actions correctives. Ainsi, seulement 3% des répondants ne font pas de suivi
formel des plans d’actions.
Pour réellement apporter de la valeur à leur organisation, les recommandations
doivent s’inscrire dans un processus plus global de gestion de la qualité des
activités de l’audit interne. Dans un environnement en constant changement et de
plus en plus exigeant, un engagement permanent d’amélioration continue est
indispensable pour apporter davantage de valeur ajoutée à la Direction Générale, au
Comité d’Audit et à l’organisation.
© IFACI juin 2008 15�
Ce processus permet également de :
• respecter les normes professionnelles et être en mesure d'en rendre
compte ;
• maintenir et développer la qualité des prestations au plus haut niveau ;
• renforcer l’image et la crédibilité de l’audit interne au sein de
l’organisation.
Pour les services d’audit interne récents, développer un tel programme fait partie
des éléments structurants qui permettent de renforcer leur crédibilité et leur
autorité.
Les principales activités effectuées dans le cadre du programme d’assurance et
d’amélioration qualité du service d’audit interne sont :
• la supervision des missions, pour 56% des répondants ;
• la mise en place de check-lists et de manuels donnant l’assurance que des
processus d’audit adéquats sont respectés, pour 38% ;
• le recueil de l’opinion des clients de l’audit à la fin d’une mission, pour
36% .
La mise en œuvre d’un programme d’amélioration qualité doit inclure des
évaluations internes et des revues externes indépendantes. Les résultats de
l’enquête montrent une marge de progression dans ce domaine. En effet, 42% des
répondants déclarent que leur service n’a jamais réalisé d'évaluations internes. Par
ailleurs, 34% des répondants n’ont jamais réalisé d’évaluations externes de leur
service d’audit interne.
En synthèse…
L’audit interne est une profession qui a su s’adapter aux besoins actuels des
organisations pour une meilleure maîtrise des risques.
Son rôle de partenaire clé des dirigeants n’est plus à démontrer. Les méthodes et
les différents outils développés dans les services d’audit interne permettent de
répondre aux attentes des organisations.
© IFACI juin 2008 16�
Les services d’audit interne doivent développer, à travers un processus
d’amélioration continue, leur professionnalisme. Le développement des
compétences est actuellement facilité par le niveau de recrutement des auditeurs
internes (en France, 83% des auditeurs internes sont recrutés au niveau Bac+5) et
par un investissement dans leur formation professionnelle. Il est néanmoins
nécessaire de diversifier les différentes compétences existantes pour répondre aux
enjeux futurs des organisations. Les auditeurs internes de demain doivent, plus que
jamais, savoir proportionner leurs activités en fonction des risques de l’entreprise
qu’ils auront contribué à identifier.
Pour pleinement contribuer à la performance de l’organisation, l’audit interne doit
prendre en considération les autres activités d’identification des risques et de
contrôle existantes. En effet, le CBOK montre que des fonctions support de
l’entreprise (Hygiène Sécurité Environnement, SI…) participent à la maîtrise des
risques de l’entreprise. La coordination des travaux avec ces différents acteurs
devient cruciale pour mieux répondre aux attentes des opérationnels et des organes
dirigeants.
Dans les prochaines années, le triptyque de la définition de l’audit interne sera
toujours d’actualité :
• 76% des responsables d’audit interne considèrent que le rôle de l’audit
interne va augmenter en matière de gestion des risques ;
• 41% pour les questions de gouvernement d’entreprise ;
• 39% en ce qui concerne la conformité.
Le management des systèmes d’information et la sensibilisation du personnel au
contrôle interne font déjà partie du périmètre d’intervention des auditeurs internes.
Cette tendance devrait se confirmer dans les trois prochaines années. En effet, ils
sont respectivement 82% et 77% à considérer que leur service d’audit interne a un
rôle présent ou futur dans ces deux domaines.
Une implication beaucoup plus grande de l’audit interne se dessine dans les
domaines suivants :
• la gestion de projet ;
• le benchmarking ;
• l’alignement stratégique et la mesure de la performance ;
© IFACI juin 2008 17�
• le Knowledge Management ;
• l’environnement et les questions de responsabilité sociale et
environnementale.
Ces évolutions du rôle de l’audit interne intègrent bien la nécessité de considérer
toutes les parties prenantes de l’organisation pour mieux gérer l’ensemble des
risques. Elles répondent également à l’exigence d’une meilleure maîtrise de
l’environnement de contrôle.
© IFACI juin 2008 18�
1.4. Analyse détaillée
Les réponses à la soixantaine de questions du CBOK 2006 fournissent des
informations tangibles sur des thèmes comme :
• le positionnement des services d’audit interne ;
• les caractéristiques des services d’audit interne (type d’activités,
composition, outils et méthodes) ;
• le profil des auditeurs internes (formation, expériences professionnelles,
compétences…) ;
• l’adéquation des normes professionnelles d’audit interne et la conformité
des services d’audit interne ;
• l’évaluation de l’audit interne, les programmes d’assurance qualité ;
• les enjeux actuels en matière de gouvernance, risques et contrôle.
1.4.1. Gouvernance et indépendance
Les sociétés françaises sont de plus en plus nombreuses à se conformer aux
principes de gouvernement d’entreprise. Ainsi :
• 81% des responsables d’audit interne (RAI) indiquent que leur
organisation a établi un plan stratégique à long terme ;
• 75% des répondants disposent d’un code d’éthique ;
• 70% ont formalisé une charte pour le fonctionnement de leur comité
d’audit;
• 55% ont mis en place un code de gouvernement d’entreprise.
DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE
Type de documents Effectif total
(IIA)
Effectif total
(France)
Responsable
Audit Interne
(France)
Plan stratégique à long terme 66% 68% 81%
Code d’éthique/ code de conduite 73% 68% 75%
Charte du Comité d’Audit 57% 54% 70%
Code de gouvernement d’entreprise 53% 37% 55%
© IFACI juin 2008 19�
Ces documents formalisent les valeurs définies par les organes du gouvernement
d’entreprise. Ils favorisent l’adhésion à ces principes de gouvernance. En
contribuant ainsi à l’atteinte des objectifs ils renforcent de fait le contrôle interne.
Les services d’audit interne ont également mis en place un certain nombre de
documents (cf. § 1.4.4.5. sur les outils et méthodes, p.71). Ainsi, 80% des
responsables d’audit interne indiquent l’existence d’une lettre de mission de la
fonction audit interne.
1.4.1.1. La charte d’audit interne
L’audit interne doit être indépendant dans l’exercice de sa mission. Il ne doit subir
aucune limitation dans la définition de son champ d’intervention, la réalisation des
travaux et la communication des résultats.
Cette exigence est formalisée par écrit dans la charte d’audit interne. Ce document
existe chez 83% des répondants (72% au niveau de l’IIA).
1.4.1.2. Nomination et évaluation du responsable de l’audit
interne
L’indépendance et le positionnement de l’audit interne comme acteur clé de
l’organisation impliquent que la nomination et l’évaluation du responsable d’audit
interne relèvent de niveaux hiérarchiques élevés.
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ?
IIA France
Directeur Général 54% 71%
Président du Conseil 51% 51%
Comité d’Audit 33% 37%
Directeur financier 28% 34%
Autres 17% 12%
Ainsi, 71% des répondants indiquent que le Directeur Général participe à la
nomination du responsable d’audit interne. Dans la moitié des cas, le président du
Conseil est également impliqué. L’intervention de la Direction Générale est plus
marquée en France (71% au lieu de 54% au niveau de l’IIA).
© IFACI juin 2008 20�
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE
(ANALYSE DETAILLEE AU NIVEAU DE L’IIA) ?
Groupe 1
(dont USA)
Groupe 3
(dont UK)
Groupe 8
(dont France)
Directeur général 56% 59% 58%
Président du Conseil 18% 14% 53%
Comité d’audit 68% 67% 37%
L’analyse détaillée réalisée par l’IIA démontre des niveaux d’implication différents
du Comité d’Audit et du Conseil.
Ces résultats reflètent les différentes responsabilités attribuées au Comité d’Audit
selon les pays. Bien au-delà de la question de la nomination du responsable de
l’audit interne, la transposition de la 8ème directive européenne concernant les
contrôles légaux des comptes annuels et les comptes consolidés (2006/43/CE)
contribuera à la clarification des relations audit interne/ comité d’audit.
Outre les écarts constatés entre groupe de pays, le schéma ci-après révèle
également des niveaux d’intervention différents selon le secteur d’activité
notamment en ce qui concerne le rôle du Directeur Financier.
© IFACI juin 2008 21�
LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON
LE SECTEUR
0
1 0
2 0
3 0
4 0
5 0
6 0
7 0
8 0
9 0
1 0 0
Servicespublics
Technologie Banque Assurance Telecom Tous secteurs
Président DGComité d'Audit/Président Directeur FinancierPersonne rattachée au DF
Quel que soit le secteur d’activité, l’intervention du Directeur Général dans la
nomination du responsable de l’audit interne est citée par plus de 70% des
répondants.
L’intervention du directeur financier n’apparaît ni dans les services publics ni dans
les assurances et très faiblement dans la banque (10%), ces secteurs à fort
environnement réglementaire sont ceux où le nombre de décideurs dans la
nomination du responsable d’audit interne est le plus restreint. Le pôle de décision
est centré sur le Directeur Général et l’organe délibérant (Président du Conseil et
Comité d’Audit).
L’évaluation du responsable d’audit interne fait intervenir quasiment les mêmes
acteurs. Toutefois, le Comité d’Audit est clairement identifié comme un acteur
majeur de l’évaluation de l’audit interne. Cette instance est impliquée dans
l’évaluation des résultats de l’audit interne pour 57% des cas (49% au niveau IIA et
60% aux USA).
© IFACI juin 2008 22�
QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ?
IIA France
Directeur Général 45% 60%
Président du Conseil 16% 36%
Comité d’Audit 49% 57%
Conseil d’Administration 16% 10%
Comité de Direction 31% 44%
1.4.1.3. Relations avec le comité d’audit
L’enquête IFACI de 2005 avait déjà mis en évidence le développement des comités
d’audit. Le CBOK confirme ce constat puisque 80% des répondants indiquent que
leur organisation a un Comité d’Audit (73% au niveau IIA et 85% aux USA).
Concernant l’influence du type d’organisation, la différence la plus forte s’observe
entre les sociétés cotées (91% des responsables d’audit interne indiquent
l’existence d’un Comité d’Audit) et les sociétés non cotées (67%).
EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION
France
Société cotée 91%
Société privée non cotée 67%
Secteur public 71%
Autres 75%
Total 80%
Les relations entre l’audit interne et le Comité d’Audit se matérialisent pas des
rencontres formelles et informelles. En effet, l’audit interne est un acteur clé de la
gouvernance d’où la nécessité d’une interaction régulière avec le Comité d’Audit.
Le responsable d’audit interne doit régulièrement rendre compte de son activité et
donner au Comité d’Audit toutes les informations nécessaires sur les processus de
gouvernement d’entreprise, de management des risques et de contrôle mis en
œuvre dans l’organisation.
L’enquête de l’IIA montre que le nombre de réunions du Comité d’Audit
auxquelles participent les responsables d’audit interne est variable.
© IFACI juin 2008 23�
PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU
COMITE D’AUDIT
IIA France
Aucune participation 8% 18%
Deux réunions par an 8% 20%
Quatre réunions par an 32% 20%
Cinq réunions et plus 39% 29%
En France, 18% des responsables d’audit interne ne participent à aucune réunion
du Comité d’audit. Au niveau international, ce taux est plus faible (8%).
De plus, la fréquence de participation des responsables d’audit interne aux réunions
du Comité est plus élevée au niveau de l’IIA : 71% des responsables d’audit interne
participent à quatre réunions au moins par an. En France, le ratio équivalent est de
49%.
Ces pourcentages masquent une forte variabilité dans la composition des Comités
d’Audit (notamment entre le secteur privé et le secteur public) et dans leur agenda
(l’accent peut être mis sur l’examen des comptes laissant moins de temps à
l’examen de l’ensemble des risques et des dispositifs de contrôle).
© IFACI juin 2008 24�
REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT
Relations avec le Comité d’Audit
France IIA
Nombre de
responsable d’audit
interne ayant répondu
à la question
OUI
(%)
OUI
(%)
Votre organisation dispose-
t-elle d’un Comité
d’Audit ?
69 80% 73%
Au-delà des réunions
prévues régulièrement, le
responsable d’audit interne
rencontre t-il le Comité
d’Audit ou son Président?
56 41% 63%
Le responsable d’audit
interne estime-t-il avoir
suffisamment accès au
Comité d’Audit ?
54 78% 91%
En France, 78% des responsables d’audit interne estiment qu’ils ont un accès
approprié à au Comité d’Audit. Ils sont 91% à partager ce constat au niveau de
l’IIA et 94% aux USA.
Au-delà des réunions régulières planifiées, 41% des répondants rencontrent le
Comité d’Audit ou son Président. Ce ratio est inférieur au pourcentage mondial qui
est de 63%. Pourtant, ces rencontres supplémentaires répondent à un réel besoin
puisque les responsables d’audit interne qui estiment qu’ils n’ont pas un accès
approprié au Comité d’audit sont majoritairement ceux qui ne rencontrent pas les
membres du Comité d’Audit en dehors des réunions planifiées.
L’information du Comité d’Audit porte essentiellement sur la nature des activités
de l’audit interne et sur les résultats des missions. L’audit interne peut également
© IFACI juin 2008 25�
apporter une assistance au Comité d’Audit, par exemple en lui donnant des
informations sur les bonnes pratiques en matière de management des risques et de
gouvernement d’entreprise.
Selon l’enquête, 27% des responsables d’audit interne indiquent que leur service
assure la formation des membres du Comité d’Audit. Ce taux est de 34% au niveau
de l’IIA. Il est plus fort dans les pays du groupe 1 (dont USA) où l’implication de
l’audit interne dans la formation des membres du comité d’audit est citée par 47%
des répondants. Des activités similaires sont courantes dans les pays du groupe 3
(dont UK) où le pourcentage est du même ordre (43%).
© IFACI juin 2008 26�
1.4.2. Zoom sur une profession en plein essor
L’audit interne est une fonction qui se développe au sein des organisations. Pour
assumer des responsabilités qui s’étendent sur un large périmètre d’intervention,
l’audit interne s’appuie sur ses propres effectifs et d’autres ressources internes ou
externes à l’organisation.
1.4.2.1. La dernière décennie confirme le développement de la
fonction
L’analyse de l’ancienneté des services d’audit interne montre que l’audit interne est
souvent une fonction récente.
DES SERVICES D’AUDIT INTERNE RECENTS
0% 5% 10% 15% 20% 25% 30% 35%
0-5 ans
6-10 ans
11-15 ans
16-20 ans
>20 ans
Ancienneté
IIAFrance
Si en France, 13% des répondants exercent dans des services qui ont plus de 20 ans d’ancienneté, cette catégorie représente 28% au niveau de l’IIA et 37% aux USA.
Ainsi, plus de la moitié des services d’audit interne représentés (55%) ont moins de
dix ans d’existence, 24% ont moins de 5 ans.
La proportion de services d’audit interne de moins de dix ans est sensiblement la
même au niveau de l’IIA (49%).
© IFACI juin 2008 27�
Cette propension au développement des services d’audit interne est en partie liée
aux nouvelles réglementations en matière de contrôle interne et de gouvernement
d’entreprise. Mais, au-delà de ces exigences, la création de nouveaux services
marque surtout la reconnaissance de la valeur ajoutée de l’audit interne pour les
organisations. De plus, la complexification des activités et des risques nécessite le
recours à des professionnels qui savent s’appuyer sur une méthodologie et des
normes dont la portée est internationale.
L’ancienneté du service d’audit interne varie en fonction du secteur d’activité et du
type d’organisation.
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE
Années Banque Télécommunication Assurance
Transformation
industrielle
Chimie/
Pharmacie Technologie
Effectif
total
0-5 17% 9% 25% 40% 29% 18% 24%
6-10 22% 45% 44% 47% 29% 35% 31%
11-25 36% 37% 28% 6% 35% 41% 36%
>25 25% 9% 3% 7% 7% 6% 9%
C’est dans le secteur bancaire qu’on retrouve les services d’audit interne les plus
anciens : 25% des services d’audit interne de ce secteur ont plus de 25 ans alors
qu’il y a 7% des auditeurs de secteurs industriels tels que la chimie/ pharmacie ou
la transformation qui exercent dans des services aussi anciens. A contrario, c’est
dans ces secteurs que le caractère récent de la fonction est encore plus marqué
(87% des Services d’Audit Interne de la transformation ont moins de 10 ans, 60%
du secteur chimie/pharmacie).
Ces écarts ne sont pas simplement dus à des différences entre secteur financier et
secteur industriel. En effet, il y a également une différence entre la banque et
l’assurance puisque seulement 3% des services d’audit interne de l’assurance ont
plus de 25 ans d’ancienneté. L’ancienneté des recommandations des instances de
régulation bancaires en matière de contrôle interne explique les spécificités de ce
domaine d’activité.
© IFACI juin 2008 28�
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE
D’ORGANISATION
Années Cotée Non cotée Secteur public Organisations à but non lucratif Effectif total
0-5 19% 28% 25% 24% 24%
6-10 34% 23% 25% 47% 31%
11-25 38% 37% 25% 29% 36%
>25 9% 12% 25% 0% 9%
On note une plus grande proportion de services d’audit interne de moins de 5 ans
d’ancienneté dans les entreprises non cotées (28%) au lieu de 19% pour les sociétés
cotées. Cette tendance s’inverse lorsque l’on remonte sur la tranche des 6 à 10 ans
d’ancienneté.
La création de services d’audit interne dans les organisations à but non lucratif est
clairement un phénomène récent (71% des services d’audit interne de ce secteur
ont moins de 10 ans).
Comme dans le secteur bancaire, 25% des services d’audit interne du secteur
public ont plus de 25 ans. Il convient de rappeler une évolution du type d’activités
depuis 25 ans, les services étaient essentiellement orientés « inspection » ;
désormais il s’agit d’évaluer la cohérence et la robustesse des dispositifs de
maîtrise des activités. Le rôle de l’audit interne évolue également dans le secteur
public notamment avec l’importance donné au renforcement du contrôle interne
dans le cadre de la LOLF (Loi Organique des Lois de Finances).
1.4.2.2. Le turn-over des auditeurs internes est-il une
spécificité française ?
Le passage à l’audit interne est souvent présenté comme un tremplin pour des
cadres à hauts potentiels. Cette hypothèse est confirmée par le fait que :
• 50 % des personnes interrogées ont moins de 3 ans d’ancienneté en audit
interne,
• 20% des effectifs ont un an d’ancienneté.
© IFACI juin 2008 29�
© IFACI juin 2008 30�
Néanmoins, la situation reste contrastée puisque les auditeurs ayant 6 ans
d’expérience et plus représentent 20% des effectifs et parmi eux 7 % ont 10 ans et
plus d’ancienneté.
ANCIENNETE DES AUDITEURS INTERNES
En France, l’ancienneté moyenne en audit interne est de 4.5 ans ce qui est inférieur
à la moyenne constatée au niveau international (6.1 ans).
Ces données sont complétées par des éléments spécifiques concernant le
responsable d’audit interne.
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
< 1 an 1 an 2 ans 3 ans 4 ans 5 ans 6 ans 7 ans 8 ans 9 ans 10 anset plus
Effectifs cumulés
ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION.
Les responsables d’audit interne sont souvent récemment nommés. En effet, 63%
ont moins de 3ans d’ancienneté et 3% ont plus de 10 ans d’ancienneté.
COMPARAISON FRANCE/ IIA DE L’ANCIENNETE DES RESPONSABLES D’AUDIT
INTERNE
Ancienneté du Responsable d’Audit
Interne IIA France
Inférieure ou égale à 5 ans 56% 74%
6 à 10 ans 25% 23%
Plus de 10 ans 19% 3%
Les intervalles extrêmes de ce tableau montrent que le turn-over des responsables
d’audit interne est moins élevé au niveau de l’IIA.
Ces données étant fortement corrélées à l’ancienneté des services d’audit interne, il
sera intéressant de suivre leur évolution dans les prochaines enquêtes.
1.4.2.3. Ressources des services d'audit interne
© IFACI juin 2008 31�
L’enquête donne des tendances sur l’effectif moyen des services d’audit et la
gestion des ressources humaines.
L’effectif du service d’audit interne a été renseigné par 82% des personnes
interrogées. Pour notre analyse, nous n’avons retenu que les effectifs à temps plein
(ETP).
L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE
0%
5%
10%
15%
20%
25%
1 2 à 4 5 à 9 10 à 19 20 à 39 40 à 100 > 100
La taille moyenne des services d’audit interne représentés dans l’enquête est de
27,7 ETP. Cette moyenne recoupe des cas de figure très variés avec aux extrêmes
8% des services d’audit interne qui ont un auditeur interne unique et la même
proportion de services d’audit interne de plus de 100 auditeurs internes. Entre ces
zones limites, notons que 54% des services d’audit interne ont moins de 10
auditeurs internes. Ce pourcentage est exactement le même au niveau de l’IIA. Il
est inférieur aux 74% constatés dans l’enquête IFACI 2005.
L’effectif varie en fonction du secteur d’activité. Le meilleur indicateur de cette
variabilité est le ratio du nombre d’auditeurs internes par rapport au nombre
d’employés.
© IFACI juin 2008 32�
© IFACI juin 2008 33�
RATIO EFFECTIF AUDIT INTERNE/EFFECTIF TOTAL DE L’ORGANISATION
Ainsi, aucun service d’audit interne des secteurs « industrie commerce » n’atteint
le seuil de un auditeur interne pour 100 employés alors que 15% des banquiers et
10% des assureurs indiquent que leur service d’audit interne dépasse ce seuil.
La moitié des répondants des secteurs « commerce, transformation » ont un ratio
inférieur à 0,5 pour mille.
Ces écarts sont liés aux différences démographiques intrinsèques à chaque secteur
d’activité mais également à l’environnement réglementaire dans lesquels les
services d’audit interne évoluent. En effet, le fonctionnement des services d’audit
interne du secteur bancaire font l’objet d’une surveillance particulière de la part des
régulateurs.
Peu d’incitations financières sont proposées pour le recrutement des auditeurs
internes. Les mesures les plus courantes sont la mise à disposition d’un véhicule de
service, les indemnités de transport ou encore l’accélération des augmentations de
salaire.
Lorsqu’il y a une vacance de poste, les responsables d’audit interne privilégient la
réduction du périmètre d’intervention (46% en France, 31% au niveau de l’IIA).
10%
10%
50%
11%
50%
4%
10%
40%
78%
20%
39%
61%
10%
11%
30%
33% 15%
10%10%
Banque
Assurance
Transformation
Pharmacie chimie
Commerce
< à 0,5 pour mille de 0.5 pour mille à 1 pour mille1 pour mille à 0,5% de 0,5% à 1%> 1%
Moins d’un tiers des responsables d’audit interne ont répondu aux questions sur les incitations spéciales pour le recrutement des auditeurs internes ainsi que sur les méthodes pour remédier à la vacance de poste ou à des lacunes de compétences ; par conséquent, les tendances mises en exergue ne sont qu’indicatives et ne peuvent être extrapolées à l’ensemble des entités.
Le recours à des prestataires externes n’apparaît qu’en deuxième position (à 39%
en France, 29% au niveau de l’IIA). Cette dernière méthode est d’ailleurs utilisée
majoritairement (59% en France, 51% au niveau de l’IIA) pour palier le manque
d’expertises spécifiques (SI, analyse statistique, compétences métiers propres au
secteur d’activité…).
La tendance mise en exergue dans l’enquête 2005 sur la pratique de l’audit interne
en France est donc confirmée : 62% des services d’audit interne indiquaient qu’ils
collaboraient « parfois ou souvent » avec des prestataires externes notamment pour
des raisons d’accès à des spécialistes, d’accès à des méthodologies et savoir-faire,
de flexibilité par le recours à des ressources ponctuelles ainsi que d’accès aux
meilleures pratiques.
La taille du service d’audit interne n’apparaît pas comme une variable
discriminante pour le choix de la méthode de gestion des lacunes de compétences.
Mais, y a-t-il différentes approches de la gestion des lacunes de compétences selon
les secteurs d’activité ?
MODALITES DE GESTION DES LACUNES DE COMPETENCES
0 20 40 60 80 100
Assurance
Banque
Services publics
Pharmacie
Telecom
Technologie
TransportLogistique
Ensemble
Logiciel d'audit
Pas de lacunes decompétences
Co sourcing interne àl'organisation
Réduction périmètre
Sous traitance
© IFACI juin 2008 34�
La sous-traitance apparaît largement en tête dans les secteurs où les besoins en
expertise métier sont importants : qu’il s’agisse d’expertise technique ou
scientifique dans le domaine pharmaceutique (100%) ou des télécoms (83%) ; ou
de connaissances financières et réglementaires pour les banques et les assurances
(environ 70%).
On note le faible recours aux solutions alternatives (réduction du périmètre et co-
sourcing interne) dans les secteurs à fort environnement réglementaire où la
fonction d’audit interne découle d’un cadre de référence précis.
Plus marginalement, le recours à un logiciel d’audit, pour palier à des lacunes de
compétence, n’apparaît que dans le secteur des technologies.
1.4.2.4. Périmètre actuel d’intervention de l’audit interne
La profession est marquée par le contexte réglementaire. Au niveau de l’IIA, 61%
des répondants indiquent que la législation locale exige une fonction d’audit
interne. En France, la perception de cette obligation existe dans tous les secteurs
d’activités (54% en moyenne). Néanmoins, l’analyse sectorielle révèle une nette
dominance dans la banque (78%), les assurances (70%), les services publics (69%)
par rapport au secteur commercial (22%) ou industriel (par exemple, 33% dans le
secteur de la pharmacie-chimie).
En effet, le règlement CRBF 97-02 exige que les établissements de crédits
disposent d'un corps de personnel indépendant en charge du contrôle périodique
(cf. article 6 du CRBF 97-02).
Article 6.b du CRBF 97-02 relatif au contrôle périodique
Au-delà des exigences exogènes, l’enquête permet de positionner le rôle actuel de
l’audit interne par rapport aux besoins endogènes de chaque organisation. En effet,
la définition publiée par l’IIA prévoit que l’audit interne doit aider l’organisation à
atteindre ses objectifs en évaluant « ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise ».
Le questionnaire proposait 21 domaines susceptibles d’être dans le périmètre de
l’audit interne.
La pratique de l’audit interne concerne les trois domaines cités dans la définition IIA/IFACI : le management des risques arrive en tête avec 77% des répondants en France, l’axe contrôle est abordé ici sous l’angle de l’évaluation de la conformité réglementaire (71%) et enfin la Corporate gouvernance (44%). Le CBOK donne d’autres précisions sur le périmètre de l’audit interne qui inclut des domaines comme la fraude (65%) mais également l’évaluation du management des systèmes d’information (48%).
Les entreprises assujetties doivent, selon des modalités adaptées à leur taille et à la nature de leurs activités, disposer d’agents réalisant les contrôles, permanent ou périodique, conformément aux dispositions ci-après. b) Le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs mentionnés est assuré au moyen d’enquêtes par des agents au niveau central et, le cas échéant, local, autres que ceux mentionnés au point a ci-dessus.
© IFACI juin 2008 35�
DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE
Principaux
Domaines
IIA USA France
Processus de management des risques 67% 70% 77%
Conformité 64% 64% 71%
Fraude (prévention/détection) 69% 77% 65%
Evaluation du management des
systèmes d’information 46% 49% 48%
Sensibilisation et formations sur le
contrôle interne, le management des
risques, la conformité
47% 50% 47%
Corporate gouvernance 52% 57% 44%
Au regard de ces résultats, trois domaines phares ressortent :
• le processus de management des risques (77%) ;
• la conformité (71%) ;
• la prévention et la détection de la fraude (65%).
Ces trois domaines se retrouvent également en tête dans la population mondiale.
Notons que la composante gestion des risques est mieux représentée en France,
surtout lorsqu’on tient compte des réponses des responsables d’audit interne (ils
sont 82% à considérer que leur service peut jouer un rôle dans le processus de
management des risques).
Dans l’enquête de 2005, le rôle de l’audit interne dans la gestion des risques
apparaissait moins nettement : 60% des Responsables d’Audit Interne
mentionnaient un rôle principal ou secondaire dans l’identification des risques, ce
taux était de 53% pour leur évaluation et 55% pour la hiérarchisation des risques.
Pour en revenir à la définition IIA/IFACI, il n’est pas étonnant de retrouver en tête
de liste, le management des risques et des activités de contrôle. La formation (47%)
concerne les sessions conçues ou animées par l’audit interne sur le risque, le
contrôle interne ; elles complètent donc le rôle de l’audit interne dans l’évaluation
de ces processus.
Les domaines les moins cités dans l’enquête du CBOK concernent la mondialisation, les marchés émergents, l’environnement et la gestion de crise. Sur ces points, il n’y a pas d’écarts significatifs entre les réponses en France et les données mondiales.
© IFACI juin 2008 36�
Par contre, parmi les trois processus prévus dans la définition, la gouvernance est
moins bien lotie. Les chiffres sont sensiblement les mêmes que dans l’enquête
IFACI 2005, puisque la moitié des répondants déclarait réaliser des missions pour
évaluer les processus et les structures relatives au gouvernement d’entreprise.
DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE
Domaines IIA France
Mondialisation 15% 14%
Marchés émergents 12% 8%
Environnement 14% 12%
Gestion de crise, reprise d’activité 34% 10%
La faible implication dans les sujets liés à la mondialisation (14%) et aux marchés
émergents (8%) est étonnante compte tenu de la représentativité des entreprises à
dimension internationale (58% des répondants). Ces sujets ne sont peut être pas
identifiés en tant que tels dans le périmètre de l’audit mais ils sont certainement
pris en compte dans la cartographie des risques servant de base à la planification
des missions.
Quant aux deux autres domaines liés à l’environnement (12%) et à la gestion de
crise, le cadre de référence de l’IIA indique que l’audit interne a un rôle dans
l’identification et le reporting des risques environnementaux (MPA 2100-7) et dans
le processus de continuité des opérations (MPA 2110-2) en particulier pendant la
phase de reprise après sinistre.
Pour les domaines intermédiaires, il n’y a pas de différence notable entre les
réponses en France et les données mondiales. Par contre, le tableau ci-après montre
des écarts entre les réponses des responsables d’audit interne (RAI) et la population
totale. Ces données reflètent des rôles différents au sein des services d’audit
interne.
© IFACI juin 2008 37�
MPA 2100-7 : Le rôle de l’audit interne dans l’identification et le reporting des risques environnementaux 1. Le responsable de l’audit interne doit intégrer les risques liés à l’environnement, à la santé et à la sécurité dans toute évaluation du management des risques réalisée à l’échelle de l’entité. 6. Le responsable de l’audit interne doit s’efforcer de nouer d’étroites relations de travail avec le responsable de l’environnement et de coordonner ses activités avec le plan d’audit environnemental. L’IFACI publiera prochainement un cahier de la recherche sur l’Audit du Développement Durable.
MPA 2110-2 : Le rôle de l’Audit interne dans le processus de continuité des opérations 2. L’audit interne doit évaluer régulièrement le processus d’élaboration du plan de continuité des opérations de l’organisation et s’assurer que la direction générale est informée du degré de préparation de l’organisation à la survenance d’un sinistre. 8. Les auditeurs internes doivent procéder périodiquement à un audit des plans de continuité et de reprise des opérations de l’organisation. L’objectif de cet audit est de vérifier que les plans permettront d’assurer rapidement la reprise des activités et des processus après des circonstances défavorables, et qu’ils reflètent l’environnement opérationnel actuel de l’organisation. L’IFACI publiera prochainement un cahier de la recherche sur l’Audit du Plan de Continuité d’Activités (PCA).
AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE
Domaines
IIA
(Effectif total)
France
(Effectif total)
France
(RAI)
Gestion de projet 40% 36% 45%
Benchmarking 29% 30% 44%
Alignement stratégique 23% 23% 31%
Fusions/ Acquisitions 18% 19% 29%
Les responsables d’audit interne sont plus attentifs aux problématiques transverses.
Ces domaines doivent donner lieu à des activités qui ne sont pas forcément
formalisées dans le plan d’audit interne. Elles peuvent prendre la forme de
missions de conseil plus perceptibles par les responsables de l’audit interne.
Au-delà du rôle actuel de l’audit interne, le CBOK donne une vision du périmètre de leur fonction tel que envisagé par les répondants dans les trois années à venir. Ces résultats sont analysés dans la partie sur les enjeux d’aujourd’hui et de demain (cf. p87).
1.4.2.5. Types d’activités réalisées par les services d’audit
interne
L’audit interne n’est pas le seul intervenant pour l’évaluation des dispositifs de
contrôle et l’amélioration de la gestion des risques. D’autres services de
l’organisation sont impliqués. Le CBOK éclaire le niveau de réalisation d’une
trentaine d’activités par l’audit interne.
© IFACI juin 2008 38�
POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE
TRENTAINE D’ACTIVITES
0% 20% 40% 60% 80%
Activités administrative (plan d'audit, répartition des tâches)Tests, évaluation du contrôle interne
Audits opérationnelsAudit interne
Enquêtes sur la fraude et les irrégularitésRevue/audit de l'efficacité du management
Mise en œuvre et surveillance du dispositif de contrôleAudit financier
Conformité aux exigences de Cordporate GovernanceManagement des risques (ERM)
Audits liés à l'éthiqueEvaluation de la DSI
Evaluation des risques liés à l'informationConformité aux règles de protection de confidentialité (Privacy)
SécuritéFormation technique des auditeurs
Projets spécifiquesGestion des ressources et contrôles
Audits développement durableGestion de projet
santé, sécurité, environnementEvaluation de l'audit interne
Audit Qualité (ISO)Assistance aux auditeurs externes
Evaluation de la viabilité Relation stragie/performance de l'entreprise
Fusions/ Acquisitions
IIA
France
Le service d’audit interne arrive très largement en tête sur les tâches suivantes :
Les tests et l’évaluation du contrôle interne sont réalisés à hauteur de 82%
(71% au niveau IIA) par le service d’audit interne ; au-delà du rôle primordial
de l’audit interne qui consiste à évaluer les dispositifs de contrôle, la Loi de
Sécurité Financière en France et le Sarbanes-Oxley Act aux Etats-Unis ne sont
sans doute pas étrangers à ce ratio. Avec la création d’autres fonctions du
contrôle interne, le rôle de l’audit interne sur cette thématique devrait évoluer
dans le futur au moins en ce qui concerne la nature et le nombre de tests
réalisés.
Les audits opérationnels sont effectués à hauteur de 81% (79% pour les
résultats globaux) par les services d’audit interne.
L’externalisation reste une pratique marginale. L’activité d’audit interne est réalisée à hauteur de 80% (86% au niveau IIA) par la direction de l’audit interne. Sur les 20% restant, 6% ont totalement externalisé l’activité, 3% l’ont sous-traitée. 76% des répondants sous-traitent moins de 10% de leur activité. Les sujets qui sont le plus sous-traités portent sur la formation des auditeurs et l’audit financier (41%).
Le service d’audit interne est également très présent sur les aspects d’investigation
de fraudes et d’irrégularités (63%). Ce ratio ne signifie pas que l’audit interne y
© IFACI juin 2008 39�
consacre autant de temps. En fait, ces investigations concernent 4% du temps passé
(cf graphique spécifique sur le temps passé sur chaque activité, p.30). En effet,
l’auditeur interne n’est pas un expert de la fraude ; en revanche, la méthode
systématique et rigoureuse qu’il déploie permet de détecter et dénouer certains
montages frauduleux. De plus, ce type d’activités s’inscrit dans son rôle de
promoteur d’une culture éthique et du respect des lois et règlements.
Précédemment, l’enquête menée en France en 2005 par l’IFACI indiquait déjà que
10% des répondants réalisaient « souvent » de telles missions (et 73% « parfois »).
Les trois autres sujets qui incombent majoritairement à l’audit interne sont :
l’audit d’efficacité du management: 56% ;
l’audit financier : 55% ;
la surveillance et la mise en œuvre du dispositif de contrôle : 55%.
Les chiffres internationaux sont proches de ceux de la France. L’écart le plus
important concerne l’audit d’efficacité du management qui est cité par 49% des
répondants au niveau de l’IIA.
Par contre, l’écart IIA /France est plus important en ce qui concerne le processus
de management des risques. En France, cette activité concerne à hauteur de 50%
le service d’audit interne tandis que ce taux est de 38% au niveau de l’IIA.
L’enquête ne permet pas de déterminer si l’audit interne assure la conception et la
mise en place du processus de management des risques dans l’organisation, voire
sa gestion, ou l’évaluation du processus qui correspond au rôle fondamental que
doit avoir l’audit interne en la matière.
Lorsque la conception ou la gestion du processus est confiée à l’audit interne, il est
fortement recommandé d’expliciter ces missions dans la Charte de l’audit. Afin de
préserver l’objectivité, les missions d’évaluation du processus doivent être confiées
à des personnes qui n’ont pas eu la responsabilité de sa mise en œuvre.
Quant aux aspects relatifs aux systèmes d’information, l’audit interne se positionne
bien, ce qui appelle les compétences nécessaires, puisque :
l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit et 30% par d’autres directions ;
l’évaluation de la Direction des systèmes et technologies de l’information
est également effectuée par l’audit (46%).
© IFACI juin 2008 40�
En revanche, l’audit interne se préoccupe moins de domaines techniques ou
stratégiques :
les questions portant sur la sécurité sont gérées à 58% par d’autres directions
contre 37% par l’audit interne. Ce constat n’est pas surprenant si on considère
les compétences techniques que requière ce domaine, en particulier dans les
métiers industriels et de transport qui, le plus souvent, se dotent de directions
d’audit de sécurité ad hoc. Dans le même ordre d’idée, la répartition est de 51%
d’audits HSE (Hygiène, Sécurité, Environnement) réalisés par d’autres
directions et 25% par l’audit interne,
au niveau de l’IIA, le lien entre la stratégie et la performance de l’organisation
est traité à 26% par l’audit interne. Ce taux est de 16% en France. L’audit de la
stratégie, c’est-à-dire l’analyse du processus d’élaboration de la stratégie, sa
déclinaison en objectifs opérationnels et sa diffusion serait-il considéré encore
comme un domaine « tabou » pour l’audit interne ? Dans la pratique, le plan
d’audit interne est aligné sur la stratégie, plus particulièrement, les objectifs et
les risques stratégiques de l’organisation.
Ces résultats montrent que, sur des sujets requérant des compétences ou des
connaissances pointues comme la sécurité ou les questions HSE, d’autres fonctions
sont prioritairement sollicitées. Même si la Norme 1210 précise que l’audit interne
doit posséder les connaissances, le savoir-faire et les autres compétences
nécessaires à l’exercice de ses responsabilités, il est également admis, dans la
Modalité Pratique d’Application 1210.A1, que le responsable de l’audit interne
puisse recourir à des prestataires de service extérieurs à sa direction d’audit sur des
disciplines impliquant un savoir-faire et des connaissances particuliers, telles que
les spécialistes de l’environnement, les experts en sécurité… Dans ce cas, il doit
évaluer la compétence, l’indépendance et la qualité de la prestation afin d’apprécier
dans quelle mesure il peut s’appuyer sur les résultats de ce prestataire.
L’enquête ne dit pas si les activités qui sont confiées à d’autres directions le sont
sous la supervision du service d’audit interne ou si elles correspondent à des
missions confiées structurellement à ces directions. Quoiqu’il en soit, le
responsable d’audit interne doit s’assurer que les risques majeurs de l’organisation
sont traités.
63% des répondants indiquent que la fonction d’audit interne met plus l’accent sur
les activités d’assurance par rapport aux activités de conseil. Ce ratio est
légèrement inférieur à celui de l’enquête IFACI 2005 (73%). Parmi les activités
© IFACI juin 2008 41�
figurant dans le schéma précédent, celles qui relèvent plutôt de missions de conseil
concerne la stratégie ou des domaines précis comme les fusions et rachats
d’entreprises (audits réalisés à 8% par le service d’audit), la gestion de projets
(27%) et les projets spécifiques (32%).
L’enquête CBOK permet également d’appréhender les activités les moins réalisées
dans l’organisation. Il s’agit de l’évaluation qualité de l’activité d’audit interne
(37%), ce qui est cohérent avec les enseignements de la partie 4.5.3 (cf p 62) sur
l’évaluation externe, ainsi que l’assistance à l’audit externe. En effet, cette
activité n’est pas réalisée par 38% des répondants, et lorsqu’elle l’est, c’est
seulement à hauteur de 21% par l’audit interne, ce qui est bien inférieur aux 46%
des résultats mondiaux. L’écart avec les données de l’IIA pourrait s’expliquer par
un problème de traduction (dans le questionnaire en français, cette option a été
traduite par assistance externe de l’audit). Néanmoins, 63% des répondants de
l’enquête IFACI de 2005 indiquaient que l’audit interne ne participait « jamais »
aux travaux de l’audit externe. Cette tendance reste vraie malgré une coordination
accrue « audit interne/audit externe » dans le cadre des rapports sur la fiabilité de
l’information financière (SOX notamment).
Enfin, 35% des répondants CBOK déclarent que des audits de l’éthique ne sont
pas réalisés dans leur organisation. Lorsqu’ils sont menés, c’est majoritairement
l’audit interne (46%) qui s’en charge. Ce qui confirme le rôle fondamental qu’il
doit jouer dans ce domaine. En effet, la norme sur le gouvernement d’entreprise
encourage les auditeurs internes à soutenir activement la culture éthique au sein de
leur organisation, notamment parce qu’on leur accorde la confiance et l’intégrité
nécessaires à ce type d’activité. Ces audits passent par des actions de
sensibilisation, ils peuvent aller jusqu’à la facilitation de la rédaction du code
d’éthique et bien entendu à la vérification du respect des principes définis au sein
de l’organisation. Notons que les audits liés aux règles de confidentialité (privacy)
sont réalisés à 38% par les services d’audit interne répondants en France au lieu de
43% au niveau IIA.
Les résultats ci-dessus traitent de la répartition des responsabilités entre l’audit
interne et les autres services chargés de la maîtrise des risques. Ils sont complétés
par une autre question sur le temps passé par l’audit interne pour traiter des
sujets mentionnés dans le diagramme ci-après. Notons que ces domaines ne
© IFACI juin 2008 42�
correspondent pas exactement à ceux qui ont été précédemment déclinés. Le
temps passé à certaines activités (fraude, conseil) n’est pas proportionnel au
niveau d’implication de l’audit interne dans ces domaines.
TEMPS PASSE PAR TYPE DE MISSIONS
0 5 10 15 20 25
Autres
Investigations de fraude
Gouvernance
Audit des SI
Conseil
Audits de gestion
Processus financier
Audits opérationnels
Conformité
Temps passé (%)
IIA
France
Les auditeurs internes consacrent en priorité leur temps aux trois domaines
suivants :
les audits de conformité (aux lois, règlements et procédures) : 22% ;
les audits opérationnels : 20% ;
les audits de processus financiers : 13%.
Pour ces données, le graphe ci-dessus ne révèle pas de différences significatives
entre la France et l’IIA.
© IFACI juin 2008 43�
1.4.3. Compétences et formation des auditeurs internes
Les données commentées ci-dessus montrent à quel point les activités de l’audit
interne sont variées. L'auditeur interne est un professionnel dont les multiples
compétences permettent d’atteindre ses objectifs. D’ailleurs, la norme
professionnelle 1210 précise que les auditeurs internes doivent posséder les
connaissances, le savoir-faire et les autres compétences nécessaires à l’exercice de
leurs responsabilités individuelles.
De plus, la norme professionnelle 1230 souligne que les auditeurs internes doivent
améliorer leurs connaissances, savoir-faire et autres compétences par une formation
professionnelle continue.
1.4.3.1. Des compétences très diversifiées et des spécificités
selon la catégorie d’emploi
Le CBOK permet de dresser un panorama de trois grands types de compétences :
• les compétences comportementales ;
• les compétences techniques ;
• les autres savoirs et savoir-faire.
Ces compétences sont déclinées selon les quatre catégories d’emploi définies dans
l’enquête :
• auditeur interne ;
• superviseur ;
• manager ;
• responsable d’audit interne (RAI).
L’une des questions adressées au responsable d’audit interne concernait les
compétences comportementales attendues pour chaque catégorie d’emploi d’un
service d’audit interne.
© IFACI juin 2008 44�
COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION
(QUESTION POSEE AUX RESPONSABLES D’AUDIT INTERNE)
Auditeur
interne Superviseur Manager RAI
Confidentialité 82% 59% 45% 69%
Capacité à travailler en
équipe 80% 46% 17% 22%
Objectivité 77% 55% 46% 72%
Indépendance dans le travail 52% 34% 19% 35%
Capacité à avoir un esprit
d’équipe 49% 25% 15%
17%
Capacité à travailler avec
des interlocuteurs de
niveaux de responsabilité
différents
46% 26% 23% 32%
Aptitude relationnelle 28% 14% 32% 34%
Sensibilité au gouvernement
d’entreprise et à l’éthique 22% 25% 51% 55%
Facilitation 9% 31% 40% 43%
Aptitude à créer un esprit
d’équipe 6% 35% 35% 35%
Leadership 2% 34% 46% 62%
Gestion du personnel 0% 19% 34% 43%
En France, les principales compétences comportementales que les responsables
d’audit interne attendent d’un auditeur interne sont :
• la confidentialité (82%),
• la capacité à travailler en équipe (80%),
• l’objectivité (77%).
Au niveau de l’IIA, ce sont ces trois compétences qui arrivent également en tête
avec néanmoins des pourcentages légèrement différents :
• la confidentialité (73%),
• la capacité à travailler en équipe (74%),
• l’objectivité (67%).
© IFACI juin 2008 45�
Principes fondamentaux du code de déontologie de l’IIA • Intégrité L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. • Objectivité Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. • Confidentialité Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. • Compétence Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation de leurs travaux.
Rappelons que la confidentialité et l’objectivité sont deux des quatre principes
fondamentaux du code de déontologie de l’IIA.
Ces trois compétences sont également attendues, mais dans une moindre
proportion, pour les superviseurs.
Par rapport aux auditeurs internes, le panel de compétences comportementales est
plus large pour la fonction de superviseur. Ainsi, la capacité à créer un esprit
d’équipe et le leadership apparaissent dans les cinq premières compétences
comportementales requises pour un superviseur, alors que ce sont les critères les
moins cités pour les auditeurs internes. Au niveau global, le responsable de l’audit interne apparaît plus comme un dirigeant qui a le sens du leadership (75% au niveau de l’IIA, 62% en France) et qui a la capacité à travailler avec les différents niveaux de responsabilité (58% au niveau de l’IIA, 32% en France).
Pour les responsables d’audit interne, en plus de l’objectivité (72%, 58% au niveau
IIA) et de la confidentialité (69% comme au niveau IIA), notons que le leadership
(62%) et la sensibilité au gouvernement d’entreprise et à l’éthique (55%) sont
également des compétences requises. Ces deux dernières compétences sortent
également du lot au niveau IIA avec respectivement 75% et 55%.
© IFACI juin 2008 46�
Pour ce qui est des compétences techniques, les réponses des responsables d’audit
interne sont synthétisées dans le tableau ci-après :
COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE
AUX RESPONSABLES D’AUDIT INTERNE)
Auditeur
interne Superviseur Manager RAI
Extraction et analyse de données 75% 29% 3% 8%
Communication orale (capacité à
effectuer des interviews) 68% 52% 34% 43%
Analyse des risques 51% 59% 55% 83%
Utilisation de technologie de
l’information 46% 28% 19% 11%
Identification des types de contrôle (par
ex., la prévention, la détection) 40% 43% 22% 32%
Compréhension des métiers 35% 29% 55% 72%
Analyse financière 31% 39% 23% 40%
Aptitude à faire des recherches 26% 17% 5% 9%
Echantillonnage statistique 26% 14% 0% 0%
Compétence juridique / sensibilité à la
fraude 14% 17% 31% 40%
ISO / connaissance de la qualité 8% 6% 14% 12%
Gestion totale de la qualité 5% 17% 23% 25%
Négociation 3% 29% 51% 72%
Les responsables d’audit interne souhaitent donc que les auditeurs internes aient
des capacités pour la préparation et la réalisation des missions d’audit interne. Les
compétences techniques attendues sont en phase avec les enjeux actuels de la
profession. A savoir :
- l’utilisation des outils informatiques et la bonne compréhension des
systèmes d’information, à la fois parce qu’ils sont omniprésents dans les
activités (à travers notamment les activités de contrôle automatisées) mais
également parce que l’audit interne utilise les outils informatiques pour
plus d’efficience dans l’interprétation de la masse de données traitée.
© IFACI juin 2008 47�
Ainsi, les Responsables d’Audit Interne citent des compétences liées aux
Systèmes d’Information (l’extraction et l’analyse des données, 75% et
l’utilisation de la technologie de l’information, 46%) ;
- le renforcement du rôle de l’audité à chaque étape principale du processus
d’audit (prise de connaissance du domaine audité, validation des constats,
formulation des recommandations). La capacité à réaliser des interviews
est donc citée par 68% des répondants ;
- l’approche par les risques avec des compétences en analyse des risques
(citée à 51% pour des auditeurs internes).
Les responsables d’audit interne sont moins exigeants pour des compétences
comme la négociation (3%) ou liées à la qualité (l’ISO est citées par 8% des
répondants et les méthodes de management total de la qualité mentionnées par
5%).
Alors que la technique d’échantillonnage statistique est utilisée dans 76% des cas
(cf. § 1.4.4.5 sur les outils, 71), cette compétence est peu citée même au niveau du
superviseur (compétence citée par 14% des répondants). Cette compétence est
pourtant complémentaire de la capacité d’extraction des données. Elle peut
également aider le superviseur à valider le programme de travail et les constats.
(cf.MPA 2100-10 « Vérification par sondage »).
Plus le niveau hiérarchique augmente moins les compétences pratiques sont
mentionnées. Par exemple, les compétences en échantillonnage statistique ne sont
pas indiquées pour les responsables d’audit interne et les managers. Par contre, des
compétences plus managériales (la négociation) ou plus stratégiques
(compréhension des métiers) sont citées dans 72% des cas comme étant des
qualités attendues chez un responsable d’audit interne.
Quelle que soit la fonction, l’analyse des risques est mentionnée parmi les
compétences principales. Le niveau d’attente dans ce domaine est néanmoins plus
élevé pour les responsables d’audit interne (83% au lieu de 51% pour les auditeurs
internes). Ce constat est à rapprocher du développement de la planification fondée
sur les risques. En effet, même si l’analyse des risques est utilisée pour la
construction du programme de travail d’une mission, c’est surtout au niveau de la
planification annuelle des missions que cette technique est utilisée. Or, cette
© IFACI juin 2008 48�
planification constitue une des missions essentielles du responsable d’audit interne
qui doit avoir la capacité de prioriser les missions en fonction des risques majeurs.
Les données internationales montrent également des différences selon les
catégories de fonctions. Une analyse comparative plus fine met en évidence des
écarts avec les compétences techniques attendues en France :
- la capacité d’utilisation des systèmes d’information par le responsable de
l’audit interne est plus mentionnée au niveau de l’IIA (28% au niveau IIA,
11% en France) ;
- la sensibilité des auditeurs internes à la fraude et la connaissance des
techniques d’investigations liées sont citées par 21% des répondants au
niveau IIA ce qui est légèrement supérieur aux résultats en France (14%) ;
- la compréhension des métiers de l’entreprise est une des caractéristiques du
responsable d’audit interne (78% au niveau de l’IIA, 72% en France). De
même que les compétences liées aux systèmes qualité tels que l’ISO (19%,
12% en France) ou le management total de la qualité (33%, 25% en
France) ;
- l’identification des types de contrôle (préventifs/ détectifs…) est également
une compétence citée plus fréquemment au niveau international (52% par
rapport à 40% en France). Par contre, en France, les responsables d’audit
interne citent plutôt les compétences en matière d’analyse des risques. Ce
qui est cohérent avec la place accordée au processus de management des
risques (cf. § 1.4.2.4 sur le périmètre actuel d’intervention de l’audit
interne, p. 35) et à la planification fondée sur les risques (cf. § 1.4.4.5. sur
les outils et méthodes, p. 71). Ainsi, en France l’analyse des risques est
citée par 51% des répondants (28% au niveau international) comme étant
une compétence attendue de la part des auditeurs internes. L’écart est
moindre pour ce qui est de la compétence attendue pour des responsables
d’audit interne (83% en France, 75% au niveau IIA).
Enfin, les responsables d’audit interne qui ont répondu à l’enquête en France citent
plus souvent l’aptitude à mener des interviews (58% au niveau IIA, 68% en
France).
Les responsables d’audit interne indiquent d’autres connaissances ou savoir-faire
nécessaires pour les différentes activités d’un service d’audit interne.
© IFACI juin 2008 49�
SAVOIR-FAIRE PAR CATEGORIE D’EMPLOIE FONCTION (QUESTION POSEE AUX
RESPONSABLES D’AUDIT INTERNE)
Auditeur
interne Superviseur Manager RAI
Capacités rédactionnelles 54% 26% 11% 17%
Capacités analytiques 46% 37% 25% 29%
Identification des problèmes et
solutions 46% 32% 20% 20%
Rédaction de rapports 42% 37% 11% 15%
Sens critique 40% 37% 26% 25%
Communication 37% 37% 37% 62%
Connaissance de langues
étrangères 35% 23% 20% 23%
Gestion du temps 29% 26% 12% 15%
Aptitudes à la présentation 26% 31% 14% 26%
Compréhension de systèmes
d’information complexes 20% 15% 6% 9%
Conceptualisation 15% 14% 28% 37%
Veille professionnelle (opinions,
normes et réglementations) 14% 19% 23% 42%
Aptitudes à l’organisation 12% 23% 29% 46%
Capacité à promouvoir la fonction
d’audit interne au sein de
l’organisation
11% 15% 45% 75%
Résolution de conflits 6% 22% 32% 42%
Planification et gestion de projet 6% 25% 25% 23%
Gestion du changement 5% 8% 22% 17%
Formation et développement du
personnel 3% 5% 23% 31%
Comme pour les compétences techniques, ce tableau met en évidence des attentes
différentes selon la catégorie d’emploi.
Les compétences mises en avant pour l’auditeur interne sont celles qui sont liées à
leur cœur de métier : l’identification des problèmes et des solutions (46%), la
capacité analytique (46%) ainsi que l’aptitude à communiquer.
© IFACI juin 2008 50�
Ainsi, la compétence rédactionnelle constitue le premier critère (54%) cité au
niveau des auditeurs internes. La capacité à élaborer un rapport apparaît également
dans les compétences clés (42%). D’ailleurs, la MPA 1210-1 relative à la
compétence, recommande que les auditeurs internes soient capables de
communiquer oralement et par écrit, pour exposer efficacement les objectifs, les
conclusions et les recommandations de la mission. Rappelons également que la
norme 2400 indique les devoirs des auditeurs internes en matière de
communication des résultats de la mission. Plusieurs modalités pratiques précisent
ces dispositions.
Pour les niveaux hiérarchiques plus élevés ce sont d’autres compétences qui sont
privilégiées pour :
• promouvoir l’audit interne. La capacité à promouvoir la fonction est la
première compétence citée pour les responsables d’audit interne (75%) ;
viennent ensuite la communication (62%) et la résolution de conflits
(42%) ;
• organiser (46%) ;
• être proactif sur les changements professionnels induits par des nouvelles
normes ou réglementations (42%).
A contrario, les attentes vis-à-vis des responsables d’audit interne sont moindres
pour des points spécifiques comme :
- la compréhension des systèmes d’information complexes (9%).
Néanmoins, le cadre de référence professionnel IIA/IFACI (notamment les
Global Technology Audit Guide, GTAG -
http://www.theiia.org/guidance/technology/gtag/?search=GTAG) insiste
sur le fait que le responsable d’audit interne doit avoir un minimum de
connaissances à propos des grands enjeux et risques relatifs aux systèmes
d’information ;
- l’aptitude à la rédaction (17%) ;
- la gestion du temps (15%).
Sur ces deux derniers points la moindre exigence à l’égard des responsables d’audit
interne doit être nuancée. En effet, le responsable d’audit interne a également
besoin de maîtriser la communication écrite lorsqu’il s’adresse aux clients internes
et externes de son service. En outre, une bonne gestion du temps est indispensable
pour le respect du programme d’audit.
© IFACI juin 2008 51�
La comparaison avec les données internationales montre un certain nombre
d’écarts. Les compétences des auditeurs internes qui sont plus mentionnées au
niveau IIA sont :
+ la communication (52%, 37% en France) ;
+ la gestion du temps (40%, 29% en France) ;
+ le suivi des nouvelles normes ou obligations réglementaires (23%, 14% en
France) ;
+ les capacités organisationnelles (21%, 12% en France). En France, cette
compétence est surtout citée au niveau des responsables d’audit interne
(46%). L’écart entre les auditeurs internes et les responsables d’audit
interne (30%) n’est pas aussi marqué au niveau de l’IIA.
Cette différence de conception des compétences attendues selon la catégorie
d’emploi est également constatée en ce qui concerne les aptitudes à la présentation.
Pour les auditeurs internes, cette compétence est citée par 13% des répondants au
niveau de l’IIA (26% en France) ; alors qu’en France, il n’y a aucune différence
entre auditeurs internes et responsables d’audit interne, l’écart se creuse au niveau
IIA (37% des répondants indiquent que cette compétence est attendue chez un
responsable d’audit interne).
Enfin, la capacité à élaborer des rapports qui est citée comme une compétence clé
de l’auditeur interne en France (42%) est moins citée au niveau IIA (22%).
Une des questions du CBOK consistait à évaluer 19 connaissances requises en
audit interne. Les répondants devaient les noter de 1 (moindre importance) à 5 (très
important) selon que la connaissance en question était plus ou moins nécessaire
pour assumer leurs responsabilités. Le taux de réponse en France est assez faible
(121 répondants en moyenne sur les 235).
© IFACI juin 2008 52�
APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT
INTERNE
Note moyenne
Comptabilité 3.23
Audit 4.49
Droit des affaires et réglementations 2.96
Gestion des affaires 2.93
Evolution des normes professionnelles 2.96
Le management du risque (Entreprise Risk Management) 3.98
Éthique 3.56
Finance 3.31
Sensibilisation à la fraude 3.58
Le gouvernement d’entreprise 3.35
Gestion des ressources humaines 2.93
Normes de l’audit interne 3.59
Technologie de l’information 3.51
Comptabilité de gestion 3.17
Marketing 2.21
Culture d’entreprise 3.72
Systèmes organisationnels 3.66
Stratégie et politique des affaires 2.97
Connaissances techniques spécifiques au secteur d’activité 3.85
L’audit interne apparaît comme un véritable métier dont la pratique ne s’improvise
pas puisque les répondants privilégient les connaissances spécifiques à l’audit
interne ou liées à l’exercice de la profession.
En effet, la méthodologie de l’audit interne est la première connaissance citée (4.5).
Les normes professionnelles (3.6) arrivent en 6ème position sur 19 options. Les
connaissances connexes sont également bien notées, l’ERM obtient une note de 4
(en deuxième position).
Néanmoins, ce tableau démontre bien que l’auditeur interne n’est pas uniquement
un expert du contrôle interne. Il connaît bien son secteur d’activité (3ème, 3.9) ainsi
que la culture et la structure de l’organisation dans laquelle il évolue (4ème et 5ème,
3.7).
© IFACI juin 2008 53�
1.4.3.2. Une évaluation essentiellement hiérarchique
Compte tenu du panel de compétences présenté dans le paragraphe précédent la
question de leur évaluation se pose. Les responsables d’audit interne citent les
méthodes d’évaluation suivantes :
• l’évaluation périodique, par le superviseur (83%). Ce type d’évaluation est
d’ailleurs prévu dans la norme professionnelle 2340 relative à la
supervision de la mission,
• des commentaires de clients de l’audit interne (commanditaire de la
mission, Direction Générale…) ou des audités (34%). Ce taux est cohérent
avec celui des enquêtes réalisées dans le cadre de l’évaluation de la valeur
ajoutée du service d’audit interne (cf. § 1.4.5.1 sur les modalités
d’évaluation de la valeur ajoutée de l’audit interne, p. 78) ;
L’IFACI a publié un cahier de la recherche sur l’évaluation des compétences des différentes fonctions de l’audit interne. [http://www.ifaci.com/fo/adh_login.asp].
• l’évaluation périodique par les pairs (17%).
1.4.3.3. Des études de haut niveau, complétées par une
formation professionnelle qualifiante
Le panel de compétences et d’activités présenté dans les paragraphes précédents
pose la question de la formation initiale et continue des auditeurs internes.
En ce qui concerne la formation initiale, les répondants étaient invités à préciser
leur plus haut niveau d’études.
NIVEAU DE FORMATION
IIA France
Licence 52% 12%
Master (y compris niveau doctorat) 40% 83%
La quasi-totalité des répondants (95%) ont fait des études supérieures. En France,
le niveau de formation se situe essentiellement à Bac+5 (83%, 40% au niveau de
l’IIA).
© IFACI juin 2008 54�
Les répondants ont également précisé leur spécialisation. Ces données sont
présentées dans le graphe suivant. Les totaux sont supérieurs à 100% parce qu’il
s’agit d’une question à choix multiple.
TYPES DE SPECIALISATION
0% 10% 20% 30% 40% 50% 60%
IngénieurSciences et Techniques
InformatiqueSystèmes d'information
Mathématiques/statistiquesAudit Interne
Audit Droit
EconomieFinance
ComptabilitéGestion
Les quatre principaux domaines cités sont la spécialisation en :
• gestion (49%) ;
• comptabilité (48%) ;
• finance (47%) ;
• économie (41%).
A contrario, les formations d’ingénieurs (9%) ou les spécialisations dans les
systèmes d’information (15%) restent minoritaires.
© IFACI juin 2008 55�
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF
TOTAL)
Spécialisation IIA France
Gestion 27% 49%
Comptabilité 56% 48%
Finance 24% 47%
Économie 20% 41%
Par rapport aux autres domaines clés, la spécialisation en comptabilité est plus
marquée au niveau international. En France, les auditeurs internes mentionnent
également des compétences en économie ou en gestion. Cette diversité semble plus
cohérente avec le fait que l’audit interne n’est pas uniquement une fonction
comptable et financière.
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION
(RESPONSABLES D’AUDIT INTERNE)
Spécialisation IIA France
Gestion 29% 67%
Comptabilité 60% 54%
Finance 26% 68%
Économie 24% 52%
Au niveau de l’IIA, la tendance à la spécialisation en comptabilité est encore plus
marquée chez les responsables d’audit interne. Alors qu’en France, le panel de
spécialisation en économie, gestion, finance est complétée par des spécialisations
en droit (36% des responsables d’audit interne en France, 7% au niveau IIA).
© IFACI juin 2008 56�
Au-delà des études, le CBOK aborde la formation à travers d’autres aspects :
+ le nombre d’heures de formation professionnelle,
+ le contenu de ces formations continues.
NOMBRE D’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS
DERNIERES ANNEES
IIA France
Auditeur
interne
Responsable d’audit
interne
Auditeur
interne
Responsable
d’audit interne
Supérieur ou égal à
120 heures 36% 48% 17% 19%
Inférieur à 120
heures 62% 51% 80% 81
Aucune heure 2% 1% 3% 0%
Conformément à la norme professionnelle 1230 « Formation professionnelle
continue », la quasi-totalité des répondants ont été formés.
En France, il n’y a pas de différence significative entre les auditeurs internes et les
responsables d’audit interne. Au niveau de l’IIA, la proportion de responsables
d’audit qui ont reçu plus de 120 heures de formation (au cours des trois dernières
années) est de 48% ce qui est supérieur au taux constaté chez les auditeurs internes
(36%). Notons que la question ne limitait pas la formation à des sessions
classiques ; elle inclut les séminaires, colloques et autres ateliers auxquels les
responsables d’audit interne peuvent participer de manière plus privilégiée.
L’IIA requiert 80 heures de formation permanente (Continuing Professionnal
Development ou CPD) tout les deux ans, notamment pour les auditeurs internes qui
souhaitent maintenir leur certification CIA (Certified Internal Auditor). Les
personnes qui respectent ce critère doivent donc avoir au moins 120 heures de
formation au cours des trois dernières années. Les résultats du CBOK montrent que
la marge de progression reste forte en France (en moyenne 17% des répondants
dépassent les 120 heures).
Pour ce qui est du contenu de ces formations, les fréquences déclarées par
domaines sont les suivantes :
© IFACI juin 2008 57�
FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME
Ce schéma montre que les auditeurs internes suivent surtout des formations qui leur
permettent d’acquérir des connaissances techniques spécifiques au métier (normes,
systèmes d’information et dans une moindre mesure la fraude). Ainsi, près de la
moitié des responsables d’audit interne indiquent des formations au moins
annuelles sur les normes et les pratiques d’audit interne.
L’apprentissage de connaissances comportementales (communication, gestion
d’une équipe) est moins fréquent.
Comme le montre le tableau ci-dessous, la situation au niveau de l’IIA est moins
contrastée entre les formations techniques et les thèmes plus généraux.
© IFACI juin 2008 58�
FORMATION SUIVIE AU MOINS UNE FOIS PAR AN
IIA France
Normes et pratiques d’audit interne 46% 43%
Bureautique/ Système d’information 36% 22%
Techniques anti-fraude 32% 23%
Ethique 38% 18%
Communication 27% 15%
Gestion d’une équipe 27% 11%
Les formations annuelles sur les normes et les pratiques d’audit interne arrivent
toujours en tête. Néanmoins, la diversité des thèmes de formation est plus nette au
niveau de l’IIA. Notamment, sur des thèmes liés à l’éthique (38% au niveau de
l’IIA, 18% en France), les techniques anti-fraude (32% au niveau de l’IIA, 23% en
France) ou les systèmes d’information (36% au niveau de l’IIA, 22% en France).
Les résultats concernant le type de spécialisation montrent que peu de répondants
possèdent une spécialisation en audit interne (12% au niveau de l’IIA). Pourtant,
les connaissances et le savoir-faire spécifique au métier arrivent en tête des
compétences attendues (cf. § 1.4.3.1 sur les compétences très diversifiées et des
spécificités selon la catégorie d’emploi, p.44). La formation professionnelle
continue permet-elle de palier à ces besoins ? L’enquête permet d’aborder la
question de la qualification professionnelle sous deux aspects :
- le taux de qualification des répondants ;
- le nombre d’auditeurs internes qualifiés au sein du service d’audit interne.
Parmi les qualifications proposées examinons celles qui concernent :
- l’audit interne (telle que le Certified Internal Auditor de l’IIA) ;
- l’audit des systèmes d’information (telle que Certified Information Systems
Auditor, Certified Information Security Manager) ;
- la fraude (telle que Certified Fraud Examiner)
© IFACI juin 2008 59�
© IFACI juin 2008 60�
TAUX DE QUALIFICATION DES REPONDANTS
IIA France
Audit interne (CIA…) 39% 27%
Audit des SI (CISA, CISM…) 10% 7%
Fraude (CFE…) 5% 2%
En France, 27% des répondants déclarent une qualification professionnelle en audit
interne (ce taux est de 39% au niveau de l’IIA).
La qualification en audit des systèmes d’information est rare (6% en France, 10%
au niveau IIA). Elle est plus courante chez les répondants spécialisés en système
d’information (ces derniers représentent 71% de ceux qui ont une qualification en
audit des Systèmes d’Information).
La qualification en matière de fraude est encore moins répandue.
Par ailleurs, les responsables d’audit interne ont indiqué le nombre de personnes
certifiées dans leur service d’audit interne.
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE
QUALIFICATION EN AUDIT INTERNE
16%
84%
Réponse Non réponses29%
24%
0%
5%
10%
15%
20%
25%
30%
35%
1 CIA… 2 à 5 CIA… 6 à 15 CIA… Plus de 16
13%
3%
La portée de ces résultats est limitée par le faible nombre de réponses (taux de
réponse de 16%). Néanmoins, notons qu’un tiers des répondants indiquent qu’il n’y
a aucun auditeur interne qualifié en audit interne (CIA…) dans leur service. La
même proportion déclare un seul certifié, un quart indique deux à cinq certifiés.
Concernant les certifications spécifiques, 21% des responsables d’audit interne
considèrent qu’un certificat autre que le CIA serait nécessaire pour leur catégorie
d’emploi.
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE
QUALIFICATION EN AUDIT INTERNE DES SYSTEMES D’INFORMATION
36%
9% 9%
5%
0%
5%
10%
15%
20%
25%
30%
35%
40%
1 CISA,,, 2 à 5 CISA,,, 6 à 15 CISA,,, Plus de 16
9%
91%
Réponse Non réponses
En ce qui concerne la qualification en audit des systèmes d’information, le taux de
réponse est encore plus faible (9%). Parmi les répondants, 41% des responsables
d’audit interne déclarent n’avoir aucun collaborateur certifié en audit des systèmes
d’information. Il y a une personne certifiée dans 36% des cas.
© IFACI juin 2008 61�
1.4.4. L’audit interne, une profession normée
Le professionnalisme des auditeurs internes découle de leur formation et de leur
expérience professionnelle. Mais la véritable spécificité de la fonction reste
l’existence d’un cadre de référence professionnel partagé au niveau international.
Le CBOK permet de tester la perception des principes inscrits dans la définition
IIA/IFACI et dans les normes.
L’utilisation totale ou partielle du cadre de référence de l’IIA est citée par 70% des
répondants. Ce taux est de 82% au niveau de l’IIA.
1.4.4.1. Perception des principes inscrits dans la définition et
dans le code de déontologie IIA
Comme le montre le tableau ci-dessous, les responsables d’audit interne
considèrent majoritairement que la fonction d’audit interne est perçue comme une
activité objective et indépendante au sein de leur organisation. Leur mission
première est d’évaluer l’efficacité du dispositif de contrôle interne et celle des
processus de management des risques. Ils estiment également que leur fonction est
positionnée à un niveau suffisant au sein de l’organisation pour leur permettre
d’exercer leurs missions de manière efficace et d’être crédible (ce point arrive en
deuxième position).
© IFACI juin 2008 62�
PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION
Affirmations Responsable
d’audit interne
(France)
Responsable
d’audit interne
(IIA)
La fonction d’Audit Interne est une activité indépendante et objective d’assurance et de Conseil
4.39 4.45
La fonction d’Audit Interne apporte une réelle valeur ajoutée à l’organisation 4.37 4.41
La fonction d’Audit Interne évalue d’une manière systématique les processus de management des risques
4.20 4.03
La fonction d’Audit Interne évalue d’une manière systématique l’efficacité du dispositif de contrôle interne
4.43 4.35
La fonction d’Audit Interne évalue d’une manière systématique les processus de gouvernance d’entreprise
3.57 3.80
La fonction d’Audit Interne examine de façon proactive les aspects financiers, les risques ainsi que les contrôles internes
3.72 4.10
La fonction d’Audit Interne fait partie intégrante du processus de gouvernance en fournissant des informations fiables à la Direction
4.12 4.10
La fonction d’Audit Interne est à même d’apporter une réelle valeur ajoutée à l’organisation dans la mesure où elle dispose d’un accès non intermédié au comité d’audit
3.71 3.52
La Fonction d’Audit Interne est positionnée à un niveau suffisant au sein de l’organisation pour être efficace
4.23 4.07
L’indépendance est un facteur clé pour que la Fonction d’Audit Interne apporte une réelle valeur ajoutée à l’organisation
4.62 4.46
L’objectivité est un facteur clé pour que la Fonction d’Audit Interne apporte une réelle valeur ajoutée à l’organisation
4.7 4.58
La fonction d’Audit Interne est crédible au sein de l’organisation
4.2 4.30
La conformité aux Normes de l’IIA est un facteur clé pour que la Fonction d’Audit Interne apporte une réelle valeur ajoutée au processus de gouvernance de l’organisation
3.71 3.86
La conformité au code de déontologie de l’IIA est un facteur clé pour que la Fonction d’Audit Interne apporte une réelle valeur ajoutée au processus de gouvernance de l’organisation
3.77 4.03
La note indiquée est la moyenne des réponses graduées comme suit : 1 :
totalement en désaccord, 2 : en désaccord, 3 : neutre, 4 : d’accord, 5 : tout à fait
d’accord.
© IFACI juin 2008 63�
Ces résultats montrent l’universalité du fait que l’objectivité est un facteur clé pour
apporter une réelle valeur ajoutée à l’organisation.
En ce qui concerne le rôle de l’audit interne dans l’évaluation des processus, le
processus de gouvernement d’entreprise arrive en dernière position. Ce processus
obtient une note (3.6) sensiblement inférieure à celle concernant l’efficacité du
dispositif de contrôle interne (4.4). Néanmoins, les responsables d’audit interne
sont d’accord avec l’affirmation selon laquelle la fonction d’audit interne fait partie
intégrante du processus de gouvernance en fournissant des informations fiables à la
Direction Générale. Les répondants partagent également le fait que l’audit interne
apporte de la valeur dans la mesure où il y a un accès direct au Comité d’Audit.
Les derniers points mentionnés dans le tableau traitent de la relation entre la
conformité au cadre de référence et la valeur ajoutée de l’audit interne. Ces
principes sont peu valorisés et pourtant ils renvoient à la notion d’exemplarité,
pierre angulaire de tout processus de gouvernement d’entreprise.
1.4.4.2. Adéquation des normes professionnelles de l’audit
interne
Le niveau d’adéquation est jugé très satisfaisant, qu’il s’agisse des normes de la
série 1000 (Qualification des services d’audit interne et des auditeurs internes) ou
celles de la série 2000 (Fonctionnement du service d’audit interne).
© IFACI juin 2008 64�
NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES
Les normes ayant le niveau d’adéquation le plus faible (c'est-à-dire inférieure ou
égale à 90%) sont :
• les normes de la série 1300 « programme d’assurance et d’amélioration
qualité » qui nécessitent le plus de marge de progression. Ainsi, 76% des
répondants la jugent adéquate.
• la norme 2600 « acceptation des risques par la direction générale »
soulève également quelques questions. Lors de la traduction de cette norme
l’IFACI avait prévu un commentaire indiquant que « la mise en œuvre de
cette norme s’avère particulièrement délicate pour le responsable d’audit
interne. Elle devra être en conséquence appliquée avec sagesse et
prudence […] Les règles du jeu doivent être claires pour tous les acteurs
ce qui signifie qu’elles devront être explicitées tant dans la charte d’audit
interne que dans celle du comité d’audit ». Néanmoins, 79% des
répondants la jugent adéquate.
• les normes de la série 2500 « surveillance des actions de progrès » ont un
niveau d’adéquation satisfaisant (83%) ce qui est cohérent avec les
données sur les modalités d’évaluation de la valeur ajoutée de l’audit
interne (cf. § 1.4.5.1 sur les modalités d’évaluation de la valeur ajoutée de
l’audit interne, p. 78).
« Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne et permettant un contrôle continu de son efficacité. Ce programme inclut la réalisation périodique d’évaluations internes et externes de la qualité, ainsi qu’un suivi interne continu. Il doit être conçu dans un double but : aider l'audit interne à apporter une valeur ajoutée aux opérations de l’organisation et à les améliorer, et garantir qu'il est mené en conformité avec les normes et le code de déontologie. »
© IFACI juin 2008 65�
COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS
ADEQUATES
IIA France
Oui Non Ne
l’utilise
pas
Je ne
sais pas
Oui Non Ne
l’utilise
pas
Je ne
sais pas
Norme 1300
« programme
d’assurance et
d’amélioration qualité »
77% 5% 6% 11% 76% 6% 8% 10%
Norme 2600
« acceptation des risques
par la direction
générale »
76%, 6% 5% 1% 79% 5% 6% 10%
Norme 2500
« surveillance des actions
de progrès »
81% 4% 4% 10% 83% 5% 5% 8%
Il n’y a pas de différences significatives entre la France et les données
internationales :
La question « les Modalités Pratiques d’Application des normes sont-elles
appropriées à votre fonction d’audit interne ?» montre les mêmes tendances que
celles qui sont constatées pour les normes.
1.4.4.3. Niveau de conformité aux normes professionnelles de
l’IIA/IFACI
Outre l’adéquation des normes, les répondants se sont prononcés sur leur mise en
œuvre effective et sur le niveau de conformité de leur organisation.
Le niveau de conformité déclaré est globalement satisfaisant avec des nuances
entre la conformité totale et la conformité totale.
© IFACI juin 2008 66�
NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES
Ce schéma est à rapprocher des données sur le niveau d’adéquation des normes. En
effet, ce sont les trois normes citées précédemment qui sont les moins mises en
œuvre. Le taux de non-conformité à ces normes est de :
- 20% pour la norme 1300 « programme d’assurance et d’amélioration
qualité » ;
- 13% pour la norme 2500 « surveillance des actions de progrès » ;
- 11% pour la norme 2600 « acceptation des risques par la direction
générale ». Notons que c’est cette norme qui recueille le plus fort taux
d’indécis (17% des répondant ne se prononcent pas sur la conformité à la
norme 2600). Ce point confirme la méconnaissance de cette norme et le
fait qu’elle est perçue comme étant difficilement applicable.
Lorsque l’on compare globalement la conformité (conformité totale et conformité
partielle), il n’y a pas de différences majeures entre la France et les données
internationales. Les principaux écarts concernent la norme 1300 « programme
d’assurance et d’amélioration qualité » où le taux global de conformité en France
(68%) est inférieur aux données internationales (76%). Un léger écart est
également constaté pour la norme 2600 « acceptation des risques par la direction
générale » (72% en France, 78% au niveau de l’IIA).
© IFACI juin 2008 67�
Néanmoins, l’analyse fine des taux de conformité montre que la conformité
partielle est plus courante en France. Au niveau de l’IIA les taux de conformité
totale sont toujours supérieurs à ceux qui sont déclarés en France.
COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES
Famille de norme Normes de la série
IIA France
Totale Partielle Totale Partielle
Nor
mes
de
qual
ifica
tion
1000 : Mission, pouvoirs et
responsabilités 63% 25% 57% 32%
1100 : Indépendance et
objectivité 67% 22% 53% 39%
1200 : Compétence et conscience
professionnelle 63% 26% 32% 35%
1300 : Programme d’assurance et
d’amélioration qualité 40% 36% 32% 35%
Nor
mes
de
fonc
tionn
emen
t
2000 : Gestion de l’audit interne 58% 29% 42% 47%
2100 : Nature du travail 58% 29% 48% 40%
2200 : Planification de la mission 58% 29% 50% 40%
2300 : Accomplissement de la
mission 60% 28% 57% 34%
2400 : Communication des
résultats 64% 25% 57% 35%
2500 : Surveillance des actions de
progrès 53% 32% 44% 37%
2600 : Acceptation des risques
par la Direction Générale 47% 31% 39% 33%
© IFACI juin 2008 68�
Au-delà des trois normes citées précédemment, des intensités différentes de niveau
de conformité entre la France et l’IIA sont également constatées pour :
- les normes de la série 2000 « gestion de l’audit interne » dans laquelle des
exigences en matière de planification, de gestion des ressources,
d’établissement des règles et procédures du service d’audit interne, de
coordination avec les prestataires externes et de relations avec le Conseil et
la Direction Générale sont prévues ;
- les normes de la série 2100 « Nature du travail » qui précise le rôle de
l’audit interne dans l’évaluation d’un certain nombre de domaines
notamment les processus de Gouvernance, de Management des risques et
de Contrôle ;
- les normes de la série 1100 « Indépendance et objectivité » ;
- les normes de la série 1200 « Compétence et conscience professionnelle ».
Les normes où ces écarts sont les moins notables sont :
- les normes de la série 1000 relatives aux missions, pouvoirs et
responsabilités, qui sont décrits dans la Charte d’audit ;
- les normes de la série 2300 sur « l’accomplissement de la mission ».
En outre, les traitements réalisés au niveau de l’IIA indiquent que le niveau de
conformité est corrélé avec l’ancienneté et la taille du service d’audit interne.
1.4.4.4. Modalités de mise en œuvre de certaines normes
Le CBOK précise les pratiques liées à la mise en œuvre de certaines normes.
• la norme 2010 relative à la planification.
Le chapitre concernant les documents et méthodes utilisées dans le service d’audit
interne (cf. §1.4.4.5. sur les outils et méthodes, p.71) montre le développement de
l’utilisation des plans d’audit.
Plus précisément, 94% des responsables d’audit interne indiquent qu’un plan
d’audit est réalisé au moins annuellement. Ce document se fonde principalement
sur les demandes émanant de la Direction Générale (85%), les entretiens réalisés
avec les responsables opérationnels (79%) ainsi qu’une analyse des risques (79%).
Dans 32% des cas, ce plan est mis à jour plusieurs fois dans l’année pour prendre
en compte des demandes ponctuelles émanant de la Direction Générale, ou bien
une évolution de périmètre (fusion, acquisition…).
© IFACI juin 2008 69�
• les normes de la série 2400 relatives à la communication des
résultats.
Au cours d’une mission, les auditeurs internes doivent évaluer de manière objective
l’opinion des audités et valider leurs constats.
Le schéma ci-après montre que la résolution des éventuels différends entre l’audit
interne et les audités se fait au cours de la mission : lors des travaux sur le terrain
ou pendant la phase de restitution (les réunions de clôture ou les rapports
provisoires sont l’occasion de débats qui permettent de valider les constats et les
conclusions).
PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES
AUDITES
• La norme 2500 relative à la surveillance des actions de progrès.
Seulement 3% des répondants ne font pas de suivi formel des recommandations. La
responsabilité de ce suivi est précisée ci-après.
© IFACI juin 2008 70�
MODALITES DE SUIVI DES RECOMMANDATIONS
IIA France
Audit interne et audité / client 50% 51%
Audit interne 31% 39%
Audité / client 14% 6%
Autre 2% 1%
La moitié des répondants indique une responsabilité partagée avec les audités, une
minorité (6%) cite un suivi effectué uniquement par les audités.
1.4.4.5. Outils et méthodes
La définition de l’audit interne insiste sur le fait qu’il s’agit d’une activité
systématique et méthodique fondée sur un certain nombre de documents et outils.
Certains outils sont même cités dans les normes.
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE
Document IIA France
Plan d’audit interne 81% 90%
Charte d’audit interne 72% 82%
Lettre de mission de l’audit interne 60% 79%
Manuel d’audit 63% 57%
Le plan d’audit interne apparaît comme le document le plus répandu dans les
services d’audit interne, il existe dans 90% des cas. Il est suivi par la charte d’audit
interne et la lettre de mission de l’audit interne qui sont présentes dans environ
80% des cas.
Ces résultats ont été complétés par une analyse croisée selon l’ancienneté du
service d’audit interne.
© IFACI juin 2008 71�
Normes professionnelles et outils d’audit • La norme 1220.A2 relative
à la conscience professionnelle indique que l’auditeur interne doit envisager l’utilisation de techniques informatiques d’audit et d’analyse de données.
• La démarche de benchmarking est notamment indiquée dans le cadre de l’évaluation du processus de management des risques (MPA 2110-1) ou lors de l’évaluation périodique des services d’audit interne (MPA 1311-1).
• La norme 2010 concerne la planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l’organisation. La norme 2010.A1 précise que le plan des missions d’audit interne s’appuie sur une évaluation des risques réalisée au moins une fois par an. Ces normes sont complétées par la MPA 2010-2 sur « la prise en compte des risques pour l’élaboration du plan d’audit ».
• Les méthodes d’évaluation de la performance telles que le Balanced Scorecard1 sont citées dans la MPA 1311-2 pour la mise en place d’indicateurs à l’appui des contrôles de la performance de l’activité d’audit interne.
• La MPA 2100-10 traite de la vérification par sondage et des méthodes d’échantillonnage.
1
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES
D’AUDIT INTERNE
0
10
20
30
40
50
60
70
80
90
100
Plan Audit Interne Charte Audit Interne Lettre de mission AuditInterne
Manuel audit
0 à 5 ans 6 à 15 ans > 16 ans Ensemble
Le plan d’audit est systématiquement présent dans les services d’audit interne très
anciens et apparaît à près de 80% dans les services d’audit interne récents de moins
de 5 ans. La mise en place des documents de référence de la fonction (charte
d’audit interne et lettre de mission) n’est pas immédiate. Ces deux documents sont
présents pour 2/3 des membres de services d’audit interne récents.
Enfin le manuel d’audit interne est présent pour moins de 60% des répondants
(42% pour les services d’audit interne récents).
© IFACI juin 2008 72�
UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT.
19
31
20
27
59
32
9
7
44
2
26
57
10
24
66
66
41
46
58
54
32
53
45
35
46
18
47
37
42
54
28
25
40
23
22
19
10
16
46
58
11
80
27
6
49
22
6
10
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Une revue analyt ique
Des tableaux de performances ou une structuresimilaire
Le benchmarking
Des techniques d’audit supportées parinformat ique
L’audit au continu / en temps réel
L’auto-évaluat ion du contrôle
L’extract ion des données
Des documents de t ravail électroniques
Des logiciels d’organigrammes
D’autres modes de communicat ion électronique(par exemple, Internet, courrier électronique)
Des applicat ions de mappage de processus
Des logiciels de modélisat ion de processus
La planif icat ion d’audit basée sur le risque
L’échant illonnage de stat ist iques
Les outils de revue de l’évaluat ion de la qualitéde l’IIA
Les techniques de gest ion totale de la qualité
Pas utilisés Modérément et moyennement utilisé très et considérablement utilisé
Les outils bureautiques utilisés dans tous les types d’activités sont devenus
incontournables. Ainsi, les moyens de communication électroniques désormais
universels (internet, courrier électronique…) sont utilisés à plus de 98%.
Les autres outils peuvent être classés en deux catégories :
• Les outils servant à la gestion (planification, évaluation, suivi) de l’audit
interne sont dans l’ordre :
- La planification d’audit basée sur le risque qui est très
majoritairement utilisée par les services d’audit interne (90% dont
49% d’utilisation importante). Ceci qui confirme les réponses sur
© IFACI juin 2008 73�
l’adéquation et la conformité à la norme 2010 relative à la
planification. (cf. § 1.4.4 sur l’utilisation des normes, p. 62).
- Les méthodes de suivi du contrôle interne telles que l’auto-
évaluation du contrôle utilisée à 69%.
- Les outils de revue de l’évaluation de la qualité de l’IIA et les
techniques de gestion totale de la qualité sont utilisés par un tiers
des services d’audit interne et moins de 10% des répondants les
utilisent de façon fréquente.
• Les outils destinés à la conduite de la mission sont :
- L’analyse ou le traitement des données. Ainsi, l’extraction des
données est très répandue (91% d’utilisation dont 46% de façon
importante). Les autres méthodes sont dans l’ordre : la revue
analytique (81% d’utilisation), le Benchmarking (80% d’utilisation
dont 58% de façon modérée), l’échantillonnage statistique (utilisé
par 76% des répondants), les tableaux de bord et de suivi de la
performance tel que le balanced scorecard (69% d’utilisation).
- Des outils concernant les processus avec les applications de
cartographie des processus (73% d’utilisation), les logiciels de
modélisation de processus (43%) ou les logiciels de Flowchart
(56%).
- Des outils informatiques spécifiques à l’audit interne comme
l’utilisation de techniques d’audit assistées par informatique (72%
d’utilisation) ou l’audit en continu (41%).
© IFACI juin 2008 74�
COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS
IIA France
Revue analytique 94% 81%
Tableaux de bord, suivi de la performance (balanced
scorecard) 52% 69%
Benchmarking 75% 80%
Techniques d'audit supportées par l’informatique 78% 73%
Audit en continu/en temps réel 61% 41%
Auto-évaluation du contrôle 66% 69%
Extraction des données 64% 91%
Documents de travail électroniques 80% 93%
Logiciels de Flowchart 69% 56%
Communication électronique 97% 98%
Application de cartographie des processus 64% 74%
Logiciels de modélisation de processus 37% 43%
Planification d'audit basée sur le risque 92% 90%
Echantillonnage de statistiques 82% 76%
Outils de revue qualité (IIA) 53% 34%
Techniques de gestion totale de la qualité 51% 35%
L’analyse comparative des données avec l’IIA montre un taux d’utilisation plus
important pour certains outils de traitement des données ou de cartographie des
processus. Le taux d’utilisation des techniques d’extractions des données est
supérieur en France (+27% par rapport au taux d’utilisation moyen au niveau de
l’IIA). Les répondants mentionnent également un plus fort taux d’utilisation des
tableaux de performance (+17% par rapport à l’IIA). En ce qui concerne la
cartographie des processus, le taux d’utilisation est supérieur de 10% en France.
Dans le même temps, les logiciels de Flowchart sont moins cités en France (-13%
par rapport à l’IIA). Il est vrai que les auditeurs internes peuvent utiliser des
logiciels bureautiques classiques pour réaliser des diagrammes de flux.
Les éléments qui apparaissent clairement en retrait par rapport à l’IIA sont :
- L’audit en continu/ en temps réel (-20%)
- Les outils de revue qualité des services d’audit interne (-19%)
- Les techniques de gestion totale de la qualité (-17%).
© IFACI juin 2008 75�
© IFACI juin 2008 76�
NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS
89
79
92
88
61
85
96
96
69
99
87
59
96
85
58
53
81
69
80
73
41
69
91
93
56
98
74
43
90
76
34
34
0 20 40 60 80 100 12
La revue analytique
Les tableaux de bord, suivi de la performance (balancedscorecard)
Le benchmarking
Les techniques d’audit supportées par informatique
L’audit au continu / en temps réel
L’auto-évaluation du contrôle
L’extraction des données
Les documents de travail électroniques
Les logiciels de Flowchart
La communication électronique
L'application de cartographie des processus
Les logiciels de modélisation de processus
La planification d’audit basée sur le risque
L’échantillonnage de statistiques
Les outils de revue qualité (IIA)
Les techniques de gestion totale de la qualité
0
prévu dans les 3 ans utilisés
Les évolutions envisagées dans le futur reflètent bien les changements auxquels
sont soumis les organisations avec :
- un environnement fluctuant et concurrentiel ;
- une diversification des activités qui s’accompagne d’une densification des
flux d’informations ;
- le renforcement des dispositifs de contrôle.
Face à cette complexification, l’enquête confirme une généralisation de l’approche
par les risques. Cette méthode qui permet d’identifier des priorités cohérentes avec
les objectifs de l’organisation sera utilisée dans 96% des cas. Qui plus est, cette
utilisation deviendra plus intensive puisque l’usage fréquent de la planification
basée sur les risques est prévu par (75%) au lieu de 49% actuellement.
Les données figurant sur ce graphe indiquent une propension à mieux :
- se situer par les méthodes de benchmarking (+12%) ou l’utilisation des
tableaux de bord (+10%) ;
- comprendre l’organisation et ses activités à travers les logiciels de
flowchart (+13%), les applications de cartographie des processus (+13%)
ou de modélisation des processus (+16%) ;
- traiter les informations avec la progression des techniques d’audit
supportées par l’informatique (+15%), l’échantillonnage statistique (+9%),
l’audit en continu/ en temps réel (+20%). Malgré la progression annoncée,
le niveau d’utilisation future de l’audit en continu/ en temps réel en France
(61%) reste inférieur à celui de l’IIA (82%) ;
- utiliser les démarches mises en œuvre dans le cadre des dispositifs de
contrôle. L’auto-évaluation du contrôle progresse de 16% ;
- évaluer l’audit interne. Les outils de revue du programme qualité des
services d’audit interne progressent de 24% pour atteindre 58%. Ce taux
d’utilisation restera inférieur à celui qui est annoncé au niveau de l’IIA
(80%).
© IFACI juin 2008 77�
1.4.5. L’évaluation de l’audit interne
Les normes internationales de l’IIA précisent qu’un programme d’assurance et
d’amélioration qualité, portant sur tous les aspects de l’activité d’audit interne, doit
être mis en place pour contrôler de façon continue l’efficacité du service. Ce
programme inclut la réalisation d’évaluations internes et externes.
Dans un environnement en constant changement et de plus en plus exigeant, un
engagement permanent d’amélioration continue est indispensable pour :
respecter les normes professionnelles et être en mesure de
communiquer sur le niveau de conformité du service d’audit interne ;
maintenir la qualité des prestations au plus haut niveau et s’efforcer
d’accroître en permanence celle-ci ;
apporter encore davantage de valeur ajoutée à la Direction Générale, au
Comité d’Audit et à l’organisation ;
renforcer l’image et la crédibilité de l’audit interne au sein de
l’organisation.
Dans ce contexte, il apparaît fondamental de démontrer formellement la valeur
ajoutée de l’audit interne à travers des indicateurs mesurables, notamment au
regard de l’assurance qu’elle donne à l’organisation sur le degré de maîtrise des
risques et des opérations et sur les recommandations d’amélioration qu’elle émet.
1.4.5.1. Modalités d’évaluation de la valeur ajoutée de l’audit
interne
A la question « Comment votre organisation mesure-t-elle la valeur ajoutée de
la fonction d’audit interne », les responsables d’audit interne avaient le choix
entre une dizaine d’options.
Il est important de signaler que 33% des répondants ne mesurent pas formellement
la valeur ajoutée de leur direction, alors même qu’il s’agit de la finalité de l’audit
interne inscrite dans la définition officielle IIA/IFACI. En outre, à l’instar d’autres
directions supports, il peut arriver que l’audit interne soit interrogé sur son rapport
coût/bénéfice.
© IFACI juin 2008 78�
Le premier élément cité par les services d’audit interne qui ont engagé une telle
évaluation est le taux de recommandations acceptées et/ou mises en œuvre (66% en
France, 51% au niveau mondial), le second étant la confiance que les auditeurs
externes accordent aux travaux de l’audit interne (43% en France et 33 % au niveau
mondial). Le troisième critère porte sur la réalisation d’enquêtes auprès des clients
de l’audit interne et des audités (33% en France et 35% au niveau mondial).
Le graphe ci-après présente les données par type d’organisation.
Ce sont les sociétés qui font appel public à l’épargne qui mesurent le plus leur
valeur ajoutée et qui utilisent le plus pour cela les trois critères susmentionnés.
MESURE DE LA VALEUR AJOUTEE
0
10
20
30
40
50
60
70
80
90
100
Cotée Non cotée Secteur public Population totale
Acceptation/MO recommandation Confiance des auditeurs externes Pas de mesure formelle de la VA
Enquête clients/audités Demandes de la direction
En matière de mesure de la valeur ajoutée de l’audit interne, les sociétés cotées se
démarquent des autres. Ainsi, si 43% des répondants appartenant à des sociétés non
© IFACI juin 2008 79�
cotées indiquent qu’aucune mesure de la valeur ajoutée n’est réalisée. Ce taux est
plus faible dans les sociétés cotées (23%).
Pour les sociétés cotées, les deux critères essentiels de mesure de la valeur ajoutée
de l’audit interne sont le taux de recommandations acceptées et mises en œuvre
(77%) et la confiance des auditeurs externe (60%).
Dans le secteur public, la confiance accordée par l’audit externe est faiblement
perçue comme un indicateur de la valeur ajoutée (12%). Tous les établissements
publics ne sont pas soumis aux audits financiers des commissaires aux comptes et
la certification des comptes des administrations publiques est une notion encore
récente.
Les entreprises cotées se distinguent également par le recours aux enquêtes auprès
des clients de l’audit interne ou auprès des audités (51% dans les entreprises cotées,
14% pour les non cotées et 25% pour le secteur public).
La mesure de la valeur ajoutée renvoie à la performance de l’activité d’audit
interne et des dispositifs qu’une direction d’audit met en œuvre pour garantir la
qualité de ses activités et l’engagement dans un processus d’amélioration
constante.
Le CBOK donne un éclairage particulier sur la proportion de directions d’audit
interne qui ont mis en place un programme d’assurance et d’amélioration qualité
conformément aux normes de la série 1300.
En France, 25% des responsables d’audit déclarent avoir mis en place un tel
programme, ce ratio est de 27% au niveau de l’IIA. De plus, 43% des responsables
d’audit n’envisagent pas de mettre en place ce programme dans l’année suivante
(29% seulement au niveau de l’IIA). Pourtant, ce type de programme est une
condition nécessaire pour l’utilisation, dans les rapports d’audit interne, de la
mention « conduit conformément aux Normes ».
Par ailleurs, il convient de rapprocher ces résultats des opinions formulées sur le
niveau d’adéquation et de conformité des normes de la série 1300 (cf. § 1.4.4.2. et
1.4.4.3 sur l’adéquation, la conformité des normes, p. 64).
Un examen plus précis des réponses révèle une légère avance dans les services
d’audit interne dont les responsables sont en poste depuis moins de deux ans. En
effet, ils représentent 52% des responsables d’audit interne qui affirment avoir déjà
ce programme ou avoir l’intention d’en mettre un en place dans les douze mois qui
suivent. Il est vrai que le développement d’un tel programme fait partie des
© IFACI juin 2008 80�
éléments structurants d’un service d’audit interne. De plus, cela permet à un
nouveau responsable d’audit interne de comparer la situation du service d’audit
interne avec les meilleures pratiques rassemblées dans le cadre de référence
professionnel de l’IIA.
Par ailleurs, ce sont les sociétés faisant appel public à l’épargne et les organisations
du secteur public qui arrivent en tête, en ce qui concerne la mise en place effective
ou souhaitée au cours des douze prochains mois, d’un Programme d’assurance et
d’amélioration qualité (55% chacune).
Dans le secteur public, ce constat peut s’analyser de différentes manières. Il peut
trouver son fondement dans la création accélérée de services d’audit. Or, comme
souligné précédemment, ce sont les responsables d’audit interne les plus récents
qui sont les plus enclins à la mise en œuvre d’un programme d’amélioration qualité
leur permettant d’aligner leurs pratiques et leur organisation sur les Normes. C’est
aussi un moyen de gagner ou de renforcer leur crédibilité et leur autorité au sein de
l’organisation.
© IFACI juin 2008 81�
ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET
D’AMELIORATION DE LA QUALITE DE L’AUDIT INTERNE
Les activités effectuées dans le cadre du programme d’assurance et d’amélioration
qualité du service d’audit interne sont :
la supervision des missions, pour 56% (43% IIA) ;
la mise en place de listes de vérification (check-lists) et de manuels donnant
l’assurance que des processus d’audit adéquats sont respectés, pour 39% (41%
IIA) ;
le recueil des commentaires de clients d’audit à la fin d’une mission, pour 36%
(39% IIA) ;
la vérification de la conformité de la fonction d’audit aux Normes
internationales, pour 31% (28% IIA) ;
la vérification du respect du Code de Déontologie par les auditeurs, pour 31%
(France et IIA).
Sur ces deux derniers aspects, l’enquête ne précise pas s’il s’agit d’auto-évaluation
(évaluations internes) ou d’évaluations confiées à un prestataire externe.
© IFACI juin 2008 82�
Les évaluations internes (Norme 1311), réalisées par des auditeurs internes en poste ou d’anciens auditeurs travaillant au sein de l’organisation, comprennent : o des contrôles continus de l’activité d’audit interne (par exemple : la supervision, la mesure et le suivi de
divers indicateurs de performance, les évaluations de fin de mission des auditeurs...) ; o des contrôles périodiques de conformité aux Normes via des auto-évaluations. Les évaluations externes (Norme 1312), réalisées au moins tous les cinq ans (ou plus fréquemment, selon l’appréciation du Responsable de l’audit interne, après consultation du Conseil/Comité d’audit), par un évaluateur ou une équipe qualifiés et indépendants, visent à apprécier : la conformité aux Normes ; l’utilisation de bonnes pratiques ; l’efficacité de l’activité d’audit interne au regard de sa Charte et des attentes de ses parties prenantes ; la valeur ajoutée apportée par l’audit interne au regard notamment des attentes de ses clients et parties
prenantes ; l’adéquation des ressources et du champ d’intervention de l’audit ;
… et à identifier, en collaboration avec le service d’audit interne, des axes d’amélioration. Rappelons que l’IFACI a signé en 2006 un protocole d’accord avec l’IIA Global l’autorisant à proposer aux directions d’audit interne tout type d’évaluation externe : la validation indépendante après autoévaluation, la revue qualité, et bien sûr la certification que nous privilégions et vers laquelle la plupart des organisations intéressées se tournent car elles veulent obtenir un label de qualité qui constitue un gage de crédibilité et de visibilité.
1.4.5.2. Evaluation interne du service d’audit interne
En France, 42% des répondants déclarent qu’il n’y a jamais eu d’évaluation interne
dans leur service. Ce ratio est supérieur à celui constaté au niveau de l’IIA (33%).
Au cours des trois dernières années, 36% des répondants en France indiquent la
réalisation d’une évaluation interne de leur service. La fréquence préconisée par les
Normes est annuelle, 28% des répondants déclarent une évaluation interne au cours
des douze derniers mois (24% au niveau IIA). Les traitements réalisés au niveau de
l’IIA révèlent une corrélation positive entre cette fréquence et l’ancienneté du
service d’audit interne ou sa taille.
Le graphe sur les activités effectuées dans le cadre du Programme d’assurance et
d’amélioration qualité (cf. p. 82) propose quelques exemples d’évaluations internes
périodiques (par exemple, l’auto-évaluation ou la réalisation d’enquêtes) ou
continues.
Les évaluations internes continues renvoient aux différentes modalités de
développement des compétences, connaissances et savoir-faire des auditeurs
internes. Ces actions ne servent pas uniquement à améliorer la performance du
service d’audit interne, elles contribuent également au processus global de gestion
© IFACI juin 2008 83�
des ressources humaines de l’organisation. En effet, le service d’audit interne est
parfois perçu comme une pépinière de cadres de haut potentiel formés à une
méthode rigoureuse et à la connaissance des activités et processus de
l’organisation. Afin de mesurer l’atteinte de cet objectif précis, le service d’audit
interne doit mettre en place des dispositifs de mesures comme :
• la réalisation d’évaluations post-mission des auditeurs internes ;
• la mesure d’indicateurs tels que le nombre de jours de formation des
auditeurs internes ;
• la qualité des reclassements à la sortie du service d’audit interne….
Ces évaluations permettent également d’ancrer un certain nombre de contrôles dans
le processus d’audit pour vérifier :
• le respect des objectifs fixés ;
• la conformité avec la méthode adoptée par le service d’audit interne ;
• la qualité des travaux.
Les actions qui peuvent être entreprises dans le cadre d’une évaluation interne sont
donc assez variées. Cette diversité n’a peut être pas été suffisamment appréhendée
par les 42% de répondants qui disent ne pas réaliser d’évaluation interne. La
question a pu être interprétée comme faisant uniquement référence à l’évaluation
interne périodique, documentée et méthodique, sur la conformité aux Normes.
1.4.5.3. Evaluation externe du service d’audit
Les Normes indiquent plusieurs formes d’évaluation externe :
• la revue qualité,
• la validation indépendante d’une auto-évaluation,
• la certification, développée par l’IFACI. Fondée sur l’approche ISO, cette
certification induit des audits de suivi annuels et un renouvellement au
terme de trois ans. Plus exigeante que les autres formes d’évaluation
externe, elle présente aussi l’avantage d’adhérer le plus fidèlement possible
à l’esprit des Normes à savoir l’engagement dans une amélioration
continue des processus d’audit interne (Pour en savoir : IFACI
Certification, http://www.ifaci.com/fo/page.asp?id=269).
© IFACI juin 2008 84�
En France, 35% des répondants déclarent que leur service d’audit interne n’a
jamais fait l’objet d’une évaluation externe, 17% citent une évaluation non
conforme à la Norme 1312. Au niveau de l’IIA, ces ratios sont respectivement de
40% et 5%.
28% des répondants français ont fait l’objet d’une évaluation externe au cours des
cinq dernières années – fréquence minimale prescrite par les Normes – parmi
lesquels 17% au cours des douze derniers mois. Au niveau de l’IIA, 33% des
répondants ont fait l’objet d’une évaluation externe, dont 22% au cours des douze
derniers mois.
L’analyse de l’ancienneté moyenne révèle qu’un quart des services d’audit interne
ont moins de cinq ans d’existence ; les responsables d’audit de ces services peuvent
donc considérer qu’ils sont encore dans la période des cinq premières années au
cours de laquelle ils n’ont pas l’obligation, au regard des Normes, de réaliser une
telle évaluation.
Il convient de rappeler qu’une telle évaluation externe, menée par un organisme
indépendant et par des personnes qualifiées et compétentes, représente bien
d’autres intérêts que le pur respect de la Norme 1312. Elle vise notamment :
l’appréciation de l’utilisation de bonnes pratiques ;
la mesure de l’efficacité de l’activité d’audit interne au regard de sa Charte
et des attentes de ses parties prenantes ;
l’analyse de la valeur ajoutée apportée par l’audit interne au regard
notamment des attentes de ses clients et parties prenantes ;
l’examen de l’adéquation des ressources et du champ d’intervention de
l’audit ;
l’identification d’axes d’amélioration du service d’audit interne.
Selon les Normes, la périodicité minimale entre deux évaluations externes est de
cinq ans. Une période de cinq ans peut être longue pour une organisation et plus
spécifiquement pour un service d’audit interne, qui voit, le plus souvent, son
équipe entièrement renouvelée en trois ou quatre ans. En effet, en cinq ans, la
situation appréciée à un instant donné peut se dégrader très rapidement. Ce risque
est désormais pris en considération par l’IIA. Preuve en est que la Norme 1312 a
été révisée en 2006. Elle énonce dorénavant que le responsable de l’audit interne
doit s’entretenir avec le Conseil ou Comité d’Audit au sujet du besoin éventuel
d’augmenter la fréquence des évaluations externes.
© IFACI juin 2008 85�
© IFACI juin 2008 86�
1.5. Enjeux d’aujourd’hui et de demain
Plusieurs questions du CBOK donnent des tendances sur l’évolution de la
profession à court terme. Ainsi, les répondants se sont prononcés sur la validité
d’un certain nombre d’affirmations dans les trois prochaines années. Les résultats
correspondants sont résumés en les articulant autour de trois axes :
• l’évolution des dispositifs de contrôle interne et de gouvernement
d’entreprise ;
• l’évolution des activités de l’audit interne ;
• la robustesse du cadre de référence international des pratiques
professionnelles d’audit interne.
1.5.1. La généralisation des dispositifs de contrôle interne et de
gouvernement d’entreprise
La mise en place d’un dispositif de contrôle interne se généralise. En France, 83%
des répondants déclarent l’existence d’un tel dispositif dans leur organisation (ils
sont 71% au niveau de l’IIA). Cette tendance se confirme dans le futur puisque
15% des répondants cite la prochaine mise en place de ce dispositif (soit 98% au
total en France. L’estimation globale future est de 95% au niveau IIA).
Cette quasi-unanimité masque une diversité de situation par secteur d’activité ou
type d’organisation. Ainsi, dans le secteur des assurances, ils sont 25% à prévoir la
mise en place d’un dispositif de contrôle interne dans les trois années à venir.
Cette évolution induit de nouvelles attentes. Par exemple, en ce qui concerne le
rôle de l’audit interne dans la sensibilisation du personnel au contrôle interne, au
gouvernement d’entreprise et à la conformité. Actuellement, 47% des répondants
notent une implication de leur service dans ce domaine. Ils seront 77% dans le
futur. Au niveau de l’IIA ces ratios sont respectivement de 64% et 90%. En effet, la
formalisation accrue des dispositifs de contrôle interne nécessite une explication du
contexte et des enjeux. Les auditeurs internes peuvent valablement apporter leur
savoir-faire dans ces domaines ne serait-ce que par la valeur de leur exemplarité.
© IFACI juin 2008 87�
LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE
INTERNE, AU GOUVERNEMENT D’ENTREPRISE ET AUX QUESTIONS RELATIVES A
LA CONFORMITE :
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Cotée Secteur public Non cotée Ensemble
Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable
Le graphe ci-dessus révèle des différences selon le type d’organisation. Le rôle de
vulgarisateur est largement intégré dans les sociétés cotées (65% actuellement et
86% dans les 3 ans).
Dans le secteur public, l’audit interne n’est pas encore un acteur clé de la
sensibilisation du personnel pour les questions de contrôle interne, de
gouvernement d’entreprise ou de conformité. Actuellement, 38% des répondants
du secteur public affirment que leur service assume ce rôle. La projection à trois
ans montre une nette évolution (près de 70% au total). Ce mouvement accompagne
la mise en place de la Loi Organique des Lois de Finance (LOLF) et la culture de
contrôle interne qu’elle introduit.
L’implantation des dispositifs de contrôle interne et leur pérennisation sont
difficilement envisageables sans la structuration et la formalisation des processus
de gouvernement d’entreprise qui pilotent et soutiennent ces dispositifs.
© IFACI juin 2008 88�
Ainsi, en France, 70% des répondants indiquent une formalisation d’une charte
pour le fonctionnement des comités spécialisés du Conseil d’Administration tel que
le comité d’audit. Ils sont 57% à déclarer cette pratique au niveau de l’IIA. En
moyenne, trois quart des répondants déclarent l’existence d’un code d’éthique et la
moitié d’entre eux dispose également d’un code de gouvernement d’entreprise. La
conformité au code de gouvernement d’entreprise (57% actuellement, 23%
supplémentaires dans les 3 prochaines années)
Tous ces documents participent au renforcement des valeurs de l’entreprise et
renforcent de fait au le contrôle interne dans ces entités. Ils sont appelés à se
développer dans le futur. Ainsi, dans les trois années, 23% des répondants
considèrent que leur organisation se référera à un code de gouvernement
d’entreprise soit un total de 80%.
L’analyse par type d’organisation montre un panorama diversifié.
L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Cotée Non Cotée Secteur public Ensemble
Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable
L’existence d’un code de gouvernement d’entreprise semble fortement corrélée au
fait que les sociétés sont cotées (76% actuellement et 96% au bout de trois ans).
Dans le secteur public, ce type de référence est cité par un tiers des répondants avec
une évolution globale à 60% dans le futur.
Ce formalisme va avec un renforcement du professionnalisme des acteurs du
gouvernement d’entreprise. L’audit interne devrait d’ailleurs jouer un rôle accru
© IFACI juin 2008 89�
dans ce domaine. Ainsi, si 22% des répondants déclarent que leur service forme les
membres du comité d’audit en matière de contrôle interne et de gouvernance, cette
situation devrait évoluer portant le pourcentage estimé dans le futur à 48%. Malgré
cette progression, le ratio prévu en France restera inférieur aux projections
mondiales (66%).
1.5.2. Evolution du rôle de l’audit interne
L’évolution de l’environnement réglementaire en matière de contrôle interne ainsi
que les attentes des acteurs du gouvernement d’entreprise influencent l’audit
interne. Ces données influencent-elles les pratiques envisagées ?
EVOLUTION DU ROLE DE L’AUDIT INTERNE
0% 20% 40% 60% 80% 100% 120%
Revue des processus financiers
Management des risques
Governance
Conformité
Audit opérationnel
Augmentation Baisse Identique
Ces résultats montrent que le risque management, domaine dans lequel l’audit
interne a déjà un rôle notable (cf. § 1.4.2.4, p.35) est celui où 71% des répondants
pensent que leur service d’audit interne aura un rôle encore plus accru. Cette
tendance peut s’expliquer par le renforcement des exigences réglementaires dans ce
domaine, notamment dans le secteur financier avec des dispositifs tels que Bâle II
ou Solvency II. Malgré l’émergence de fonctions dédiées au management des
risques, l’audit interne conserve sa légitimité pour évaluer la fiabilité de l’ensemble
du processus, de la phase de recensement des risques au suivi des plans d’action
prévus pour les gérer.
© IFACI juin 2008 90�
Les deux pôles relativement en retrait sont la conformité et l’audit opérationnel.
EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX
REGLEMENTATIONS (DONNEES PAR TYPE D’ORGANISATION)
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Cotée
Non cotée
Secteur public
Augmentation Baisse Identique
Dans les sociétés cotées la baisse doit être analysée de manière relative. Les
services d’audit ont été généralement sollicités pour accompagner la mise en
conformité vis-à-vis de réglementations telles que SOX. Selon les résultats de
l’enquête IFACI 2005, 74% des services d’audit concernés avaient dédié 74% de
leurs ressources aux travaux SOX. En 2006, l’enquête du CBOK montre une
réduction de l’implication des services d’audit dans la mise en place des processus
de conformité aux réglementations. En quelque sorte un retour à la normale avec la
création de nouvelles fonctions dédiées à la mise en œuvre de ces dispositifs tandis
que l’audit confirme son rôle en termes de surveillance et d’évaluation.
© IFACI juin 2008 91�
© IFACI juin 2008 92�
SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA
REGLEMENTATION (DONNEES SECTORIELLES)
La tendance au développement du rôle de surveillance de la conformité existe quel
que soit le secteur d’activité qu’il soit encadré par les régulateurs (Banque,
Assurance) ou non.
Au-delà de ces grands axes de développement, le CBOK donne-t-il des tendances
plus précises sur les sujets d’audit de demain ?
Les projections sur les domaines analysés dans le paragraphe (cf. § 1.4.2.4, p.35)
mettent en évidence trois grandes tendances :
- la confirmation du rôle de l’audit interne dans des domaines déjà
majoritaires comme le management des risques, la conformité, la fraude, la
gestion des systèmes d’information, la formation au contrôle interne, le
benchmarking.
0 %
10 %
2 0 %
3 0 %
4 0 %
5 0 %
6 0 %
7 0 %
8 0 %
9 0 %
10 0 %
Banque Assurance Pharmaciechimie
Détail Gros Technologie Servicespublics
Ensemble
Rôle actuel Role dans 3 ans Improbable Non applicable
ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE, LA
CONFORMITE, LA FRAUDE, LA GESTION DES SYSTEMES D’INFORMATION, LA
FORMATION AU CONTROLE INTERNE ET LE BENCHMARKING
L’analyse sectorielle ne met pas en évidence de différences significatives
entre secteurs d’activités. Elle confirme la progression dans le domaine des
systèmes d’information, y compris ceux où ce domaine était un peu en
retrait.
- les domaines émergents sont cohérents avec les enjeux actuels des
organisations, qu’il s’agisse de développement durable (responsabilité
sociétale, environnement), de knowledge management, de stratégie ou de
gestion de projet. Ce sont des domaines transverses qui sont connectés à la
problématique de la bonne gouvernance et à la nécessité de prendre en
compte les attentes des différentes parties prenantes. Ils répondent à la
question de l’efficience du processus de knowledge management et de
déclinaison de la stratégie à tous les échelons opérationnels. Ils s’assurent
de leur contribution au renforcement de l’environnement de contrôle.
© IFACI juin 2008 93�
LES DOMAINES EMERGENTS
- enfin, certains domaines semblent rester en retrait. Il s’agit de la gestion
des sinistres, des missions liées à la mondialisation, aux marchés émergents ou
aux dossiers de fusions acquisition. Cette position est toute relative par rapport
à la vingtaine de thèmes qui étaient proposés dans l’enquête. En outre, des
sujets comme la gestion des sinistres sont souvent couverts à travers des
missions plus globales sur le management des risques, la conformité ou la
gestion des risques qui connaissent une bonne progression.
© IFACI juin 2008 94�
1.5.3. Le référentiel IIA, un cadre universel pour une pratique
professionnelle de l’audit interne
Les différents résultats du CBOK convergent vers une même évidence : le
caractère universel des principes fondateurs de la profession.
Cette universalité se fonde sur un élément fédérateur : le cadre de référence de la
pratique professionnelle de l’IIA, partagé à travers le monde et inscrit dans les
documents conçus par les services d’audit interne.
Pour mieux comprendre les freins à la non-utilisation de ce référentiel, les réponses
à la question à choix multiples correspondante sont présentées ci-après.
QU’EST CE QUI FREINE L’UTILISATION DES NORMES ?
IIA France
Responsable
Audit Interne
Effectif
total
Responsable
Audit Interne
Effectif
total
Non perçues, par le Conseil et la
Direction Générale, comme ayant une
valeur ajoutée
12% 14% 23% 28%
Contraintes de temps 12% 17% 26% 20%
La conformité aux normes n’est pas
exigée par le Conseil et la Direction
Générale
12% 12% 19% 18%
Non appropriées pour les petites
structures 10% 16% 19% 17%
Soumis à une réglementation ou des
normes spécifiques 11% 10% 15% 16%
Normes et modalités pratiques
d’application trop complexes 6% 7% 22% 16%
La conformité aux normes est trop
coûteuse 9% 13% 12% 11%
Autre 12% 11% 4% 7%
Conformité non exigée dans le pays 6% 6% 3% 7%
Non appropriées pour le secteur
d’activité 4% 4% 7% 6%
Auditeurs internes non qualifiés 13% 14% 10% 6%
© IFACI juin 2008 95�
Ces données confirment le caractère universel du cadre de référence car très peu de
répondants évoquent le fait qu’il n’est pas adapté à leur secteur d’activité. De
même, le caractère délibéré de la démarche est mise en avant puisque l’absence
d’exigence réglementaire dans ce domaine est le dernier critère cité par les non
utilisateurs.
Les principales raisons citées par les personnes qui déclarent que leur service
d’audit interne n’utilise pas le cadre de référence de l’IIA sont :
• les contraintes de temps (20% des répondants), la complexité (16%). Ces
défauts sont surtout cités par les responsables d’audit interne
(respectivement 26% et 22%). Le critère de coût est cité par 11% des
répondants.
• l’absence de perception de la valeur ajoutée par les dirigeants (28%) et
le manque de soutien de la part des dirigeants (18%) ;
• l’inadéquation pour des petites structures (17%).
Par rapport aux données mondiales, les résultats de la France montrent :
- une différence sur la perception des normes par la Direction et du
Conseil. En France, 28% des répondants justifient l’absence d’utilisation
des normes parce qu’elles ne sont pas perçues comme génératrices de
valeur ajoutée par les organes dirigeants (ils sont 12% à partager cette
opinion au niveau de l’IIA). Ils sont également 18% à considérer que la
Direction et le Conseil ne soutiennent pas la conformité aux normes (12%
au niveau de l’IIA) ;
- une vision plus pessimiste de la complexité des normes (16% en
France, 6% au niveau de l’IIA).
A contrario, en France les répondants mettent moins en avant les contraintes de
compétences. Ils sont 6% à expliquer la non-utilisation des normes par des lacunes
de compétences au niveau du staff au lieu de 14% au niveau IIA.
Les responsables d’audit internes sont plus sensibles aux contraintes de ressources
(coût, temps, personnel qualifié) ou organisationnelles (petites structures, faible
perception de la valeur ajoutée par le management).
Rappelons que ce cadre de référence est utilisé par 70% des répondants en France
et 82% au niveau de l’IIA. Il peut sembler étonnant qu’un tiers des répondants
© IFACI juin 2008 96�
n’utilise pas les normes. L’analyse des commentaires libres des non utilisateurs
nuance ces résultats puisqu’ils mettent en avant :
- l’utilisation d’autres standards (Groupe ou réglementaire) sans pour
autant préciser si ces standards prennent en compte des principes du cadre
de référence de l’IIA. Notons néanmoins que l’existence de règles plus
contraignantes est citée par 16% de ceux qui n’utilisent pas les normes en
France (10% au niveau de l’IIA) ;
- un principe de précaution dans la gestion du changement. Certains
répondants envisagent l’utilisation du cadre de référence mais sont
prudents dans l’introduction rapide de nouveaux critères alors même que la
fonction d’audit interne est en cours d’implantation.
Ces commentaires ne doivent pas occulter la robustesse de ce cadre de référence
qui s’adapte aux différents secteurs d’activités (cf. § 1.4.4.2 sur l’adéquation des
normes, p.64). Il permet déjà de couvrir les domaines phare de l’activité d’audit
notamment en ce qui concerne le processus de management des risques.
La révision du cadre de référence engagé par l’IIA doit aboutir à la parution de
l’IPPF (International Professional Practice Framework) en janvier 2009. Ce
nouveau corpus s’inscrit dans la continuité du précédent mais il prend en compte
des tendances confirmées par le CBOK.
Le processus continu de mise à jour de ce cadre devrait également permettre aux
auditeurs internes de faire face aux responsabilités émergentes. D’ores et déjà,
l’orientation plus opérationnelle et plus pragmatique (avec l’introduction de guides
d’applications qui viennent préciser et détailler les modalités pratiques
d’application des normes) devraient mieux répondre aux contraintes des petites
structures. De plus, les notes interprétatives devraient contribuer à réduire
l’impression de complexité.
Enfin, des précisions ou des compléments sont apportés sur le rôle de l’audit
interne en matière de fraude ou de relations directes avec les organes de
gouvernance.
La robustesse du cadre de référence et son utilité seront confirmées avec ces
évolutions. Les responsables d’audit interne sont déjà convaincus de la nécessité de
promouvoir leur fonction. Or, le marketing de la valeur ajoutée de l’audit interne
passe d’abord par une démarche professionnelle et donc une appropriation du cadre
© IFACI juin 2008 97�
de référence professionnel de l’IIA. Il doit être aligné sur les enjeux propres à
chaque organisation.
© IFACI juin 2008 98�
2. TYPOLOGIE DES REPONDANTS
L’avis d’enquête a été diffusé via les instituts affiliés à l’IIA. Au niveau mondial
93% des répondants sont adhérents d’un institut affilié à l’IIA. Pour les données
provenant de France, tous les répondants sont adhérents de l’IFACI.
2.1. Catégorie d’emploi
Les répondants avaient le choix entre cinq catégories de fonction :
• Directeur d’audit (y compris auditeur général, vice-président) ;
• Manager ;
• Senior ou superviseur ;
• Personnel d’audit interne ;
• Autres (y compris administration, services généraux de l’Audit Interne).
Le graphe ci-dessus, montre une bonne représentativité de chacune des catégories
d’emploi. Cette population est plus diversifiée que celle de l’enquête IFACI de
2005 qui s’adressait uniquement à des responsables d’audit. On note néanmoins,
une forte proportion du personnel d’encadrement des services d’audit interne
© IFACI juin 2008 99�
REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI
Cette représentativité des différentes fonctions se retrouve également au niveau
mondial avec des pourcentages qui ne sont pas significativement différents de ceux
de la France.
LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE/ IIA).
Nombre
(France)
% (France) % (IIA)
Responsable d’audit interne 69 29,4% 26.5%
Manager 48 20,4% 22.8%
Superviseur 60 25,5% 25.2%
Auditeur interne 52 22,1% 18.2%
Autres 6 2,6% 7.3%
Total 235 100% 100%
© IFACI juin 2008 100�
2.2. Age
Les taux de réponse à cette question varient de 68% (responsables d’audit interne)
à 84% (autres) soit un taux de réponse moyen de 80%.
75% des répondants ont moins de 45 ans. Il y a une forte corrélation entre l’âge et
la position dans le service d’audit interne. En effet, près de la moitié (47%) des
responsables d’audit interne ont plus de 45 ans alors que moins du tiers (30%) des
autres fonctions se trouvent dans cette catégorie. Cette tendance se retrouve dans
les résultats internationaux.
PYRAMIDE DES AGES DES REPONDANTS
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
25 ans et moins
26‐34 ans
35‐44 ans
45‐54 ans
55‐64 ans
Effectifs totaux
Responsables audit interne
© IFACI juin 2008 101�
2.3. Type d’organisation
Les répondants ont classé leur organisation selon cinq catégories.
TYPES D’ORGANISATION
Responsable
Audit Interne
(%)
Effectifs totaux (%) IIA (%)
Société cotée 51% 40% 38%
Société privée non cotée 29% 27% 19%
Secteur public 12% 17% 23%
Organisme à but non lucratif 6% 9% 6%
Prestataire de
service/consultant 3% 7% 11%
Autres 0% 4% 3%
Il apparaît que les répondants sont majoritairement des professionnels employés
dans des services d’audit interne (seulement 7% sont chez des prestataires de
services, ce taux baisse à 3% pour les Responsables d’Audit Interne).
Les organisations représentées sont plutôt des sociétés cotées (40% du total et la
moitié des Responsables d’Audit Interne appartiennent à des sociétés listées). Une
bonne représentativité du secteur public (17%) et non côté ; les organisations à but
non lucratif ne sont pas en reste avec 8,5% des répondants.
Les prestataires représentent 7% des répondants en France et 11% au niveau
mondial.
© IFACI juin 2008 102�
2.4. Secteur d’activité
Les répondants ont eu le choix entre 22 modalités de réponse. Pour cette question à
choix multiples, le total est donc supérieur à 100%.
Les cinq principaux secteurs représentés dans l’échantillon français sont
mentionnés ci-après.
SECTEURS D’ACTIVITE
Responsable
Audit Interne
(%)
Effectifs totaux (%) IIA (%)
Banque 28% 28% 25%
Services publics 7% 17% 8%
Assurance 10% 16% 9%
Autres 13% 11% 14%
Communication/Télécommunication 9% 10% 7%
Les services publics et les assurances sont mieux représentés dans la sous-
population « France » (17% et 16% au lieu de 8 et 9% au niveau mondial). A
contrario, le secteur de la transformation est mieux classé au niveau IIA (13% et
troisième position) par rapport aux données de la France (7% et 8ème position). De
même pour les services financiers : 11% et 4ème position au niveau IIA ; 8% et 7ème
position en France.
En termes de classement une différence notable avec les résultats de l’IIA concerne
le secteur de l’éducation figurant dans les 10 premiers secteurs au niveau mondial
(7%) et minoritaire en France (1%).
© IFACI juin 2008 103�
2.5. Taille des organisations représentées
Au niveau de l’effectif des organisations, on retrouve sensiblement les mêmes
proportions que dans l’enquête de 2005. La moitié des organisations ont moins de
5000 employés.
La présence de l’audit interne est confirmée dans les organisations de moindre
dimension : 11% des répondants appartiennent à des organisations de moins de 500
employés et un tiers ont moins de 2500 employés.
EFFECTIF DE L’ORGANISATION
Nombre d’employés % CBOK France % IFACI 2005
<1000 16% 20%
1000 à 5000 32% 35%
5000 à 50000 31% 28%
>50000 22% 17%
Pour ce qui est du chiffre d’affaires, le taux de réponse est de 48%.
CHIFFRES D’AFFAIRES DE L’ORGANISATION
Chiffre d’affaires
(millions euros) % CBOK France % IFACI 2005
>7500 25% 22%
7500 à 750 15% 45%
750 à 150 30% 19%
<150 22% 14%
Comme pour le nombre d’employés, on note que l’audit interne n’est pas l’apanage
des grandes organisations. Même si ¼ des répondants sont dans des organisations
qui génèrent plus de 7,5 milliards d’euros, 20% des personnes qui ont répondu à
cette question sont dans des organisations qui génèrent moins de 75 millions
d’euros de chiffre d’affaires. La tranche des organisations ayant moins de 750
millions de chiffre d’affaires et mieux représentée (52%) que dans l’enquête de
2005 (33%).
© IFACI juin 2008 104�
2.6. Périmètre des organisations représentées
PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION
Les répondants appartiennent à des organisations intervenant au niveau national
(29%) et international (58%). La répartition du périmètre des organisations est
différente de celle des résultats globaux où l’échelon international est moins
représenté (39%) au profit du local (32%).
Implantation % CBOK France CBOK IIA
Internationale 58% 39%
Nationale 29% 29%
Locale, régionale 12% 32%
© IFACI juin 2008 105�
3. LISTE DES TABLEAUX ET SCHEMAS
DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE ________________________________________________ 19
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ? ________________________________ 20
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE (ANALYSE DETAILLEE AU
NIVEAU DE L’IIA) ? __________________________________________________________________________ 21
LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON LE SECTEUR ________________________ 22
QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ? __________________________________________________ 23
EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION ________________________________________ 23
PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU COMITE D’AUDIT ______________________ 24
REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT _________________________________ 25
DES SERVICES D’AUDIT INTERNE RECENTS ___________________________________________________________ 27
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE __________________________________ 28
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE D’ORGANISATION ________________________________ 29
ANCIENNETE DES AUDITEURS INTERNES ____________________________________________________________ 30
ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION. ___________________________________ 31
COMPARAISON FRANCE/ IIA DE L’ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE __________________________ 31
L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE _______________________________________________________ 32
RATIO EFFECTIF AUDIT INTERNE/EFFECTIF TOTAL DE L’ORGANISATION ______________________________________ 33
MODALITES DE GESTION DES LACUNES DE COMPETENCES _______________________________________________ 34
DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE _________________________________________________ 36
DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE ____________________________________________ 37
AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE __________________________________________________ 38
POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE TRENTAINE D’ACTIVITES ___________________ 39
TEMPS PASSE PAR TYPE DE MISSIONS ______________________________________________________________ 43
COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX
RESPONSABLES D’AUDIT INTERNE) ________________________________________________________________ 45
COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES
D’AUDIT INTERNE) ___________________________________________________________________________ 47
SAVOIR‐FAIRE PAR CATEGORIE D’EMPLOIE FONCTION (QUESTION POSEE AUX RESPONSABLES D’AUDIT
INTERNE) _________________________________________________________________________________ 50
APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT INTERNE ___________________________ 53
NIVEAU DE FORMATION _______________________________________________________________________ 54
TYPES DE SPECIALISATION ______________________________________________________________________ 55
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF TOTAL) _____________________________ 56
COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (RESPONSABLES D’AUDIT INTERNE) _________________ 56
NOMBRE D’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS DERNIERES ANNEES ___________________ 57
© IFACI juin 2008 106�
FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME __________________________________________ 58
FORMATION SUIVIE AU MOINS UNE FOIS PAR AN _____________________________________________________ 59
TAUX DE QUALIFICATION DES REPONDANTS _________________________________________________________ 60
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE ______________ 60
NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE
DES SYSTEMES D’INFORMATION _________________________________________________________________ 61
PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION _____________________________________ 63
NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES _______________________________________________ 65
COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS ADEQUATES ______________________________ 66
NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES ______________________________________________ 67
COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES ________________________________________ 68
PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES AUDITES ______________________________ 70
MODALITES DE SUIVI DES RECOMMANDATIONS ______________________________________________________ 71
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE ___________________________________ 71
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES D’AUDIT INTERNE ____________________ 72
UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT. _____________________________________ 73
COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS ___________________________________ 75
NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS ____________________________________ 76
MESURE DE LA VALEUR AJOUTEE _________________________________________________________________ 79
ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET D’AMELIORATION DE LA
QUALITE DE L’AUDIT INTERNE ___________________________________________________________________ 82
LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE INTERNE, AU
GOUVERNEMENT D’ENTREPRISE ET AUX QUESTIONS RELATIVES A LA CONFORMITE : _____________________________ 88
L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE ____________________________________ 89
EVOLUTION DU ROLE DE L’AUDIT INTERNE __________________________________________________________ 90
EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX REGLEMENTATIONS (DONNEES
PAR TYPE D’ORGANISATION) ____________________________________________________________________ 91
SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA REGLEMENTATION (DONNEES
SECTORIELLES) ______________________________________________________________________________ 92
ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE, LA CONFORMITE, LA FRAUDE, LA
GESTION DES SYSTEMES D’INFORMATION, LA FORMATION AU CONTROLE INTERNE ET LE
BENCHMARKING ____________________________________________________________________________ 93
LES DOMAINES EMERGENTS ____________________________________________________________________ 94
QU’EST CE QUI FREINE L’UTILISATION DES NORMES ? __________________________________________________ 95
REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI ______________________________________ 100
LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE/ IIA). ________________________________________ 100
PYRAMIDE DES AGES DES REPONDANTS _____________________________________________________________ 101
TYPES D’ORGANISATION _______________________________________________________________________ 102
© IFACI juin 2008 107�
© IFACI juin 2008 108�
SECTEURS D’ACTIVITE ________________________________________________________________________ 103
EFFECTIF DE L’ORGANISATION __________________________________________________________________ 104
CHIFFRES D’AFFAIRES DE L’ORGANISATION _________________________________________________________ 104
PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION ____________________________________________________ 105
12 bis, place Henri Bergson - 75008 ParisTél. : 01 40 08 48 00 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com
Institut Français de l’Audit et du Contrôle Internes - Association Loi 1901
L’IFACI est affil ié àThe Institute of Internal Auditors
