Directeur de l'audit interne
Le directeur de l’audit interne (DAI) ou directeur de l’audit, directeur de l’inspection, auditeur général, contrôleur général, inspecteur général … est un cadre supérieur responsable de la bonne exécution de l’audit interne. Il est membre du gouvernement d'entreprise mais indépendant de la direction.
Forme féminine |
Directrice de l'audit interne |
---|
Les grandes entreprises ont généralement une direction de l’audit interne, dirigée par un directeur de l’audit interne ("DAI") qui (idéalement) dépend du comité d'audit nommé par le conseil d'administration. Un rattachement administratif (administrative reporting) au directeur général est nécessaire pour les questions pratiques.
La profession n’est pas définie par la loi (à la différence de l’audit externe), mais il y a un certain nombre d’associations internationales d’initiative privée qui publient des normes d’audit, par exemple l’Institut des auditeurs internes américain ("IIA" en anglais), dont le chapitre français est l’IFACI). L’IIA a publié les normes pour la pratique professionnelle de l’audit interne[1] et a plus de 150 000 membres dans 165 pays, y compris approximativement 65 000 auditeurs internes certifiés[2].
Le directeur de l’audit interne est intrinsèquement une fonction indépendante ; sans indépendance, la fonction est dysfonctionnelle et moins objective (mais il y a plusieurs degrés dans les niveaux d’indépendance et d’efficience). La fonction de directeur de l’audit interne existe pour constituer un troisième niveau de contrôle ou d’évaluation dans l’organisation, qui doit être indépendant du premier-niveau de contrôle (le premier niveau appartient toujours au management direct dit opérationnel, qui est responsable en premier lieu de la pleine conformité de ses actions et décisions avec les règles de l’organisation) et du deuxième niveau de contrôle (constitué par les contrôleurs internes, les contrôleurs qualité, les risk managers et une partie des fonctions support au siège... ). Une indépendance effective est le résultat à la fois de l’attitude du directeur de l’audit interne et de prérogatives concédées par l’organisation contrôlée ou garanties par les mandants de l’organisation (par exemple le conseil d'administration).
Attitude indépendante du directeur de l’audit interne
modifierLe directeur de l’audit interne doit être indépendant dans l’exécution de ses taches, effectuer son travail sans admettre d’interférence, et aussi objectivement aussi possible. L’indépendance lui permet d’émettre des opinions impartiales et non biaisées, qui sont essentielles pour l’évaluation du management et des contrôles.
Indépendance organisationnelle
modifierPour effectuer son rôle efficacement, le directeur de l’audit interne a besoin d’une indépendance organisationnelle par rapport au management, pour rendre possible l’activité d’évaluation du management sans pressions. L’Indépendance Organisationnelle peut être décomposée dans les différentes composantes ci-après :
- (Pour une analyse différente de l’Indépendance, cf. Indépendance organisationnelle analysée par l’IIA).
Tous les éléments ci-dessous devraient être garantis dans les règles de l’organisation, ou négociés avec le management dans une charte d’audit.
Indépendance fonctionnelle (des conflits d’intérêt)
modifierBien que le directeur de l’audit interne puisse faire partie de la structure de direction de l’organisation (étant un cadre supérieur), il ne doit participer à aucune décision managériale ou accepter aucune responsabilité ou participation dans l’exécution des activités de l’entreprise. Le directeur de l’audit interne peut conseiller le management (il le doit, quand il s’agit de conformité aux règles et lois, de gestion des risques, de contrôle interne...) et le conseil d'administration (ou organe de surveillance similaire) quant à la bonne exécution de leurs responsabilités. Mais il reste indépendant des activités qu'il audite.
Indépendance hiérarchique (des dirigeants audités)
modifierLe client principal de l’activité d’audit interne est l’entité chargée de la surveillance des dirigeants. C’est typiquement le comité d'audit, un sous-comité du conseil d'administration. Pour garantir l’indépendance hiérarchique, la plupart des directeurs d’audit Interne reportent au Président du comité d'audit ou du conseil d'administration.
La définition (et la révision régulière) des compétences de la fonction devrait être agréée entre le directeur de l’audit interne et le comité d'audit. Le plan de travail annuel de l’audit interne, qui pour des raisons pratiques doit être discuté avec les audités, est sujet à l’approbation du seul comité d'audit.
Les règles internes et les pratiques du directeur de l’audit interne (manuel d’audit) sont de la responsabilité du directeur de l’audit interne.
Statut indépendant
modifierL’indépendance du directeur de l’audit interne dans l’exécution de ses tâches devrait être garantie dans les règles du personnel. Le comité d'audit devrait avoir seule compétence sur la décision finale d'embauche et de licenciement du directeur de l’audit interne, et de sa rémunération, son évaluation et son avancement de carrière. Le directeur de l’audit interne est passible d'action disciplinaire mais seulement avec l'accord du comité d'audit. Cela peut se produire s'il est négligent dans l’exécution de ses taches.
Droit de communication
modifierLe directeur de l'audit interne reporte directement au comité d'audit et au conseil d'administration. Il devrait y avoir un rapport du directeur de l'audit interne à chaque réunion ordinaire du comité d'audit et si nécessaire au conseil d'administration. Ces rapports devraient être adressés directement au Chairman du comité d'audit avec parallèlement copie au directeur général. Cependant, le directeur de l'audit interne, dans l’exécution de son travail quotidien, doit pouvoir communiquer avec la direction et le personnel de l’organisation.
Budget indépendant
modifierQuoique le directeur de l’audit interne et les auditeurs internes sont payés par l’entreprise, le budget ressources humaines de la direction de l’audit interne, en particulier, doit être protégé des interférences des audités. Le risque typique est que le budget soit sujet à l’approbation du directeur des ressources humaines et du DG, ce qui est une source de potentiel d’interférences ou de « conseils amicaux » pour orienter/autolimiter l’exercice critique de l’Audit Internes. Un droit de recours, même expressément prévu dans le droit de communication du directeur de l’audit interne, est souvent inefficace à court-terme. La meilleure pratique est que le l’opinion du comité d'audit est requis sur le draft budget de la direction de l’audit interne, en amont du processus budgétaire de l’organisation.
Droit d’accès à l’information
modifierL’information est d’importance primordiale pour organiser, préparer et effectuer les audits internes. Toute restriction d’accès à l’information (par exemple ne donner accès qu’aux informations nécessaires pour l’exécution des missions d’audit strictement en cours…) est le meilleur moyen de diminuer l’efficacité de la direction de l’audit interne. Cela oblige l’auditeur à justifier ses demandes, provoque des délais et des discussions, voire des négociations etc. Cela permet donc à l’audité de juger de l’opportunité d’une investigation ou d’un test, de retarder/gêner, donc d’affecter les conditions de travail quotidiennes de l’auditeur, et d’implicitement susciter une attitude d’autolimitation de l’audit.
Tâches typiques du directeur de l’audit
modifierStatut, stratégie et organisation de la direction de l’audit interne
modifier- Garantir que les objectifs (par exemple stipulés dans une charte d’audit ou des statuts), la stratégie, les ressources de l’audit interne sont alignés et sont compatibles avec les objectifs et la gouvernance de l’organisation.
- Établir des principes et des procédures appropriés pour gérer la fonction de l’audit interne, et garantir la qualité de l’opinion d’audit délivrée dans le cadre de son service d’assurance positive.
Supervision de l’activité d’audit interne
modifier- Obtenir (ou superviser la sous-traitance de) la production d’une analyse des risques ; vérifier que l’évaluation des risques est faite au moins annuellement;
- Établir un plan d’audit fondé sur l’analyse des risques pour annoncer les priorités de l’audit interne, compatibles avec les objectifs de l’organisation.
- Prendre en compte les suggestions et commentaires de la direction et des cadres quand ils sont jugés opportuns, ainsi que du comité d'audit ;
- Le plan d’audit inclut usuellement l’audit des comptes annuels et d’autres contrôles fondamentaux ; il doit être coordonné avec le plan d’audit de l’auditeur statutaire
- Coordonner le plan et les activités d’audit interne et avec les autres contrôles internes et externes (assurance qualité, consultants en organisation, service évaluation, audit externe, évaluation Sarbanes-Oxley…) pour garantir une couverture appropriée des risques, et minimiser les duplications d’effort.
- Communiquer le plan des missions d’audit et les besoins en ressources de l’audit interne au comité d'audit, et tout changement significatif. Cette communication doit inclure l’impact d’éventuelles limitations de ressources et d’éventuelles interférences de la direction.
- Garantir que les ressources de l’audit interne sont appropriées, suffisantes et pleinement utilisées pour réaliser le plan d’audit approuvé par le comité d'audit ou le board.
- Garantir que l’équipe d’audit interne a les qualifications et compétences professionnelles appropriées, et des opportunités de formation et de développement permettant de maintenir et développer les compétences en audit interne (par exemple obtenir la certification d’auditeur interne certifié.
- Garantir la bonne fin des missions d’audit interne, en temps et en qualité.
- S’assurer que les rapports d’audit interne sont rapidement communiqués au comité d'audit.
- Publier une opinion annuelle holistique sur l’efficacité et l'adéquation de la gestion du risque, du contrôle interne, et de la gouvernance d'entreprise.
Assurance qualité de l’audit interne
modifierLe directeur de l’audit est responsable de la qualité de l’audit :
- S’assurer que les missions sont appropriées et sont supervisées. La supervision est un processus qui commence avec le planning et continue pendant la mission, l’évaluation, la communication des résultats et du rapport, et le suivi de la réalisation du plan d’action convenu par l’audité.
- Développer et maintenir l’assurance qualité et un programme d’amélioration qui couvre tous les aspects de l’audit interne, et contrôle en continu son efficacité.
- En collaboration avec le comité d'audit, garantir qu’une inspection ou autre revue externe de l’audit interne est faite au moins tous les 3 ans, par une équipe d’évaluation externe qualifiée, indépendante, et que le résultat de cette inspection externe sont communiqués au comité d'audit.
- Garantir que la direction de l’audit interne suit des normes professionnelles d’audit interne (par exemple ceux de l’IIA, Normes pour la pratique professionnelle de l’audit interne).
NB: Les Generally accepted auditing standards (GAAS, normes d’audit généralement acceptées) et les International Standards on Auditing (ISAs, Normes Internationales d’Audit) sont des normes d’audit externe.
- Faire un rapport annuellement au comité d'audit sur la conformité de l’audit interne avec les normes professionnelles d’audit interne applicables.
Communication des exceptions critiques au comité d'audit
modifierInformer le comité d'audit sans délai de tout problème de risque, de pratique de contrôle ou de gestion qui pourrait être/devenir signifiant. Le directeur de l'audit interne (DAI) communique les sujets les plus critiques au comité d'audit trimestriellement, ainsi que les progrès du management dans leur résolution. Les sujets critiques typiquement ont une probabilité raisonnable de causer des dommages substantiels financiers ou en réputation. Concernant des problèmes particulièrement complexes, le manager responsable peut participer à la discussion.
Ce droit de communication est critique pour garantir la pleine indépendance de l’audit, et qu’une culture adéquate de responsabilisation existe dans l’organisation et est endossée par le management (« tone at the top »). Il permet d’accélérer la résolution des problèmes de contrôle. La sélection des sujets appropriés à communiquer au comité d'audit, et leur description dans leur contexte, sont des questions de jugement d’une importance considérable.
Résultats de sondages
modifierCertaines sociétés de conseil et d’audit externe ont fait des recherches et du benchmarking sur les Comités d’Audit[3],[4].
Les résultats sont les suivants :
- 54 % des membres de comité interrogés pensent que le comité d'audit est « très efficace » alors que 38 % indiquent qu’il est « moyennement efficace ».
- Gestion des risques, contrôle interne, et estimations et jugements comptables étaient les top-priorités de 2007.
- 41 % sont « très satisfaits » de l’audit interne, alors que 52 % sont « moyennement satisfaits. »
- Les deux tiers pensent que le poste de directeur de l’audit doit être réservé à un professionnel de l’audit interne, plutôt que servir d’étape de carrière pour un cadre d’une autre fonction.