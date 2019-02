Nombreuses sont les entreprises qui réalisent des audits internes. Rares sont toutefois celles qui en exploitent réellement les résultats.

Christophe Quiévreux

Maître d’enseignement en gouvernance d’entreprise et gestion des risques à la Solvay Business School (ULB) et Partner Risk Advisory Services pour le bureau de consultance BDO Belgique

Nombreuses sont les entreprises qui réalisent des audits internes. Rares sont toutefois celles qui en exploitent réellement les résultats. En cause: une situation souvent délicate pour la personne chargée de réaliser l’audit, un manque de considération de la direction pour les recommandations qui en ressortent, et une certaine complaisance au sein des organes de gestion. Nous tentons ici d’analyser ces trois causes plus en détail.

Premièrement, il est grand temps que les auditeurs fassent preuve de plus d’assertivité, ne se contentent pas de rapporter, mais martèlent l’importance de leurs recommandations pour que leur travail retrouve son utilité. Plus facile à dire qu’à faire: une auditeur interne reste, sauf s’il est externalisé, un collaborateur de l’entreprise, soumis à ses règles, à son système d’évaluation. Et il ou elle y a probablement des ambitions, un plan de carrière...

L’auditeur interne reste un maillon de la chaîne que l’on peut facilement mettre sous pression si les résultats de l’audit embarrassent l’un ou l’autre membre de la direction. On peut citer le cas célèbre de WorldCom, dont les pratiques frauduleuses ont initialement été découvertes par une auditrice interne (Cynthia Cooper), qui a été licenciée lorsqu’elle a outrepassé le management pour avertir les instances de contrôle. La position même de l’audit interne est parfois hybride: il n’est que rarement le fait d’une volonté commune du management et des actionnaires. L’audit interne mis en place par le management sert avant tout celui-ci et n’a que peu de liberté de parole au niveau du comité d’audit, voire pas du tout. Si l’audit interne rapporte au comité d’audit, son accès aux informations dans les différents niveaux de l’entreprise pourrait en souffrir.

Faut-il pour autant opter pour un statut légal de la fonction? L’option pourrait sembler tentante, en ce qu’elle permettrait de verrouiller la position des auditeurs internes, de leur assurer la protection nécessaire pour qu’ils puissent effectuer leur travail sans craindre pour leur emploi. Et de fait, des projets de réglementation allant dans ce sens ont déjà été élaborés, mais ils associaient cette protection nouvelle à une série d’obligations – jusqu’à l’obligation d’informer la justice dans certains cas - qui transformeraient l’auditeur en une sorte de commissaire du gouvernement installé dans toutes les entreprises concernées. De quoi miner la confiance dont l’auditeur a besoin pour réaliser efficacement son travail.

La technologie "big data" au secours de l’auditeur interne

Deuxièmement, il est tout aussi important de travailler sur la réception et l’exploitation des résultats des audits par ses destinataires, c’est-à-dire, par le management. À cet égard, l’auditeur interne doit profiter de l’aubaine que constituent les évolutions technologiques récentes que l’on regroupe sous le terme de "big data". Dans le passé, l’objection principale du management aux observations de l’auditeur interne était "vos conclusions sont basées sur un échantillon qui ne représente pas la réalité des transactions". Vraie ou pas, cette réaction avait le don de mettre à mal les assurances de l’auditeur interne, et de sonner le glas de toute velléité de changement…

Les outils de traitement de masse de données ne sont pas nouveaux, mais toutefois, ils ont tendance à se généraliser, se simplifier, et ne plus être réservés à quelques fonctions particulières. L’auditeur interne se doit de les saisir, de les maîtriser, et de proposer au management des conclusions basées non pas sur un échantillonnage mais sur l’entièreté des transactions. La différence est en effet grande entre "nous avons détecté une erreur sur 10 paiements" et "10% de vos paiements de 2018 n’ont pas été effectués avec tous les contrôles requis". Mieux encore, grâce à l’analyse des flows et à des techniques de "continuous auditing", l’auditeur interne peut mettre en place des contrôles automatiques qui le renseignent, selon la fréquence voulue, sur les anomalies, et même prédire les anomalies futures, en fonction des résultats récents.

Il est primordial que le troisième acteur, à savoir le commanditaire (en général, le comité d’audit, à qui l’audit interne devrait rapporter) joue son rôle. Ce rôle, rappelons-le, est d’assurer que les recommandations de l’audit interne soient suivies d’effets et d’actions concrètes par le management. Trop souvent, j’ai vu des membres de comités d’audit se retourner contre le messager d’une mauvaise nouvelle, en niant l’évidence, parfois avec une mauvaise foi qui me laissait pantois. Trop souvent aussi, j’en ai vu faire de grandes déclarations, en comité d’audit, devant les observations de l’audit interne, hélas très peu relayées auprès du management.

Le point commun de ces situations? la confusion des genres entre la politesse et la complaisance. Avoir de bonnes manières ne signifie pas s’abstenir de poser une question de manière franche. Malheureusement, c’est souvent perçu comme tel. En Belgique, il faut reconnaître que l’on en est encore aux balbutiements de la gouvernance d’entreprise et du "healthy skepticism" comme disent les anglo-saxons. Ensuite, tout le monde se connaît de près ou de loin.

Comment poser une question dérangeante à un CEO lorsqu’on est membre d’un comité d’audit, alors que l’on se retrouvera dans quelques jours, dans un autre comité, mais avec des rôles inversés. Ou lorsqu’on se retrouve le soir même dans les loges du même club de football (l’un invitant souvent l’autre d’ailleurs). Bien sûr, il y a déjà de nombreux cas où le niveau de maturité a dépassé ce stade, et où je me félicite du professionnalisme que j’observe dans les échanges. Mais cette complaisance reste toutefois suffisamment courante que pour être soulignée.