Introduction
Au dernier trimestre 2004, Le Groupe Michelin a mené une étude à laquelle 11 sociétés, appartenant en majorité au CAC 40, ont bien voulu participer.
Cette note de synthèse restitue dans les grandes lignes les pratiques d’audit interne telles qu’elles ont été présentées, les tendances convergentes et les spécificités de chacun.
L’étude a porté sur deux axes :
- L’organisation et le fonctionnement général de la direction de l’Audit Interne
- Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne
L’organisation et le fonctionnement général de la direction de l’Audit Interne
Les services d‘Audit Interne présentent une structure double : un bureau central (Audit Groupe ou Corporate) et des bureaux décentralisés (réseau d’audit) organisés selon des branches métier, des sociétés filiales correspondant à des métiers ou des zones géographiques. Seules deux Entreprises ne possèdent qu’un noyau central sans réseau d’audit.
Les effectifs (réseau inclus) varient de 1 auditeur pour 4000 salariés à 1 auditeur pour 1200 salariés.
Les équipes sont composées, pour la majorité des Entreprises, de cadres expérimentés venant des cabinets d’audit ou de l’opérationnel. Une entreprise présente la particularité de ne recruter que des jeunes cadres, la moyenne d’âge des auditeurs est de 27 ans. La plupart des Entreprises ont adopté une structure hiérarchique semblable à celle des cabinets d’audit ; trois d’entre elles ont cependant opté pour une hiérarchie interne souple, avec moins de niveaux et des rotations au poste de chef de mission.
La plupart des Directions d’Audit Interne comprend des spécialistes, en Informatique le plus souvent. La spécificité de l’une d’entre elles est de présenter une organisation d’Audit structurée en quatre pôles de spécialisation: Risques économiques généraux, Risques informatiques, Risques industriels et Risques produit, des missions pluridisciplinaires rassemblent des équipes mixtes. Cette dernière configuration permet à l’Audit Groupe de couvrir tous les domaines de l’Entreprise, le recours aux experts extérieurs est très limité.
Le processus d’Analyse des risques et de planification de missions
Dans toutes les Entreprises, la Direction de l’Audit Interne se consacre à des missions d’audit du Contrôle Interne (autrement dit des « missions d’assurance » dans la terminologie IFACI) ; les missions de conseil étant exceptionnelles chez certains, totalement exclues chez d’autres.
L’Audit Interne réalise l’Analyse de risques de l’Entreprise sauf chez deux Entreprises, où une Direction centrale des risques pilote le processus, l’Audit Interne intervenant en tant que participant. Le processus repose principalement sur deux sources d’informations : des entretiens plus ou moins formels avec des managers ou des tables rondes sur des thèmes de risques, et l’analyse de l’Audit des résultats de missions d’audit passées, pris en compte de différentes façons, plus ou moins structurées. La cartographie des risques et la planification de missions sont ainsi élaborées.
Il existe deux approches. Soit les entretiens avec les managers, jusqu’à 150 dans une Entreprise, sont préalables à la constitution d’une liste de missions d’audit potentielles, où l’analyse des audits passés de l’Audit entre également en compte. Puis les managers sont à nouveau consultés, formellement dans certaines Entreprises, sur cette liste de mission.
Celle-ci est finalement soumise pour validation officielle au Comité d’Audit ou à la Direction générale ou à la Fonction à laquelle est rattachée l’Audit. Soit l’analyse de l’Audit est préalable, la liste de missions potentielles est ensuite discutée avec un panel de managers variant de la vingtaine à la cinquantaine, parfois également avec les Commissaires aux comptes, puis soumise pour validation au Président de l’Entreprise.
Dans cinq Entreprises, la détermination des missions potentielles repose également sur des critères de récurrence de missions d’audit (ou d’objectifs de fréquence d’audit des entités).
Le processus de réalisation des missions
La phase de préparation donne lieu à un rapport formalisé (interne à l’Audit) d’orientation de la mission dans quatre Entreprises, précisant le périmètre de mission et les ressources allouées.
Dans une des Entreprises, il existe toujours un commanditaire personnifié, propre à chaque mission, c’est-à-dire un responsable de haut niveau du domaine audité qui s’assimile à un propriétaire de mission.
La phase terrain dure de 2 semaines à 5 semaines selon l’Entreprise et selon les missions. Dans cinq Entreprises, un planning d’audit « synchronisé » est adopté: les équipes d’auditeurs réalisent les missions simultanément, il y a donc 6 à 8 vagues de missions dans l’année. Le rapport d’audit fait toujours l’objet de discussions avec les audités, lors des réunions de clôture à la fin de la phase terrain, et après la phase terrain. Dans trois Entreprises, des priorités ou degrés d’importance sont donnés aux recommandations d’audit. Dans l’une d’entre elles, il existe un objectif de format pour les rapports : un rapport comporte 5 recommandations prioritaires, et une vingtaine de recommandations au total.
Dans deux Entreprises (où des audits d’entités sont fréquents), une note sur 4 de niveau du Contrôle Interne est donnée à l’ensemble audité. Dans une autre, un code de 4 couleurs est utilisé pour noter l’état de Contrôle Interne dans le processus/l’entité audité/e, le même principe de couleur est utilisé pour le rapport d’état d’avancement du plan d’action. Cette note constitue également un paramètre pris en compte notamment pour moduler les fréquences d’audits lors de l’analyse de risques et la planification annuelle de missions.
La diffusion du rapport d’audit peut être limitée aux audités et commanditaires, ou systématiquement étendue au membre du Comité Exécutif et au Président de Société (sous forme de note de synthèse).
Le processus de suivi des recommandations
L’audit Interne Groupe n’est pas nécessairement responsable du suivi des recommandations ; chez l’un, les services d’audit des filiales assurent le suivi de leurs propres missions, chez l’autre, les animateurs de Contrôle Interne, rattachés aux différentes Branches, en sont responsables.
Le suivi des recommandations a lieu systématiquement de 4 à 6 mois après le rapport d’audit dans trois Entreprises.
Dans trois Entreprises, le processus de suivi des recommandations est formalisé. Chez l’une, l’harmonisation méthodologique, le suivi de l’avancement et l’entretien d’une base de données spécifique sont confiés à un auditeur ; une lettre de clôture formelle est émise quand la mise en place du plan d’action est estimée satisfaisante après vérification par l’Audit. Chez une autre, des synthèses trimestrielles personnalisées d’état d’avancement des plans d’actions sont adressées aux membres du Comité Exécutif.
Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne
Communication de l’Audit Interne
De l’avis unanime, la communication interne par l’Audit sur ses propres activités ou sur le Contrôle Interne contribue à la sensibilisation des managers aux problématiques de Contrôle Interne.
D’une part, la communication ‘permanente’ se présente dans la majorité des Groupes de façon semblable : Charte d’audit, intranet, présentation de l’Audit lors des missions. Le contact avec lesaudités et le travail d’audit lui-même constituent les actions principales de sensibilisation pour la plupart des Directions d’Audit.
Une particularité cependant est à remarquer dans deux Entreprises: des auditeurs ou groupes d’auditeurs sont chargés, outre leurs responsabilités sur les missions, de favoriser les échanges avec les opérationnels dans des domaines désignés et de traiter le ‘knowledge management’ de l’Audit dans le domaine en question. Par exemple, responsabilité du domaine des Achats, correspondant pour la zone Amérique du Sud ou mission de développement des connaissances sur le Business Continuity Management. Ceci contribue par ailleurs à responsabiliser les auditeurs sur un secteur qui leur devient propre.
D’autre part, des actions spécifiques de communication mettent en avant l’Audit et les thèmes de Contrôle Interne. Dans une des Entreprises, tous les deux ans, une réunion rassemble auditeurs et managers pour renforcer la visibilité de l’Audit et mieux échanger sur les problématiques de Contrôle Interne. Des projets de formation au Contrôle Interne sont pilotés par la Direction de l’Audit dans une autre. Des séances d’information/de formation lors du lancement de l’outil d’autoévaluation représentent aussi l’occasion de communiquer sur ces problématiques.
Changements organisationnels induits par le projet de Contrôle Interne La Loi de Sécurité Financière de juillet 2003 a apporté la création de direction de risques ou de poste central de Risk Manager (dans quatre Entreprises), de fonctions Coordinateurs/Animateurs de Contrôle Interne ou ‘Risk Managers’ dans les branches (dans trois Entreprises). Les premiers, en tant que services centraux, mettent en place la méthodologie et pilotent le processus d’analyse de risques, consolident et synthétisent les analyses des risques des branches. Les seconds, des Coordinateurs, dans un poste à temps partagé ou complet, sont rattachés aux managers de la branche, aident à la mise en place du (projet de) Contrôle Interne dans leur branche et sont des interlocuteurs privilégiés de l’Audit sur les sujets d’audit et de Contrôle Interne.
Rôle de l’Audit Interne dans le projet de Contrôle Interne
La démarche d’auto-évaluation, dont l’objectif, la mise en place, et le domaine d’application varient d’un Groupe à l’autre, est présente dans tous les Groupes, sauf un. Le rôle de l’Audit dans cette démarche diffère également.
Par exemple, dans une Entreprise, l’outil d’auto-évaluation développé par l’Audit interne est principalement à but pédagogique. Dans trois Entreprises, des cabinets de conseil ont aidé l’Audit à la conception ou la mise en place d’un outil informatisé, qui devient objet de reporting consolidé, et est également utilisé par l’Audit pour la préparation de missions de revue de Contrôle Interne. La démarche d’auto-évaluation est généralement déconnectée de l’analyse de risque pilotée ou impliquant la Direction de l’Audit Interne telle qu’elle a été évoquée ci-dessus.
Dans le cadre de la loi de Sécurité Financière, le projet de Contrôle Interne est mené soit par des groupes de travail multidisciplinaires, dont font partie des représentants de l’Audit Interne, dans la majorité des Entreprises, soit par des ressources dédiées, rattachées à la Direction Financière ou la Direction de l’Audit, soit par l’Audit Interne seul.
Le rôle de l’Audit dans le projet même varie : en 2005, dans deux Entreprises, une partie importante des ressources de l’Audit Interne sera consacrée aux tests d’évaluation du ContrôleInterne, dans d’autres Entreprises, l’Audit ne sera pas du tout sollicité.
Au-delà de la responsabilité ou de l’accompagnement de l’auto-évaluation, des missions de revue de Contrôle Interne ou encore des tests d’évaluation, la Direction de l’Audit n’est pas seulement impliquée dans l’information sur le projet de Contrôle Interne mais plus encore, dans la formation des managers au Contrôle Interne, comme dans une des Entreprises, où un projet de formation Contrôle Interne est en cours de développement.
Au dernier trimestre 2004, Le Groupe Michelin a mené une étude à laquelle 11 sociétés, appartenant en majorité au CAC 40, ont bien voulu participer.
Cette note de synthèse restitue dans les grandes lignes les pratiques d’audit interne telles qu’elles ont été présentées, les tendances convergentes et les spécificités de chacun.
L’étude a porté sur deux axes :
- L’organisation et le fonctionnement général de la direction de l’Audit Interne
- Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne
L’organisation et le fonctionnement général de la direction de l’Audit Interne
Les services d‘Audit Interne présentent une structure double : un bureau central (Audit Groupe ou Corporate) et des bureaux décentralisés (réseau d’audit) organisés selon des branches métier, des sociétés filiales correspondant à des métiers ou des zones géographiques. Seules deux Entreprises ne possèdent qu’un noyau central sans réseau d’audit.
Les effectifs (réseau inclus) varient de 1 auditeur pour 4000 salariés à 1 auditeur pour 1200 salariés.
Les équipes sont composées, pour la majorité des Entreprises, de cadres expérimentés venant des cabinets d’audit ou de l’opérationnel. Une entreprise présente la particularité de ne recruter que des jeunes cadres, la moyenne d’âge des auditeurs est de 27 ans. La plupart des Entreprises ont adopté une structure hiérarchique semblable à celle des cabinets d’audit ; trois d’entre elles ont cependant opté pour une hiérarchie interne souple, avec moins de niveaux et des rotations au poste de chef de mission.
La plupart des Directions d’Audit Interne comprend des spécialistes, en Informatique le plus souvent. La spécificité de l’une d’entre elles est de présenter une organisation d’Audit structurée en quatre pôles de spécialisation: Risques économiques généraux, Risques informatiques, Risques industriels et Risques produit, des missions pluridisciplinaires rassemblent des équipes mixtes. Cette dernière configuration permet à l’Audit Groupe de couvrir tous les domaines de l’Entreprise, le recours aux experts extérieurs est très limité.
Le processus d’Analyse des risques et de planification de missions
Dans toutes les Entreprises, la Direction de l’Audit Interne se consacre à des missions d’audit du Contrôle Interne (autrement dit des « missions d’assurance » dans la terminologie IFACI) ; les missions de conseil étant exceptionnelles chez certains, totalement exclues chez d’autres.
L’Audit Interne réalise l’Analyse de risques de l’Entreprise sauf chez deux Entreprises, où une Direction centrale des risques pilote le processus, l’Audit Interne intervenant en tant que participant. Le processus repose principalement sur deux sources d’informations : des entretiens plus ou moins formels avec des managers ou des tables rondes sur des thèmes de risques, et l’analyse de l’Audit des résultats de missions d’audit passées, pris en compte de différentes façons, plus ou moins structurées. La cartographie des risques et la planification de missions sont ainsi élaborées.
Il existe deux approches. Soit les entretiens avec les managers, jusqu’à 150 dans une Entreprise, sont préalables à la constitution d’une liste de missions d’audit potentielles, où l’analyse des audits passés de l’Audit entre également en compte. Puis les managers sont à nouveau consultés, formellement dans certaines Entreprises, sur cette liste de mission.
Celle-ci est finalement soumise pour validation officielle au Comité d’Audit ou à la Direction générale ou à la Fonction à laquelle est rattachée l’Audit. Soit l’analyse de l’Audit est préalable, la liste de missions potentielles est ensuite discutée avec un panel de managers variant de la vingtaine à la cinquantaine, parfois également avec les Commissaires aux comptes, puis soumise pour validation au Président de l’Entreprise.
Dans cinq Entreprises, la détermination des missions potentielles repose également sur des critères de récurrence de missions d’audit (ou d’objectifs de fréquence d’audit des entités).
Le processus de réalisation des missions
La phase de préparation donne lieu à un rapport formalisé (interne à l’Audit) d’orientation de la mission dans quatre Entreprises, précisant le périmètre de mission et les ressources allouées.
Dans une des Entreprises, il existe toujours un commanditaire personnifié, propre à chaque mission, c’est-à-dire un responsable de haut niveau du domaine audité qui s’assimile à un propriétaire de mission.
La phase terrain dure de 2 semaines à 5 semaines selon l’Entreprise et selon les missions. Dans cinq Entreprises, un planning d’audit « synchronisé » est adopté: les équipes d’auditeurs réalisent les missions simultanément, il y a donc 6 à 8 vagues de missions dans l’année. Le rapport d’audit fait toujours l’objet de discussions avec les audités, lors des réunions de clôture à la fin de la phase terrain, et après la phase terrain. Dans trois Entreprises, des priorités ou degrés d’importance sont donnés aux recommandations d’audit. Dans l’une d’entre elles, il existe un objectif de format pour les rapports : un rapport comporte 5 recommandations prioritaires, et une vingtaine de recommandations au total.
Dans deux Entreprises (où des audits d’entités sont fréquents), une note sur 4 de niveau du Contrôle Interne est donnée à l’ensemble audité. Dans une autre, un code de 4 couleurs est utilisé pour noter l’état de Contrôle Interne dans le processus/l’entité audité/e, le même principe de couleur est utilisé pour le rapport d’état d’avancement du plan d’action. Cette note constitue également un paramètre pris en compte notamment pour moduler les fréquences d’audits lors de l’analyse de risques et la planification annuelle de missions.
La diffusion du rapport d’audit peut être limitée aux audités et commanditaires, ou systématiquement étendue au membre du Comité Exécutif et au Président de Société (sous forme de note de synthèse).
Le processus de suivi des recommandations
L’audit Interne Groupe n’est pas nécessairement responsable du suivi des recommandations ; chez l’un, les services d’audit des filiales assurent le suivi de leurs propres missions, chez l’autre, les animateurs de Contrôle Interne, rattachés aux différentes Branches, en sont responsables.
Le suivi des recommandations a lieu systématiquement de 4 à 6 mois après le rapport d’audit dans trois Entreprises.
Dans trois Entreprises, le processus de suivi des recommandations est formalisé. Chez l’une, l’harmonisation méthodologique, le suivi de l’avancement et l’entretien d’une base de données spécifique sont confiés à un auditeur ; une lettre de clôture formelle est émise quand la mise en place du plan d’action est estimée satisfaisante après vérification par l’Audit. Chez une autre, des synthèses trimestrielles personnalisées d’état d’avancement des plans d’actions sont adressées aux membres du Comité Exécutif.
Le rôle de l’Audit Interne dans le renforcement du Contrôle Interne
Communication de l’Audit Interne
De l’avis unanime, la communication interne par l’Audit sur ses propres activités ou sur le Contrôle Interne contribue à la sensibilisation des managers aux problématiques de Contrôle Interne.
D’une part, la communication ‘permanente’ se présente dans la majorité des Groupes de façon semblable : Charte d’audit, intranet, présentation de l’Audit lors des missions. Le contact avec lesaudités et le travail d’audit lui-même constituent les actions principales de sensibilisation pour la plupart des Directions d’Audit.
Une particularité cependant est à remarquer dans deux Entreprises: des auditeurs ou groupes d’auditeurs sont chargés, outre leurs responsabilités sur les missions, de favoriser les échanges avec les opérationnels dans des domaines désignés et de traiter le ‘knowledge management’ de l’Audit dans le domaine en question. Par exemple, responsabilité du domaine des Achats, correspondant pour la zone Amérique du Sud ou mission de développement des connaissances sur le Business Continuity Management. Ceci contribue par ailleurs à responsabiliser les auditeurs sur un secteur qui leur devient propre.
D’autre part, des actions spécifiques de communication mettent en avant l’Audit et les thèmes de Contrôle Interne. Dans une des Entreprises, tous les deux ans, une réunion rassemble auditeurs et managers pour renforcer la visibilité de l’Audit et mieux échanger sur les problématiques de Contrôle Interne. Des projets de formation au Contrôle Interne sont pilotés par la Direction de l’Audit dans une autre. Des séances d’information/de formation lors du lancement de l’outil d’autoévaluation représentent aussi l’occasion de communiquer sur ces problématiques.
Changements organisationnels induits par le projet de Contrôle Interne La Loi de Sécurité Financière de juillet 2003 a apporté la création de direction de risques ou de poste central de Risk Manager (dans quatre Entreprises), de fonctions Coordinateurs/Animateurs de Contrôle Interne ou ‘Risk Managers’ dans les branches (dans trois Entreprises). Les premiers, en tant que services centraux, mettent en place la méthodologie et pilotent le processus d’analyse de risques, consolident et synthétisent les analyses des risques des branches. Les seconds, des Coordinateurs, dans un poste à temps partagé ou complet, sont rattachés aux managers de la branche, aident à la mise en place du (projet de) Contrôle Interne dans leur branche et sont des interlocuteurs privilégiés de l’Audit sur les sujets d’audit et de Contrôle Interne.
Rôle de l’Audit Interne dans le projet de Contrôle Interne
La démarche d’auto-évaluation, dont l’objectif, la mise en place, et le domaine d’application varient d’un Groupe à l’autre, est présente dans tous les Groupes, sauf un. Le rôle de l’Audit dans cette démarche diffère également.
Par exemple, dans une Entreprise, l’outil d’auto-évaluation développé par l’Audit interne est principalement à but pédagogique. Dans trois Entreprises, des cabinets de conseil ont aidé l’Audit à la conception ou la mise en place d’un outil informatisé, qui devient objet de reporting consolidé, et est également utilisé par l’Audit pour la préparation de missions de revue de Contrôle Interne. La démarche d’auto-évaluation est généralement déconnectée de l’analyse de risque pilotée ou impliquant la Direction de l’Audit Interne telle qu’elle a été évoquée ci-dessus.
Dans le cadre de la loi de Sécurité Financière, le projet de Contrôle Interne est mené soit par des groupes de travail multidisciplinaires, dont font partie des représentants de l’Audit Interne, dans la majorité des Entreprises, soit par des ressources dédiées, rattachées à la Direction Financière ou la Direction de l’Audit, soit par l’Audit Interne seul.
Le rôle de l’Audit dans le projet même varie : en 2005, dans deux Entreprises, une partie importante des ressources de l’Audit Interne sera consacrée aux tests d’évaluation du ContrôleInterne, dans d’autres Entreprises, l’Audit ne sera pas du tout sollicité.
Au-delà de la responsabilité ou de l’accompagnement de l’auto-évaluation, des missions de revue de Contrôle Interne ou encore des tests d’évaluation, la Direction de l’Audit n’est pas seulement impliquée dans l’information sur le projet de Contrôle Interne mais plus encore, dans la formation des managers au Contrôle Interne, comme dans une des Entreprises, où un projet de formation Contrôle Interne est en cours de développement.
Articles
0 commentaires:
Enregistrer un commentaire