Enquête 2015 sur l'état de la profession audit interne

Enquête 2015 sur l'état de la profession audit interneCap sur le « Vrai Nord » : s'orienter dans une période de mutations rapides

Mars 2015

Selon les résultats de l'enquête annuelle de PwC, l'audit interne doit prendre en considération les facteurs de changement externes pour évoluer et conserver ainsi toute sa pertinence.

B Enquête 2015 sur l'état de la profession audit interneB

N

Cap sur le « Vrai Nord » : s'orienter dans une période de mutations rapides

Déterminer le « Vrai Nord » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Terra incognita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Déterminer le « Vrai Nord » de l'audit interne . . . . . . . . . . . . . . . . . . . 6

Naviguer avec les risques en point de mire . . . . . . . . . . . . . . . . . . . . . . 8

Armer les équipes en développant les compétences techniques et la compréhension du business . . . . . . . . . . . . . . . . . . . 10

Calculer sa position : alignement sur les risques et l'activité . . . . . 14

Maîtriser les outils de navigation : capitaliser sur les données . . . 16

Cap sur le « Vrai Nord » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2 Enquête 2015 sur l'état de la profession audit interne2

Dans le sillage des mutations rapides intervenues au cours de ces dix dernières années, de nouveaux changements s'annoncent encore à l'horizon. Dans l'édition 2015 de l'étude annuelle mondiale de PwC auprès des dirigeants, ces derniers considèrent la réglementation, la concurrence et l'évolution des comportements des clients comme les tendances qui bouleverseront le plus leur secteur au cours des cinq prochaines années (Figure 1) et amèneront bon nombre d'entre eux à repenser entièrement leur proposition de valeur. Face à ces bouleversements, les entreprises restent optimistes quant à leurs perspectives de croissance : en effet, 61 % des dirigeants entrevoient davantage d'opportunités aujourd'hui qu'il y a trois ans.

Afin de tirer profit de ces opportunités, les entreprises adoptent des mesures straté-giques – expansion sur de nouveaux mar-chés, acquisitions, création de joint ventures, innovations radicales dans leur portefeuille de produits et de services, et pénétration de nouveaux secteurs. Ainsi, l'enquête révèle que 54 % des dirigeants interrogés se sont lancés dans un nouveau secteur ou ont envi-sagé de le faire au cours des trois dernières années, et 56 % d'entre eux jugent probable que les entreprises seront davantage pré-sentes dans de nouveaux secteurs au cours des trois prochaines années1.

L'année 2015 marque la 11e édition de l'enquête annuelle de PwC sur l'état de la profession audit interne . Lors de la première publication de l'étude il y a dix ans, les technologies comme le cloud restaient des concepts largement abstraits . Les smartphones et les réseaux sociaux en étaient à leurs balbutiements. On ne parlait pas encore de la crise financière mondiale, survenue en 2008 . L'Afrique du Sud, la Colombie, la Corée du Sud, le Vietnam et l'Indonésie n'étaient pas encore ciblés par les entreprises car ces pays n'offraient pas les opportunités de croissance d'aujourd'hui . Qu'en est-il dix ans plus tard ? Le paysage géopolitique et l'économie mondiale ont profondément évolué, de même que l'environnement dans lequel s'inscrit l'activité des entreprises – et celle de leur fonction audit interne .

3Cap sur le « Vrai Nord » : s'orienter dans une période de mutations rapidesMars 2015

L'édition 2015 de l'enquête annuelle de PwC sur l'état de la profession audit interne analyse les points de vue de plus de 1 300 directeurs de l'audit interne (DAI), diri-geants et administrateurs. Ceux-ci sont pour la plupart convaincus que le métier d'audit interne doit, en cette période de mutations rapides, évoluer au même rythme que les besoins de l'entreprise. Tout au long de notre évaluation des résultats de l'enquête et de la centaine d'entretiens conduits avec les DAI et autres parties prenantes, un concept n'a eu de cesse de s'imposer : celui de « Vrai Nord ».

Le « Vrai Nord », concept de Lean management né il y a plusieurs décennies au sein du système de production Toyota, désigne aujourd'hui un ensemble d'idéaux vers lesquels doit tendre l'entreprise afin d'atteindre ses objectifs. Il est en effet facile, dans un environnement en mutation rapide,

Figure 1 : Les dirigeants considèrent que la réglementation, la concurrence et l'évolution des comportements des clients constituent les principaux facteurs de bouleversement de leur secteur.Q : Selon vous, dans quelle mesure les tendances suivantes bouleverseront-elles votre secteur au cours des cinq prochaines années ?

Source : Édition 2015 de l'étude annuelle mondiale de PwC auprès des dirigeants

Évolutions réglementaires dans le secteur

Augmentation du nombre de concurrents directs et indirects importants

Évolution des comportements des clients

Évolution des circuits de distribution

Bouleversement relatifBouleversement majeur

66 %

61 %

61 %

50 %

31 %

22 %

21 %

18 %

35 %

40 %

39 %

32 %

Il est nécessaire, pour déterminer le « Vrai Nord », de faire preuve d'innovation, d'introspection, et d'être capable de se poser la bonne question, à savoir : « Que devons-nous faire ? » et non pas « Que pouvons-nous faire ? ».

de se laisser désorienter ou d'être à la traîne. À l'instar de l'étoile polaire, le « Vrai Nord » est un point fixe – dont l'observation permet de garder le cap quand tout change autour de nous. Il est nécessaire, pour déterminer le « Vrai Nord », de faire preuve d'innovation, d'introspection, et d'être capable de se poser la bonne question, à savoir : « Que devons-nous faire ? » et non pas « Que pouvons-nous faire ? ». Dans cette présente édition de l'étude, nous nous attarderons sur les facteurs de changement externes, et chercherons à savoir comment l'audit interne peut s'orienter dans cet

environnement de risques en constante évolution. Nous passerons au crible les responsabilités, capacités et compétences des fonctions innovantes, et tenterons d'apporter des éclairages pour aider les fonctions audit interne à apporter une contribution utile et pertinente à l'entreprise tout en remplissant leur mission.


« Au vu de l'évolution de l'environnement mondial des risques, les administra-teurs doivent apprécier la limitation des ressources à même de les assister et leur apporter de l'assurance, et ce, à mesure que leur mandat évolue et que leurs responsabilités augmentent. Cette tendance, assortie d'une sensibilité accrue au risque, amènera les entreprises à reconsidérer le rôle et l'im-portance de l'audit interne. Les auditeurs internes doivent saisir cette opportunité pour gagner la confiance du comité d'audit, de la direction générale, du conseil d'administration, et, le cas échéant, des autorités de réglementation. »

— Anton van Wyk, Global Institute of Internal Auditors Chair, Afrique du Sud

Terra incognita

Les entreprises opèrent souvent en ter-rain inconnu, avec des risques pouvant compromettre leur capacité à mettre en œuvre efficacement leur stratégie. Consé-quence du rythme de plus en plus effréné auquel changent les tendances macro et micro-économiques, l'environnement dans lequel évoluent les entreprises est sensible-ment différent de ce qu'il était il y a encore quelques années.

L'édition 2015 de l'étude annuelle de PwC sur l'état de la profession audit interne confirme cette transformation du marché et de l'environnement compétitif. Trois quarts des personnes interrogées consi-dèrent toujours la complexité réglementaire comme une source de préoccupation, mais les risques qui évoluent, tels que la sécurité et la confidentialité des données, constituent également aujourd'hui des défis de taille (Fi-gure 2). L'évolution des comportements des clients, qui arrive en tête des opportunités citées dans l'étude, voit son impact sur l'en-treprise augmenter fortement en raison de l'essor des réseaux sociaux, du numérique et de la communication mobile. De nouvelles menaces, telles que le piratage informatique dont ont été récemment victimes de grandes enseignes mondiales, décuplent les risques que les entreprises doivent aujourd'hui tenter de maîtriser par le biais de procédures et de dispositifs de contrôle nouveaux ou améliorés.

Figure 2 : Principales tendances macro et micro-économiques…

…qui créent le plus de challenges

…qui créent le plus d’opportunités

53 %Évolution des

comportements des clients

45 %Urbanisation

41 %Modi�cation de l'environnement

concurrentiel

41 %Technologies émergentes

39 %Évolution des

politiques gouvernementales

39 %Incertitude et

bouleversements économiques mondiaux

74 %Sécurité et

con�dentialité des données

69 %Pression

sur les coûts

77 %Complexité

réglementaire

69 %Évolution

des politiques gouvernementales

66 %Pénurie

de talents


« Notre organisation cherche à s'imposer comme un leader du nu-mérique, ce qui suppose une démarche d'innovation constante dans un environnement flexible et facilement adaptable. De même, l'audit interne doit rompre avec son mode de pensée traditionnel – il lui faut en effet innover en colla-boration avec ses interlocuteurs métier et développer des centres d'excellence afin de créer de la valeur pour les parties prenantes. »

— Jim Tietjen, Executive Vice President & Chief Auditor, Capital One Financial, États-Unis

Le changement, certes, n'est pas nouveau. Il y a dix ans, les entreprises pénétraient de nouveaux marchés, délocalisaient leur production, intégraient leur activité vertica-lement et rationalisaient leurs opérations. Aujourd'hui, toutefois, sous la poussée des forces du marché et de tendances mondiales sans précédent, nous assistons à la transfor-mation radicale des entreprises, ainsi que de secteurs tout entiers. Citons par exemple le secteur de la distribution, qui pénètre l'es-pace jusque-là dévolu aux services de santé, ou qui ouvre des banques pour mieux servir ses clients ; ou les agences de presse et de production, qui se transforment en plates-formes numériques et de médias sociaux ; ou encore les entreprises technologiques,

qui offrent des passerelles vers tous types de services, de l'utilisation des médias à la remise en forme en passant par la sécurité du domicile.

Face aux facteurs externes, les entreprises repensent et re-configurent l'intégralité de leurs activités, du modèle économique dans son ensemble au portefeuille de produits et de services et à la stratégie de mise sur le marché, sans oublier les fonctions support et les opérations logistiques. Notre enquête révèle que près de 70 % des entreprises ont transformé ou sont en train de transformer leur activité pour répondre aux boulever-sements du marché. Elles sont également 12 % à envisager de le faire dans les 18 à 24 prochains mois. De telles initiatives ciblent

la réduction des coûts, l'accroissement des activités vente et marketing, ou encore le dé-veloppement de l'innovation ou le ré-aligne-ment des modèles économiques (Figure 3).

Au vu de l'incroyable mouvement de trans-formation et de convergence sectorielle en cours, les entreprises sont confrontées à des risques sans précédent ou plus complexes.

Figure 3 : Principales initiatives stratégiques prises par les entreprises en réponse aux défis et opportunités du marché

68 %

57 %

56 %

54 %

53 %

51 %

50 %

Participants à l'enquête indiquant que leur entreprise a mis en œuvre des initiatives stratégiques

Priorité à la réduction des coûts et au Lean

Protection de la con�dentialité et de la sécurité des données

Développement des activités vente et marketing

Pénétration de nouveaux marchés géographiques

Renforcement des efforts d'innovation

Ré-alignement du modèle économique

Développement des fonctions gestion des risques ou conformité


suivre l'évolution de l'activité en s'adaptant à l'environnement de risques. « Que doivent-elles donc faire ? » Quand elles cherchent à déterminer « ce qu'elles devraient faire », ces fonctions audit interne se montrent inno-vantes, et agissent en ayant constamment en tête d'aller au-delà des objectifs et résultats normalement attendus.

Notre étude montre qu'une certaine catégo-rie de fonctions audit interne se démarque des autres, en apportant une réelle valeur à leur entreprise, aux yeux des dirigeants et des administrateurs interrogés. Dans ces entreprises, l'audit interne évolue de façon proactive. Les parties prenantes internes pour ces entreprises indiquent non seu-lement que l'entreprise gère et anticipe correctement les risques, mais également que l'audit interne :

• contribue activement aux enjeux straté-giques de l'entreprise ;

• offre un point de vue proactif sur l'en-semble des risques pour l'entreprise (risques stratégiques, réglementaires, financiers et opérationnels) ;

• émet des recommandations pour limiter les risques avant qu'ils ne surviennent.

Conscients de la mutation rapide de l'en-vironnement économique et des risques, la majorité des DAI indiquent qu'ils vont devoir évoluer. Si seulement 11 % d'entre eux jugent que leur fonction audit interne agit en « conseiller stratégique », offrant déjà pleinement des services à valeur ajoutée et des conseils proactifs à l'entreprise, ils sont 60 % à estimer qu'une telle approche deviendra incontournable d'ici à cinq ans.

Déterminer le « Vrai Nord » de l'audit interne

Il est généralement facile de rester sur la bonne voie lorsque l'environnement est familier. Mais l'environnement actuel des entreprises est tout sauf familier. C'est pourquoi les responsables de l'audit interne doivent trouver et garder en ligne de mire leur « Vrai Nord », qui correspond au positionnement idéal de leur fonction pour évoluer au même rythme que leur entreprise et l'environnement de risques auquel celle-ci est confrontée.

Les fonctions audit interne qui créent le plus de valeur aujourd'hui et sont le plus à même d'apporter une contribution positive sur le long terme sont celles qui ont mis le cap sur le « Vrai Nord » qu'elles se sont fixé. Celui-ci correspond le plus souvent à leur capacité à

Figure 4 : La détermination du « Vrai Nord » passe par le développement de quatre attributs fondamentaux

Principaux facteurs permettant à l'audit interne de participer aux initiatives stratégiques

Les huit attributs fondamentaux de l'audit interne

62 %

57 %

52 %

35 %

34 %

Compréhension du businessTalents/Compétences

• Focalisation sur les risques adéquats au moment le plus opportun Compétences techniques et compréhension du business nécessaires pour faire preuve de pertinence et donner des points de vue pertinents

• Meilleur alignement avec l'ERM et les autres lignes de défense

• Utilisation de l'analyse de données à bon escient pour donner des points de vue pertinents au métier

Focalisation sur les risques

Gestion des talents

Gestion des parties prenantes

Rapport coût/ef�cacité

Technologie

Culture du service

Qualité et innovation

Audit interne

Alignement sur les enjeux

Pr

otéger l'entreprise

Cré

er une valeur ajoutée mes

ura

ble

« C'est en cherchant à offrir toujours plus en retour à l'entreprise que l'on peut faire évoluer le regard qu'elle porte sur la valeur de l'audit interne. »

— Neil Aaron, Vice-président en charge de l'audit interne, News Corp, États-Unis

Pourcentage de personnes interrogées


Les parties prenantes partagent le même point de vue, puisqu'un peu plus de 45 % d'entre elles attendent de l'audit interne qu'il aille au-delà de sa mission d'assurance tra-ditionnelle pour jouer un rôle de conseiller stratégique d'ici à cinq ans.

Malgré tout, même si la plupart des fonc-tions audit interne admettent qu'il leur est nécessaire d'apporter encore plus de valeur ajoutée, peu d'entre elles ont établi un plan structuré pour atteindre cette cible. PwC étu-die depuis longtemps l'importance des huit attributs fondamentaux de l'audit interne (Figure 4)2. En cette période de constante évolution du paysage économique, l'enquête montre que quatre domaines – focalisation sur les risques, gestion des talents, aligne-ment sur les enjeux et technologie – sont considérés par les DAI comme par les parties prenantes comme les principaux leviers sur lesquels peut agir l'audit interne pour appor-ter une meilleure contribution à l'entreprise. Il ressort également que les fonctions audit interne qui apportent une réelle valeur à l'entreprise sont également celles qui ob-tiennent les meilleurs résultats dans chacun de ces domaines (Figure 5).

Indépendamment de ces quatre domaines, le soutien des parties prenantes est également jugé essentiel, mais celui-ci dépend indirectement de la capacité de l'audit interne à créer de la valeur. D'autres attributs, comme le rapport coût/efficacité et la culture du service, continuent de doper la performance, mais notre étude montre qu'ils ne conditionnent pas autant l'implication de l'audit interne dans le processus de transformation de l'activité.

Si le chemin qui mène au « Vrai Nord » varie d'une fonction audit interne à l'autre, notre étude indique qu'il est essentiel de se concentrer sur les quatre actions suivantes pour orienter l'audit interne dans la bonne direction.

• Cibler les risques adéquats au moment le plus opportun.

• Développer les compétences techniques et la compréhension du business nécessaires pour pouvoir faire preuve de pertinence et offrir un point de vue éclairé.

• Améliorer l'alignement avec la gestion des risques de l'entreprise (ERM) et les autres lignes de défense.

• Capitaliser sur les données tout au long du cycle de vie de l'audit pour apporter plus d'éclairages pertinents.

Figure 5 : Les fonctions audit interne créatrices de forte valeur dépassent les autres dans quatre domaines

88 %

57 %63 %

34 %

91 %

53 % 54 %

32 %

Focalisation sur les risques

Talents Alignement sur les enjeux

Données

Fonctions audit interne qui apportent une valeur signi�cative à l'entreprise

Autres fonctions audit interne


N

Naviguer avec les risques en point de mire

À mesure qu'elles s'adaptent aux chan-gements rapides, les entreprises sont confrontées à des risques souvent inconnus et inexplorés, qui peuvent avoir un impact sensible sur leur pérennité. Les fonctions audit interne qui évoluent au rythme de l'en-vironnement de risques sont impliquées au moment le plus opportun du processus de décision et de mise en œuvre des initiatives stratégiques afin d'être en mesure de cibler les risques stratégiques avant que ceux-ci ne surviennent.

D'après notre étude, les fonctions audit in-terne qui, selon les parties prenantes, créent une valeur ajoutée significative, participent jusqu'à deux fois plus souvent que leurs pairs aux projets de transformation et offrent un point de vue proactif sur de telles initiatives (Figure 6). Les fonctions audit interne les plus avancées nourrissent la réflexion de leur entreprise, lorsque celle-ci cherche à évaluer certaines stratégies, comme une éventuelle acquisition ou la pénétration d'un nouveau marché. Elles peuvent également identifier les risques potentiels lorsqu'un projet est déjà en cours, comme une trans-formation de l'approche commerciale ou un programme de réduction des coûts.

Les DAI doivent cependant être en position de donner leur point de vue pour pouvoir intervenir au moment le plus opportun du processus. Ceux qui bénéficient du soutien solide des dirigeants et du comité d'audit disent participer activement aux réunions de direction et aux comités de pilotage, ce qui leur permet d'identifier de nouvelles ini-tiatives et de s'impliquer très en amont pour donner leur opinion sur les risques.

Figure 6 : Les fonctions audit interne créatrices de forte valeur offrent un point de vue proactif sur les projets de transformation

47 % Points de vue proactifs et recommandations sur le contrôle interne avant occurrence des risques – contre 19 % pour les autres fonctions audit interne

20 %

9 %

24 %Audit des procédures et des dispositifs de contrôle a�n de limiter les risques une fois ceux-ci survenus (après occurrence des risques)

Audit des procédures et des dispositifs de contrôle a�n de limiter les risques une fois ceux-ci survenus (après occurrence des risques)

Identi�cation des risques au cours du processus annuel d'évaluation des risques

Nature de la participation des fonctions audit interne créatrices de forte valeur aux projets de transformation :

• Dans quelle mesure l'audit interne est-il impliqué dans les projets de transformation de votre entreprise ?

• L'audit interne offre-t-il un point de vue proactif sur les risques stratégiques pour votre entreprise ?

• En quoi l'audit interne permet-il une meilleure compréhension des risques dans l'ensemble de votre entreprise ?

• Le plan stratégique de l'audit interne est-il aligné sur les initiatives stratégiques de votre entreprise ?

Tracez votre propre route


Carnet de bord : une fonction audit interne en phase avec les initiatives stratégiques de l'entreprise

Chez le géant américain Google, l'audit interne est considéré comme un véritable interlocuteur métier – un partenaire qui participe au progrès des initiatives les plus stratégiques de l'entreprise en offrant un point de vue proactif sur les risques. Lisa Lee, Directrice de l'audit interne, estime que, pour mener à bien sa mission, l'audit interne doit faire preuve de créativité afin que la création de valeur fasse partie intégrante de ce qu'elle apporte. Google possède une solide culture d'objectifs trimestriels (approche baptisée « Objectifs et résultats clés », ORC ou OKR en anglais), et l'audit interne est désormais intégré aux équipes transversales qui œuvrent à la réalisation de ces ORC. Deux facteurs tactiques de réussite aident l'audit interne à concrétiser cette approche. Premièrement, le développement de solides relations avec les différentes fonctions permet à l'audit interne de participer activement aux initiatives qui comptent le plus pour l'entreprise. Afin d'être à l'avant-poste des changements au sein de l'entreprise, la fonction audit interne suit une organisation matricielle et affecte ses ressources par produit et par processus métier. Cette spécificité permet aux membres de l'équipe audit interne de favoriser le développement de relations solides avec les lignes produit, de rester en phase avec l'activité et d'identifier les principaux risques. Deuxièmement, les équipes d'audit interne abordent chaque nouvelle initiative avec un esprit ouvert, en ayant une posture adaptée (« comment pouvons-nous aider ») lorsqu'ils cherchent à définir leurs attributions pour répondre aux besoins du projet. Ainsi, leur rôle pourra varier selon que les processus sont déjà bien établis, et peuvent donc être audités, ou au contraire nouveaux, auquel cas l'audit jouera davantage un rôle consultatif en émettant un avis sur les risques et les dispositifs de contrôle. L'audit interne, en tant que partie intégrante de l'équipe, peut être amené à s'écarter de son rôle habituel pour participer notamment à la gestion de projet ou apporter un soutien transversal à l'ensemble des lignes de défense traditionnelles. En d'autres termes, il s'agit de veiller à ce que les risques soient correctement gérés, et la valeur ajoutée de l'audit interne sera d'autant plus grande qu'il collaborera avec le métier pour atteindre cet objectif. Afin de mieux doser son implication dans les différents projets, l'audit interne de Google estime optimal d'impliquer dès le départ ses responsables les plus expérimentés dans le processus de réflexion puis, à mesure que le projet avance, de faire preuve de transparence sur les résultats clés. L'équipe peut ainsi changer d'orientation si nécessaire, et atteindre son objectif ultime, qui est « d'aider et de créer de la valeur » pour l'entreprise.

« L'audit interne doit être impliqué dans les initiatives stratégiques, mais seulement du point de vue des procédures et de la gouvernance. L'audit interne n'est pas là pour remettre en question l'orientation stratégique. Son rôle consiste à évaluer la gestion de projet des initiatives stratégiques, analyser les risques clés et les processus métier. Ce qui exige des compétences spécifiques : une équipe mal choisie n'apportera aucune valeur. »

— JoAnne Stephenson, Présidente, Comités d'audit et de gestion des

risques, Challenger Limited, Asaleo Care Limited, ministère de la Santé (Victoria, Australie),

Peter MacCallum Cancer Institute

« Un très grand nombre de projets de transformation nécessitent la présence de l'audit interne en amont du processus, en phase de conception, plutôt qu'en aval, en phase d'audit. Cela nécessite des équipes capables d'assumer une mission moins structurée tout en conservant leur indépendance. Nous envisageons de telles opportunités de façon stratégique. »

— Kathy St. Louis, Directrice de l'audit interne,

Eli Lilly, États-Unis


N

« C'est votre envergure en tant que cadre dirigeant – et non votre mandat – qui vous assure votre place au sein de l'équipe de direction. »

— Andrew Dix, Président du comité d'audit, Swinburne University, membre du comité d'audit, ministère de la Justice, Australie

gérer les principaux risques auxquels cette dernière est confrontée. De telles fonctions constituent des équipes dotées d'un panel di-versifié de compétences et donc alignées sur la stratégie de transformation de l'entreprise (Figure 7).

Ces compétences incluent la continuité de l'activité, la confidentialité des données et l'expertise informatique spécialisée, comme la cybersécurité, les services cloud, les tech-nologies mobiles et les systèmes ERP (tels que SAP ou Oracle).

Ces fonctions possèdent également un large éventail de compétences opération-nelles – chaîne logistique, Six Sigma/Lean, ou ingénierie – qui varient selon le secteur et la stratégie de l'entreprise. Par ailleurs, les entretiens réalisés au cours de cette enquête montrent qu'il devient de plus en plus courant de recruter des talents formés en ressources humaines, droit, éthique et conformité, notamment dans les secteurs fortement réglementés. Plusieurs fonctions ont également intégré des compétences al-lant de la fiscalité à la vente et au marketing, en passant par l'ingénierie.

Armer les équipes en développant les compétences techniques et la compréhension du business

Il ne suffit pas de pointer le compas sur le « Vrai Nord » pour donner à la fonction audit interne les moyens d'apporter une réelle valeur ajoutée. La compréhension du business et les compétences techniques dont est collectivement dotée la fonction conditionnent l'arrivée à destination. Le panel de compétences requises par l'audit interne doit en effet évoluer à mesure que les entreprises repensent leur modèle éco-nomique et mettent en œuvre leur stratégie. Prenons l'exemple d'un distributeur qui pé-nètre le segment des services de santé : une équipe d'audit interne spécialisée dans la distribution ne disposera probablement pas suffisamment des connaissances nécessaires pour appréhender les risques propres au sec-teur, comme les obligations de conformité réglementaire. Notre étude montre que les meilleures fonctions audit interne s'appuient sur des compétences moins « classiques » pour arriver à bon port.

Pourtant, malgré toutes les transformations opérées par les entreprises, dans bien des cas, le panel de compétences dans de nom-breuses fonctions audit interne n'a guère évolué depuis dix ans. Les compétences que l'on retrouve le plus fréquemment – et de loin – au sein de l'audit interne sont celles qui concernent le contrôle financier, les technologies de l'information au sens large et la conformité, respectivement présentes à 95 %, 90 %, et 89 %.

Il ressort également de notre enquête que les lacunes potentielles entretiennent le sentiment, pour les fonctions concernées, que l'audit interne n'est pas pertinent et peu porteur de valeur ajoutée. Les parties prenantes qui jugent que l'audit interne n'est pas source de valeur citent, à 65 %, le manque de compétences comme un obstacle essentiel. Les DAI, à 43 %, partagent ce point de vue.

À l'inverse, les fonctions audit interne qui parviennent à suivre le rythme des change-ments et à être porteuses d'une plus grande valeur pour l'entreprise acquièrent proac-tivement les compétences nécessaires pour

*à l'exception du secteur des services financiers

Figure 7 : Les fonctions audit interne créatrices de forte valeur disposent d'un panel de compétences plus diversifié que leurs pairs

Fonctions audit interne créatrices de forte valeur Autres fonctions audit interne

Expertise informatique spéci�que

Ingénierie*

Con�dentialité des données

Six Sigma (ou autres concepts de Lean management)*

Pourcentage d'entreprises interrogées qui possèdent ces compétences (en interne ou par l'intermédiaire de prestataires)

Continuité de l'activité

Chaîne logistique*

Analyse de données

84 %70 %

80 %64 %

77 %61 %

72 %59 %

69 %48 %

43 %31 %

40 %29 %


business en renforçant leurs compétences en communication écrite et verbale, présen-tation et leadership, en confiant à leurs collaborateurs des missions délicates, en les aidant à prendre conscience de l'intérêt de leur travail pour l'entreprise, et en les accompagnant dans leur réussite profession-nelle et personnelle.

Au vu du rythme auquel se transforme l'entreprise, le recrutement des différents profils dont a besoin l'audit interne pour soutenir l'activité constitue un formidable défi. Certaines fonctions audit interne sont néanmoins capables de se doter en interne de l'éventail de compétences nécessaire et de tirer profit de programmes de rotation formels pour attirer les talents souhaités au sein de leurs équipes. L'élaboration de programmes destinés à combler certaines lacunes – comme la formation d'auditeurs généralistes sur des thèmes spécifiques tels

Parce qu'elle permet de saisir les risques propres à l'entreprise et d'émettre un avis éclairé, la compréhension du business conditionne également la pertinence de l'audit interne. De même que le manque de compétences, le défaut de compréhen-sion du business est considéré comme un obstacle essentiel à la création de valeur par l'audit interne. C'est en effet l'avis de 70 % des parties prenantes qui jugent que la fonction audit interne est peu porteuse de valeur. Les équipes d'audit interne qui, en revanche, évoluent au même rythme que l'entreprise, ont une connaissance approfon-die des secteurs d'activité de cette dernière, ainsi que des tendances qui s'imposent à elle. Elles sont par ailleurs capables d'identifier clairement les risques en les corrélant aux enjeux stratégiques de l'entreprise, ce qui leur permet d'apporter un précieux éclairage et donc de collaborer plus efficacement. Elles cultivent cette compréhension du

que les assurances ou le crédit-bail dans le secteur automobile – compte également au nombre des stratégies mises en œuvre pour développer les talents.

Les fonctions audit interne qui gèrent effi-cacement leur portefeuille de compétences définissent leur propre stratégie, en alignant leurs besoins de recrutement, de recours à des compétences internes ou externes et de développement des talents sur les orienta-tions stratégiques de l'entreprise – pointant ainsi vers le « Vrai Nord » de la gestion des talents. Ainsi, à mesure de l'avancée des principales initiatives de l'entreprise – redé-finition du modèle économique, pénétration de nouveaux secteurs, ou encore intégration verticale – les fonctions audit interne ali-gnées sur ces projets bâtiront un programme proactif qui leur permettra de disposer, à terme, des compétences nécessaires pour rester en phase avec de telles initiatives.

« Le principal défi n'est pas d'ordre technique mais comportemen-tal : il s'agit de trouver des auditeurs dotés d'une compréhension du business suffi-sante et capables d'adopter une approche globale pour interagir avec la direction et fixer un niveau de challenge adéquat et constructif. »

— Abdulrahman al Harthy, Directeur de l'audit interne, Oman Oil Group, Oman

Figure 8 : Domaines dans lesquels les DAI recourent ou envisagent de recourir à des compétences internes ou externes

*à l'exception du secteur des services financiers

29 %

48 %

52 %

67 %

64 %

69 %

77 %

71 %

52 %

48 %

33 %

36 %

31 %

23 %

En partie ou intégralement via des tiers En interne uniquement

Pourcentage d'entreprises interrogées qui possèdent ces compétences (en interne ou par l'intermédiaire de tiers)

Expertise informatique spéci�que

Ingénierie*

Con�dentialité des données

Six Sigma (ou autres concepts de Lean management)*

Continuité de l'activité

Chaîne logistique*

Analyse de données


Cela étant, les entreprises sont aujourd'hui plus nombreuses que jamais à se tourner vers des prestataires externes pour se doter des compétences techniques et de la compréhension du business manquantes, car cela leur permet de rester en phase avec les besoins de l'entreprise tout en maîtrisant et optimisant leur niveau d'effectif (Figure 8). Notre expérience montre que les fonctions audit interne continuent de privilégier la cotraitance – voire, lorsque cela se justifie, l'externalisation complète – pour diverses raisons, à commencer par le fait de pouvoir accéder à un véritable vivier de talents, de compétences techniques pointues et de capacités technologiques.

« Une fonction d'audit interne qui pense pouvoir "former à la compréhension du business" est vouée à l'échec. L'audit interne a besoin de personnes capables d'aller dans le détail pour se former de manière autonome, ce qui suppose pour commencer de faire preuve de curiosité intellectuelle. La curiosité intellectuelle est la clé. »

— Ninette Caruso, Directrice de l'audit interne,

Genworth Financial, États-Unis

Carnet de bord : lorsque la fonction audit interne adapte sa gestion des talents pour répondre aux besoins d'une entreprise en pleine mutation

Fondé en 2003, LinkedIn est aujourd'hui le plus grand réseau professionnel au monde. Il compte plus de 300 millions de membres dans quelque 200 pays et territoires à travers le globe.

Dans un environnement en forte croissance, le service d'audit interne de LinkedIn voit plus loin, et s'attache à repérer et recruter les compétences qui lui seront nécessaires pour créer de la valeur, à mesure que LinkedIn poursuit la mise en œuvre des stratégies qui doperont sa croissance. L'audit interne identifie ainsi les compétences qui lui font défaut aujourd'hui et prépare l'avenir, en se dotant en interne d'un éventail diversifié de compétences – allant de l'analyse des données et des systèmes d'information à l'excellence opérationnelle, en passant par l'IT forensics et la conformité.

Le responsable de l'audit interne de LinkedIn, Inder Gulati, a pris l'option de sortir des sentiers battus. Ainsi, il s'interroge globalement sur les compétences à mettre en œuvre, avec une approche « incubateur » et développe des pôles d'excellence au sein de l'audit interne qui, à mesure que l'activité mûrit, pourront devenir des fonctions opérationnelles indépendantes. À titre d'exemple, le panel de compétences développé par l'audit interne en matière d'excellence opérationnelle pourrait, à mesure que l'équipe gagne en maturité et que l'idée fait son chemin au sein de l'entreprise, devenir une fonction indépendante, avec une mission étendue à travers l'organisation. En ce sens, l'audit interne non seulement évolue au rythme des risques stratégiques de l'entreprise mais aussi bâtit de précieuses compétences sur lesquelles l'entreprise pourra s'appuyer à mesure que son activité mûrit et qu'elle poursuit sa croissance rapide.


Carnet de bord : lorsque la fonction audit interne adapte sa gestion des talents pour répondre aux besoins d'une entreprise en pleine mutation

Bertelsmann est un groupe de médias international basé en Allemagne, présent dans les secteurs de la télévision, de l'édition, de la presse, des services et de l'imprimerie. Dans un secteur en pleine mutation numérique, Bertelsmann a dû également évoluer : acquisitions, pénétration de nouveaux marchés ou encore transformation des processus sous-jacents. La fonction audit interne du Groupe est fortement impliquée dans les changements qui affectent le cœur de métier de Bertelsmann.

À mesure que son rôle stratégique s'étoffait, l'audit interne a étendu ses compétences et gagné en professionnalisme. Cela amène la fonction, au-delà de sa mission globale d'identification des risques, à recevoir davantage de demandes de la part des opérationnels. Le nom du service – Audit et Conseil Groupe – reflète cette extension de la mission de l'audit interne qui inclut désormais un focus sur l'innovation et la transformation de l'activité.

Composé de 23 personnes, le service couvre tous les domaines de l'activité. L'équipe, collectivement, possède 11 langues à son actif. Alors que 60 % des membres de l'équipe ont déjà travaillé dans de grands cabinets d'audit, les autres proviennent d'horizons variés, de l'informatique à l'économie en passant par le droit. Conscient de la nécessité d'évoluer au rythme du monde numérique, l'audit interne a même embauché un expert qui, même sans avoir un cursus académique spécifique, s'est spécialisé dans la sécurité de l'information. Conscient également que la transition digitale constitue le principal enjeu auquel est confronté Bertelsmann, le service a mis en place en interne des ateliers et des formations pour préparer les auditeurs au monde numérique et à ses implications pour l'activité.

Alors que les besoins ne cessent d'évoluer, le Vice-président exécutif et Contrôleur général Marc Wössner s'attache à développer les compétences de son équipe pour rester en phase avec les attentes de l'entreprise. Il mise, pour ce faire, sur la formation, les embauches et la cotraitance.

• Dans quelle mesure le plan d'ac-quisition et de développement des talents de l'audit interne est-il aligné sur l'orientation stra-tégique de l'entreprise ?

• Les capacités de l'audit interne ont-elles été évaluées ?

• Quelles sont les mesures prises par l'audit interne pour déve-lopper un éventail de compé-tences aligné sur les principaux risques de l'entreprise ?



N

Alignement avec l'ERM

Les entreprises dans lesquelles l'audit interne est créateur de forte valeur sont également celles où cette fonction est mieux alignée avec le programme de gestion des risques de l'entreprise : elle est ainsi bien alignée dans 87 % des cas, contre seulement 21 % dans les entreprises où la fonction d'audit est moins porteuse de valeur. Trois quarts des répondants à l'enquête indiquent que l'audit interne tient compte dans ses plans d'audit des résultats du processus ERM de l'entreprise. Près de la moitié d'entre eux déclarent auditer le processus ERM et un peu plus de 50 % sont membres du comité ERM (Figure 9). Cela étant, la majorité des personnes interrogées indiquent devoir en-core faire des progrès pour collaborer étroi-tement avec l'ERM et les autres fonctions de la deuxième ligne de défense.

La majorité des fonctions audit interne affirment être en phase dans leur plan avec l'ERM en ce qui concerne les risques majeurs pour l'entreprise, mais les entretiens menés dans le cadre de cette enquête mettent en lu-mière deux types de situations qui affectent l’alignement :

• L'audit interne cartographie les princi-paux risques qu'il a identifiés au regard de ceux repérés par l'ERM. Toutefois, le périmètre d'audit réel défini par l'audit interne pour un domaine donné n'est pas aligné sur les facteurs de risque pointés par l'ERM, d'où la possibilité pour l'audit de passer à côté des risques les plus sensibles.

• L'audit interne cantonne son plan et son champ d'action aux risques de l'entreprise qu'il est en mesure d'auditer, dans la limite

de ses compétences ou du temps dont il dispose.

Il serait ainsi souhaitable, afin d'optimiser la gestion des risques dans l'ensemble de l'entreprise, que l'audit interne, l'ERM, et les autres fonctions de la deuxième ligne de défense commencent par s'entendre sur un langage commun, avec un cadre, des procé-dures et des critères d'évaluation identiques applicables aux risques de l'entreprise.

Alignement sur la deuxième ligne de défense au-delà de l'ERM

De nombreuses entreprises, en particulier dans les secteurs non réglementés, n'ont pas encore de programme de gestion des risques complètement mature. Dans ces entreprises, de même que dans celles où la gestion des risques est plus aboutie, les fonctions de la deuxième ligne de défense peuvent fournir à l'audit interne des repères qui baliseront la voie jusqu'au « Vrai Nord ».

Les fonctions de la deuxième ligne de défense les plus avancées étendent leur champ d'action, de la définition de principes associée à un rôle de conseil, vers celui de garant de la mise en œuvre et de la valida-tion des principes déclinés. De plus en plus, ces fonctions exercent un suivi indépendant des principaux risques pour l'entreprise, généralement sous la forme de contrôles par sondage de la conformité et des risques opérationnels. De tels contrôles deviennent alors des éléments essentiels de l'écosystème global de gestion des risques de l'entreprise.

Une fois familiarisé avec le travail effectué par la deuxième ligne de défense, l'audit interne peut, en tant que troisième ligne de défense, capitaliser sur ce travail pour

Figure 9 : Implication de l'audit interne en matière d'ERM

Calculer sa position : alignement sur les risques et la stratégie

Lorsqu'elle trace la route vers le « Vrai Nord », l'équipe doit prendre des repères pour s'assurer de ne pas dévier de sa trajectoire. La fonction ERM ainsi que d'autres fonctions appartenant à la deuxième ligne de défense servent de repères clés à l'audit interne, en l'aidant à ne pas perdre de vue les principaux risques auxquels fait face l'entreprise.

En théorie, le processus de gestion des risques est relativement simple : il consiste à identifier les risques, à les évaluer et à les analyser, à assigner les responsabilités, à les gérer et à les suivre et à faire état des progrès obtenus. Toutes les entreprises suivent d'une façon ou d'une autre ces différentes étapes, mais la mise en œuvre du processus varie selon la dynamique du secteur, la démogra-phie de l'entreprise et son appétence plus ou moins prononcée pour le risque.

L'alignement du dispositif de gestion des risques, de la terminologie et du cadre applicable entre les trois différentes lignes de défense (à savoir premièrement les fonctions opérationnelles, deuxièmement l'ERM et les autres fonctions chargées du risque et de la conformité, et troisièmement l'audit interne) peut se révéler très utile3. Un tel alignement se traduit en effet par une meilleure gestion des risques et par une diminution de la pression exercée sur l'audit. Toutes les fonctions de gestion des risques gagnent ainsi en efficacité, et les informa-tions relatives aux risques sont présentées de façon plus claire et plus cohérente aux intéressés.

Pourcentage de personnes interrogées

L'audit interne est responsable de l'ERM25 %

L'audit interne audite le processus/dispositif ERM47 %

L'audit interne joue un rôle actif en tant que membre

du comité ERM57 %

L'audit interne aligne ses plans sur les résultats

du processus ERM de l'entreprise

75 %


éclairer le comité d'audit et la direction sur un éventail plus large de risques.

La répartition des responsabilités entre les deuxième et troisième lignes de défense peut varier d'une entreprise à l'autre. Toutefois, les organisations les plus perfor-mantes en matière de gestion des risques se caractérisent par un cadre commun, des at-tributions clairement définies et un partage des travaux et résultats propices à la mise en place d'un écosystème unique de gestion des

Carnet de bord : une fonction audit interne parfaitement en phase avec les autres lignes de défense

À l'instar de la plupart des grandes entreprises, le groupe pharmaceutique mondial Eli Lilly a mis en chantier de nombreuses initiatives. Face au durcissement de la réglementation et à l'accroissement de la concurrence avec le passage de brevets dans le domaine public, Eli Lilly intervient sur plusieurs fronts à la fois : création de nouveaux partenariats en R&D avec des tiers, réalisation d'acquisitions, accélération de la croissance sur les marchés émergents et contrôle rigoureux des coûts. De tels programmes entraînent un certain nombre de risques stratégiques, notamment en matière de protection de la propriété intellectuelle vis-à-vis des tiers avec lesquels il coopère désormais en matière de R&D. Dans cet environnement de risques en mutation, Eli Lilly peut compter sur la forte collaboration de ses différentes lignes de défense.

L'alignement des différentes lignes de défense est facilité par une structure de gouvernance composée de différents comités, dont l'un est chargé de la coordination entre la deuxième et la troisième ligne de défense. Ainsi, les responsables des divisions ERM, audit interne, qualité, santé et sécurité, et éthique et conformité se rencontrent à intervalles réguliers. L'une des missions essentielles de ce comité consiste à coordonner les plans d'audit et de contrôle entre les différents groupes, et à suivre et partager les résultats, le tout en cohérence avec les risques de l'entreprise. Chaque année, ce groupe passe en revue les risques identifiés et les cartographie au regard des différentes fonctions d'assurance afin de déterminer le niveau global de couverture des risques. Les plans d'audit sont élaborés à l'issue de cette analyse, afin d'assurer une meilleure couverture globale des risques et des plans d'audit ainsi qu'une utilisation plus rationnelle des ressources limitées existantes.

Depuis que cette approche de la gouvernance a été adoptée il y a de cela plusieurs années et que les lignes de défense parlent le même langage, le dialogue s'est amélioré, la prise en compte des risques s'est améliorée dans la construction du plan pluri-annuel d'audit interne et la gestion globale des risques est plus efficace.

• La répartition des rôles et des responsabilités entre la deuxième et la troisième ligne de défense est-elle clairement définie au sein de votre entreprise ?

• Existe-t-il au sein de votre entreprise un cadre commun de risques bien compris par l'en-semble des lignes de défense et des parties prenantes ?

• En tant que troisième ligne de défense, l'audit interne a-t-il évalué la deuxième ligne de défense ?

• Dans quelle mesure l'audit interne capitalise-t-il sur le travail des autres lignes de défense pour appuyer son processus d'évaluation des risques et éviter les doublons tout en renforçant le dispositif global de gestion des risques de l'entreprise ?



N

risques à cheval entre les différentes lignes de défense.Maîtriser les outils de navigation : capitaliser sur les données

La quantité et la disponibilité croissantes des données peuvent sensiblement aider l'audit interne à atteindre le « Vrai Nord » – à moins, comme cela peut arriver, qu'il ne dévie de sa trajectoire en raison d'informations surabon-dantes et mal utilisées. Aujourd'hui, l'univers numérique compte 2,7 zettaoctets de données. Par ailleurs, le volume du Big Data devrait être multiplié par 50 d'ici 20204. À mesure que les fonctions opérationnelles apprennent à maîtriser l'utilisation des don-nées structurées et non structurées, l'analyse de données éclaire la prise de décision dans

des données correspond plutôt à un changement d'état d'esprit permettant d'intégrer l'information dans le cycle de vie de l'audit – de l'évaluation des risques au reporting, en passant par la planification, le travail sur le terrain et le pilotage.

Les entretiens réalisés dans le cadre de notre étude montrent que la plupart, si ce n'est la totalité, des fonctions audit interne s'inter-rogent sur la façon d'exploiter au mieux les données pour être non seulement plus per-formantes, mais également nettement plus efficaces. La plupart d'entre elles essayent d'étendre l'utilisation des données, notam-ment à certains domaines comme la gestion des fraudes, les contrôles de conformité et l'analyse des données de risques (Figure 10). Néanmoins, la distance qui sépare actuel-lement l'audit interne de leur « Vrai Nord »

l'ensemble de l'entreprise, et ce, mieux qu'on ne pouvait l'imaginer jusque-là.

Pendant de nombreuses années, l'audit interne a limité l'exploitation des données aux seuls travaux d'analyse sur le terrain – une pratique couramment désignée par le terme de « techniques d'audit assistées par ordinateur ». Conséquence toutefois des progrès technologiques et de la simplicité d'utilisation croissante d'outils devenus abordables, l'audit interne peut, aujourd'hui plus que jamais, se définir une nouvelle orientation en la matière. L'objectif : capitaliser sur les données pour apporter un meilleur éclairage, améliorer l'efficacité des missions, avoir un meilleur pilotage des risques et contrôles et permettre à l'entreprise de mieux gérer les risques. Loin d'être une fin en soi, l'exploitation

« Ce n'est pas la quantité, mais la qualité des données qui fait la différence. »

— Carolyn Chin, Présidente du comité d'audit, State Farm Bank, États-Unis

Figure 10 : Utilisation de l'analyse de données par l'audit interne

33 %

32 %

35 %

24 %

18 %

28 %

31 %

23 %

48 %

42 %

41 %

34 %

24 %

38 %

27 %37 %

33 %

22 %

24 %20 %

Nous utilisons déjà l'analyse de données dans ce domaine Nous n'utilisons pas encore l'analyse de données dans ce domaine mais nous envisageons de le faire

Fraudes

Conformité des contrôles opérationnels

Analyse des risques

Analyse des fournisseurs

Analyse de la clientèle et des revenus y afférents

Analyse des pertes et pro�ts, de la tari�cation et de la rentabilité

Reporting sous forme de tableaux de bord

Tests Sarbanes-Oxley

Lutte contre le blanchiment de capitaux

Gestion du service client et de la relation client

20 %19 %Investissements et analyse commerciale

17 %8 %Gestion des campagnes publicitaires


s'explique par l'utilisation qui est faite des données. Si 82 % des DAI affirment capita-liser sur l'analyse de données pour certaines missions spécifiques, seuls 48 % d'entre eux l'utilisent pour cibler leurs audits, et 43 % pour réaliser leur analyse des risques. Bon nombre d'entre eux sont par conséquent convaincus qu'il leur reste un long chemin à parcourir.

Les fonctions audit interne qui évoluent au même rythme que leur entreprise sont plus avancées dans l'exploitation des données, qu'elles appliquent notamment plus large-ment tout au long du cycle de vie de l'audit. À titre d'exemple, l'identification des risques combine traditionnellement réunions de direction et utilisation limitée des données financières disponibles. Les fonctions audit interne qui ont mis le cap sur le « Vrai Nord » mettent à profit les données pour localiser précisément les risques au sein de l'entre-prise et, partant, déterminer sur quels as-pects elles doivent concentrer leurs efforts. Les données sont également mises à profit pour décider non seulement ce qui doit être audité, mais aussi si l'audit se justifie ou non. En fin de compte, pour être utilisées efficace-ment, les données doivent être corrélées aux informations sur l'entreprise et aux risques auxquels celle-ci est confrontée.

Les DAI estiment que l'acquisition de compé-tences dans ce domaine constitue un enjeu essentiel. Si 65 % d'entre eux indiquent avoir accès dans leur équipe – en interne ou par l’intermédiaire de prestataires – à des compétences en gestion de données,

l'enquête révèle que ces compétences et la compréhension du business vont rarement de pair. Les fonctions de taille et d'envergure suffisantes ont la capacité d'investir à la fois dans les ressources internes et externes, alors que bon nombre d'autres fonctions au-dit interne se tournent entièrement vers des prestataires extérieurs pour avoir accès plus rapidement aux compétences de traitement des données couplées à l'expertise opéra-tionnelle ou technique.

Le perfectionnement des outils permet un accès plus facile et plus intuitif aux données pour les utilisateurs, d'où une exploitation plus aisée desdites données. Parce qu'ils offrent une vision plus claire des risques, les outils de visualisation de données permettent aux fonctions audit interne d'assimiler l'information de façon différente et plus constructive, de sorte qu'elles puissent identifier et intégrer plus rapidement les tendances nouvelles.

Les fonctions qui ont encore un long chemin à parcourir pour ancrer l'analyse de données dans le cycle de vie de l'audit doivent, selon nous, surmonter différents obstacles, obte-nir des résultats rapides et donner un vrai coup d'accélérateur. À cette fin, bon nombre de fonctions audit interne commencent à mettre en œuvre des programmes pilotes en matière de données5. Ces pilotes servent de preuves de concept pour les parties pre-nantes comme pour les auditeurs internes. Ils offrent à ces derniers la possibilité de travailler et de se familiariser avec les données, et de faire preuve de créativité en réfléchissant à l'utilisation qu'ils peuvent en faire. Le partage des gains rapides avec les parties prenantes permettra d'accélérer la dynamique nécessaire pour une utilisation plus inventive des données.

« L'audit interne a travaillé avec la direction Achats pour développer l'analyse des don-nées à des fins de contrôle en continu. Il lui a fallu du temps – trois ans environ – pour obtenir le soutien des intéressés, les sensibiliser et obtenir leur adhésion, et créer une dynamique. Mais ces capacités d'analyse per-mettent désormais, avec un taux de succès de 90 %, de pointer les zones à problèmes, ce qui en fait un outil très efficace pour l'entreprise. »

— Michelle Stillman, Vice-présidente de l'audit interne, Hewlett-Packard, États-Unis

• L'audit interne a-t-il envisagé d'étendre l'utilisation des données à l'ensemble du cycle de vie de l'audit interne ?

• Les parties prenantes reconnaissent-elles l'importance de l'exploitation des données par l'audit interne ?

• L'audit interne dispose-t-il des outils appropriés pour s'appuyer sur les données et renforcer la pertinence de ses conclusions ?

• Quelles compétences doit acquérir l'audit interne pour tirer de la valeur de l'exploitation des données ?



Carnet de bord : lorsqu'une fonction audit interne s'appuie sur la puissance des données pour apporter des éclairages à l'entreprise

Un grand prestataire mondial de services financiers offre à ses clients à travers le monde – particuliers, institutionnels et entreprises – des services en gestion de patrimoine, gestion d'actifs et banque d'investissement. Il y a trois ans, la fonction audit interne de la banque a décidé d'investir dans l'utilisation de l'analyse de données. Conséquence du développement de cette expertise, la fonction s'est aujourd'hui imposée comme un agent du changement, dont l'avis est constamment sollicité par d'autres fonctions.

De nombreuses initiatives ont été conjointement lancées par l'audit interne d'autres fonctions pour mieux identifier et piloter les risques et permettre aux équipes de mieux gérer les risques et problèmes potentiels. Les réalisations comprennent par exemple la construction et la visualisation du profil de risque par compte client ou bien l'analyse de l'adéquation et de l'utilisation des produits. Les efforts conjoints ont notamment porté sur l'analyse d'un potentiel délit d'initié. L'entreprise et l'audit interne ont ainsi pu mettre à profit leur expertise respective pour analyser les transactions de conseillers financiers, dans certaines filiales, soupçonnés d'utiliser des informations privilégiées (communiqués avant publication par la banque) pour passer des ordres pour le compte de leurs clients ou de leurs proches.

Outre des formations avancées en matière de tableurs, les auditeurs s'appuient sur des logiciels de visualisation pour illustrer les résultats, problèmes et tendances trouvés au cours des missions d'audit. Les efforts de formation continue, de développement et de sensibilisation permettent aux auditeurs d'utiliser les outils analytiques au quotidien dans leur travail avec de meilleurs résultats et une plus grande efficacité.

La réussite de cette initiative est due pour une large part à l'implication du contrôleur général. Celui-ci, depuis son poste au sommet de la hiérarchie, a donné le ton et souligné l'importance de se mettre à l'analyse des données. Il a réussi à obtenir l'adhésion des dirigeants en s'appuyant sur les progiciels de visualisation pour leur montrer les nombreux risques ignorés par les opérations et les fonctions, et pour identifier des tendances et des corrélations qui n'avaient encore jamais été mises en évidence. Mettant à profit les résultats des présentations auprès de la direction et l'élan suscité par celles-ci, l'équipe du contrôleur général a travaillé en collaboration avec PwC pour développer et déployer une culture analytique. Résultat : des collaborateurs avides d'apprendre, qui non seulement sont à l'aise avec les données, mais qui maîtrisent également parfaitement leur utilisation. La banque a créé au sein de l'audit interne un modèle de compétences sur trois niveaux, qui lui permet de concilier connaissance approfondie des données et connaissance approfondie de l'activité. Ce modèle se subdivise ainsi : (1) les utilisateurs avancés, dotés de solides compétences analytiques ; (2) les champions de l'analyse de données pour chaque équipe d'audit opérationnel et technologique, et (3) les auditeurs qui, quoique moins qualifiés en la matière, sont de plus en plus à l'aise avec l'utilisation des outils analytiques et continuent de bénéficier de formations.

L’audit interne fait désormais équipe avec le reste de l’entreprise, à qui il apporte régulièrement des éclairages étayés par l'analyse de données, et prévoit un développement des liens de collaboration à l'avenir. Les relations entre l’audit interne et le reste de l’entreprise ont de ce fait été radicalement modifiées, et le renforcement de la collaboration a permis à la banque d'identifier de nouvelles zones de risque à gérer et à contrôler.


Cap sur le « Vrai Nord »

À l'instar des entreprises qui repensent entièrement leur activité, les fonctions audit interne les plus performantes évoluent également, en plaçant les risques auxquels est confrontée l'entreprise au premier plan de leur action.

Face à un environnement peu familier et à des changements constants, l'audit interne doit mettre le cap sur le « Vrai Nord » – qui correspond à l'idéal à atteindre pour continuer à apporter une contribution pertinente et précieuse à l'entreprise. Le « Vrai Nord » guide ainsi l'audit interne tout au long de son parcours pour lui permettre

d'atteindre sa destination. Vision définie conjointement par les DAI et les parties prenantes, il détermine la nature et la portée de la contribution fournie par l'audit interne. Il rejette le statu quo et incite l'audit interne à aller au-delà des objectifs et résultats traditionnels.

Une telle aventure est dès le départ presque toujours associée à un changement d'état d'esprit et, comme le montre notre étude, à la prise en compte des risques appropriés au moment opportun, au développement volontaire et proactif des talents, à l'alignement sur les autres lignes de défense, et à l'exploitation des données tout au long du cycle de vie de l'audit interne.

Chaque année, l'audit interne peut se rap-procher un peu plus de cet idéal et évoluer au même rythme que l'entreprise, mais pour véritablement définir une orientation, les meilleures fonctions audit interne élaborent un plan stratégique qui leur permettra de tracer la voie à suivre. En effet, en l'absence d'une orientation clairement définie, l'audit interne risque de passer à côté des objec-tifs plus vastes qui sont fixés à l'échelle de l'entreprise, ce qui peut nuire à sa capacité d'apporter une contribution efficace et proactive6.

« Il est important pour l'audit interne de se doter d'un plan stratégique en com-plément du plan d'audit – un plan centré sur ce dont a besoin l'audit interne pour continuer à évoluer, progresser et créer de la valeur pour l'entreprise. »

— Karla Munden, Vice-présidente, Directrice de l'audit interne, Lincoln Financial Group, États-Unis

Parties prenantes : L'audit interne a-t-il mis le cap sur le « Vrai Nord » ?• Attendez-vous maintenant plus qu'hier

que l'audit interne apporte plus de valeur ajoutée ?

• Donnez-vous à l'audit interne la possibilité de créer de la valeur pour l'entreprise ?

• Demandez-vous aux différentes lignes de défense de développer une vision commune des risques ?

• Les informations fournies par l'audit interne vous donnent-elles des éclairages à valeur ajoutée sur les risques métier ?

• Avez-vous une bonne vision du plan stratégique mis en place par l'audit interne pour rester en phase avec les évolutions de l'entreprise ?

Responsables de l'audit interne : Dans quelle direction pointe votre compas ?• Vous êtes-vous mis en position d'innover

et de faire évoluer votre fonction audit interne ?

• Votre fonction offre-t-elle un point de vue proactif sur l'environnement de risques en pleine mutation ?

• Faites-vous évoluer votre vivier de talents pour répondre aux risques les plus sensibles pour l'entreprise ?

• Êtes-vous proactif pour vous aligner avec la deuxième ligne de défense ?

• Utilisez-vous de manière extensive les données pour apporter des éclairages métier ?

• Avez-vous un plan stratégique pour rester en phase avec les évolutions de votre entreprise ?

N N


Notes1. Édition 2015 de l'étude annuelle mondiale de PwC auprès des dirigeants, 29 janvier 2015.

2. Voir l'enquête 2014 sur l'état de la profession audit interne pour plus d'informations sur les huit attributs fondamentaux de l'audit interne.

3. Pour plus d'informations sur l'optimisation de la gestion des risques d'entreprise, veuillez vous référer à l'enquête 2015 de PwC intitulée Risk in Review.

4. « Infographic: The Explosion of Big Data », sales-i, 16 octobre 2014, consultée le 26 janvier 2015.

5. Pour plus d'informations sur ce que peut faire l'audit interne pour favoriser l'utilisation de l'analyse de données dans les différentes facettes de son plan d'audit, veuillez vous référer à l'étude suivante : The Internal Audit Analytics Conundrum — Finding your path through data.

6. Pour plus d'informations sur l'élaboration d'un plan d'audit pour l'audit interne, veuillez vous référer à l'étude : Defining a path: Strategic planning for your internal audit function, avril 2015.


N

© 2015 PwC. Tous droits réservés. « PwC » fait référence au réseau d’entités juridiquement distinctes membres de PricewaterhouseCoopers International Limited (« PwCIL »). Pour plus d’informations, rendez-vous sur le site www.pwc.com/structure. Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers Advisory et/ou de l’une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d’une décision prise sur la base des informations contenues dans le présent document.

PwC développe en France et dans les pays francophones d'Afrique des missions d’audit, d’expertise comptable et de conseil créateurs de valeur pour ses clients, privilégiant des approches sectorielles. Plus de 184 000 personnes dans 157 pays à travers le réseau PwC partagent idées, expertises et perspectives innovantes au bénéfice de la qualité de service pour leurs clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 25 pays. Rendez-vous sur www.pwc.fr MW-15-1177

Pour avoir une discussion plus approfondie sur la façon dont ces thèmes pourraient affecter votre organisation, n’hésitez pas à nous contacter :

Jason Pett, Associé US Internal Audit Services Leader +1 410 659 3380 [email protected]

John Feely, Associé Global Internal Audit Services Leader +61 (2) 8266 7422 [email protected]

Jean-Pierre Hottin, Associé Risk Assurance and Advisory Services Responsable pour la France de l’activité Services à l’audit interne +33 (1) 56 57 82 63 [email protected]

Patrice Morot, Associé Responsable Risk Assurance and Advisory Services, France +33 (1) 56 57 81 68 [email protected]

www .pwc .com

Documents

Enquête 2015 sur l'état de la profession audit interne