L'audit interne ce n'est pas la conformité.
Par Aser EKOH
L'audit interne ce n'est pas la conformité. Ceci, juste pour dire que l’audit c’est… plus que la conformité. Un de mes Directeurs me le rappelait régulièrement lors de sa revue de mes travaux. Et c’est un piège dans lequel tombe souvent l’audit : S’arrêter aux aspects conformité des processus audités. A l’époque, il faut l’avouer, je ne cernais pas clairement son propos. Peut-être est-ce le cas pour vous aussi. Alors développons.
Commençons par rappeler leurs définitions respectives. Selon l’IIA, l’audit est « une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée ». Et la dernière partie qui fixe son but et sa méthode : « Il aide cette organisation à atteindre ses objectifs en évaluant par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour renforcer leur efficacité ». La conformité, quant à elle, est une fonction indépendante au sein de l’organisation, axée sur l’examen et l’amélioration du respect par l’établissement de ses règles et procédures internes, des dispositions législatives et règlementaires, des normes et usages professionnels et déontologiques propres à son secteur d’activité.
Par ailleurs, la conformité a ses propres travers. Elle peut souffrir du manque de transparence ou de visibilité quand le dispositif de remonté des risques potentiels ne fonctionne pas correctement. Ceci peut entrainer une détection tardive des problèmes, qui induira forcément des retards dans les solutions à y apporter. On peut aussi observer l’inaptitude à appréhender correctement les risques encourus avec comme résultat des solutions inappropriées. Autre tendance susceptible de miner la conformité, sa dépendance à ses manuels écrits, procédures et règlements. S’ils ne sont pas régulièrement actualisés comme c’est souvent cas on constatera une absence de réactivité ou d’anticipation des risques.
Ceci requiert que l’audit soit suffisamment méthodique dans son approche par les risques afin de pouvoir déceler des risques potentiels ou avérés qui pourraient mettre à mal les objectifs de l’entreprise, ou affecter sa performance. Certes une cartographie des risques peut avoir déjà été mise en place, mais encore faut-il qu’elle soit à jour. L’exercice consiste donc ici à inventorier de nouveaux risques ou ceux existant, mais dont l’occurrence ou l’impact auraient varié. Plusieurs facteurs peuvent vous alerter dans ce dernier cas : un changement de direction ou des acteurs du processus, de nouveaux objectifs, le développement d’un nouveau produit, des modifications dans la conduite du processus en lui-même, une évolution du système d’information touchant au domaine audité, etc.
Pour ce faire, l’audit a quelques méthodes qui ont fait leurs preuves :
- Soyez un bon observateur. Observez le fonctionnement de l’entité auditée ou le déroulement du processus contrôlé. Prenez quelques heures à vous immerger dans l’entité, regardez comment travaillent les collègues, observez l’enchainement des tâches, posez des questions pour mieux comprendre. Rassurez-vous, ce n’est pas du temps perdu. En plus d’en sortir édifiés, vous pourriez tomber sur des choses inhabituelles.
- Cultivez-vous. Et pour cela faites des recherches et lisez. Vous avez un processus à auditer ? Et bien lisez des ouvrages sur le sujet, cherchez à savoir comment ça se passe ailleurs, Interrogez les confrères. Aujourd’hui quelques clics sur internet donnent accès à une pile d’informations sur tous les sujets. Alors profitez-en. Vous pourriez alors voire le processus audité sous un autre angle, angle qui pourrait aider à identifier des risques non encore répertoriés par votre organisation.
Commentaires
-
- 1. gfotso Le 08/03/2020
Très bel article de Aser!
Vous devez être connecté pour poster un commentaire