L'audit interne ce n'est pas la conformité.

Elle vise à évaluer le risque de non-conformité et les conséquences dommageables inhérentes au non-respect de règles. Juste à partir de ces définitions on comprend que l’audit dans son déploiement intègre la conformité. Il est clair que dans son souci permanent de rassurer, de conseiller, de créer de la valeur ajoutée, d’évaluer et de proposer des améliorations, l’audit devra aller au-delà des procédures mises en place au sein de l’organisation ou des règlements imposés par les régulateurs ou les autorités administratives.

L’entreprise avec le temps mue et évolue au gré de sa croissance, de ses nouveaux objectifs, de son environnement tant sectoriel, qu’économique ou géopolitique, qui peut se densifier ou se complexifier. De ce fait, de nouveaux risques apparaissent forcément ou des risques ayant, il y a encore quelques temps encore, une faible occurrence ou un impact acceptable peuvent devenir majeurs et dépasser l’appétence que l’entreprise serait prête à supporter. Malheureusement, Les entreprises ne prennent pas toujours la mesure de ces changements, plus focalisés qu’elles sont sur le côté opérationnel de leur activité et son développement que sur le contrôle de celle-ci. Aussi n’anticipent-t-elles pas toujours correctement les risques pouvant survenir. Le régulateur et l’administration quant à eux interviennent généralement après coup, après qu’une activité ait déjà pris corps afin de la réguler.
Par ailleurs, la conformité a ses propres travers. Elle peut souffrir du manque de transparence ou de visibilité quand le dispositif de remonté des risques potentiels ne fonctionne pas correctement. Ceci peut entrainer une détection tardive des problèmes, qui induira forcément des retards dans les solutions à y apporter. On peut aussi observer l’inaptitude à appréhender correctement les risques encourus avec comme résultat des solutions inappropriées. Autre tendance susceptible de miner la conformité, sa dépendance à ses manuels écrits, procédures et règlements. S’ils ne sont pas régulièrement actualisés comme c’est souvent cas on constatera une absence de réactivité ou d’anticipation des risques.

 

Cet état de chose doit pousser l’audit à être avant-gardiste. Dans le cadre de ces travaux Il doit aller au-delà des procédures ou des règlements existants. Dans Son livre « Audit et contrôle interne » de 2017, Benoit Pigé prend une illustration sur un ton quelque peu ironique certes, mais qui a du sens. Il dit : « Il est fréquent de considérer que l’audit permet de s’assurer de la conformité d’une situation, d’un processus, d’une entreprise à l’image qui en est donnée. Un peu comme s’il était nécessaire de vérifier qu’une image photo est conforme à la scène photographiée. Les normes d’audit s’attachent aux conditions de représentation de l‘image. » Oui ! Il faut bien aller au-delà l’image photo.
Ceci requiert que l’audit soit suffisamment méthodique dans son approche par les risques afin de pouvoir déceler des risques potentiels ou avérés qui pourraient mettre à mal les objectifs de l’entreprise, ou affecter sa performance. Certes une cartographie des risques peut avoir déjà été mise en place, mais encore faut-il qu’elle soit à jour. L’exercice consiste donc ici à inventorier de nouveaux risques ou ceux existant, mais dont l’occurrence ou l’impact auraient varié. Plusieurs facteurs peuvent vous alerter dans ce dernier cas : un changement de direction ou des acteurs du processus, de nouveaux objectifs, le développement d’un nouveau produit, des modifications dans la conduite du processus en lui-même, une évolution du système d’information touchant au domaine audité, etc.
Pour ce faire, l’audit a quelques méthodes qui ont fait leurs preuves :

- Pratiquez des séances de  brainstorming, un remue-méninge collectif qui vise la production d’idées créatives. Conviez chaque membre de l’équipe à s’exprimer. Ils peuvent être au fait de certaines choses sur le sujet audité. Alors encouragez-les à se lâcher, quitte à imaginer des scénarios de risques dignes de la science-fiction. Dégagez un maximum de risques plausibles. Après mettez-y de l’ordre et priorisez. Le résultat est parfois impressionnant.

- Soyez un bon observateur.  Observez le fonctionnement de l’entité auditée ou le déroulement du processus contrôlé. Prenez quelques heures à vous immerger dans l’entité, regardez comment travaillent les collègues, observez l’enchainement des tâches, posez des questions pour mieux comprendre. Rassurez-vous, ce n’est pas du temps perdu. En plus d’en sortir édifiés, vous pourriez tomber sur des choses inhabituelles.

 

- Causez.  les entretiens, les entrevues ou de banals échanges sont une mine d’informations. Alors laissez parler les audités, écoutez les, ne les coupez surtout pas, sauf bien sûr pour recadrage des débats ou contraintes horaires quand le cadre se veut formel. Leurs dires pourront  vous faire appréhender d’autres risques et servir de piste à vos travaux. Il faudra tout de même distinguer les faits des opinions personnelles, et ne pas tout prendre pour parole d’évangile.

- Cultivez-vous. Et pour cela faites des recherches et lisez. Vous avez un processus à auditer ? Et bien lisez des ouvrages sur le sujet, cherchez à savoir comment ça se passe ailleurs, Interrogez les confrères. Aujourd’hui quelques clics sur internet donnent accès à une pile d’informations sur tous les sujets. Alors profitez-en. Vous pourriez alors voire le processus audité sous un autre angle, angle qui pourrait aider à identifier des risques non encore répertoriés par votre organisation.

Bon arrêtons-nous ici, question de laisser le soin à chaque vaillant auditeur de trouver d’autres méthodes créatives dans son environnement avec l’objectif d’aller au-delà de la conformité.