Professional Documents
Culture Documents
L’AUDIT INTERNE
EN FRANCE ET
DANS LE MONDE
Points de repères et tendances du CBOK
(Common Body Of Knowledge)
REMERCIEMENTS
L’IFACI tient tout particulièrement à remercier les professionnels qui ont analysé les résultats de
l’enquête et rédigé cette synthèse :
ISBN : 978-2-915042-19-1
1.1. Contexte des travaux : une enquête mondiale lancée fin 2006 ............................................................. 4
1.1.1. Objectifs de l’enquête de l’IIA.................................................................................................................. 5
1.1.2. Structure des résultats et principaux livrables ........................................................................................... 6
L’enquête réalisée par l’IIA en novembre 2006 a été relayée par les instituts
affiliés.
Des questionnaires spécifiques ont été adressés à trois catégories de
professionnels :
2. les responsables d’audit interne. Outre les points traités par les auditeurs
internes, les responsables d’audit interne ont répondu à des questions
3. les instituts affiliés à l’IIA, tels que l’IFACI, ont fourni des éléments sur
leur organisation, l’environnement réglementaire de l’audit interne,
l’utilisation du code de déontologie et des normes professionnelles dans
leur pays.
Cette enquête se distingue des précédentes par le nombre de pays concernés (91) et
le nombre de répondants (9 366 questionnaires d’auditeurs internes et de
responsables d’audit interne ont été exploités au niveau mondial).
L’analyse effectuée par l’IIA peut être résumée selon les axes suivants :
• la structure des services d’audit interne ;
• les activités de l’audit interne ;
• les connaissances et les compétences des auditeurs internes ;
• les normes professionnelles ;
• l’impact de l’environnement réglementaire des différents pays ;
• les enjeux du futur.
Certaines questions nous ont paru mal appréciées par les répondants en raison de
problèmes de traduction et nous les avons exclues de cette analyse.
L’enquête permet de confirmer la pertinence des principes développés dans la L'Audit interne est une
définition de l’audit interne proposée par l’IIA/l’IFACI. Elle précise également les activité indépendante et
objective qui donne à une
caractéristiques des services d’audit interne, le profil des auditeurs et les tendances organisation une assurance
prévues à court terme. sur le degré de maîtrise de
ses opérations, lui apporte
ses conseils pour les
Positionnement adéquat et relations étroites avec les acteurs clés de la améliorer, et contribue à
créer de la valeur ajoutée.
gouvernance Il aide cette organisation à
atteindre ses objectifs en
évaluant, par une approche
La quasi-unanimité (92%) des répondants partagent le fait que l’indépendance est systématique et méthodique,
ses processus de
un facteur clé pour que l’audit interne apporte une réelle valeur ajoutée.
management des risques, de
contrôle, et de
gouvernement d'entreprise,
Cette indépendance est notamment formalisée dans une charte d’audit interne
et en faisant des
chez 83% des répondants en France (72% au niveau mondial). propositions pour renforcer
leur efficacité.
L’audit interne est confirmé dans son rôle de partenaire clé du Directeur Général
et du Comité d’Audit. En effet, trois quart des répondants sont d’accord ou tout à
fait d’accord avec l’affirmation selon laquelle « la fonction d’audit interne fait
partie intégrante du processus de gouvernement d’entreprise en fournissant des
informations fiables à la direction générale ». Ce rôle est facilité par l’existence
d’organes de gouvernance. Ainsi l’existence d’un Comité d’Audit est citée par
80% des répondants. Cette pratique est aussi répandue au niveau mondial (73%).
Les responsables d’audit interne estiment à 78% qu’ils ont un accès approprié au
Comité d’Audit (92% au niveau IIA, 94% aux USA). Cette relation passe par la
participation aux réunions planifiées du Comité d’Audit et par les rencontres
Les services d’audit interne (SAI) sont plutôt récents puisque 55% des répondants
appartiennent à des services qui ont moins de 10 ans d’existence. Cette moyenne
recouvre des différences selon les secteurs d’activités (39% des répondants du
secteur bancaire sont dans des services d’audit interne de moins de 10 ans alors que
ce pourcentage est de 87% pour les industries de la transformation).
Le caractère récent des services d’audit interne est également constaté au niveau
international. Néanmoins, la proportion de service d’audit interne ayant plus de
vingt ans d’expérience est plus importante ailleurs (28% à l’IIA, 37% aux USA,
13% en France).
L’expérience moyenne en audit interne est de quatre ans et demi. Environ 50%
des effectifs interrogés ont moins de trois ans d’ancienneté en audit interne. Les
auditeurs ayant 6 ans d’expérience et plus représentent 20% des répondants.
Le turn over est moins élevé au niveau de l’IIA. On constate une expérience
moyenne en audit interne égale à 6 années. Cette tendance se retrouve également
chez les Responsables d’Audit Interne. En effet, au niveau de l’IIA, 19% des
Responsables d’Audit Interne ont plus de 10 ans d’ancienneté en audit interne. Ce
taux est de 3% en France.
Compte tenu du turn-over des auditeurs internes, les responsables d’audit interne
sont confrontés à des vacances de poste. Dans ce cas, ils choisissent de réduire leur
périmètre d’intervention (46%). Le recours à des prestataires externes n’apparaît
qu’en deuxième position (à 39%).
En termes d’effectifs, un tiers des répondants sont dans des services d’audit
interne de moins de cinq auditeurs. Ils sont 55% à appartenir à un service d’audit
interne de moins de dix auditeurs et 18% dans des services d’audit interne de plus
de quarante auditeurs.
Ces moyennes recouvrent des différences sectorielles qui sont encore plus nettes
dans l’analyse du ratio du nombre d’auditeurs rapporté à l’effectif de
l’organisation.
La composante risque est mieux représentée en France où elle est citée par 77% des
répondants au lieu de 67% à l’international.
Par rapport à la définition de l’IIA qui indique que l’audit interne évalue les
processus de management des risques, de contrôle, et de gouvernement
d’entreprise, les résultats montrent que le rôle actuel de l’audit interne est
relativement en retrait sur les questions de Corporate gouvernance (en France, 44%
des répondants citent ce domaine d’intervention par rapport à 52%au niveau
mondial).
Ces trois domaines sont cités par toutes les catégories de fonction. En outre, les
responsables d’audit interne sont plus attentifs aux problématiques transverses
comme le management de projet, l’alignement stratégique ou les fusions. Il est vrai
que ces domaines donnent plutôt lieu à des missions de conseil dont les enjeux sont
plus perceptibles pour les responsables d’audit interne.
Les résultats de l’enquête montrent bien que d’autres acteurs sont concernés par
l’évaluation des risques. Dans certains domaines, les services d’audit interne ont
une participation minoritaire. Ainsi les missions d’audit de la sécurité sont réalisées
à 37% par des services d’audit interne, le taux d’implication des services d’audit
interne est de 25% pour les missions « Hygiène, Sécurité, Environnement ».
L’audit interne est très concerné par les aspects relatifs aux systèmes
d’information, puisque :
• l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit interne et de 30% par d’autres
directions ;
• l’évaluation de la Direction des systèmes et technologies de l’information
est effectuée par le service d’audit interne pour 46% des répondants.
Cette implication dans le domaine des systèmes d'information nécessite des
compétences spécifiques.
Outre les compétences des auditeurs internes, l’enquête met en exergue des
qualités spécifiques attendues de la part des responsables d’audit interne telles
que :
• La capacité à promouvoir la fonction d’audit interne (citée par 75% des
répondants comme une compétence principale des responsables d’audit
interne). Elle passe notamment par le sens de la négociation (72%) et des
compétences en communication (62%) ;
• L’aptitude au leadership (62%) et à l’organisation (46%) ;
• La proactivité (se tenir à jour des changements professionnels : opinions,
normes, réglementations) est citée par 42% des répondants comme étant
une compétence nécessaire pour les responsables d’audit interne.
Pour assumer leur rôle et répondre aux principales attentes de l’organisation, les
auditeurs internes se fondent sur leur professionnalisme avec notamment une
approche par les risques qui se généralise.
Pour les services d’audit interne récents, développer un tel programme fait partie
des éléments structurants qui permettent de renforcer leur crédibilité et leur
autorité.
En synthèse…
L’audit interne est une profession qui a su s’adapter aux besoins actuels des
organisations pour une meilleure maîtrise des risques.
Son rôle de partenaire clé des dirigeants n’est plus à démontrer. Les méthodes et
les différents outils développés dans les services d’audit interne permettent de
répondre aux attentes des organisations.
Une implication beaucoup plus grande de l’audit interne se dessine dans les
domaines suivants :
• la gestion de projet ;
• le benchmarking ;
• l’alignement stratégique et la mesure de la performance ;
Les services d’audit interne ont également mis en place un certain nombre de
documents (cf. § 1.4.4.5. sur les outils et méthodes, p.71). Ainsi, 80% des
responsables d’audit interne indiquent l’existence d’une lettre de mission de la
fonction audit interne.
L’analyse détaillée réalisée par l’IIA démontre des niveaux d’implication différents
du Comité d’Audit et du Conseil.
Ces résultats reflètent les différentes responsabilités attribuées au Comité d’Audit
selon les pays. Bien au-delà de la question de la nomination du responsable de
l’audit interne, la transposition de la 8ème directive européenne concernant les
contrôles légaux des comptes annuels et les comptes consolidés (2006/43/CE)
contribuera à la clarification des relations audit interne/ comité d’audit.
Outre les écarts constatés entre groupe de pays, le schéma ci-après révèle
également des niveaux d’intervention différents selon le secteur d’activité
notamment en ce qui concerne le rôle du Directeur Financier.
Président DG
Comité d'Audit/Président Directeur Financier
Personne rattachée au DF
100
90
80
70
60
50
40
30
20
10
Les relations entre l’audit interne et le Comité d’Audit se matérialisent pas des
rencontres formelles et informelles. En effet, l’audit interne est un acteur clé de la
gouvernance d’où la nécessité d’une interaction régulière avec le Comité d’Audit.
Le responsable d’audit interne doit régulièrement rendre compte de son activité et
donner au Comité d’Audit toutes les informations nécessaires sur les processus de
gouvernement d’entreprise, de management des risques et de contrôle mis en
œuvre dans l’organisation.
France IIA
Nombre de
responsable d’audit OUI OUI
interne ayant répondu (%) (%)
à la question
Votre organisation dispose-
t-elle d’un Comité 69 80% 73%
d’Audit ?
Au-delà des réunions
prévues régulièrement, le
responsable d’audit interne 56 41% 63%
rencontre t-il le Comité
d’Audit ou son Président?
Le responsable d’audit
interne estime-t-il avoir
54 78% 91%
suffisamment accès au
Comité d’Audit ?
En France, 78% des responsables d’audit interne estiment qu’ils ont un accès
approprié à au Comité d’Audit. Ils sont 91% à partager ce constat au niveau de
l’IIA et 94% aux USA.
L’audit interne est une fonction qui se développe au sein des organisations. Pour
assumer des responsabilités qui s’étendent sur un large périmètre d’intervention,
l’audit interne s’appuie sur ses propres effectifs et d’autres ressources internes ou
externes à l’organisation.
Ancienneté
>20 ans
IIA
16-20 ans
France
11-15 ans
6-10 ans
0-5 ans
Ainsi, plus de la moitié des services d’audit interne représentés (55%) ont moins de Si en France, 13% des
répondants exercent dans des
dix ans d’existence, 24% ont moins de 5 ans. services qui ont plus de 20
La proportion de services d’audit interne de moins de dix ans est sensiblement la ans d’ancienneté, cette
catégorie représente 28% au
même au niveau de l’IIA (49%). niveau de l’IIA et 37% aux
USA.
C’est dans le secteur bancaire qu’on retrouve les services d’audit interne les plus
anciens : 25% des services d’audit interne de ce secteur ont plus de 25 ans alors
qu’il y a 7% des auditeurs de secteurs industriels tels que la chimie/ pharmacie ou
la transformation qui exercent dans des services aussi anciens. A contrario, c’est
dans ces secteurs que le caractère récent de la fonction est encore plus marqué
(87% des Services d’Audit Interne de la transformation ont moins de 10 ans, 60%
du secteur chimie/pharmacie).
Ces écarts ne sont pas simplement dus à des différences entre secteur financier et
secteur industriel. En effet, il y a également une différence entre la banque et
l’assurance puisque seulement 3% des services d’audit interne de l’assurance ont
plus de 25 ans d’ancienneté. L’ancienneté des recommandations des instances de
régulation bancaires en matière de contrôle interne explique les spécificités de ce
domaine d’activité.
Années Cotée Non cotée Secteur public Organisations à but non lucratif Effectif total
0-5 19% 28% 25% 24% 24%
6-10 34% 23% 25% 47% 31%
11-25 38% 37% 25% 29% 36%
>25 9% 12% 25% 0% 9%
On note une plus grande proportion de services d’audit interne de moins de 5 ans
d’ancienneté dans les entreprises non cotées (28%) au lieu de 19% pour les sociétés
cotées. Cette tendance s’inverse lorsque l’on remonte sur la tranche des 6 à 10 ans
d’ancienneté.
La création de services d’audit interne dans les organisations à but non lucratif est
clairement un phénomène récent (71% des services d’audit interne de ce secteur
ont moins de 10 ans).
Comme dans le secteur bancaire, 25% des services d’audit interne du secteur
public ont plus de 25 ans. Il convient de rappeler une évolution du type d’activités
depuis 25 ans, les services étaient essentiellement orientés « inspection » ;
désormais il s’agit d’évaluer la cohérence et la robustesse des dispositifs de
maîtrise des activités. Le rôle de l’audit interne évolue également dans le secteur
public notamment avec l’importance donné au renforcement du contrôle interne
dans le cadre de la LOLF (Loi Organique des Lois de Finances).
Le passage à l’audit interne est souvent présenté comme un tremplin pour des
cadres à hauts potentiels. Cette hypothèse est confirmée par le fait que :
• 50 % des personnes interrogées ont moins de 3 ans d’ancienneté en audit
interne,
• 20% des effectifs ont un an d’ancienneté.
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
< 1 an 1 an 2 ans 3 ans 4 ans 5 ans 6 ans 7 ans 8 ans 9 ans 10 ans
et plus
En France, l’ancienneté moyenne en audit interne est de 4.5 ans ce qui est inférieur
à la moyenne constatée au niveau international (6.1 ans).
Les responsables d’audit interne sont souvent récemment nommés. En effet, 63%
ont moins de 3ans d’ancienneté et 3% ont plus de 10 ans d’ancienneté.
L’effectif du service d’audit interne a été renseigné par 82% des personnes
interrogées. Pour notre analyse, nous n’avons retenu que les effectifs à temps plein
(ETP).
25%
20%
15%
10%
5%
0%
1 2à 4 5à 9 10 à 19 20 à 39 40 à 100 > 100
La taille moyenne des services d’audit interne représentés dans l’enquête est de
27,7 ETP. Cette moyenne recoupe des cas de figure très variés avec aux extrêmes
8% des services d’audit interne qui ont un auditeur interne unique et la même
proportion de services d’audit interne de plus de 100 auditeurs internes. Entre ces
zones limites, notons que 54% des services d’audit interne ont moins de 10
auditeurs internes. Ce pourcentage est exactement le même au niveau de l’IIA. Il
est inférieur aux 74% constatés dans l’enquête IFACI 2005.
Ainsi, aucun service d’audit interne des secteurs « industrie commerce » n’atteint
le seuil de un auditeur interne pour 100 employés alors que 15% des banquiers et
Moins d’un tiers des
10% des assureurs indiquent que leur service d’audit interne dépasse ce seuil. responsables d’audit interne
La moitié des répondants des secteurs « commerce, transformation » ont un ratio ont répondu aux questions sur
les incitations spéciales pour
inférieur à 0,5 pour mille.
le recrutement des auditeurs
Ces écarts sont liés aux différences démographiques intrinsèques à chaque secteur internes ainsi que sur les
d’activité mais également à l’environnement réglementaire dans lesquels les méthodes pour remédier à la
vacance de poste ou à des
services d’audit interne évoluent. En effet, le fonctionnement des services d’audit
lacunes de compétences ; par
interne du secteur bancaire font l’objet d’une surveillance particulière de la part des conséquent, les tendances
régulateurs. mises en exergue ne sont
qu’indicatives et ne peuvent
être extrapolées à l’ensemble
Peu d’incitations financières sont proposées pour le recrutement des auditeurs des entités.
internes. Les mesures les plus courantes sont la mise à disposition d’un véhicule de
service, les indemnités de transport ou encore l’accélération des augmentations de
salaire.
Ensem ble
Logiciel d'audit
Transport
Logistique
Technologie
Pas de lacunes de
com pétences
Telecom
Co sourcing interne à
Pharm acie l'organisation
Services publics
Réduction périm ètre
Banque
Sous traitance
Assurance
0 20 40 60 80 100
Notons que la composante gestion des risques est mieux représentée en France,
surtout lorsqu’on tient compte des réponses des responsables d’audit interne (ils
sont 82% à considérer que leur service peut jouer un rôle dans le processus de
management des risques).
Dans l’enquête de 2005, le rôle de l’audit interne dans la gestion des risques
apparaissait moins nettement : 60% des Responsables d’Audit Interne
mentionnaient un rôle principal ou secondaire dans l’identification des risques, ce
taux était de 53% pour leur évaluation et 55% pour la hiérarchisation des risques.
Les domaines les moins
Pour en revenir à la définition IIA/IFACI, il n’est pas étonnant de retrouver en tête cités dans l’enquête du
CBOK concernent la
de liste, le management des risques et des activités de contrôle. La formation (47%) mondialisation, les marchés
concerne les sessions conçues ou animées par l’audit interne sur le risque, le émergents, l’environnement
et la gestion de crise. Sur ces
contrôle interne ; elles complètent donc le rôle de l’audit interne dans l’évaluation points, il n’y a pas d’écarts
de ces processus. significatifs entre les
réponses en France et les
données mondiales.
Les responsables d’audit interne sont plus attentifs aux problématiques transverses. Au-delà du rôle actuel de
l’audit interne, le CBOK
Ces domaines doivent donner lieu à des activités qui ne sont pas forcément donne une vision du
formalisées dans le plan d’audit interne. Elles peuvent prendre la forme de périmètre de leur fonction tel
que envisagé par les
missions de conseil plus perceptibles par les responsables de l’audit interne. répondants dans les trois
années à venir. Ces résultats
sont analysés dans la partie
sur les enjeux d’aujourd’hui
1.4.2.5. Types d’activités réalisées par les services d’audit et de demain (cf. p87).
interne
L’audit interne n’est pas le seul intervenant pour l’évaluation des dispositifs de
contrôle et l’amélioration de la gestion des risques. D’autres services de
l’organisation sont impliqués. Le CBOK éclaire le niveau de réalisation d’une
trentaine d’activités par l’audit interne.
Fusions/ Acquisitions
Relation stragie/performance de l'entreprise
Evaluation de la viabilité
Assistance aux auditeurs externes
Audit Qualité (ISO)
Evaluation de l'audit interne
santé, sécurité, environnement
Gestion de projet
Audits développement durable
Gestion des ressources et contrôles
Projets spécifiques
Formation technique des auditeurs
Sécurité
Conformité aux règles de protection de confidentialité (Privacy)
IIA
Evaluation des risques liés à l'information
Evaluation de la DSI France
Audits liés à l'éthique
Management des risques (ERM)
Conformité aux exigences de Cordporate Governance
Audit financier
Mise en œuvre et surveillance du dispositif de contrôle
Revue/audit de l'efficacité du management
Enquêtes sur la fraude et les irrégularités
Audit interne
Audits opérationnels
Tests, évaluation du contrôle interne
Activités administrative (plan d'audit, répartition des tâches)
Le service d’audit interne arrive très largement en tête sur les tâches suivantes :
L’externalisation reste une
Les tests et l’évaluation du contrôle interne sont réalisés à hauteur de 82%
pratique marginale.
(71% au niveau IIA) par le service d’audit interne ; au-delà du rôle primordial L’activité d’audit interne est
réalisée à hauteur de 80%
de l’audit interne qui consiste à évaluer les dispositifs de contrôle, la Loi de
(86% au niveau IIA) par la
Sécurité Financière en France et le Sarbanes-Oxley Act aux Etats-Unis ne sont direction de l’audit interne.
Sur les 20% restant, 6% ont
sans doute pas étrangers à ce ratio. Avec la création d’autres fonctions du
totalement externalisé
contrôle interne, le rôle de l’audit interne sur cette thématique devrait évoluer l’activité, 3% l’ont sous-
traitée.
dans le futur au moins en ce qui concerne la nature et le nombre de tests
76% des répondants sous-
réalisés. traitent moins de 10% de
leur activité. Les sujets qui
Les audits opérationnels sont effectués à hauteur de 81% (79% pour les sont le plus sous-traités
résultats globaux) par les services d’audit interne. portent sur la formation des
auditeurs et l’audit financier
(41%).
Le service d’audit interne est également très présent sur les aspects d’investigation
de fraudes et d’irrégularités (63%). Ce ratio ne signifie pas que l’audit interne y
Les trois autres sujets qui incombent majoritairement à l’audit interne sont :
l’audit d’efficacité du management: 56% ;
l’audit financier : 55% ;
la surveillance et la mise en œuvre du dispositif de contrôle : 55%.
Les chiffres internationaux sont proches de ceux de la France. L’écart le plus
important concerne l’audit d’efficacité du management qui est cité par 49% des
répondants au niveau de l’IIA.
Par contre, l’écart IIA /France est plus important en ce qui concerne le processus
de management des risques. En France, cette activité concerne à hauteur de 50%
le service d’audit interne tandis que ce taux est de 38% au niveau de l’IIA.
L’enquête ne permet pas de déterminer si l’audit interne assure la conception et la
mise en place du processus de management des risques dans l’organisation, voire
sa gestion, ou l’évaluation du processus qui correspond au rôle fondamental que
doit avoir l’audit interne en la matière.
Lorsque la conception ou la gestion du processus est confiée à l’audit interne, il est
fortement recommandé d’expliciter ces missions dans la Charte de l’audit. Afin de
préserver l’objectivité, les missions d’évaluation du processus doivent être confiées
à des personnes qui n’ont pas eu la responsabilité de sa mise en œuvre.
Quant aux aspects relatifs aux systèmes d’information, l’audit interne se positionne
bien, ce qui appelle les compétences nécessaires, puisque :
l’évaluation des risques liés aux systèmes d’information est réalisée à
hauteur de 44% par le service d’audit et 30% par d’autres directions ;
l’évaluation de la Direction des systèmes et technologies de l’information
est également effectuée par l’audit (46%).
Ces résultats montrent que, sur des sujets requérant des compétences ou des
connaissances pointues comme la sécurité ou les questions HSE, d’autres fonctions
sont prioritairement sollicitées. Même si la Norme 1210 précise que l’audit interne
doit posséder les connaissances, le savoir-faire et les autres compétences
nécessaires à l’exercice de ses responsabilités, il est également admis, dans la
Modalité Pratique d’Application 1210.A1, que le responsable de l’audit interne
puisse recourir à des prestataires de service extérieurs à sa direction d’audit sur des
disciplines impliquant un savoir-faire et des connaissances particuliers, telles que
les spécialistes de l’environnement, les experts en sécurité… Dans ce cas, il doit
évaluer la compétence, l’indépendance et la qualité de la prestation afin d’apprécier
dans quelle mesure il peut s’appuyer sur les résultats de ce prestataire.
L’enquête ne dit pas si les activités qui sont confiées à d’autres directions le sont
sous la supervision du service d’audit interne ou si elles correspondent à des
missions confiées structurellement à ces directions. Quoiqu’il en soit, le
responsable d’audit interne doit s’assurer que les risques majeurs de l’organisation
sont traités.
63% des répondants indiquent que la fonction d’audit interne met plus l’accent sur
les activités d’assurance par rapport aux activités de conseil. Ce ratio est
légèrement inférieur à celui de l’enquête IFACI 2005 (73%). Parmi les activités
L’enquête CBOK permet également d’appréhender les activités les moins réalisées
dans l’organisation. Il s’agit de l’évaluation qualité de l’activité d’audit interne
(37%), ce qui est cohérent avec les enseignements de la partie 4.5.3 (cf p 62) sur
l’évaluation externe, ainsi que l’assistance à l’audit externe. En effet, cette
activité n’est pas réalisée par 38% des répondants, et lorsqu’elle l’est, c’est
seulement à hauteur de 21% par l’audit interne, ce qui est bien inférieur aux 46%
des résultats mondiaux. L’écart avec les données de l’IIA pourrait s’expliquer par
un problème de traduction (dans le questionnaire en français, cette option a été
traduite par assistance externe de l’audit). Néanmoins, 63% des répondants de
l’enquête IFACI de 2005 indiquaient que l’audit interne ne participait « jamais »
aux travaux de l’audit externe. Cette tendance reste vraie malgré une coordination
accrue « audit interne/audit externe » dans le cadre des rapports sur la fiabilité de
l’information financière (SOX notamment).
Enfin, 35% des répondants CBOK déclarent que des audits de l’éthique ne sont
pas réalisés dans leur organisation. Lorsqu’ils sont menés, c’est majoritairement
l’audit interne (46%) qui s’en charge. Ce qui confirme le rôle fondamental qu’il
doit jouer dans ce domaine. En effet, la norme sur le gouvernement d’entreprise
encourage les auditeurs internes à soutenir activement la culture éthique au sein de
leur organisation, notamment parce qu’on leur accorde la confiance et l’intégrité
nécessaires à ce type d’activité. Ces audits passent par des actions de
sensibilisation, ils peuvent aller jusqu’à la facilitation de la rédaction du code
d’éthique et bien entendu à la vérification du respect des principes définis au sein
de l’organisation. Notons que les audits liés aux règles de confidentialité (privacy)
sont réalisés à 38% par les services d’audit interne répondants en France au lieu de
43% au niveau IIA.
Conformité
Audits opérationnels
Processus financier
Audits de gestion
Conseil
IIA
Audit des SI
Gouvernance France
Investigations de fraude
Autres
0 5 10 15 20 25
Temps passé
(%)
Les auditeurs internes consacrent en priorité leur temps aux trois domaines
suivants :
les audits de conformité (aux lois, règlements et procédures) : 22% ;
les audits opérationnels : 20% ;
les audits de processus financiers : 13%.
Pour ces données, le graphe ci-dessus ne révèle pas de différences significatives
entre la France et l’IIA.
Ces compétences sont déclinées selon les quatre catégories d’emploi définies dans
l’enquête :
• auditeur interne ;
• superviseur ;
• manager ;
• responsable d’audit interne (RAI).
Ces trois compétences sont également attendues, mais dans une moindre
proportion, pour les superviseurs.
Par rapport aux auditeurs internes, le panel de compétences comportementales est
plus large pour la fonction de superviseur. Ainsi, la capacité à créer un esprit
d’équipe et le leadership apparaissent dans les cinq premières compétences
comportementales requises pour un superviseur, alors que ce sont les critères les
moins cités pour les auditeurs internes.
Au niveau global, le
responsable de l’audit
Pour les responsables d’audit interne, en plus de l’objectivité (72%, 58% au niveau interne apparaît plus comme
IIA) et de la confidentialité (69% comme au niveau IIA), notons que le leadership un dirigeant qui a le sens du
leadership (75% au niveau
(62%) et la sensibilité au gouvernement d’entreprise et à l’éthique (55%) sont de l’IIA, 62% en France) et
également des compétences requises. Ces deux dernières compétences sortent qui a la capacité à travailler
avec les différents niveaux
également du lot au niveau IIA avec respectivement 75% et 55%. de responsabilité (58% au
niveau de l’IIA, 32% en
France).
Auditeur
Superviseur Manager RAI
interne
Extraction et analyse de données 75% 29% 3% 8%
Communication orale (capacité à
68% 52% 34% 43%
effectuer des interviews)
Analyse des risques 51% 59% 55% 83%
Utilisation de technologie de
46% 28% 19% 11%
l’information
Identification des types de contrôle (par
40% 43% 22% 32%
ex., la prévention, la détection)
Compréhension des métiers 35% 29% 55% 72%
Analyse financière 31% 39% 23% 40%
Aptitude à faire des recherches 26% 17% 5% 9%
Echantillonnage statistique 26% 14% 0% 0%
Compétence juridique / sensibilité à la
14% 17% 31% 40%
fraude
ISO / connaissance de la qualité 8% 6% 14% 12%
Gestion totale de la qualité 5% 17% 23% 25%
Négociation 3% 29% 51% 72%
Les responsables d’audit interne souhaitent donc que les auditeurs internes aient
des capacités pour la préparation et la réalisation des missions d’audit interne. Les
compétences techniques attendues sont en phase avec les enjeux actuels de la
profession. A savoir :
Les responsables d’audit interne sont moins exigeants pour des compétences
comme la négociation (3%) ou liées à la qualité (l’ISO est citées par 8% des
répondants et les méthodes de management total de la qualité mentionnées par
5%).
Alors que la technique d’échantillonnage statistique est utilisée dans 76% des cas
(cf. § 1.4.4.5 sur les outils, 71), cette compétence est peu citée même au niveau du
superviseur (compétence citée par 14% des répondants). Cette compétence est
pourtant complémentaire de la capacité d’extraction des données. Elle peut
également aider le superviseur à valider le programme de travail et les constats.
(cf.MPA 2100-10 « Vérification par sondage »).
Quelle que soit la fonction, l’analyse des risques est mentionnée parmi les
compétences principales. Le niveau d’attente dans ce domaine est néanmoins plus
élevé pour les responsables d’audit interne (83% au lieu de 51% pour les auditeurs
internes). Ce constat est à rapprocher du développement de la planification fondée
sur les risques. En effet, même si l’analyse des risques est utilisée pour la
construction du programme de travail d’une mission, c’est surtout au niveau de la
planification annuelle des missions que cette technique est utilisée. Or, cette
Auditeur
Superviseur Manager RAI
interne
Capacités rédactionnelles 54% 26% 11% 17%
Capacités analytiques 46% 37% 25% 29%
Identification des problèmes et
46% 32% 20% 20%
solutions
Rédaction de rapports 42% 37% 11% 15%
Sens critique 40% 37% 26% 25%
Communication 37% 37% 37% 62%
Connaissance de langues
étrangères 35% 23% 20% 23%
Gestion du temps 29% 26% 12% 15%
Aptitudes à la présentation 26% 31% 14% 26%
Compréhension de systèmes
20% 15% 6% 9%
d’information complexes
Conceptualisation 15% 14% 28% 37%
Veille professionnelle (opinions,
14% 19% 23% 42%
normes et réglementations)
Aptitudes à l’organisation 12% 23% 29% 46%
Capacité à promouvoir la fonction
d’audit interne au sein de 11% 15% 45% 75%
l’organisation
Résolution de conflits 6% 22% 32% 42%
Planification et gestion de projet 6% 25% 25% 23%
Gestion du changement 5% 8% 22% 17%
Formation et développement du
3% 5% 23% 31%
personnel
Comme pour les compétences techniques, ce tableau met en évidence des attentes
différentes selon la catégorie d’emploi.
Les compétences mises en avant pour l’auditeur interne sont celles qui sont liées à
leur cœur de métier : l’identification des problèmes et des solutions (46%), la
capacité analytique (46%) ainsi que l’aptitude à communiquer.
Pour les niveaux hiérarchiques plus élevés ce sont d’autres compétences qui sont
privilégiées pour :
• promouvoir l’audit interne. La capacité à promouvoir la fonction est la
première compétence citée pour les responsables d’audit interne (75%) ;
viennent ensuite la communication (62%) et la résolution de conflits
(42%) ;
• organiser (46%) ;
• être proactif sur les changements professionnels induits par des nouvelles
normes ou réglementations (42%).
A contrario, les attentes vis-à-vis des responsables d’audit interne sont moindres
pour des points spécifiques comme :
- la compréhension des systèmes d’information complexes (9%).
Néanmoins, le cadre de référence professionnel IIA/IFACI (notamment les
Global Technology Audit Guide, GTAG -
http://www.theiia.org/guidance/technology/gtag/?search=GTAG) insiste
sur le fait que le responsable d’audit interne doit avoir un minimum de
connaissances à propos des grands enjeux et risques relatifs aux systèmes
d’information ;
- l’aptitude à la rédaction (17%) ;
- la gestion du temps (15%).
Sur ces deux derniers points la moindre exigence à l’égard des responsables d’audit
interne doit être nuancée. En effet, le responsable d’audit interne a également
besoin de maîtriser la communication écrite lorsqu’il s’adresse aux clients internes
et externes de son service. En outre, une bonne gestion du temps est indispensable
pour le respect du programme d’audit.
Note moyenne
Comptabilité 3.23
Audit 4.49
Droit des affaires et réglementations 2.96
Gestion des affaires 2.93
Evolution des normes professionnelles 2.96
Le management du risque (Entreprise Risk Management) 3.98
Éthique 3.56
Finance 3.31
Sensibilisation à la fraude 3.58
Le gouvernement d’entreprise 3.35
Gestion des ressources humaines 2.93
Normes de l’audit interne 3.59
Technologie de l’information 3.51
Comptabilité de gestion 3.17
Marketing 2.21
Culture d’entreprise 3.72
Systèmes organisationnels 3.66
Stratégie et politique des affaires 2.97
Connaissances techniques spécifiques au secteur d’activité 3.85
NIVEAU DE FORMATION
IIA France
La quasi-totalité des répondants (95%) ont fait des études supérieures. En France,
le niveau de formation se situe essentiellement à Bac+5 (83%, 40% au niveau de
l’IIA).
TYPES DE SPECIALISATION
Gestion
Comptabilité
Finance
Economie
Droit
Audit
Audit Interne
Mathématiques/statistiques
Systèmes d'information
Informatique
Sciences et Techniques
Ingénieur
Par rapport aux autres domaines clés, la spécialisation en comptabilité est plus
marquée au niveau international. En France, les auditeurs internes mentionnent
également des compétences en économie ou en gestion. Cette diversité semble plus
cohérente avec le fait que l’audit interne n’est pas uniquement une fonction
comptable et financière.
IIA France
Auditeur Responsable d’audit Auditeur Responsable
interne interne interne d’audit interne
Supérieur ou égal à
36% 48% 17% 19%
120 heures
Inférieur à 120
62% 51% 80% 81
heures
Aucune heure 2% 1% 3% 0%
Pour ce qui est du contenu de ces formations, les fréquences déclarées par
domaines sont les suivantes :
Ce schéma montre que les auditeurs internes suivent surtout des formations qui leur
permettent d’acquérir des connaissances techniques spécifiques au métier (normes,
systèmes d’information et dans une moindre mesure la fraude). Ainsi, près de la
moitié des responsables d’audit interne indiquent des formations au moins
annuelles sur les normes et les pratiques d’audit interne.
L’apprentissage de connaissances comportementales (communication, gestion
d’une équipe) est moins fréquent.
IIA France
Les formations annuelles sur les normes et les pratiques d’audit interne arrivent
toujours en tête. Néanmoins, la diversité des thèmes de formation est plus nette au
niveau de l’IIA. Notamment, sur des thèmes liés à l’éthique (38% au niveau de
l’IIA, 18% en France), les techniques anti-fraude (32% au niveau de l’IIA, 23% en
France) ou les systèmes d’information (36% au niveau de l’IIA, 22% en France).
IIA France
Fraude (CFE…) 5% 2%
Par ailleurs, les responsables d’audit interne ont indiqué le nombre de personnes
certifiées dans leur service d’audit interne.
24% 16%
25%
20%
15% 13%
10%
84%
5% 3%
0%
1 CIA… 2 à 5 CIA… 6 à 15 CIA… Plus de 16
30%
25%
20%
15% 91%
9% 9%
10%
5%
5%
0%
1 CISA,,, 2 à 5 CISA,,, 6 à 15 CISA,,, Plus de 16
L’utilisation totale ou partielle du cadre de référence de l’IIA est citée par 70% des
répondants. Ce taux est de 82% au niveau de l’IIA.
IIA France
Norme 1300
« programme
77% 5% 6% 11% 76% 6% 8% 10%
d’assurance et
d’amélioration qualité »
Norme 2600
« acceptation des risques
76%, 6% 5% 1% 79% 5% 6% 10%
par la direction
générale »
Norme 2500
« surveillance des actions 81% 4% 4% 10% 83% 5% 5% 8%
de progrès »
Ce schéma est à rapprocher des données sur le niveau d’adéquation des normes. En
effet, ce sont les trois normes citées précédemment qui sont les moins mises en
œuvre. Le taux de non-conformité à ces normes est de :
- 20% pour la norme 1300 « programme d’assurance et d’amélioration
qualité » ;
- 13% pour la norme 2500 « surveillance des actions de progrès » ;
- 11% pour la norme 2600 « acceptation des risques par la direction
générale ». Notons que c’est cette norme qui recueille le plus fort taux
d’indécis (17% des répondant ne se prononcent pas sur la conformité à la
norme 2600). Ce point confirme la méconnaissance de cette norme et le
fait qu’elle est perçue comme étant difficilement applicable.
IIA France
1100 : Indépendance et
67% 22% 53% 39%
objectivité
2300 : Accomplissement de la
60% 28% 57% 34%
mission
Normes professionnelles et
La moitié des répondants indique une responsabilité partagée avec les audités, une
outils d’audit
minorité (6%) cite un suivi effectué uniquement par les audités. • La norme 1220.A2 relative
à la conscience
professionnelle indique que
l’auditeur interne doit
1.4.4.5. Outils et méthodes envisager l’utilisation de
techniques informatiques
La définition de l’audit interne insiste sur le fait qu’il s’agit d’une activité d’audit et d’analyse de
systématique et méthodique fondée sur un certain nombre de documents et outils. données.
• La démarche de
Certains outils sont même cités dans les normes. benchmarking est
notamment indiquée dans le
cadre de l’évaluation du
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE processus de management
Document IIA France des risques (MPA 2110-1)
ou lors de l’évaluation
Plan d’audit interne 81% 90% périodique des services
d’audit interne (MPA 1311-
Charte d’audit interne 72% 82%
1).
Lettre de mission de l’audit interne 60% 79% • La norme 2010 concerne la
planification fondée sur les
Manuel d’audit 63% 57%
risques afin de définir des
priorités cohérentes avec les
objectifs de l’organisation.
Le plan d’audit interne apparaît comme le document le plus répandu dans les La norme 2010.A1 précise
services d’audit interne, il existe dans 90% des cas. Il est suivi par la charte d’audit que le plan des missions
d’audit interne s’appuie sur
interne et la lettre de mission de l’audit interne qui sont présentes dans environ une évaluation des risques
80% des cas. réalisée au moins une fois
par an. Ces normes sont
Ces résultats ont été complétés par une analyse croisée selon l’ancienneté du complétées par la MPA
service d’audit interne. 2010-2 sur « la prise en
compte des risques pour
l’élaboration du plan
d’audit ».
• Les méthodes d’évaluation
de la performance telles que
le Balanced Scorecard1 sont
citées dans la MPA 1311-2
pour la mise en place
d’indicateurs à l’appui des
contrôles de la performance
de l’activité d’audit interne.
• La MPA 2100-10 traite de
la vérification par sondage
et des méthodes
© IFACI juin 2008 71 d’échantillonnage.
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES
D’AUDIT INTERNE
90
80
70
60
50
40
30
20
10
0
Plan Audit Interne Charte Audit Interne Lettre de mission Audit Manuel audit
Interne
Le plan d’audit est systématiquement présent dans les services d’audit interne très
anciens et apparaît à près de 80% dans les services d’audit interne récents de moins
de 5 ans. La mise en place des documents de référence de la fonction (charte
d’audit interne et lettre de mission) n’est pas immédiate. Ces deux documents sont
présents pour 2/3 des membres de services d’audit interne récents.
Enfin le manuel d’audit interne est présent pour moins de 60% des répondants
(42% pour les services d’audit interne récents).
Pas utilisés Modérém ent et m oyennem ent utilisé très et considérablem ent utilisé
Le benchmarking 20 58 22
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Les outils bureautiques utilisés dans tous les types d’activités sont devenus
incontournables. Ainsi, les moyens de communication électroniques désormais
universels (internet, courrier électronique…) sont utilisés à plus de 98%.
Les autres outils peuvent être classés en deux catégories :
L’analyse comparative des données avec l’IIA montre un taux d’utilisation plus
important pour certains outils de traitement des données ou de cartographie des
processus. Le taux d’utilisation des techniques d’extractions des données est
supérieur en France (+27% par rapport au taux d’utilisation moyen au niveau de
l’IIA). Les répondants mentionnent également un plus fort taux d’utilisation des
tableaux de performance (+17% par rapport à l’IIA). En ce qui concerne la
cartographie des processus, le taux d’utilisation est supérieur de 10% en France.
Dans le même temps, les logiciels de Flowchart sont moins cités en France (-13%
par rapport à l’IIA). Il est vrai que les auditeurs internes peuvent utiliser des
logiciels bureautiques classiques pour réaliser des diagrammes de flux.
Les éléments qui apparaissent clairement en retrait par rapport à l’IIA sont :
- L’audit en continu/ en temps réel (-20%)
- Les outils de revue qualité des services d’audit interne (-19%)
- Les techniques de gestion totale de la qualité (-17%).
34
Les techniques de gestion totale de la qualité
53
34
Les outils de revue qualité (IIA)
58
76
L’échantillonnage de statistiques
85
43
Les logiciels de m odélisation de processus
59
74
L'application de cartographie des processus
87
98
La com m unication électronique
99
56
Les logiciels de Flow chart
69
69
L’auto-évaluation du contrôle
85
41
L’audit au continu / en tem ps réel
61
73
Les techniques d’audit supportées par inform atique 88
Le benchm arking 80
92
81
La revue analytique
89
0 20 40 60 80 100 120
Il est important de signaler que 33% des répondants ne mesurent pas formellement
la valeur ajoutée de leur direction, alors même qu’il s’agit de la finalité de l’audit
interne inscrite dans la définition officielle IIA/IFACI. En outre, à l’instar d’autres
directions supports, il peut arriver que l’audit interne soit interrogé sur son rapport
coût/bénéfice.
100
90
80
70
60
50
40
30
20
10
0
Cotée Non cotée Secteur public Population totale
Pour les sociétés cotées, les deux critères essentiels de mesure de la valeur ajoutée
de l’audit interne sont le taux de recommandations acceptées et mises en œuvre
(77%) et la confiance des auditeurs externe (60%).
Dans le secteur public, la confiance accordée par l’audit externe est faiblement
perçue comme un indicateur de la valeur ajoutée (12%). Tous les établissements
publics ne sont pas soumis aux audits financiers des commissaires aux comptes et
la certification des comptes des administrations publiques est une notion encore
récente.
Les entreprises cotées se distinguent également par le recours aux enquêtes auprès
des clients de l’audit interne ou auprès des audités (51% dans les entreprises cotées,
14% pour les non cotées et 25% pour le secteur public).
Un examen plus précis des réponses révèle une légère avance dans les services
d’audit interne dont les responsables sont en poste depuis moins de deux ans. En
effet, ils représentent 52% des responsables d’audit interne qui affirment avoir déjà
ce programme ou avoir l’intention d’en mettre un en place dans les douze mois qui
suivent. Il est vrai que le développement d’un tel programme fait partie des
Les évaluations externes (Norme 1312), réalisées au moins tous les cinq ans (ou plus fréquemment, selon
l’appréciation du Responsable de l’audit interne, après consultation du Conseil/Comité d’audit), par un
évaluateur ou une équipe qualifiés et indépendants, visent à apprécier :
la conformité aux Normes ;
l’utilisation de bonnes pratiques ;
l’efficacité de l’activité d’audit interne au regard de sa Charte et des attentes de ses parties prenantes ;
la valeur ajoutée apportée par l’audit interne au regard notamment des attentes de ses clients et parties
prenantes ;
l’adéquation des ressources et du champ d’intervention de l’audit ;
… et à identifier, en collaboration avec le service d’audit interne, des axes d’amélioration.
Rappelons que l’IFACI a signé en 2006 un protocole d’accord avec l’IIA Global l’autorisant à proposer aux
directions d’audit interne tout type d’évaluation externe : la validation indépendante après autoévaluation, la
revue qualité, et bien sûr la certification que nous privilégions et vers laquelle la plupart des organisations
intéressées se tournent car elles veulent obtenir un label de qualité qui constitue un gage de crédibilité et de
visibilité.
En France, 42% des répondants déclarent qu’il n’y a jamais eu d’évaluation interne
dans leur service. Ce ratio est supérieur à celui constaté au niveau de l’IIA (33%).
Au cours des trois dernières années, 36% des répondants en France indiquent la
réalisation d’une évaluation interne de leur service. La fréquence préconisée par les
Normes est annuelle, 28% des répondants déclarent une évaluation interne au cours
des douze derniers mois (24% au niveau IIA). Les traitements réalisés au niveau de
l’IIA révèlent une corrélation positive entre cette fréquence et l’ancienneté du
service d’audit interne ou sa taille.
Les actions qui peuvent être entreprises dans le cadre d’une évaluation interne sont
donc assez variées. Cette diversité n’a peut être pas été suffisamment appréhendée
par les 42% de répondants qui disent ne pas réaliser d’évaluation interne. La
question a pu être interprétée comme faisant uniquement référence à l’évaluation
interne périodique, documentée et méthodique, sur la conformité aux Normes.
L’analyse de l’ancienneté moyenne révèle qu’un quart des services d’audit interne
ont moins de cinq ans d’existence ; les responsables d’audit de ces services peuvent
donc considérer qu’ils sont encore dans la période des cinq premières années au
cours de laquelle ils n’ont pas l’obligation, au regard des Normes, de réaliser une
telle évaluation.
Il convient de rappeler qu’une telle évaluation externe, menée par un organisme
indépendant et par des personnes qualifiées et compétentes, représente bien
d’autres intérêts que le pur respect de la Norme 1312. Elle vise notamment :
l’appréciation de l’utilisation de bonnes pratiques ;
la mesure de l’efficacité de l’activité d’audit interne au regard de sa Charte
et des attentes de ses parties prenantes ;
l’analyse de la valeur ajoutée apportée par l’audit interne au regard
notamment des attentes de ses clients et parties prenantes ;
l’examen de l’adéquation des ressources et du champ d’intervention de
l’audit ;
l’identification d’axes d’amélioration du service d’audit interne.
Selon les Normes, la périodicité minimale entre deux évaluations externes est de
cinq ans. Une période de cinq ans peut être longue pour une organisation et plus
spécifiquement pour un service d’audit interne, qui voit, le plus souvent, son
équipe entièrement renouvelée en trois ou quatre ans. En effet, en cinq ans, la
situation appréciée à un instant donné peut se dégrader très rapidement. Ce risque
est désormais pris en considération par l’IIA. Preuve en est que la Norme 1312 a
été révisée en 2006. Elle énonce dorénavant que le responsable de l’audit interne
doit s’entretenir avec le Conseil ou Comité d’Audit au sujet du besoin éventuel
d’augmenter la fréquence des évaluations externes.
LA CONFORMITE :
Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Cotée Secteur public Non cotée Ensemble
Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Cotée Non Cotée Secteur public Ensem ble
Audit opérationnel
Conformité
Governance
Management des risques
Revue des processus financiers
Ces résultats montrent que le risque management, domaine dans lequel l’audit
interne a déjà un rôle notable (cf. § 1.4.2.4, p.35) est celui où 71% des répondants
pensent que leur service d’audit interne aura un rôle encore plus accru. Cette
tendance peut s’expliquer par le renforcement des exigences réglementaires dans ce
domaine, notamment dans le secteur financier avec des dispositifs tels que Bâle II
ou Solvency II. Malgré l’émergence de fonctions dédiées au management des
risques, l’audit interne conserve sa légitimité pour évaluer la fiabilité de l’ensemble
du processus, de la phase de recensement des risques au suivi des plans d’action
prévus pour les gérer.
Secteur public
Non cotée
Cotée
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Dans les sociétés cotées la baisse doit être analysée de manière relative. Les
services d’audit ont été généralement sollicités pour accompagner la mise en
conformité vis-à-vis de réglementations telles que SOX. Selon les résultats de
l’enquête IFACI 2005, 74% des services d’audit concernés avaient dédié 74% de
leurs ressources aux travaux SOX. En 2006, l’enquête du CBOK montre une
réduction de l’implication des services d’audit dans la mise en place des processus
de conformité aux réglementations. En quelque sorte un retour à la normale avec la
création de nouvelles fonctions dédiées à la mise en œuvre de ces dispositifs tandis
que l’audit confirme son rôle en termes de surveillance et d’évaluation.
10 0 %
90%
80%
70%
60%
50%
40%
30%
20%
10 %
0%
Banque Assurance Pharm acie Détail Gros Technologie Services Ensem ble
chim ie publics
Les projections sur les domaines analysés dans le paragraphe (cf. § 1.4.2.4, p.35)
mettent en évidence trois grandes tendances :
- les domaines émergents sont cohérents avec les enjeux actuels des
organisations, qu’il s’agisse de développement durable (responsabilité
sociétale, environnement), de knowledge management, de stratégie ou de
gestion de projet. Ce sont des domaines transverses qui sont connectés à la
problématique de la bonne gouvernance et à la nécessité de prendre en
compte les attentes des différentes parties prenantes. Ils répondent à la
question de l’efficience du processus de knowledge management et de
déclinaison de la stratégie à tous les échelons opérationnels. Ils s’assurent
de leur contribution au renforcement de l’environnement de contrôle.
Les principales raisons citées par les personnes qui déclarent que leur service
d’audit interne n’utilise pas le cadre de référence de l’IIA sont :
• les contraintes de temps (20% des répondants), la complexité (16%). Ces
défauts sont surtout cités par les responsables d’audit interne
(respectivement 26% et 22%). Le critère de coût est cité par 11% des
répondants.
• l’absence de perception de la valeur ajoutée par les dirigeants (28%) et
le manque de soutien de la part des dirigeants (18%) ;
• l’inadéquation pour des petites structures (17%).
Les responsables d’audit internes sont plus sensibles aux contraintes de ressources
(coût, temps, personnel qualifié) ou organisationnelles (petites structures, faible
perception de la valeur ajoutée par le management).
Rappelons que ce cadre de référence est utilisé par 70% des répondants en France
et 82% au niveau de l’IIA. Il peut sembler étonnant qu’un tiers des répondants
L’avis d’enquête a été diffusé via les instituts affiliés à l’IIA. Au niveau mondial
93% des répondants sont adhérents d’un institut affilié à l’IIA. Pour les données
provenant de France, tous les répondants sont adhérents de l’IFACI.
Les taux de réponse à cette question varient de 68% (responsables d’audit interne)
à 84% (autres) soit un taux de réponse moyen de 80%.
75% des répondants ont moins de 45 ans. Il y a une forte corrélation entre l’âge et
la position dans le service d’audit interne. En effet, près de la moitié (47%) des
responsables d’audit interne ont plus de 45 ans alors que moins du tiers (30%) des
autres fonctions se trouvent dans cette catégorie. Cette tendance se retrouve dans
les résultats internationaux.
55‐64 ans
45‐54 ans
Effectifs totaux
Responsables
audit interne
35‐44 ans
26‐34 ans
25 ans et moins
TYPES D’ORGANISATION
Responsable
Audit Interne Effectifs totaux (%) IIA (%)
(%)
Société cotée 51% 40% 38%
Société privée non cotée 29% 27% 19%
Secteur public 12% 17% 23%
Organisme à but non lucratif 6% 9% 6%
Prestataire de
3% 7% 11%
service/consultant
Autres 0% 4% 3%
Les répondants ont eu le choix entre 22 modalités de réponse. Pour cette question à
choix multiples, le total est donc supérieur à 100%.
Les cinq principaux secteurs représentés dans l’échantillon français sont
mentionnés ci-après.
SECTEURS D’ACTIVITE
Responsable
Audit Interne Effectifs totaux (%) IIA (%)
(%)
Banque 28% 28% 25%
Services publics 7% 17% 8%
Assurance 10% 16% 9%
Autres 13% 11% 14%
Communication/Télécommunication 9% 10% 7%
Les services publics et les assurances sont mieux représentés dans la sous-
population « France » (17% et 16% au lieu de 8 et 9% au niveau mondial). A
contrario, le secteur de la transformation est mieux classé au niveau IIA (13% et
troisième position) par rapport aux données de la France (7% et 8ème position). De
même pour les services financiers : 11% et 4ème position au niveau IIA ; 8% et 7ème
position en France.
En termes de classement une différence notable avec les résultats de l’IIA concerne
le secteur de l’éducation figurant dans les 10 premiers secteurs au niveau mondial
(7%) et minoritaire en France (1%).
EFFECTIF DE L’ORGANISATION
Nombre d’employés % CBOK France % IFACI 2005
<1000 16% 20%
1000 à 5000 32% 35%
5000 à 50000 31% 28%
>50000 22% 17%
Comme pour le nombre d’employés, on note que l’audit interne n’est pas l’apanage
des grandes organisations. Même si ¼ des répondants sont dans des organisations
qui génèrent plus de 7,5 milliards d’euros, 20% des personnes qui ont répondu à
cette question sont dans des organisations qui génèrent moins de 75 millions
d’euros de chiffre d’affaires. La tranche des organisations ayant moins de 750
millions de chiffre d’affaires et mieux représentée (52%) que dans l’enquête de
2005 (33%).
DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE ________________________________________________ 19
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ? ________________________________ 20
QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE (ANALYSE DETAILLEE AU
NIVEAU DE L’IIA) ? __________________________________________________________________________ 21
LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON LE SECTEUR ________________________ 22
QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ? __________________________________________________ 23
EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION ________________________________________ 23
PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU COMITE D’AUDIT ______________________ 24
REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT _________________________________ 25
DES SERVICES D’AUDIT INTERNE RECENTS ___________________________________________________________ 27
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE __________________________________ 28
L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE D’ORGANISATION ________________________________ 29
ANCIENNETE DES AUDITEURS INTERNES ____________________________________________________________ 30
ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION. ___________________________________ 31
COMPARAISON FRANCE / IIA DE L’ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE __________________________ 31
L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE _______________________________________________________ 32
RATIO EFFECTIF AUDIT INTERNE /EFFECTIF TOTAL DE L’ORGANISATION ______________________________________ 33
MODALITES DE GESTION DES LACUNES DE COMPETENCES _______________________________________________ 34
DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE _________________________________________________ 36
DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE ____________________________________________ 37
AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE __________________________________________________ 38
POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE TRENTAINE D’ACTIVITES ___________________ 39
TEMPS PASSE PAR TYPE DE MISSIONS ______________________________________________________________ 43
COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX
RESPONSABLES D ’AUDIT INTERNE ) ________________________________________________________________ 45
COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES
D’AUDIT INTERNE ) ___________________________________________________________________________ 47
PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION _____________________________________ 63
NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES _______________________________________________ 65
COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS ADEQUATES ______________________________ 66
NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES ______________________________________________ 67
COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES ________________________________________ 68
PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES AUDITES ______________________________ 70
MODALITES DE SUIVI DES RECOMMANDATIONS ______________________________________________________ 71
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE ___________________________________ 71
DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES D’AUDIT INTERNE ____________________ 72
UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT. _____________________________________ 73
COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS ___________________________________ 75
NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS ____________________________________ 76
MESURE DE LA VALEUR AJOUTEE _________________________________________________________________ 79
ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET D’AMELIORATION DE LA
QUALITE DE L’AUDIT INTERNE ___________________________________________________________________ 82
LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE INTERNE, AU
GOUVERNEMENT D ’ENTREPRISE ET AUX QUESTIONS RELATIVES A LA CONFORMITE : _____________________________ 88
L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE ____________________________________ 89
EVOLUTION DU ROLE DE L’AUDIT INTERNE __________________________________________________________ 90
EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX REGLEMENTATIONS (DONNEES
PAR TYPE D ’ ORGANISATION) ____________________________________________________________________ 91
SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA REGLEMENTATION (DONNEES
SECTORIELLES ) ______________________________________________________________________________ 92
ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE, LA CONFORMITE, LA FRAUDE, LA
GESTION DES SYSTEMES D ’ INFORMATION, LA FORMATION AU CONTROLE INTERNE ET LE
BENCHMARKING ____________________________________________________________________________ 93
LES DOMAINES EMERGENTS ____________________________________________________________________ 94
QU’EST CE QUI FREINE L’UTILISATION DES NORMES ? __________________________________________________ 95
REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI ______________________________________ 100
LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE / IIA). ________________________________________ 100
PYRAMIDE DES AGES DES REPONDANTS _____________________________________________________________ 101
TYPES D’ORGANISATION _______________________________________________________________________ 102