Professional Documents
Culture Documents
Les pratiques de lAudit interne dans les groupes mondiaux et les spcificits franaises
Rsultats de ltude 2007
Editorial
138 dpartements dAudit interne issus des plus grands groupes mondiaux, dont 22 en France, ont consacr une demi-journe pour changer au printemps 2007 avec les quipes Ernst & Young sur leur organisation, leurs missions, la gestion de leurs quipes, leur mthodologie et leurs outils. Ce sont prs de 120 questions qui nous ont permis de raliser une enqute approfondie et qualitative, et de prsenter un large panorama des pratiques internationales avec une illustration de nos spcificits locales. Depuis prs de 15 ans, Ernst & Young a structur une activit consacre lassistance des dpartements dAudit interne et occupe une position privilgie sur le march du risque, du contrle interne et de lAudit interne. Les rsultats de cette tude correspondent parfaitement ce que nous observons au quotidien chez nos clients : un accroissement des attentes des comits dAudit et des Directions gnrales ainsi quune convergence avec les fonctions de risk management. Cest ds prsent que les directeurs de lAudit interne doivent intgrer dans leur feuille de route les priorits suivantes : le positionnement vis--vis du comit dAudit et de la Direction gnrale ainsi que la mise en uvre des moyens pour rpondre efficacement aux enjeux lis aux grands projets, aux systmes dinformation et la fraude. Face ces enjeux, il nexiste pas naturellement de rponse unique. Chaque dpartement dAudit interne doit prendre en compte la culture et la stratgie dentreprise ou les contraintes oprationnelles. Toutefois, lAudit interne est de moins en moins peru comme une fin en soi : laccroissement de la couverture des risques et les nouvelles zones dintervention vont de pair avec la recherche de lefficience, en dautres termes, la justification du meilleur retour sur investissement possible. Nous esprons donc que cette tude permettra aux dpartements dAudit interne de poursuivre leur volution. Nous souhaitons galement remercier les entreprises qui ont jou le jeu : cette tude est avant tout la leur ! Bonne lecture. Jean Coroller
Associ, responsable de lactivit Risk Advisory Services pour la France et lEurope Continentale
Marc Duchevet
Associ, responsable de loffre Audit interne pour la France et lEurope Continentale
Sommaire
Introduction
10
11
Plans daudit
14
15
17
Outils et mthodologie
22
Mesure de la performance
25
Nous avons recueilli les rponses de 138 entreprises issues de tous les secteurs. 88% de nos interlocuteurs au niveau mondial taient les directeurs de lAudit interne (100% en France). Leur chiffre d'affaires (en USD) se rpartit comme ci-dessous : Plus de 25 milliards : 28% Entre 10 et 25 milliards : 20% Entre 5 et 10 milliards : 18% Entre 1 et 5 milliards : 20% Moins d1 milliard : 14%
R S U LTAT S
D E L T U D E
2007
Quelle est limplication des DAI dans les projets de contrle interne ?
En ce qui concerne les projets de contrle interne, issus des diffrentes rglementations telles que les lois Sarbanes-Oxley (Etats-Unis) et Scurit Financire (France), 44% des rpondants affirment tre impliqus dans les tests autour du contrle interne, mais seulement 6% assument la responsabilit gnrale du projet.
LES
Quelle implication de lAudit interne dans la mise en uvre de nouveaux systmes/grands projets ?
Sagissant des implmentations de nouveaux systmes et des grands projets, lAudit interne nintervient que dans un tiers des cas de manire pro-active (rsultat pour la France encore plus faible) : en majorit, soit laudit nest pas impliqu, soit il est sollicit a posteriori par le comit dAudit ou le Management lorsque des problmes apparaissent.
Quel est le niveau de comptence des quipes sur les aspects informatique et fraude ?
Les dpartements dAudit interne en France apparaissent plus en retrait que leurs homologues internationaux sur les aspects informatique et fraude : moins dun quart des rpondants franais estiment le niveau de leurs auditeurs comme tant comptents ou trs comptents sur les systmes dinformation et moins dun tiers dclare disposer en interne des ressources comptentes pour traiter la fraude.
L'quipement en matire d'outils spcifiques l'Audit interne et le partage des connaissances : les investissements de demain ?
Les outils informatiques ddis lAudit interne restent encore trs peu rpandus. De mme, moins de 50% des dpartements ont mis en place des bases de donnes de knowledge pour capitaliser sur les informations issues des audits : la situation en France demeure plus positive, avec les deux tiers des rpondants.
R S U LTAT S
D E L T U D E
2007
Introduction
Leffectif dun dpartement dAudit interne en fonction du chiffre daffaires de lentreprise : un faux dbat
Mme si la taille de lentreprise mesure par son chiffre daffaires semble avoir globalement un impact sur celle du dpartement dAudit interne, il nexiste pas de corrlation directe entre ces deux facteurs. En effet, pour rpondre la problmatique de la taille idale dun dpartement dAudit interne, il convient avant tout de dfinir comme cest illustr dans le schma ci-aprs la mission de lAudit interne, son mode dorganisation et les moyens mis en uvre. Taille des dpartements dAudit interne par chiffre daffaires
100%
4% 3% 4% 11%
7% 4%
7% 20% 44%
80%
41%
60%
56%
39%
40%
78% 7% 48%
20%
27%
0%
22% 14%
$51-$75 Milliards Plus de $75 Milliards
$11-$25 Milliards
$26-$50 Milliards
LES
La direction
Vision Mission
Oprations Qualit
Il appartient de fait chaque entreprise de btir en fonction de ces lments le dpartement dAudit interne le mieux mme de satisfaire ses attentes.
Ressources centralises Rpartition gographique Rattachement aux entits oprationnelles Rattachement aux entits fonctionnelles Approche combine Autre
0%
R S U LTAT S
D E L T U D E
2007
82% 78% 65% 50% 47% 46% 41% 31% 17% 36%
0% 20% 40% 60% 80% 100%
Pourcentages de rponses
Les 3 principales attentes du comit dAudit et du Management en matire dAudit interne sont identiques et cites dans le mme ordre : valuation et reporting des dficiences en matire de contrle interne ; valuation et reporting des risques cls oprationnels ; recommandations sur lamlioration des contrles. En France, les tendances restent semblables avec toutefois les particularits suivantes : Le comit dAudit met laccent sur le pilotage des plans de remdiation des dficiences identifies ; le Management est sensible au partage des meilleures pratiques. Nous assistons une vision tendue du rle de lAudit interne qui ne doit pas simplement se focaliser sur le contrle interne mais aussi sur les risques et le traitement des dficiences. LAudit interne doit tre plus partie prenante dans lamlioration du contrle interne et des processus.
Un Audit interne se proccupant seulement de lvaluation du contrle interne se positionne-t-il bien au bon niveau ?
LES
Un rattachement du DAI au niveau international auprs du comit dAudit, une pratique franaise distincte
Au niveau international, environ la moiti des directeurs de lAudit interne reportent au comit dAudit (en France cela nest le cas que pour seulement une socit sur cinq). Le rattachement du dpartement dAudit interne en France demeure spcifique : le tiers des DAI reporte la direction gnrale (dans le monde 20%) ; le tiers la direction financire (dans le monde 10 %, chiffre en fait marginal car principalement constitu des socits franaises dont le poids est reprsentatif dans le panel). A qui le directeur de lAudit interne est-il rattach ?
Comit d'Audit Directeur Gnral Directeur Administratif & Financier Secrtaire Gnral Responsable Conformit Double rattachement
0%
Seulement 45% des DAI dans le monde prparent avec le prsident du comit dAudit les runions venir de ce comit ( peine 1 socit franaise sur 4). De mme, plus de la moiti du panel franais ne rencontre jamais en priv, quel que soit le sujet, le prsident du comit dAudit, alors que 87% y ont accs au niveau international. Combien de fois par an le directeur de lAudit interne rencontre-t-il en priv le prsident du comit dAudit ?
R S U LTAT S
D E L T U D E
2007
14%
La charte dAudit interne correspond-elle bien aux attentes des parties prenantes et couvre-t-elle tous les enjeux ?
44%
Faut-il crer en parallle au dpartement de lAudit interne une fonction de conformit du contrle interne ?
10 LES
P R AT I Q U E S D E LA U D I T I N T E R N E DA N S L E S G RO U P E S M O N D I AU X ET LES SPCIFICITS FRANAISES
32%
Oui Non
68%
Dautre part, pour seulement moins dun tiers des rpondants mondiaux, lAudit interne agit dune manire coordonne et proactive avec les autres fonctions traitant du risque en partageant des informations autour du risque et du contrle interne (pratique franaise semblable). Quel niveau dinteraction entre lAudit interne et les autres fonctions de risk management de lentreprise ?
7% 11% 29%
Interaction forte et partage proactif des informations Interactions et changes d'informations informels sur les risques et contrles Interaction limite sans vritables changes Aucune interaction
53%
11
R S U LTAT S
D E L T U D E
2007
Une communication perfectible sur les risques dfinir auprs du comit dAudit
Dans 71% des cas, soit lAudit interne nest pas impliqu dans la communication des risques (Enterprise Risk Management) auprs du comit dAudit, soit il ny a pas du tout de communication faite sur le sujet (contre la moiti des socits franaises). Quelle est la communication faite sur les risques au comit dAudit et quelle est limplication de lAudit interne sur ce sujet ?
24% 71%
14% 15%
Communication sur les risques coordonne entre les diffrentes fonctions autres que l'audit interne Communication sur les risques coordonne entre le risk manager et l'audit interne seulement Aucune communication spcifique sur les risques par l'audit interne Aucune communication spcifique
47%
De plus, seulement 43% des entreprises dans le monde prsentent les points sur les risques non couverts par le plan daudit aux runions de comit dAudit ( peine un tiers des entreprises franaises). Quelle nature dintervention du directeur de lAudit interne aux runions du comit dAudit ?
[Plusieurs rponses possibles]
Prsentation du plan d'audit Points d'audit significatifs Situation de l'avancement du plan d'audit de l'anne en cours Suivi et rsolution des problmes identifis Synthse des recommandations sur les contrles et sur l'amlioration des processus Point sur les quipes/effectifs Prsentation des rsultats de l'valuation annuelle des risques Synthse des valuations faites sur les audits raliss Risques mergents et tendances Prsentation des risques non couverts dans le plan d'audit Analyse comparative du budget par rapport au ralis Projet de contrle interne ou autres points sur les rglementations Evaluation de la qualit des missions Autre
0% 20%
96% 94% 87% 68% 66% 65% 65% 59% 43% 43% 40% 36% 32% 21%
40% 60% Pourcentages de rponses 80% 100%
Comment sassurer de la pertinence dun plan daudit sans avoir fait le lien avec les risques couvrir ?
12
LES
5% 31% 55% 9%
Qualitatif Quantitatif Qualitatif et quantitatif Autre
40%
13
R S U LTAT S
D E L T U D E
2007
Plans daudit
51% des rpondants mondiaux et franais dclarent mettre jour leur plan daudit une fois par an. Quelle est la frquence de mise jour du plan daudit ?
5% 23%
8%
51%
13%
Trs peu dentreprises quelles soient mondiales ou franaises ( peine 20%) parviennent honorer entirement leur plan daudit annuellement. 80% arrivent tout de mme le couvrir hauteur de 80%.
14
LES
42% 42% 40% 38% 35% 28% 27% 25% 25% 23% 21% 19% 17% 11% 15%
20% 30% Pourcentages de rponses 40% 50%
15
R S U LTAT S
D E L T U D E
2007
Nous avons galement interrog les responsables de lAudit interne sur leur rle jou plus spcifiquement sur des sujets pouvant impacter directement lorganisation comme : la mise en place de systmes dinformation ; les fusions/acquisitions ; les grands projets. Il apparat que lAudit interne joue rarement un rle proactif sur ces trois points. Si lAudit interne ne peut pas toujours anticiper les fusions/acquisitions, il est plus surprenant de constater que seulement un tiers est impliqu en amont sur les mises en place de systmes dinformation ou les grands projets (tendance encore plus faible pour la France). Quelle implication de lAudit interne sur ... ?
100%
22%
80%
Pourcentages de rponses
18% 36%
49%
33%
Les grands projets
Participation proactive : les projets sont intgrs dans le plan d'audit Implication sur demande du Comit d'Audit ou de la Direction Pas d'implication
Dans quelle mesure le manque de ressources spcialises ou d'approche mthodologique adquate expliquent-ils le manque d'implication de l'Audit interne sur ces sujets ?
16
LES
2%4% 12%
90-100% 80-90% 70-80% 60-70% Moins de 60%
20%
62%
Quantitativement, la fonction dAudit interne tend se renforcer pour lensemble du panel : la moiti des dpartements ont vu leur taille augmenter au cours des douze derniers mois. Quelle est lvolution de leffectif du dpartement dAudit interne au cours des 12 derniers mois ?
40% 49%
11%
17
R S U LTAT S
D E L T U D E
2007
Paralllement, 72% des entreprises (prs de 9 sur 10 en France) ont recours des prestataires externes en complment de leurs ressources internes. Les entreprises mondiales rencontrent des difficults recruter, notamment des auditeurs disposant de comptences spcifiques en systme dinformation (53%) ou matrisant suffisamment leur secteur dactivit (41%) (classement similaire pour les entreprises franaises).
Quelles sont les comptences les plus difficiles recruter actuellement sur le march ?
[Plusieurs rponses possibles]
Systmes d'information Comptences sectorielles Prvention/dtection de fraudes Audit oprationnel Audit financier Evaluation des risques Audit de conformit Audit des projets majeurs Audit des fusions-acquisitions Audit fiscal Amlioration des processus Autre
0%
18
LES
Des efforts de formation relativement limits et des lacunes sur certaines comptences
Si 57% des entreprises ont formalis des modles de comptences et des plans de formation (tendance similaire en France) nous observons que prs de la moiti dentre elles (mme pratique en France), nallouent pas plus de 40 heures la formation des auditeurs dans lanne. Combien dheures de formation sont alloues annuellement chaque auditeur ?
Moins de 30 heures Jusqu' 40 heures Jusqu' 60 heures Jusqu' 80 heures Plus de 80 heures
0% 10%
59% des entreprises (moins dun quart en France) estiment que leurs auditeurs internes sont comptents ou trs comptents sur les systmes dinformation. Seulement 43% des dpartements (moins dun tiers en France) disposent en interne de ressources pour traiter de sujets relatifs la fraude. Quel est le niveau de comptences des quipes dAudit interne sur les systmes dinformation et la fraude ?
100%
15%
80%
Pourcentages de rponses
16%
26%
60% 40% 20%
0%
Systmes d'information
19
R S U LTAT S
D E L T U D E
2007
Dveloppement professionnel Rmunration Evolutions en interne Environnement de travail stimulant Reconnaissance et rcompense de la performance Opportunits de se former des mtiers diffrents Flexibilit des horaires de travail Prise en compte des contraintes de dplacement Autre
0%
20
LES
21
R S U LTAT S
D E L T U D E
2007
Outils et mthodologie
Analyse de donnes, audit continu, auto-valuation, et autres outils mthodologiques : les nouveaux chantiers de demain
Moins de la moiti des entreprises mondiales et franaises ont recours laudit continu (requte ou suivi automatis). En revanche, la grande majorit des entreprises du panel utilisent les outils danalyse de donnes pour la ralisation de leurs missions daudit. Quelle est votre utilisation des outils danalyse de donnes ?
[Plusieurs rponses possibles]
Ralisation des missions d'audit Dfinition du plan audit Prparation des missions Dtection des fraudes Emission des rapports Processus d'valuation des risques Contrles de conformit Autre
0%
22
LES
Dautre part, deux tiers des entreprises mondiales et franaises intgrent lautovaluation du Management en complment des missions dAudit interne : dans le cadre des projets de contrle interne ; pour raliser des valuations prliminaires de risques dans le cadre de la prparation du plan daudit ou de missions. Dans quels cas utilisez-vous lauto-valuation du Management ?
Non utilise Dans le cadre de projets de contrle interne de type SOX Questionnaires d'auto-valuation en support aux missions d'audit Questionnaires d'auto-valuation dans le cadre de l'valuation des risques/ processus de plan d'audit Ateliers mens dans le cadre de l'valuation des risques/processus de plan d'audit Ateliers mens en support aux missions d'audit Autre
0%
Une majorit des entreprises internationales et franaises se reposent sur les applications bureautiques type Microsoft, et trs peu sur des outils ddis. Quels sont les outils utiliss pour la ralisation des missions ?
[Plusieurs rponses possibles]
Applications bureautiques Systme maison Teammate AutoAudit Auditor Assistant Galileo
Autre
A peine la moiti des entreprises (plus des deux tiers en France toutefois) ont mis en place des bases de donnes sur les rapports daudit. Seuls 36% ont capitalis sur les analyses par processus (tendance franaise identique).
R S U LTAT S
D E L T U D E
2007
56%
Seulement la moiti des entreprises ( peine un tiers en France) dclarent inclure les aspects lis la fraude dans leur programme de travail. Cependant, 37% des entreprises (plus de la moiti en France) ne disposent daucun auditeur form aux enjeux de la fraude. Quelle est la proportion dauditeurs forms la fraude ?
Systmes dinformation et fraude : principales zones de faiblesses pour les dpartements dAudit interne ?
24
LES
Mesure de la performance
Non suivie Suivi des conomies ralises suite aux audits Suivi des actions d'amlioration oprationnelle Autre
0%
Seulement 33% des rpondants au niveau mondial ont recours des questionnaires de satisfaction suite aux audits raliss (la moiti des rpondants franais). Comment lAudit interne sassure de la qualit de ses prestations et de la satisfaction des audits ?
[Plusieurs rponses possibles]
Runion de clture afin de mesurer l'atteinte des objectifs Communication rgulire pendant la mission d'audit Focus sur les risques cls Questionnaire postrieur l'audit Formalisation des attentes Autre
0%
25
R S U LTAT S
D E L T U D E
2007
Dautre part, peine la moiti des entreprises (moins dun tiers en France) ont ralis une revue externe de la qualit de leur Audit interne. Enfin, seulement 23% des entreprises suivent directement les standards de lIIA (The Institute of Internal Auditors) (mme tendance pour les socits franaises). Quel est le degr de conformit de lAudit interne avec les standards de lIIA ?
10%
2% 23%
29% 36%
Stricte conformit avec les standards IIA Standards IIA utiliss comme ligne directrice Conformit modre avec les normes IIA Normes IIA non rfrences comme ligne directrice Autre
Si 71% des entreprises (plus de la moiti en France) indiquent que leur premier objectif est de raliser leurs audits de manire efficace, seulement 40% communiquent au comit dAudit des analyses comparatives (budget par rapport aux moyens rellement engags) (tendance encore plus faible des entreprises franaises : 1 socit sur 5). Enfin, seulement 32% communiquent sur lvaluation de la qualit des missions ralises (tendance galement trs faible) (cf. histogramme page 12).
Le comit dAudit et le Management sont-ils sensibles avant tout aux critres de mesure de la performance ou au suivi des standards professionnels ? Comment concilier les deux ?
26
LES
Contact
Marc Duchevet
Associ Tl. : 01 46 93 42 82 Fax : 01 58 47 24 57 marc.duchevet@fr.ey.com
E R N S T & YO U N G
www.ey.com/fr
2007 Ernst & Young. Tous droits rservs Ernst & Young est une marque dpose 0709SG996 - Octobre 2007