L

E

S

C

A

H

I

E

R

S

D

E

L

A

R

E

C

H

E

R

C

H

E

L’audit interne en France et dans le monde
Points de repères et tendances du CBOK (Common Body Of Knowledge)

L’IFACI est affilié à

 

L’AUDIT INTERNE  EN FRANCE ET  DANS LE MONDE 
Points de repères et tendances du CBOK            (Common Body Of Knowledge) 

L’IFACI est affilié à

 

REMERCIEMENTS

L’IFACI tient tout particulièrement à remercier les professionnels qui ont analysé les résultats de l’enquête et rédigé cette synthèse :

Florence Bergeret, Superviseur, Audit interne Groupe Areva ;

Florence Fradin, Responsable Référentiels d'Audit Interne et Qualité, BNP-PARIBAS;

Béatrice Ki-Zerbo, Directeur de la Recherche, IFACI ;

Guy Noblet, Auditeur interne, Office de l’élevage ;

Louis Vaurs, Délégué Général, IFACI

ISBN : 978-2-915042-19-1

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.

SOMMAIRE
1. 
1.1.  1.1.1.  1.1.2.  1.2.  1.3.  1.4.  1.4.1.  1.4.2.  1.4.3.  1.4.4.  1.4.5.  1.5.  1.5.1.  1.5.2.  1.5.3. 

OBJECTIFS ET PRINCIPAUX RESULTATS .................................................. 4 
Contexte des travaux : une enquête mondiale lancée fin 2006 ............................................................. 4  Objectifs de l’enquête de l’IIA.................................................................................................................. 5  Structure des résultats et principaux livrables ........................................................................................... 6  Objectifs du groupe de recherche de l’IFACI ....................................................................................... 7  Principaux résultats ................................................................................................................................. 9  Analyse détaillée ..................................................................................................................................... 19  Gouvernance et indépendance................................................................................................................. 19  Zoom sur une profession en plein essor .................................................................................................. 27  Compétences et formation des auditeurs internes ................................................................................... 44  L’audit interne, une profession normée .................................................................................................. 62  L’évaluation de l’audit interne ................................................................................................................ 78  Enjeux d’aujourd’hui et de demain...................................................................................................... 87  La généralisation des dispositifs de contrôle interne et de gouvernement d’entreprise .......................... 87  Evolution du rôle de l’audit interne ........................................................................................................ 90  Le référentiel IIA, un cadre universel pour une pratique professionnelle de l’audit interne ................... 95 

2. 
2.1.  2.2.  2.3.  2.4.  2.5.  2.6. 

TYPOLOGIE DES REPONDANTS ................................................................ 99 
Catégorie d’emploi ................................................................................................................................. 99  Age ......................................................................................................................................................... 101  Type d’organisation ............................................................................................................................. 102  Secteur d’activité.................................................................................................................................. 103  Taille des organisations représentées ................................................................................................. 104  Périmètre des organisations représentées .......................................................................................... 105 

3. 

LISTE DES TABLEAUX ET SCHEMAS...................................................... 106 

1. OBJECTIFS ET PRINCIPAUX RESULTATS
Le cadre de référence de l’IIA (The Institute of Internal Auditors) fournit les éléments nécessaires à une pratique professionnelle de l’audit interne. Mais au-delà de ce canevas, les auditeurs internes et leurs interlocuteurs s’intéressent à la façon dont ces principes sont respectés et pris en compte dans les activités de l’audit interne.

Depuis 1972, la fondation de la recherche de l’IIA a réalisé cinq enquêtes pour avoir un aperçu de la pratique de l’audit interne et mettre à jour le « Common Body Of Knowledge » (CBOK). Le CBOK de l’IIA constitue le dénominateur commun des auditeurs internes. Ce socle de connaissance référence notamment les compétences attendues de la part de professionnels. La véritable première enquête internationale a été initiée en 1999. Elle a donné lieu à une série de publications dont les grandes lignes ont été traduites par l’Institut Français de l’Audit et du Contrôle Internes (IFACI) et publiées dans le cahier de la recherche « Evaluation de la compétence dans la pratique de l’audit interne _ un cadre de référence » en janvier 2001. Par le nombre de personnes concernées et le type de sujets abordés, l’enquête mondiale menée par l’IIA en 2006 va encore plus loin. C’est pourquoi, l’IFACI a décidé d’analyser les données collectées en France

1.1. Contexte des travaux : une enquête mondiale lancée fin 2006
L’enquête réalisée par l’IIA en novembre 2006 a été relayée par les instituts affiliés. Des questionnaires spécifiques ont été adressés à trois catégories de professionnels :

1. les auditeurs internes ;

2. les responsables d’audit interne. Outre les points traités par les auditeurs internes, les responsables d’audit interne ont répondu à des questions

© IFACI juin 2008

4

spécifiques telles que les relations avec le comité d’audit, la planification des missions, la gestion des ressources humaines ;

3. les instituts affiliés à l’IIA, tels que l’IFACI, ont fourni des éléments sur leur organisation, l’environnement réglementaire de l’audit interne, l’utilisation du code de déontologie et des normes professionnelles dans leur pays.

Cette enquête se distingue des précédentes par le nombre de pays concernés (91) et le nombre de répondants (9 366 questionnaires d’auditeurs internes et de responsables d’audit interne ont été exploités au niveau mondial).

1.1.1. Objectifs de l’enquête de l’IIA
L’enquête mondiale doit permettre de mettre à jour le CBOK. Elle a pour ambition de répondre aux questions suivantes: •

Comment l’audit interne est-il pratiqué à travers le monde ? o o o o o o indépendance et positionnement des services d’audit interne ; caractéristiques (taille, ancienneté…) des services d’audit interne ; périmètre des activités de l’audit interne ; types de missions réalisées ; ressources ; méthodes et outils.

Qui sont les auditeurs internes ? o o o leur parcours professionnel ; leurs compétences ; leur formation initiale et professionnelle.

La définition de l’audit interne établie par l’IIA en 1999 est-elle toujours opérationnelle ?

Quel

est

le

niveau

d’adéquation

et

d’utilisation

des

normes

professionnelles d’audit interne ? •

Comment mesure-t-on la valeur ajoutée de l’audit interne ?

© IFACI juin 2008

5

certifications individuelles et examens professionnels . L’IIA a publié par la suite des documents knowledge/). publications de la Research Foundation de l’IIA.1. notes interprétatives de normes. Les premiers résultats du CBOK ont été présentés lors de la conférence internationale de l’IIA à Amsterdam en juillet 2007. Structure des résultats et principaux livrables L’analyse effectuée par l’IIA peut être résumée selon les axes suivants : • • • • • • la structure des services d’audit interne .org/research/common-body-of- © IFACI juin 2008 6 . les connaissances et les compétences des auditeurs internes . processus d’évaluation de la qualité des services d’audit . programmes et outils de formation .2. modalités pratiques. Ces données seront utilisées par l’IIA à différents titres : • évolution du cadre de référence de la pratique professionnelle de l’audit interne (normes.• Quels sont les différents modes d’évaluation (interne et externe) de l’audit ? • Le développement de l’audit interne est-il en adéquation avec les enjeux futurs des organisations ? 1. guides d’application…) à l’horizon 2009 . les enjeux du futur. les activités de l’audit interne . les normes professionnelles .theiia. • • • • • promotion de la profession . plus détaillés (http://www. l’impact de l’environnement réglementaire des différents pays .

Ces résultats sont utilisés par de nombreux professionnels comme points de repères dans l’exercice de leur métier. avec des interlocuteurs et des attentes multiples. Pour avoir d’autres points de vue sur les résultats du CBOK. Cette demande de benchmark est liée au fait que l’audit interne est une profession qui touche des organisations de plus en plus différentes. Le groupe de recherche a donc traité les 235 réponses relatives à la France. les points de repères tels que le CBOK permettent de se confronter aux meilleures pratiques et de conforter le professionnalisme des auditeurs internes. Objectifs du groupe de recherche de l’IFACI La nécessité de mieux connaître la profession a conduit l’IFACI à réaliser régulièrement des enquêtes dont les plus récentes ont été effectuées en 2002 et en 2005. L’enquête mondiale réalisée en 2006 est une bonne occasion d’étendre le benchmark aux pratiques internationales. type d’organisation) ou démographiques (taille de l’organisation. Par ailleurs.ifaci.2. vous pouvez consulter : • Revue Audit Interne n°187 de Décembre 2007 « Audit interne : Vue panoramique internationale » • Colloque du 13 décembre 2007 « L’audit interne en France et dans le monde : Etats des lieux et perspectives » (Cf. des groupes de recherche ont initié des revues de bonnes pratiques dont les résultats sont publiés dans les cahiers de la recherche. Des analyses spécifiques ont été effectuées pour prendre en considération les variables sectorielles (secteur d’activité.1. www. parmi lesquelles celles de 69 responsables d’audit interne (RAI). Ces résultats ont été comparés à ceux de l’enquête IFACI 2005 et aux tendances de l’enquête mondiale. Dans ce contexte. d’actualiser et de compléter les données des précédentes enquêtes réalisées en France par l’IFACI.com) © IFACI juin 2008 7 . L’appropriation des normes professionnelles par les auditeurs internes s’accompagne d’un besoin de se positionner par rapport aux pratiques de leurs pairs. taille du Service d’Audit Interne).

Enfin. à la différence des précédentes enquêtes de l’IFACI. Il ne s'agit donc pas de l'analyse d'un échantillon statistique mais du traitement de toutes les réponses. Certaines questions nous ont paru mal appréciées par les répondants en raison de problèmes de traduction et nous les avons exclues de cette analyse. le nombre d’organisations représentées par les 235 répondants est inconnu. Il n'a donc pas été possible d'agréger les données individuelles par service d’audit interne.Avertissement méthodologique Le public interrogé est directement ou indirectement adhérent à l'IIA. l’analyse et l’interprétation des réponses donnent un reflet de la pratique et des opinions des professionnels de l’audit interne en France et dans le monde. en France le questionnaire a été envoyé à tous les adhérents de l'IFACI. Lorsqu’aucune précision n’est apportée. Malgré ces réserves d’ordre méthodologique. Ainsi. © IFACI juin 2008 8 . les pourcentages commentés ci-après renvoient aux données relatives à la France.

Ainsi l’existence d’un Comité d’Audit est citée par 80% des répondants. Ce rôle est facilité par l’existence d’organes de gouvernance. l’implication des dirigeants dans la nomination du responsable d’audit interne (RAI) contribue à renforcer son indépendance vis-à-vis du management opérationnel : 71% des répondants indiquent que le Directeur Général participe à la nomination du responsable d’audit interne. Les responsables d’audit interne estiment à 78% qu’ils ont un accès approprié au Comité d’Audit (92% au niveau IIA. L'Audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations. le profil des auditeurs et les tendances prévues à court terme. et en faisant des propositions pour renforcer leur efficacité. 78% des répondants constatent que leur service est positionné à un niveau suffisant au sein de l’organisation pour être efficace. lui apporte ses conseils pour les améliorer. et contribue à créer de la valeur ajoutée. Dans la pratique. Positionnement adéquat et relations étroites avec les acteurs clés de la gouvernance La quasi-unanimité (92%) des répondants partagent le fait que l’indépendance est un facteur clé pour que l’audit interne apporte une réelle valeur ajoutée.3. Cette relation passe par la participation aux réunions planifiées du Comité d’Audit et par les rencontres © IFACI juin 2008 9 . Il aide cette organisation à atteindre ses objectifs en évaluant. Elle précise également les caractéristiques des services d’audit interne. trois quart des répondants sont d’accord ou tout à fait d’accord avec l’affirmation selon laquelle « la fonction d’audit interne fait partie intégrante du processus de gouvernement d’entreprise en fournissant des informations fiables à la direction générale ». Ce pourcentage est de 50% pour la participation du président et 33% pour le comité d’audit. L’indépendance est également confortée par un positionnement adéquat au sein de l’organisation.1. par une approche systématique et méthodique. En effet. 94% aux USA). Principaux résultats L’enquête permet de confirmer la pertinence des principes développés dans la définition de l’audit interne proposée par l’IIA/l’IFACI. ses processus de management des risques. et de gouvernement d'entreprise. de contrôle. Par ailleurs. Cette indépendance est notamment formalisée dans une charte d’audit interne chez 83% des répondants en France (72% au niveau mondial). Cette pratique est aussi répandue au niveau mondial (73%). L’audit interne est confirmé dans son rôle de partenaire clé du Directeur Général et du Comité d’Audit.

En effet. On constate une expérience moyenne en audit interne égale à 6 années. Ce taux est de 3% en France. L’expérience moyenne en audit interne est de quatre ans et demi. les responsables d’audit interne sont confrontés à des vacances de poste. 13% en France). Le recours à des prestataires externes n’apparaît qu’en deuxième position (à 39%). Dans ce cas. Ces moyennes recouvrent des différences sectorielles qui sont encore plus nettes dans l’analyse du ratio du nombre d’auditeurs rapporté à l’effectif de l’organisation. Ils sont 55% à appartenir à un service d’audit interne de moins de dix auditeurs et 18% dans des services d’audit interne de plus de quarante auditeurs. Le caractère récent des services d’audit interne est également constaté au niveau international. En France.supplémentaires. Une profession en plein essor et des effectifs contrastés Les services d’audit interne (SAI) sont plutôt récents puisque 55% des répondants appartiennent à des services qui ont moins de 10 ans d’existence. Cette tendance se retrouve également chez les Responsables d’Audit Interne. la proportion de service d’audit interne ayant plus de vingt ans d’expérience est plus importante ailleurs (28% à l’IIA. 41% des responsables d’audit interne ont des rencontres informelles avec le Comité d’Audit ou son Président. En termes d’effectifs. 37% aux USA. 19% des Responsables d’Audit Interne ont plus de 10 ans d’ancienneté en audit interne. au niveau de l’IIA. Les auditeurs ayant 6 ans d’expérience et plus représentent 20% des répondants. Environ 50% des effectifs interrogés ont moins de trois ans d’ancienneté en audit interne. un tiers des répondants sont dans des services d’audit interne de moins de cinq auditeurs. Cette moyenne recouvre des différences selon les secteurs d’activités (39% des répondants du secteur bancaire sont dans des services d’audit interne de moins de 10 ans alors que ce pourcentage est de 87% pour les industries de la transformation). Aux USA ce type de rencontre est plus fréquent (63%). Néanmoins. ils choisissent de réduire leur périmètre d’intervention (46%). Le turn over est moins élevé au niveau de l’IIA. 10 © IFACI juin 2008 . Compte tenu du turn-over des auditeurs internes.

de contrôle. 44% des répondants citent ce domaine d’intervention par rapport à 52%au niveau mondial). dans les secteurs Industrie. Commerce. Ces trois domaines sont cités par toutes les catégories de fonction. les résultats montrent que le rôle actuel de l’audit interne est relativement en retrait sur les questions de Corporate gouvernance (en France. Service cet indicateur s’exprime en nombre d’auditeurs internes pour 1000 employés. Les ressources et les compétences sont mobilisées pour réaliser prioritairement des : © IFACI juin 2008 11 . En effet. En outre. la surveillance de l’évaluation de la conformité aux réglementations (71%) . l’alignement stratégique ou les fusions.Alors que dans les banques et les assurances. Par rapport à la définition de l’IIA qui indique que l’audit interne évalue les processus de management des risques. Il est vrai que ces domaines donnent plutôt lieu à des missions de conseil dont les enjeux sont plus perceptibles pour les responsables d’audit interne. les activités sous-traitées représentent moins de 10% de leurs activités. les responsables d’audit interne sont plus attentifs aux problématiques transverses comme le management de projet. et de gouvernement d’entreprise. Ces ressources internes sont occasionnellement complétées par des contributions externes. ce ratio est de l’ordre de un auditeur interne pour 100 employés. la prévention et la détection de fraudes (65%). pour 80% des répondants. le recours aux sous-traitants reste marginal. Ces prestations sont surtout sollicitées pour répondre à des carences en compétences techniques ou informatiques. Néanmoins. La composante risque est mieux représentée en France où elle est citée par 77% des répondants au lieu de 67% à l’international. Périmètre d’intervention et principales activités des services d’audit interne Les trois domaines phares du périmètre d’intervention actuel de l’audit interne sont : • • • le processus de management des risques (77% des répondants considèrent que leur service joue un rôle dans ce domaine) .

puisque : • l’évaluation des risques liés aux systèmes d’information est réalisée à hauteur de 44% par le service d’audit interne et de 30% par d’autres directions . Compétences-clés et formation des auditeurs internes Les principales compétences comportementales que les responsables d’audit interne recherchent chez un auditeur interne sont : • • • la confidentialité (82%) . le taux d’implication des services d’audit interne est de 25% pour les missions « Hygiène. Les résultats de l’enquête montrent bien que d’autres acteurs sont concernés par l’évaluation des risques. les audits des systèmes d’information (8% du temps passé). Par exemple. L’emploi du temps des auditeurs est complété par des missions de conseil (9% du temps passé) ou plus opérationnelles. Ces compétences sont nécessaires pour la préparation et la réalisation efficiente des missions d’audit interne : © IFACI juin 2008 12 . les responsables d’audit interne mentionnent principalement des savoir-faire liés au recueil des données et l’analyse des risques. Environnement ».• • • audits de conformité (aux lois. la capacité à travailler en équipe (80%) . règlements et procédures) : 22% du temps passé . audits de processus financiers : 13% du temps passé. audits opérationnels: 20% du temps passé. les services d’audit interne ont une participation minoritaire. Sécurité. Parmi les compétences techniques attendues des auditeurs internes. l’objectivité (77%). Cette implication dans le domaine des systèmes d'information nécessite des compétences spécifiques. Dans certains domaines. L’audit interne est très concerné par les aspects relatifs aux systèmes d’information. Ainsi les missions d’audit de la sécurité sont réalisées à 37% par des services d’audit interne. • l’évaluation de la Direction des systèmes et technologies de l’information est effectuée par le service d’audit interne pour 46% des répondants. les investigations de fraude (5% du temps passé).

Les certifications individuelles permettent également de développer le professionnalisme des auditeurs. • • la capacité à réaliser des entretiens (68%) . réglementations) est citée par 42% des répondants comme étant une compétence nécessaire pour les responsables d’audit interne. les auditeurs internes se fondent sur leur professionnalisme avec notamment une approche par les risques qui se généralise. • • L’aptitude au leadership (62%) et à l’organisation (46%) . Outre les compétences des auditeurs internes. La proactivité (se tenir à jour des changements professionnels : opinions. 46% l’utilisation des technologies de l’information) . normes. Elle sert surtout à développer des connaissances techniques spécifiques telles que les normes et les pratiques professionnelles. © IFACI juin 2008 13 . l’analyse des risques (51%). Approche par les risques et professionnalisme : éléments incontournables de la pratique de l’audit interne Pour assumer leur rôle et répondre aux principales attentes de l’organisation. l’enquête met en exergue des qualités spécifiques attendues de la part des responsables d’audit interne telles que : • La capacité à promouvoir la fonction d’audit interne (citée par 75% des répondants comme une compétence principale des responsables d’audit interne). Elle passe notamment par le sens de la négociation (72%) et des compétences en communication (62%) . Deux tiers des répondants à la question « combien de personnes ont une certification en audit interne ? » déclarent qu’il y a au moins un auditeur disposant d’une certification telle que le Certified Internal Auditor (CIA) dans leur service. L’acquisition de ces compétences passe notamment par la formation professionnelle. Tous les responsables d’audit interne mentionnent ce thème de formation et 43% d’entre eux l’inscrivent chaque année au programme de formation de leur service.• l’utilisation des systèmes d’information (76% citent l’extraction et l’analyse des données.

En effet : • pour 28% des répondants en France (12% au niveau mondial). l’enquête donne des précisions sur leur niveau d’utilisation. Cette démarche est également utilisée pour la conception des programmes de travail. satisfaisant par plus de 90% des répondants. • les normes de la série 2600 « acceptation des risques par la direction générale » (79%des répondants. en France. ils sont 77% au niveau mondial) . le professionnalisme des auditeurs internes se fonde sur l’utilisation des normes.94% des répondants formalisent les missions d’audit dans le cadre d’un plan annuel et. D’ailleurs. Ainsi. l’IFACI avait anticipé des difficultés éventuelles à sa mise en œuvre et avait prévu que l’acceptation des risques par la direction générale devrait être appliquée avec sagesse et prudence . dans 79% des cas. Le niveau d’adéquation des normes professionnelles de l’audit interne est jugé. En plus du panel de connaissances et de compétences attendues. la jugent adéquate. ils sont 76% au niveau mondial). la raison principale est que le Management et/ou le Conseil n’en perçoivent pas la valeur . en France. lors de la traduction de la norme 2600. ils sont 81% au niveau mondial). Il convient d’apporter une précision sur « les raisons pour lesquelles certains services d’audit interne n’utilisent pas. en partie ou en totalité. Les normes qui n'atteignent pas ce niveau de quasi-unanimité sont : • les normes de la série 1300 « programme d’assurance et d’amélioration qualité » (76% des répondants. Ce taux est de 82% au niveau mondial. Ils sont 70% des répondants à affirmer que leur service d’audit interne utilise les normes professionnelles de l’IIA. la jugent adéquate. 90% des répondants déclarent que l’approche par les risques est utilisée dans le cadre des missions d’audit. en France. en moyenne. la jugent adéquate. Outre la question concernant l’adéquation des normes. cette planification est réalisée à partir d’une analyse de risques. les normes ». • les normes de la série 2500 « surveillance des actions de progrès » (83% des répondants. © IFACI juin 2008 14 .

un engagement permanent d’amélioration continue est indispensable pour apporter davantage de valeur ajoutée à la Direction Générale. Une évolution du cadre de référence est prévue en 2009. 16% (6 % au niveau mondial) considèrent que les normes et les modalités pratiques d’application qui les accompagnent sont trop complexes. et afin d’atteindre les objectifs de leurs missions. Par rapport aux résultats constatés au niveau de l’IIA. seulement 3% des répondants ne font pas de suivi formel des plans d’actions. Dans un environnement en constant changement et de plus en plus exigeant. les recommandations doivent s’inscrire dans un processus plus global de gestion de la qualité des activités de l’audit interne. Pour réellement apporter de la valeur à leur organisation.• • 20% (12 % au niveau mondial) jugent que cela est trop consommateur de temps . les services d’audit interne utilisent de plus en plus d’outils et de méthodes fondées sur les technologies de l’information. les techniques et outils relativement peu utilisés en France sont : • • • l’audit en continu et en temps réel . au Comité d’Audit et à l’organisation. les outils de revue qualité des services d’audit interne . Ainsi. © IFACI juin 2008 15 . les techniques de gestion totale de la qualité. La valeur ajoutée et l’évaluation de l’audit interne La valeur ajoutée de la fonction se traduit notamment par la mise en œuvre des recommandations issues des missions d'audit interne. Les notes interprétatives des normes devraient réduire la perception de complexité et les guides d’application seront rapidement transposables dans les services d’audit interne. Conformément aux préconisations des modalités pratiques d’application. D’où l’importance des actions correctives. Les projections à trois ans confirment l’utilisation d’outils d’extraction et de traitement des données avec une bonne progression des outils de revue des programmes d’amélioration qualité des services d’audit interne.

développer un tel programme fait partie des éléments structurants qui permettent de renforcer leur crédibilité et leur autorité. pour 38% . En effet. En synthèse… L’audit interne est une profession qui a su s’adapter aux besoins actuels des organisations pour une meilleure maîtrise des risques. Pour les services d’audit interne récents. Les résultats de l’enquête montrent une marge de progression dans ce domaine. la mise en place de check-lists et de manuels donnant l’assurance que des processus d’audit adéquats sont respectés. Les méthodes et les différents outils développés dans les services d’audit interne permettent de répondre aux attentes des organisations.Ce processus permet également de : • • • respecter les normes professionnelles et être en mesure d'en rendre compte . renforcer l’image et la crédibilité de l’audit interne au sein de l’organisation. 34% des répondants n’ont jamais réalisé d’évaluations externes de leur service d’audit interne. © IFACI juin 2008 16 . pour 56% des répondants . 42% des répondants déclarent que leur service n’a jamais réalisé d'évaluations internes. La mise en œuvre d’un programme d’amélioration qualité doit inclure des évaluations internes et des revues externes indépendantes. maintenir et développer la qualité des prestations au plus haut niveau . Par ailleurs. le recueil de l’opinion des clients de l’audit à la fin d’une mission. pour 36% . Son rôle de partenaire clé des dirigeants n’est plus à démontrer. Les principales activités effectuées dans le cadre du programme d’assurance et d’amélioration qualité du service d’audit interne sont : • • • la supervision des missions.

Les auditeurs internes de demain doivent. Cette tendance devrait se confirmer dans les trois prochaines années. Pour pleinement contribuer à la performance de l’organisation. leur professionnalisme.Les services d’audit interne doivent développer. le CBOK montre que des fonctions support de l’entreprise (Hygiène Sécurité Environnement. Une implication beaucoup plus grande de l’audit interne se dessine dans les domaines suivants : • • • la gestion de projet . l’alignement stratégique et la mesure de la performance . La coordination des travaux avec ces différents acteurs devient cruciale pour mieux répondre aux attentes des opérationnels et des organes dirigeants. plus que jamais. En effet. 83% des auditeurs internes sont recrutés au niveau Bac+5) et par un investissement dans leur formation professionnelle. ils sont respectivement 82% et 77% à considérer que leur service d’audit interne a un rôle présent ou futur dans ces deux domaines. © IFACI juin 2008 17 . Dans les prochaines années. SI…) participent à la maîtrise des risques de l’entreprise. l’audit interne doit prendre en considération les autres activités d’identification des risques et de contrôle existantes. Le management des systèmes d’information et la sensibilisation du personnel au contrôle interne font déjà partie du périmètre d’intervention des auditeurs internes. 39% en ce qui concerne la conformité. En effet. à travers un processus d’amélioration continue. Il est néanmoins nécessaire de diversifier les différentes compétences existantes pour répondre aux enjeux futurs des organisations. le benchmarking . savoir proportionner leurs activités en fonction des risques de l’entreprise qu’ils auront contribué à identifier. le triptyque de la définition de l’audit interne sera toujours d’actualité : • 76% des responsables d’audit interne considèrent que le rôle de l’audit interne va augmenter en matière de gestion des risques . • • 41% pour les questions de gouvernement d’entreprise . Le développement des compétences est actuellement facilité par le niveau de recrutement des auditeurs internes (en France.

© IFACI juin 2008 18 . et les questions de responsabilité sociale et Ces évolutions du rôle de l’audit interne intègrent bien la nécessité de considérer toutes les parties prenantes de l’organisation pour mieux gérer l’ensemble des risques. Elles répondent également à l’exigence d’une meilleure maîtrise de l’environnement de contrôle.• • le Knowledge Management . l’environnement environnementale.

1. les caractéristiques des services d’audit interne (type d’activités. risques et contrôle. DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE Effectif total (IIA) 66% 73% 57% 53% Effectif total (France) 68% 68% 54% 37% Responsable Audit Interne (France) 81% 75% 70% 55% Type de documents Plan stratégique à long terme Code d’éthique/ code de conduite Charte du Comité d’Audit Code de gouvernement d’entreprise © IFACI juin 2008 19 . l’évaluation de l’audit interne. le profil des auditeurs internes (formation. les programmes d’assurance qualité . compétences…) . l’adéquation des normes professionnelles d’audit interne et la conformité des services d’audit interne . les enjeux actuels en matière de gouvernance. 70% ont formalisé une charte pour le fonctionnement de leur comité d’audit.1. outils et méthodes) . 75% des répondants disposent d’un code d’éthique . 1. composition. Ainsi : • • • • 81% des responsables d’audit interne (RAI) indiquent que leur organisation a établi un plan stratégique à long terme . Analyse détaillée Les réponses à la soixantaine de questions du CBOK 2006 fournissent des informations tangibles sur des thèmes comme : • • • • • • le positionnement des services d’audit interne . Gouvernance et indépendance Les sociétés françaises sont de plus en plus nombreuses à se conformer aux principes de gouvernement d’entreprise.4. expériences professionnelles.4. 55% ont mis en place un code de gouvernement d’entreprise.

80% des responsables d’audit interne indiquent l’existence d’une lettre de mission de la fonction audit interne. Ainsi.71). En contribuant ainsi à l’atteinte des objectifs ils renforcent de fait le contrôle interne. 1. sur les outils et méthodes. Nomination et évaluation du responsable de l’audit interne L’indépendance et le positionnement de l’audit interne comme acteur clé de l’organisation impliquent que la nomination et l’évaluation du responsable d’audit interne relèvent de niveaux hiérarchiques élevés.1. L’intervention de la Direction Générale est plus marquée en France (71% au lieu de 54% au niveau de l’IIA). la réalisation des travaux et la communication des résultats. La charte d’audit interne L’audit interne doit être indépendant dans l’exercice de sa mission.4. 1. le président du Conseil est également impliqué.2.1. Les services d’audit interne ont également mis en place un certain nombre de documents (cf.4. 71% des répondants indiquent que le Directeur Général participe à la nomination du responsable d’audit interne.4. QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ? IIA Directeur Général Président du Conseil Comité d’Audit Directeur financier Autres 54% 51% 33% 28% 17% France 71% 51% 37% 34% 12% Ainsi. p.Ces documents formalisent les valeurs définies par les organes du gouvernement d’entreprise. © IFACI juin 2008 20 . Dans la moitié des cas. Ce document existe chez 83% des répondants (72% au niveau de l’IIA). Ils favorisent l’adhésion à ces principes de gouvernance.5.4. § 1. Cette exigence est formalisée par écrit dans la charte d’audit interne.1. Il ne doit subir aucune limitation dans la définition de son champ d’intervention.

QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE (ANALYSE DETAILLEE AU NIVEAU DE L’IIA) ? Groupe 1 (dont USA) Directeur général Président du Conseil Comité d’audit 56% 18% 68% Groupe 3 (dont UK) 59% 14% 67% Groupe 8 (dont France) 58% 53% 37% L’analyse détaillée réalisée par l’IIA démontre des niveaux d’implication différents du Comité d’Audit et du Conseil. la transposition de la 8ème directive européenne concernant les contrôles légaux des comptes annuels et les comptes consolidés (2006/43/CE) contribuera à la clarification des relations audit interne/ comité d’audit. Bien au-delà de la question de la nomination du responsable de l’audit interne. Outre les écarts constatés entre groupe de pays. le schéma ci-après révèle également des niveaux d’intervention différents selon le secteur d’activité notamment en ce qui concerne le rôle du Directeur Financier. Ces résultats reflètent les différentes responsabilités attribuées au Comité d’Audit selon les pays. © IFACI juin 2008 21 .

LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON LE SECTEUR Président Comité d'Audit/Président Personne rattachée au DF 100 DG Directeur Financier 90 80 70 60 50 40 30 20 10 0 Services publics Technologie Banque Assurance Telecom Tous secteurs Quel que soit le secteur d’activité. le Comité d’Audit est clairement identifié comme un acteur majeur de l’évaluation de l’audit interne. Cette instance est impliquée dans l’évaluation des résultats de l’audit interne pour 57% des cas (49% au niveau IIA et 60% aux USA). ces secteurs à fort environnement réglementaire sont ceux où le nombre de décideurs dans la nomination du responsable d’audit interne est le plus restreint. L’intervention du directeur financier n’apparaît ni dans les services publics ni dans les assurances et très faiblement dans la banque (10%). L’évaluation du responsable d’audit interne fait intervenir quasiment les mêmes acteurs. Toutefois. Le pôle de décision est centré sur le Directeur Général et l’organe délibérant (Président du Conseil et Comité d’Audit). l’intervention du Directeur Général dans la nomination du responsable de l’audit interne est citée par plus de 70% des répondants. © IFACI juin 2008 22 .

de management des risques et de contrôle mis en œuvre dans l’organisation. Le CBOK confirme ce constat puisque 80% des répondants indiquent que leur organisation a un Comité d’Audit (73% au niveau IIA et 85% aux USA). la différence la plus forte s’observe entre les sociétés cotées (91% des responsables d’audit interne indiquent l’existence d’un Comité d’Audit) et les sociétés non cotées (67%). En effet. L’enquête de l’IIA montre que le nombre de réunions du Comité d’Audit auxquelles participent les responsables d’audit interne est variable.QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ? IIA Directeur Général Président du Conseil Comité d’Audit Conseil d’Administration Comité de Direction 45% 16% 49% 16% 31% France 60% 36% 57% 10% 44% 1. EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION France Société cotée Société privée non cotée Secteur public Autres Total 91% 67% 71% 75% 80% Les relations entre l’audit interne et le Comité d’Audit se matérialisent pas des rencontres formelles et informelles.1. l’audit interne est un acteur clé de la gouvernance d’où la nécessité d’une interaction régulière avec le Comité d’Audit. Relations avec le comité d’audit L’enquête IFACI de 2005 avait déjà mis en évidence le développement des comités d’audit. Concernant l’influence du type d’organisation.3. Le responsable d’audit interne doit régulièrement rendre compte de son activité et donner au Comité d’Audit toutes les informations nécessaires sur les processus de gouvernement d’entreprise.4. © IFACI juin 2008 23 .

Au niveau international. la fréquence de participation des responsables d’audit interne aux réunions du Comité est plus élevée au niveau de l’IIA : 71% des responsables d’audit interne participent à quatre réunions au moins par an. Ces pourcentages masquent une forte variabilité dans la composition des Comités d’Audit (notamment entre le secteur privé et le secteur public) et dans leur agenda (l’accent peut être mis sur l’examen des comptes laissant moins de temps à l’examen de l’ensemble des risques et des dispositifs de contrôle). En France.PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU COMITE D’AUDIT IIA Aucune participation Deux réunions par an Quatre réunions par an Cinq réunions et plus 8% 8% 32% 39% France 18% 20% 20% 29% En France. ce taux est plus faible (8%). De plus. © IFACI juin 2008 24 . le ratio équivalent est de 49%. 18% des responsables d’audit interne ne participent à aucune réunion du Comité d’audit.

L’audit interne peut également © IFACI juin 2008 25 . Ils sont 91% à partager ce constat au niveau de l’IIA et 94% aux USA.REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT Relations avec le Comité d’Audit France Nombre de responsable d’audit interne ayant répondu à la question Votre organisation disposet-elle d’Audit ? Au-delà des réunions d’un Comité 69 80% 73% OUI (%) OUI (%) IIA prévues régulièrement. Au-delà des réunions régulières planifiées. Pourtant. le responsable d’audit interne rencontre t-il le Comité d’Audit ou son Président? Le responsable estime-t-il accès d’audit avoir au 54 78% 91% 56 41% 63% interne suffisamment Comité d’Audit ? En France. L’information du Comité d’Audit porte essentiellement sur la nature des activités de l’audit interne et sur les résultats des missions. Ce ratio est inférieur au pourcentage mondial qui est de 63%. 78% des responsables d’audit interne estiment qu’ils ont un accès approprié à au Comité d’Audit. 41% des répondants rencontrent le Comité d’Audit ou son Président. ces rencontres supplémentaires répondent à un réel besoin puisque les responsables d’audit interne qui estiment qu’ils n’ont pas un accès approprié au Comité d’audit sont majoritairement ceux qui ne rencontrent pas les membres du Comité d’Audit en dehors des réunions planifiées.

Ce taux est de 34% au niveau de l’IIA. Il est plus fort dans les pays du groupe 1 (dont USA) où l’implication de l’audit interne dans la formation des membres du comité d’audit est citée par 47% des répondants. Selon l’enquête. par exemple en lui donnant des informations sur les bonnes pratiques en matière de management des risques et de gouvernement d’entreprise. 27% des responsables d’audit interne indiquent que leur service assure la formation des membres du Comité d’Audit. Des activités similaires sont courantes dans les pays du groupe 3 (dont UK) où le pourcentage est du même ordre (43%).apporter une assistance au Comité d’Audit. © IFACI juin 2008 26 .

l’audit interne s’appuie sur ses propres effectifs et d’autres ressources internes ou externes à l’organisation. 24% ont moins de 5 ans. cette catégorie représente 28% au niveau de l’IIA et 37% aux USA. 1.4.1. La proportion de services d’audit interne de moins de dix ans est sensiblement la même au niveau de l’IIA (49%).4. 13% des répondants exercent dans des services qui ont plus de 20 ans d’ancienneté.1.2. Si en France. plus de la moitié des services d’audit interne représentés (55%) ont moins de dix ans d’existence. © IFACI juin 2008 27 . Pour assumer des responsabilités qui s’étendent sur un large périmètre d’intervention. Zoom sur une profession en plein essor L’audit interne est une fonction qui se développe au sein des organisations.2. DES SERVICES D’AUDIT INTERNE RECENTS Ancienneté >20 ans IIA 16-20 ans 11-15 ans 6-10 ans 0-5 ans France 0% 5% 10% 15% 20% 25% 30% 35% Ainsi. La dernière décennie confirme le développement de la fonction L’analyse de l’ancienneté des services d’audit interne montre que l’audit interne est souvent une fonction récente.

c’est dans ces secteurs que le caractère récent de la fonction est encore plus marqué (87% des Services d’Audit Interne de la transformation ont moins de 10 ans. la création de nouveaux services marque surtout la reconnaissance de la valeur ajoutée de l’audit interne pour les organisations. L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE Transformation Années Banque Télécommunication Assurance 0-5 6-10 11-25 >25 17% 22% 36% 25% 9% 45% 37% 9% 25% 44% 28% 3% industrielle 40% 47% 6% 7% Chimie/ Pharmacie Technologie 29% 29% 35% 7% 18% 35% 41% 6% Effectif total 24% 31% 36% 9% C’est dans le secteur bancaire qu’on retrouve les services d’audit interne les plus anciens : 25% des services d’audit interne de ce secteur ont plus de 25 ans alors qu’il y a 7% des auditeurs de secteurs industriels tels que la chimie/ pharmacie ou la transformation qui exercent dans des services aussi anciens. Ces écarts ne sont pas simplement dus à des différences entre secteur financier et secteur industriel. L’ancienneté des recommandations des instances de régulation bancaires en matière de contrôle interne explique les spécificités de ce domaine d’activité. A contrario. De plus. la complexification des activités et des risques nécessite le recours à des professionnels qui savent s’appuyer sur une méthodologie et des normes dont la portée est internationale. Mais. © IFACI juin 2008 28 . il y a également une différence entre la banque et l’assurance puisque seulement 3% des services d’audit interne de l’assurance ont plus de 25 ans d’ancienneté.Cette propension au développement des services d’audit interne est en partie liée aux nouvelles réglementations en matière de contrôle interne et de gouvernement d’entreprise. 60% du secteur chimie/pharmacie). En effet. au-delà de ces exigences. L’ancienneté du service d’audit interne varie en fonction du secteur d’activité et du type d’organisation.

désormais il s’agit d’évaluer la cohérence et la robustesse des dispositifs de maîtrise des activités. 1. Comme dans le secteur bancaire. 25% des services d’audit interne du secteur public ont plus de 25 ans. Cette tendance s’inverse lorsque l’on remonte sur la tranche des 6 à 10 ans d’ancienneté. La création de services d’audit interne dans les organisations à but non lucratif est clairement un phénomène récent (71% des services d’audit interne de ce secteur ont moins de 10 ans). 20% des effectifs ont un an d’ancienneté. Le turn-over des auditeurs internes est-il une spécificité française ? Le passage à l’audit interne est souvent présenté comme un tremplin pour des cadres à hauts potentiels. Cette hypothèse est confirmée par le fait que : • • 50 % des personnes interrogées ont moins de 3 ans d’ancienneté en audit interne.L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE D’ORGANISATION Années Cotée 0-5 6-10 11-25 >25 19% 34% 38% 9% Non cotée 28% 23% 37% 12% Secteur public 25% 25% 25% 25% Organisations à but non lucratif Effectif total 24% 47% 29% 0% 24% 31% 36% 9% On note une plus grande proportion de services d’audit interne de moins de 5 ans d’ancienneté dans les entreprises non cotées (28%) au lieu de 19% pour les sociétés cotées.4.2. Il convient de rappeler une évolution du type d’activités depuis 25 ans. Le rôle de l’audit interne évolue également dans le secteur public notamment avec l’importance donné au renforcement du contrôle interne dans le cadre de la LOLF (Loi Organique des Lois de Finances). © IFACI juin 2008 29 . les services étaient essentiellement orientés « inspection » .2.

1 ans).5 ans ce qui est inférieur à la moyenne constatée au niveau international (6. la situation reste contrastée puisque les auditeurs ayant 6 ans d’expérience et plus représentent 20% des effectifs et parmi eux 7 % ont 10 ans et plus d’ancienneté. © IFACI juin 2008 30 . ANCIENNETE DES AUDITEURS INTERNES Effectifs cumulés 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% < 1 an 1 an 2 ans 3 ans 4 ans 5 ans 6 ans 7 ans 8 ans 9 ans 10 ans et plus En France. l’ancienneté moyenne en audit interne est de 4.Néanmoins. Ces données sont complétées par des éléments spécifiques concernant le responsable d’audit interne.

2. En effet. Ces données étant fortement corrélées à l’ancienneté des services d’audit interne. Les responsables d’audit interne sont souvent récemment nommés.4.3. Ressources des services d'audit interne © IFACI juin 2008 31 .ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION. il sera intéressant de suivre leur évolution dans les prochaines enquêtes. COMPARAISON FRANCE/ IIA DE L’ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE Ancienneté du Responsable d’Audit Interne Inférieure ou égale à 5 ans 6 à 10 ans Plus de 10 ans IIA France 56% 25% 19% 74% 23% 3% Les intervalles extrêmes de ce tableau montrent que le turn-over des responsables d’audit interne est moins élevé au niveau de l’IIA. 63% ont moins de 3ans d’ancienneté et 3% ont plus de 10 ans d’ancienneté. 1.

Entre ces zones limites.L’enquête donne des tendances sur l’effectif moyen des services d’audit et la gestion des ressources humaines. L’effectif du service d’audit interne a été renseigné par 82% des personnes interrogées. L’effectif varie en fonction du secteur d’activité. Cette moyenne recoupe des cas de figure très variés avec aux extrêmes 8% des services d’audit interne qui ont un auditeur interne unique et la même proportion de services d’audit interne de plus de 100 auditeurs internes. Il est inférieur aux 74% constatés dans l’enquête IFACI 2005. L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE 25% 20% 15% 10% 5% 0% 1 2à 4 5à 9 10 à 19 20 à 39 40 à 100 > 100 La taille moyenne des services d’audit interne représentés dans l’enquête est de 27.7 ETP. © IFACI juin 2008 32 . Ce pourcentage est exactement le même au niveau de l’IIA. Pour notre analyse. Le meilleur indicateur de cette variabilité est le ratio du nombre d’auditeurs internes par rapport au nombre d’employés. nous n’avons retenu que les effectifs à temps plein (ETP). notons que 54% des services d’audit interne ont moins de 10 auditeurs internes.

par conséquent. Peu d’incitations financières sont proposées pour le recrutement des auditeurs internes.5% à 1% Com m erce 50% 11% 50% 10% 10% 10% 4% 39% 61% 78% 20% 30% 11% 40% 10% Pharm acie chim ie Transform ation 10% 10% 15% Assurance Banque 33% Ainsi. les indemnités de transport ou encore l’accélération des augmentations de salaire. aucun service d’audit interne des secteurs « industrie commerce » n’atteint le seuil de un auditeur interne pour 100 employés alors que 15% des banquiers et 10% des assureurs indiquent que leur service d’audit interne dépasse ce seuil. Les mesures les plus courantes sont la mise à disposition d’un véhicule de service.5 pour mille 1 pour mille à 0. le fonctionnement des services d’audit interne du secteur bancaire font l’objet d’une surveillance particulière de la part des régulateurs. La moitié des répondants des secteurs « commerce.5 pour mille. En effet. Lorsqu’il y a une vacance de poste. © IFACI juin 2008 33 . les tendances mises en exergue ne sont qu’indicatives et ne peuvent être extrapolées à l’ensemble des entités. Moins d’un tiers des responsables d’audit interne ont répondu aux questions sur les incitations spéciales pour le recrutement des auditeurs internes ainsi que sur les méthodes pour remédier à la vacance de poste ou à des lacunes de compétences . 31% au niveau de l’IIA). Ces écarts sont liés aux différences démographiques intrinsèques à chaque secteur d’activité mais également à l’environnement réglementaire dans lesquels les services d’audit interne évoluent. transformation » ont un ratio inférieur à 0.5 pour mille à 1 pour mille de 0.RATIO EFFECTIF AUDIT INTERNE/EFFECTIF TOTAL DE L’ORGANISATION < à 0.5% > 1% de 0. les responsables d’audit interne privilégient la réduction du périmètre d’intervention (46% en France.

Cette dernière méthode est d’ailleurs utilisée majoritairement (59% en France. compétences métiers propres au secteur d’activité…). La tendance mise en exergue dans l’enquête 2005 sur la pratique de l’audit interne en France est donc confirmée : 62% des services d’audit interne indiquaient qu’ils collaboraient « parfois ou souvent » avec des prestataires externes notamment pour des raisons d’accès à des spécialistes. de flexibilité par le recours à des ressources ponctuelles ainsi que d’accès aux meilleures pratiques. d’accès à des méthodologies et savoir-faire. analyse statistique. y a-t-il différentes approches de la gestion des lacunes de compétences selon les secteurs d’activité ? MODALITES DE GESTION DES LACUNES DE COMPETENCES Ensem ble Logiciel d'audit Transport Logistique Technologie Pas de lacunes de com pétences Telecom Co sourcing interne à l'organisation Pharm acie Services publics Réduction périm ètre Banque Sous traitance Assurance 0 20 40 60 80 100 © IFACI juin 2008 34 . 51% au niveau de l’IIA) pour palier le manque d’expertises spécifiques (SI. Mais. La taille du service d’audit interne n’apparaît pas comme une variable discriminante pour le choix de la méthode de gestion des lacunes de compétences.Le recours à des prestataires externes n’apparaît qu’en deuxième position (à 39% en France. 29% au niveau de l’IIA).

conformément aux dispositions ci-après. ou de connaissances financières et réglementaires pour les banques et les assurances (environ 70%). de l’efficacité et du caractère approprié des dispositifs mentionnés est assuré au moyen d’enquêtes par des agents au niveau central et.4. selon des modalités adaptées à leur taille et à la nature de leurs activités.La sous-traitance apparaît largement en tête dans les secteurs où les besoins en expertise métier sont importants : qu’il s’agisse d’expertise technique ou scientifique dans le domaine pharmaceutique (100%) ou des télécoms (83%) . du niveau de risque effectivement encouru. Les entreprises assujetties doivent. En France. pour palier à des lacunes de compétence. On note le faible recours aux solutions alternatives (réduction du périmètre et cosourcing interne) dans les secteurs à fort environnement réglementaire où la fonction d’audit interne découle d’un cadre de référence précis. En effet. l’axe contrôle est abordé ici sous l’angle de l’évaluation de la conformité réglementaire (71%) et enfin la Corporate gouvernance (44%). 33% dans le secteur de la pharmacie-chimie). la définition publiée par l’IIA prévoit que l’audit interne doit aider l’organisation à atteindre ses objectifs en évaluant « ses processus de management des risques. n’apparaît que dans le secteur des technologies.b du CRBF 97-02 relatif au contrôle périodique Au-delà des exigences exogènes. article 6 du CRBF 97-02). les services publics (69%) par rapport au secteur commercial (22%) ou industriel (par exemple. 61% des répondants indiquent que la législation locale exige une fonction d’audit interne. la perception de cette obligation existe dans tous les secteurs d’activités (54% en moyenne). les assurances (70%). l’analyse sectorielle révèle une nette dominance dans la banque (78%). Périmètre actuel d’intervention de l’audit interne La profession est marquée par le contexte réglementaire. Le questionnaire proposait 21 domaines susceptibles d’être dans le périmètre de l’audit interne.4. local. En effet. permanent ou périodique. du respect des procédures. Le CBOK donne d’autres précisions sur le périmètre de l’audit interne qui inclut des domaines comme la fraude (65%) mais également l’évaluation du management des systèmes d’information (48%). La pratique de l’audit interne concerne les trois domaines cités dans la définition IIA/IFACI : le management des risques arrive en tête avec 77% des répondants en France. disposer d’agents réalisant les contrôles. le règlement CRBF 97-02 exige que les établissements de crédits disposent d'un corps de personnel indépendant en charge du contrôle périodique (cf.2. autres que ceux mentionnés au point a ci-dessus. le recours à un logiciel d’audit. Plus marginalement. de contrôle. 1. Néanmoins. le cas échéant. Au niveau de l’IIA. b) Le contrôle périodique de la conformité des opérations. l’enquête permet de positionner le rôle actuel de l’audit interne par rapport aux besoins endogènes de chaque organisation. et de gouvernement d’entreprise ». © IFACI juin 2008 35 . Article 6.

la conformité (71%) . © IFACI juin 2008 36 . La formation (47%) concerne les sessions conçues ou animées par l’audit interne sur le risque. le contrôle interne . surtout lorsqu’on tient compte des réponses des responsables d’audit interne (ils sont 82% à considérer que leur service peut jouer un rôle dans le processus de management des risques). le management des risques et des activités de contrôle. les marchés émergents. Dans l’enquête de 2005. elles complètent donc le rôle de l’audit interne dans l’évaluation de ces processus.DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE Principaux Domaines Processus de management des risques Conformité Fraude (prévention/détection) Evaluation du management des systèmes d’information Sensibilisation et formations sur le contrôle interne. Pour en revenir à la définition IIA/IFACI. trois domaines phares ressortent : • • • le processus de management des risques (77%) . le management des risques. Les domaines les moins cités dans l’enquête du CBOK concernent la mondialisation. il n’y a pas d’écarts significatifs entre les réponses en France et les données mondiales. il n’est pas étonnant de retrouver en tête de liste. la prévention et la détection de la fraude (65%). la conformité Corporate gouvernance 52% 57% 44% 47% 50% 47% 67% 64% 69% 46% 70% 64% 77% 49% 77% 71% 65% 48% IIA USA France Au regard de ces résultats. ce taux était de 53% pour leur évaluation et 55% pour la hiérarchisation des risques. l’environnement et la gestion de crise. le rôle de l’audit interne dans la gestion des risques apparaissait moins nettement : 60% des Responsables d’Audit Interne mentionnaient un rôle principal ou secondaire dans l’identification des risques. Sur ces points. Notons que la composante gestion des risques est mieux représentée en France. Ces trois domaines se retrouvent également en tête dans la population mondiale.

L’IFACI publiera prochainement un cahier de la recherche sur l’Audit du Plan de Continuité d’Activités (PCA). puisque la moitié des répondants déclarait réaliser des missions pour évaluer les processus et les structures relatives au gouvernement d’entreprise. L’objectif de cet audit est de vérifier que les plans permettront d’assurer rapidement la reprise des activités et des processus après des circonstances défavorables. à la santé et à la sécurité dans toute évaluation du management des risques réalisée à l’échelle de l’entité. 8. il n’y a pas de différence notable entre les réponses en France et les données mondiales. Pour les domaines intermédiaires. L’IFACI publiera prochainement un cahier de la recherche sur l’Audit du Développement Durable. le cadre de référence de l’IIA indique que l’audit interne a un rôle dans l’identification et le reporting des risques environnementaux (MPA 2100-7) et dans le processus de continuité des opérations (MPA 2110-2) en particulier pendant la phase de reprise après sinistre. le tableau ci-après montre des écarts entre les réponses des responsables d’audit interne (RAI) et la population totale. Quant aux deux autres domaines liés à l’environnement (12%) et à la gestion de crise. DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE Domaines Mondialisation Marchés émergents Environnement Gestion de crise. Par contre. Les auditeurs internes doivent procéder périodiquement à un audit des plans de continuité et de reprise des opérations de l’organisation. MPA 2110-2 : Le rôle de l’Audit interne dans le processus de continuité des opérations 2. Ces sujets ne sont peut être pas identifiés en tant que tels dans le périmètre de l’audit mais ils sont certainement pris en compte dans la cartographie des risques servant de base à la planification des missions. L’audit interne doit évaluer régulièrement le processus d’élaboration du plan de continuité des opérations de l’organisation et s’assurer que la direction générale est informée du degré de préparation de l’organisation à la survenance d’un sinistre. Ces données reflètent des rôles différents au sein des services d’audit interne. parmi les trois processus prévus dans la définition. © IFACI juin 2008 37 . et qu’ils reflètent l’environnement opérationnel actuel de l’organisation. reprise d’activité IIA 15% 12% 14% 34% France 14% 8% 12% 10% La faible implication dans les sujets liés à la mondialisation (14%) et aux marchés émergents (8%) est étonnante compte tenu de la représentativité des entreprises à dimension internationale (58% des répondants). Le responsable de l’audit interne doit s’efforcer de nouer d’étroites relations de travail avec le responsable de l’environnement et de coordonner ses activités avec le plan d’audit environnemental. la gouvernance est moins bien lotie. Le responsable de l’audit interne doit intégrer les risques liés à l’environnement.Par contre. Les chiffres sont sensiblement les mêmes que dans l’enquête IFACI 2005. 6. MPA 2100-7 : Le rôle de l’audit interne dans l’identification et le reporting des risques environnementaux 1.

2. p87). © IFACI juin 2008 38 . Types d’activités réalisées par les services d’audit et de demain (cf. Au-delà du rôle actuel de l’audit interne. Le CBOK éclaire le niveau de réalisation d’une trentaine d’activités par l’audit interne. Elles peuvent prendre la forme de périmètre de leur fonction tel que envisagé par les missions de conseil plus perceptibles par les responsables de l’audit interne.AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE IIA Domaines Gestion de projet Benchmarking Alignement stratégique Fusions/ Acquisitions (Effectif total) 40% 29% 23% 18% France (Effectif total) 36% 30% 23% 19% France (RAI) 45% 44% 31% 29% Les responsables d’audit interne sont plus attentifs aux problématiques transverses. Ces résultats sont analysés dans la partie sur les enjeux d’aujourd’hui 1. le CBOK Ces domaines doivent donner lieu à des activités qui ne sont pas forcément donne une vision du formalisées dans le plan d’audit interne.5.4. D’autres services de l’organisation sont impliqués. interne L’audit interne n’est pas le seul intervenant pour l’évaluation des dispositifs de contrôle et l’amélioration de la gestion des risques. répondants dans les trois années à venir.

POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE TRENTAINE D’ACTIVITES Fusions/ Acquisitions Relation stragie/performance de l'entreprise Evaluation de la viabilité  Assistance aux auditeurs externes Audit Qualité (ISO) Evaluation de l'audit interne santé. Avec la création d’autres fonctions du contrôle interne. répartition des tâches) IIA France 0% 20% 40% 60% 80% Le service d’audit interne arrive très largement en tête sur les tâches suivantes : Les tests et l’évaluation du contrôle interne sont réalisés à hauteur de 82% (71% au niveau IIA) par le service d’audit interne . L’externalisation reste une pratique marginale. Ce ratio ne signifie pas que l’audit interne y © IFACI juin 2008 39 . Les sujets qui sont le plus sous-traités portent sur la formation des auditeurs et l’audit financier (41%). 76% des répondants soustraitent moins de 10% de leur activité. Les audits opérationnels sont effectués à hauteur de 81% (79% pour les résultats globaux) par les services d’audit interne. 3% l’ont soustraitée. sécurité. Le service d’audit interne est également très présent sur les aspects d’investigation de fraudes et d’irrégularités (63%). L’activité d’audit interne est réalisée à hauteur de 80% (86% au niveau IIA) par la direction de l’audit interne. le rôle de l’audit interne sur cette thématique devrait évoluer dans le futur au moins en ce qui concerne la nature et le nombre de tests réalisés. 6% ont totalement externalisé l’activité. la Loi de Sécurité Financière en France et le Sarbanes-Oxley Act aux Etats-Unis ne sont sans doute pas étrangers à ce ratio. au-delà du rôle primordial de l’audit interne qui consiste à évaluer les dispositifs de contrôle. évaluation du contrôle interne Activités administrative (plan d'audit. environnement Gestion de projet Audits développement durable Gestion des ressources et contrôles Projets spécifiques Formation technique des auditeurs Sécurité Conformité aux règles de protection de confidentialité (Privacy) Evaluation des risques liés à l'information Evaluation de la DSI Audits liés à l'éthique Management des risques (ERM) Conformité aux exigences de Cordporate Governance Audit financier Mise en œuvre et surveillance du dispositif de contrôle Revue/audit de l'efficacité du management Enquêtes sur la fraude et les irrégularités Audit interne Audits opérationnels Tests. Sur les 20% restant.

En France. il est fortement recommandé d’expliciter ces missions dans la Charte de l’audit. ces investigations concernent 4% du temps passé (cf graphique spécifique sur le temps passé sur chaque activité. l’évaluation de la Direction des systèmes et technologies de l’information est également effectuée par l’audit (46%). puisque : l’évaluation des risques liés aux systèmes d’information est réalisée à hauteur de 44% par le service d’audit et 30% par d’autres directions . Les trois autres sujets qui incombent majoritairement à l’audit interne sont : l’audit d’efficacité du management: 56% . l’audit interne se positionne bien. Lorsque la conception ou la gestion du processus est confiée à l’audit interne. Quant aux aspects relatifs aux systèmes d’information. En effet. Les chiffres internationaux sont proches de ceux de la France. en revanche. voire sa gestion. cette activité concerne à hauteur de 50% le service d’audit interne tandis que ce taux est de 38% au niveau de l’IIA. Par contre. la surveillance et la mise en œuvre du dispositif de contrôle : 55%. l’écart IIA /France est plus important en ce qui concerne le processus de management des risques.30). p. les missions d’évaluation du processus doivent être confiées à des personnes qui n’ont pas eu la responsabilité de sa mise en œuvre. ce type d’activités s’inscrit dans son rôle de promoteur d’une culture éthique et du respect des lois et règlements. L’écart le plus important concerne l’audit d’efficacité du management qui est cité par 49% des répondants au niveau de l’IIA. l’audit financier : 55% .consacre autant de temps. la méthode systématique et rigoureuse qu’il déploie permet de détecter et dénouer certains montages frauduleux. L’enquête ne permet pas de déterminer si l’audit interne assure la conception et la mise en place du processus de management des risques dans l’organisation. ce qui appelle les compétences nécessaires. l’auditeur interne n’est pas un expert de la fraude . De plus. ou l’évaluation du processus qui correspond au rôle fondamental que doit avoir l’audit interne en la matière. Précédemment. En fait. Afin de préserver l’objectivité. © IFACI juin 2008 40 . l’enquête menée en France en 2005 par l’IFACI indiquait déjà que 10% des répondants réalisaient « souvent » de telles missions (et 73% « parfois »).

les experts en sécurité… Dans ce cas. c’est-à-dire l’analyse du processus d’élaboration de la stratégie. au niveau de l’IIA. le plus souvent. sa déclinaison en objectifs opérationnels et sa diffusion serait-il considéré encore comme un domaine « tabou » pour l’audit interne ? Dans la pratique. les objectifs et les risques stratégiques de l’organisation. l’indépendance et la qualité de la prestation afin d’apprécier dans quelle mesure il peut s’appuyer sur les résultats de ce prestataire.En revanche. le lien entre la stratégie et la performance de l’organisation est traité à 26% par l’audit interne. le savoir-faire et les autres compétences nécessaires à l’exercice de ses responsabilités. Ces résultats montrent que. que le responsable de l’audit interne puisse recourir à des prestataires de service extérieurs à sa direction d’audit sur des disciplines impliquant un savoir-faire et des connaissances particuliers.A1. d’autres fonctions sont prioritairement sollicitées. plus particulièrement. L’enquête ne dit pas si les activités qui sont confiées à d’autres directions le sont sous la supervision du service d’audit interne ou si elles correspondent à des missions confiées structurellement à ces directions. dans la Modalité Pratique d’Application 1210. Sécurité. le responsable d’audit interne doit s’assurer que les risques majeurs de l’organisation sont traités. en particulier dans les métiers industriels et de transport qui. Même si la Norme 1210 précise que l’audit interne doit posséder les connaissances. il doit évaluer la compétence. Ce constat n’est pas surprenant si on considère les compétences techniques que requière ce domaine. Quoiqu’il en soit. Environnement) réalisés par d’autres directions et 25% par l’audit interne. l’audit interne se préoccupe moins de domaines techniques ou stratégiques : les questions portant sur la sécurité sont gérées à 58% par d’autres directions contre 37% par l’audit interne. la répartition est de 51% d’audits HSE (Hygiène. Ce taux est de 16% en France. telles que les spécialistes de l’environnement. Dans le même ordre d’idée. Ce ratio est légèrement inférieur à celui de l’enquête IFACI 2005 (73%). 63% des répondants indiquent que la fonction d’audit interne met plus l’accent sur les activités d’assurance par rapport aux activités de conseil. Parmi les activités 41 © IFACI juin 2008 . L’audit de la stratégie. le plan d’audit interne est aligné sur la stratégie. il est également admis. se dotent de directions d’audit de sécurité ad hoc. sur des sujets requérant des compétences ou des connaissances pointues comme la sécurité ou les questions HSE.

Il s’agit de l’évaluation qualité de l’activité d’audit interne (37%). Ce qui confirme le rôle fondamental qu’il doit jouer dans ce domaine. L’enquête CBOK permet également d’appréhender les activités les moins réalisées dans l’organisation. Notons que ces domaines ne © IFACI juin 2008 42 . Lorsqu’ils sont menés. ce qui est cohérent avec les enseignements de la partie 4. En effet. c’est majoritairement l’audit interne (46%) qui s’en charge. ils peuvent aller jusqu’à la facilitation de la rédaction du code d’éthique et bien entendu à la vérification du respect des principes définis au sein de l’organisation. notamment parce qu’on leur accorde la confiance et l’intégrité nécessaires à ce type d’activité. cette option a été traduite par assistance externe de l’audit). la gestion de projets (27%) et les projets spécifiques (32%). celles qui relèvent plutôt de missions de conseil concerne la stratégie ou des domaines précis comme les fusions et rachats d’entreprises (audits réalisés à 8% par le service d’audit). cette activité n’est pas réalisée par 38% des répondants. c’est seulement à hauteur de 21% par l’audit interne. Ils sont complétés par une autre question sur le temps passé par l’audit interne pour traiter des sujets mentionnés dans le diagramme ci-après. L’écart avec les données de l’IIA pourrait s’expliquer par un problème de traduction (dans le questionnaire en français. Cette tendance reste vraie malgré une coordination accrue « audit interne/audit externe » dans le cadre des rapports sur la fiabilité de l’information financière (SOX notamment). Notons que les audits liés aux règles de confidentialité (privacy) sont réalisés à 38% par les services d’audit interne répondants en France au lieu de 43% au niveau IIA.3 (cf p 62) sur l’évaluation externe. Néanmoins. 63% des répondants de l’enquête IFACI de 2005 indiquaient que l’audit interne ne participait « jamais » aux travaux de l’audit externe. la norme sur le gouvernement d’entreprise encourage les auditeurs internes à soutenir activement la culture éthique au sein de leur organisation.figurant dans le schéma précédent. ce qui est bien inférieur aux 46% des résultats mondiaux.5. Ces audits passent par des actions de sensibilisation. 35% des répondants CBOK déclarent que des audits de l’éthique ne sont pas réalisés dans leur organisation. En effet. Enfin. Les résultats ci-dessus traitent de la répartition des responsabilités entre l’audit interne et les autres services chargés de la maîtrise des risques. et lorsqu’elle l’est. ainsi que l’assistance à l’audit externe.

les audits de processus financiers : 13%. les audits opérationnels : 20% . le graphe ci-dessus ne révèle pas de différences significatives entre la France et l’IIA. TEMPS PASSE PAR TYPE DE MISSIONS Conformité Audits opérationnels Processus financier Audits de gestion Conseil Audit des SI Gouvernance Investigations de fraude Autres IIA France 0 5 10 15 Temps passé (%) 20 25 Les auditeurs internes consacrent en priorité leur temps aux trois domaines suivants : les audits de conformité (aux lois. règlements et procédures) : 22% . © IFACI juin 2008 43 . Pour ces données. Le temps passé à certaines activités (fraude. conseil) n’est pas proportionnel au niveau d’implication de l’audit interne dans ces domaines.correspondent pas exactement à ceux qui ont été précédemment déclinés.

les compétences techniques . 1. les autres savoirs et savoir-faire. la norme professionnelle 1210 précise que les auditeurs internes doivent posséder les connaissances. savoir-faire et autres compétences par une formation professionnelle continue. © IFACI juin 2008 44 .1.4. L'auditeur interne est un professionnel dont les multiples compétences permettent d’atteindre ses objectifs. D’ailleurs.3.1. la norme professionnelle 1230 souligne que les auditeurs internes doivent améliorer leurs connaissances. Ces compétences sont déclinées selon les quatre catégories d’emploi définies dans l’enquête : • • • • auditeur interne . responsable d’audit interne (RAI).3. superviseur . De plus. Compétences et formation des auditeurs internes Les données commentées ci-dessus montrent à quel point les activités de l’audit interne sont variées. manager . Des compétences très diversifiées et des spécificités selon la catégorie d’emploi Le CBOK permet de dresser un panorama de trois grands types de compétences : • • • les compétences comportementales . L’une des questions adressées au responsable d’audit interne concernait les compétences comportementales attendues pour chaque catégorie d’emploi d’un service d’audit interne. le savoir-faire et les autres compétences nécessaires à l’exercice de leurs responsabilités individuelles.4.

la capacité à travailler en équipe (74%). les savoirfaire et expériences requis pour la réalisation de leurs travaux. ils ne divulguent ces informations qu’avec les autorisations requises. • Confidentialité Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent . la capacité à travailler en équipe (80%). • Compétence Les auditeurs internes utilisent et appliquent les connaissances. ce sont ces trois compétences qui arrivent également en tête avec néanmoins des pourcentages légèrement différents : • • • la confidentialité (73%). à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. l’objectivité (77%). • Objectivité Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant. En France. l’objectivité (67%). © IFACI juin 2008 45 .COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES D’AUDIT INTERNE) Auditeur interne Confidentialité Capacité à travailler en équipe Objectivité Indépendance dans le travail Capacité à avoir un esprit d’équipe Capacité à travailler avec des interlocuteurs de niveaux de responsabilité différents Aptitude relationnelle Sensibilité au gouvernement d’entreprise et à l’éthique Facilitation Aptitude à créer un esprit d’équipe Leadership Gestion du personnel 28% 22% 9% 6% 2% 0% 14% 25% 31% 35% 34% 19% 32% 51% 40% 35% 46% 34% 34% 55% 43% 35% 62% 43% 46% 26% 23% 32% 82% 80% 77% 52% 49% Superviseur 59% 46% 55% 34% 25% Manager 45% 17% 46% 19% 15% RAI 69% 22% 72% 35% 17% Principes fondamentaux du code de déontologie de l’IIA • Intégrité L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. évaluant et communiquant les informations relatives à l’activité ou au processus examiné. les principales compétences comportementales que les responsables d’audit interne attendent d’un auditeur interne sont : • • • la confidentialité (82%). Au niveau de l’IIA. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui.

la capacité à créer un esprit d’équipe et le leadership apparaissent dans les cinq premières compétences comportementales requises pour un superviseur. Pour les responsables d’audit interne. Ces trois compétences sont également attendues. pour les superviseurs.Rappelons que la confidentialité et l’objectivité sont deux des quatre principes fondamentaux du code de déontologie de l’IIA. Ainsi. 62% en France) et qui a la capacité à travailler avec les différents niveaux de responsabilité (58% au niveau de l’IIA. le panel de compétences comportementales est plus large pour la fonction de superviseur. Par rapport aux auditeurs internes. mais dans une moindre proportion. Ces deux dernières compétences sortent également du lot au niveau IIA avec respectivement 75% et 55%. alors que ce sont les critères les moins cités pour les auditeurs internes. 32% en France). notons que le leadership (62%) et la sensibilité au gouvernement d’entreprise et à l’éthique (55%) sont également des compétences requises. © IFACI juin 2008 46 . 58% au niveau IIA) et de la confidentialité (69% comme au niveau IIA). en plus de l’objectivité (72%. Au niveau global. le responsable de l’audit interne apparaît plus comme un dirigeant qui a le sens du leadership (75% au niveau de l’IIA.

© IFACI juin 2008 47 . les réponses des responsables d’audit interne sont synthétisées dans le tableau ci-après : COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES D’AUDIT INTERNE ) Auditeur interne Extraction et analyse de données Communication orale (capacité à effectuer des interviews) Analyse des risques Utilisation de technologie de l’information Identification des types de contrôle (par ex. Les compétences techniques attendues sont en phase avec les enjeux actuels de la profession. la détection) Compréhension des métiers Analyse financière Aptitude à faire des recherches Echantillonnage statistique Compétence juridique / sensibilité à la fraude ISO / connaissance de la qualité Gestion totale de la qualité Négociation 75% 68% 51% 46% Superviseur 29% 52% 59% 28% Manager 3% 34% 55% 19% RAI 8% 43% 83% 11% 40% 35% 31% 26% 26% 14% 8% 5% 3% 43% 29% 39% 17% 14% 17% 6% 17% 29% 22% 55% 23% 5% 0% 31% 14% 23% 51% 32% 72% 40% 9% 0% 40% 12% 25% 72% Les responsables d’audit interne souhaitent donc que les auditeurs internes aient des capacités pour la préparation et la réalisation des missions d’audit interne. A savoir : - l’utilisation des outils informatiques et la bonne compréhension des systèmes d’information. à la fois parce qu’ils sont omniprésents dans les activités (à travers notamment les activités de contrôle automatisées) mais également parce que l’audit interne utilise les outils informatiques pour plus d’efficience dans l’interprétation de la masse de données traitée.. la prévention.Pour ce qui est des compétences techniques.

Alors que la technique d’échantillonnage statistique est utilisée dans 76% des cas (cf. l’approche par les risques avec des compétences en analyse des risques (citée à 51% pour des auditeurs internes).MPA 2100-10 « Vérification par sondage »). les compétences en échantillonnage statistique ne sont pas indiquées pour les responsables d’audit interne et les managers. l’analyse des risques est mentionnée parmi les compétences principales. 71). Par exemple. Plus le niveau hiérarchique augmente moins les compétences pratiques sont mentionnées. En effet.4. (cf. Elle peut également aider le superviseur à valider le programme de travail et les constats. Les responsables d’audit interne sont moins exigeants pour des compétences comme la négociation (3%) ou liées à la qualité (l’ISO est citées par 8% des répondants et les méthodes de management total de la qualité mentionnées par 5%). validation des constats. 46%) . La capacité à réaliser des interviews est donc citée par 68% des répondants . Cette compétence est pourtant complémentaire de la capacité d’extraction des données. des compétences plus managériales (la négociation) ou plus stratégiques (compréhension des métiers) sont citées dans 72% des cas comme étant des qualités attendues chez un responsable d’audit interne. Par contre.5 sur les outils. Or. Ce constat est à rapprocher du développement de la planification fondée sur les risques. c’est surtout au niveau de la planification annuelle des missions que cette technique est utilisée. § 1. le renforcement du rôle de l’audité à chaque étape principale du processus d’audit (prise de connaissance du domaine audité.4. Quelle que soit la fonction. même si l’analyse des risques est utilisée pour la construction du programme de travail d’une mission. Le niveau d’attente dans ce domaine est néanmoins plus élevé pour les responsables d’audit interne (83% au lieu de 51% pour les auditeurs internes). formulation des recommandations).Ainsi. cette © IFACI juin 2008 48 . cette compétence est peu citée même au niveau du superviseur (compétence citée par 14% des répondants). les Responsables d’Audit Interne citent des compétences liées aux Systèmes d’Information (l’extraction et l’analyse des données. 75% et l’utilisation de la technologie de l’information.

71). en France l’analyse des risques est citée par 51% des répondants (28% au niveau international) comme étant une compétence attendue de la part des auditeurs internes. sur les outils et méthodes. Ainsi. p. 75% au niveau IIA). © IFACI juin 2008 49 . 11% en France) . § 1. la sensibilité des auditeurs internes à la fraude et la connaissance des techniques d’investigations liées sont citées par 21% des répondants au niveau IIA ce qui est légèrement supérieur aux résultats en France (14%) . Les responsables d’audit interne indiquent d’autres connaissances ou savoir-faire nécessaires pour les différentes activités d’un service d’audit interne. Par contre.4.4. 35) et à la planification fondée sur les risques (cf. 12% en France) ou le management total de la qualité (33%. De même que les compétences liées aux systèmes qualité tels que l’ISO (19%. les responsables d’audit interne qui ont répondu à l’enquête en France citent plus souvent l’aptitude à mener des interviews (58% au niveau IIA.planification constitue une des missions essentielles du responsable d’audit interne qui doit avoir la capacité de prioriser les missions en fonction des risques majeurs. 68% en France).5. l’identification des types de contrôle (préventifs/ détectifs…) est également une compétence citée plus fréquemment au niveau international (52% par rapport à 40% en France).4 sur le périmètre actuel d’intervention de l’audit interne. les responsables d’audit interne citent plutôt les compétences en matière d’analyse des risques. 25% en France) . § 1.4. la compréhension des métiers de l’entreprise est une des caractéristiques du responsable d’audit interne (78% au niveau de l’IIA. Les données internationales montrent également des différences selon les catégories de fonctions. 72% en France). en France. Ce qui est cohérent avec la place accordée au processus de management des risques (cf. Enfin. p. L’écart est moindre pour ce qui est de la compétence attendue pour des responsables d’audit interne (83% en France.2. Une analyse comparative plus fine met en évidence des écarts avec les compétences techniques attendues en France : la capacité d’utilisation des systèmes d’information par le responsable de l’audit interne est plus mentionnée au niveau de l’IIA (28% au niveau IIA.

SAVOIR-FAIRE PAR CATEGORIE D’EMPLOIE FONCTION (QUESTION POSEE AUX RESPONSABLES D’AUDIT INTERNE ) Auditeur interne Capacités rédactionnelles Capacités analytiques Identification des problèmes et solutions Rédaction de rapports Sens critique Communication Connaissance de langues étrangères Gestion du temps Aptitudes à la présentation Compréhension de systèmes d’information complexes Conceptualisation Veille professionnelle (opinions. Les compétences mises en avant pour l’auditeur interne sont celles qui sont liées à leur cœur de métier : l’identification des problèmes et des solutions (46%). normes et réglementations) Aptitudes à l’organisation Capacité à promouvoir la fonction d’audit interne au sein de l’organisation Résolution de conflits Planification et gestion de projet Gestion du changement Formation et développement du personnel 6% 6% 5% 3% 11% 35% 29% 26% 20% 15% 14% 12% 54% 46% 46% 42% 40% 37% Superviseur 26% 37% 32% 37% 37% 37% Manager 11% 25% 20% 11% 26% 37% RAI 17% 29% 20% 15% 25% 62% 23% 26% 31% 15% 14% 19% 23% 20% 12% 14% 6% 28% 23% 29% 23% 15% 26% 9% 37% 42% 46% 15% 45% 75% 22% 25% 8% 5% 32% 25% 22% 23% 42% 23% 17% 31% Comme pour les compétences techniques. ce tableau met en évidence des attentes différentes selon la catégorie d’emploi. la capacité analytique (46%) ainsi que l’aptitude à communiquer. © IFACI juin 2008 50 .

En effet.theiia. GTAG insiste http://www. Plusieurs modalités pratiques précisent ces dispositions. Pour les niveaux hiérarchiques plus élevés ce sont d’autres compétences qui sont privilégiées pour : • promouvoir l’audit interne. D’ailleurs. les conclusions et les recommandations de la mission.org/guidance/technology/gtag/?search=GTAG) sur le fait que le responsable d’audit interne doit avoir un minimum de connaissances à propos des grands enjeux et risques relatifs aux systèmes d’information . être proactif sur les changements professionnels induits par des nouvelles normes ou réglementations (42%). Néanmoins. Rappelons également que la norme 2400 indique les devoirs des auditeurs internes en matière de communication des résultats de la mission. • • organiser (46%) . le cadre de référence professionnel IIA/IFACI (notamment les Global Technology Audit Guide. En outre. une bonne gestion du temps est indispensable pour le respect du programme d’audit. les attentes vis-à-vis des responsables d’audit interne sont moindres pour des points spécifiques comme : la compréhension des systèmes d’information complexes (9%).Ainsi. Sur ces deux derniers points la moindre exigence à l’égard des responsables d’audit interne doit être nuancée. la gestion du temps (15%). La capacité à élaborer un rapport apparaît également dans les compétences clés (42%). le responsable d’audit interne a également besoin de maîtriser la communication écrite lorsqu’il s’adresse aux clients internes et externes de son service. la compétence rédactionnelle constitue le premier critère (54%) cité au niveau des auditeurs internes. la MPA 1210-1 relative à la compétence. A contrario. viennent ensuite la communication (62%) et la résolution de conflits (42%) . La capacité à promouvoir la fonction est la première compétence citée pour les responsables d’audit interne (75%) . © IFACI juin 2008 51 . l’aptitude à la rédaction (17%) . pour exposer efficacement les objectifs. recommande que les auditeurs internes soient capables de communiquer oralement et par écrit.

alors qu’en France. le suivi des nouvelles normes ou obligations réglementaires (23%. la capacité à élaborer des rapports qui est citée comme une compétence clé de l’auditeur interne en France (42%) est moins citée au niveau IIA (22%). Cette différence de conception des compétences attendues selon la catégorie d’emploi est également constatée en ce qui concerne les aptitudes à la présentation. 29% en France) . Pour les auditeurs internes. En France. 14% en France) . l’écart se creuse au niveau IIA (37% des répondants indiquent que cette compétence est attendue chez un responsable d’audit interne). la gestion du temps (40%. L’écart entre les auditeurs internes et les responsables d’audit interne (30%) n’est pas aussi marqué au niveau de l’IIA. Le taux de réponse en France est assez faible (121 répondants en moyenne sur les 235). 37% en France) . + les capacités organisationnelles (21%. Les compétences des auditeurs internes qui sont plus mentionnées au niveau IIA sont : + + + la communication (52%. Enfin. Les répondants devaient les noter de 1 (moindre importance) à 5 (très important) selon que la connaissance en question était plus ou moins nécessaire pour assumer leurs responsabilités. Une des questions du CBOK consistait à évaluer 19 connaissances requises en audit interne. 12% en France).La comparaison avec les données internationales montre un certain nombre d’écarts. cette compétence est citée par 13% des répondants au niveau de l’IIA (26% en France) . il n’y a aucune différence entre auditeurs internes et responsables d’audit interne. cette compétence est surtout citée au niveau des responsables d’audit interne (46%). © IFACI juin 2008 52 .

93 2. © IFACI juin 2008 53 .66 2. l’ERM obtient une note de 4 (en deuxième position).6) arrivent en 6ème position sur 19 options. Néanmoins.97 3.23 4.35 2.5). Les normes professionnelles (3.56 3.17 2.98 3.93 3.96 2.7). 3. En effet.72 3.85 L’audit interne apparaît comme un véritable métier dont la pratique ne s’improvise pas puisque les répondants privilégient les connaissances spécifiques à l’audit interne ou liées à l’exercice de la profession. la méthodologie de l’audit interne est la première connaissance citée (4. Il connaît bien son secteur d’activité (3ème.31 3.58 3.9) ainsi que la culture et la structure de l’organisation dans laquelle il évolue (4ème et 5ème.59 3. ce tableau démontre bien que l’auditeur interne n’est pas uniquement un expert du contrôle interne.49 2. 3.51 3.21 3. Les connaissances connexes sont également bien notées.96 3.APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT INTERNE Note moyenne Comptabilité Audit Droit des affaires et réglementations Gestion des affaires Evolution des normes professionnelles Le management du risque (Entreprise Risk Management) Éthique Finance Sensibilisation à la fraude Le gouvernement d’entreprise Gestion des ressources humaines Normes de l’audit interne Technologie de l’information Comptabilité de gestion Marketing Culture d’entreprise Systèmes organisationnels Stratégie et politique des affaires Connaissances techniques spécifiques au secteur d’activité 3.

ifaci. complétées par une formation professionnelle qualifiante Le panel de compétences et d’activités présenté dans les paragraphes précédents pose la question de la formation initiale et continue des auditeurs internes. L’IFACI a publié un cahier de la recherche sur l’évaluation des compétences des différentes fonctions de l’audit interne.5. Ce type d’évaluation est d’ailleurs prévu dans la norme professionnelle 2340 relative à la supervision de la mission. © IFACI juin 2008 54 . En ce qui concerne la formation initiale.1. 1. • l’évaluation périodique par les pairs (17%). p. NIVEAU DE FORMATION IIA France Licence 52% 12% Master (y compris niveau doctorat) 40% 83% La quasi-totalité des répondants (95%) ont fait des études supérieures.2.3. § 1.4. Ce taux est cohérent avec celui des enquêtes réalisées dans le cadre de l’évaluation de la valeur ajoutée du service d’audit interne (cf.4.3. Les responsables d’audit interne citent les méthodes d’évaluation suivantes : • l’évaluation périodique. • des commentaires de clients de l’audit interne (commanditaire de la mission. Direction Générale…) ou des audités (34%). Une évaluation essentiellement hiérarchique Compte tenu du panel de compétences présenté dans le paragraphe précédent la question de leur évaluation se pose. En France. Des études de haut niveau. les répondants étaient invités à préciser leur plus haut niveau d’études. le niveau de formation se situe essentiellement à Bac+5 (83%.1 sur les modalités d’évaluation de la valeur ajoutée de l’audit interne.asp].3. 40% au niveau de l’IIA).4.com/fo/ad h_login. 78) . par le superviseur (83%). [http://www.

Les répondants ont également précisé leur spécialisation. finance (47%) . Les totaux sont supérieurs à 100% parce qu’il s’agit d’une question à choix multiple. TYPES DE SPECIALISATION Gestion Comptabilité Finance Economie Droit Audit Audit Interne Mathématiques/statistiques Systèmes d'information Informatique Sciences et Techniques Ingénieur 0% 10% 20% 30% 40% 50% 60% Les quatre principaux domaines cités sont la spécialisation en : • • • • gestion (49%) . © IFACI juin 2008 55 . économie (41%). comptabilité (48%) . A contrario. les formations d’ingénieurs (9%) ou les spécialisations dans les systèmes d’information (15%) restent minoritaires. Ces données sont présentées dans le graphe suivant.

En France. les auditeurs internes mentionnent également des compétences en économie ou en gestion. finance est complétée par des spécialisations en droit (36% des responsables d’audit interne en France. Alors qu’en France. le panel de spécialisation en économie. COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (RESPONSABLES D’AUDIT INTERNE) Spécialisation IIA France Gestion Comptabilité Finance Économie 29% 60% 26% 24% 67% 54% 68% 52% Au niveau de l’IIA. la tendance à la spécialisation en comptabilité est encore plus marquée chez les responsables d’audit interne. 7% au niveau IIA). © IFACI juin 2008 56 . la spécialisation en comptabilité est plus marquée au niveau international.COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF TOTAL) Spécialisation IIA France Gestion Comptabilité Finance Économie 27% 56% 24% 20% 49% 48% 47% 41% Par rapport aux autres domaines clés. Cette diversité semble plus cohérente avec le fait que l’audit interne n’est pas uniquement une fonction comptable et financière. gestion.

Au-delà des études. Les personnes qui respectent ce critère doivent donc avoir au moins 120 heures de formation au cours des trois dernières années. la quasi-totalité des répondants ont été formés. Pour ce qui est du contenu de ces formations. Notons que la question ne limitait pas la formation à des sessions classiques . la proportion de responsables d’audit qui ont reçu plus de 120 heures de formation (au cours des trois dernières années) est de 48% ce qui est supérieur au taux constaté chez les auditeurs internes (36%). colloques et autres ateliers auxquels les responsables d’audit interne peuvent participer de manière plus privilégiée. le contenu de ces formations continues. les fréquences déclarées par domaines sont les suivantes : © IFACI juin 2008 57 . Les résultats du CBOK montrent que la marge de progression reste forte en France (en moyenne 17% des répondants dépassent les 120 heures). L’IIA requiert 80 heures de formation permanente (Continuing Professionnal Development ou CPD) tout les deux ans. elle inclut les séminaires. notamment pour les auditeurs internes qui souhaitent maintenir leur certification CIA (Certified Internal Auditor). le CBOK aborde la formation à travers d’autres aspects : + + le nombre d’heures de formation professionnelle. NOMBRE D’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS DERNIERES ANNEES IIA Auditeur interne Supérieur ou égal à 120 heures Inférieur à 120 heures Aucune heure 36% Responsable d’audit interne 48% Auditeur interne 17% France Responsable d’audit interne 19% 62% 2% 51% 1% 80% 3% 81 0% Conformément à la norme professionnelle 1230 « Formation professionnelle continue ». il n’y a pas de différence significative entre les auditeurs internes et les responsables d’audit interne. Au niveau de l’IIA. En France.

gestion d’une équipe) est moins fréquent. la situation au niveau de l’IIA est moins contrastée entre les formations techniques et les thèmes plus généraux. Ainsi. L’apprentissage de connaissances comportementales (communication. Comme le montre le tableau ci-dessous. © IFACI juin 2008 58 . systèmes d’information et dans une moindre mesure la fraude). près de la moitié des responsables d’audit interne indiquent des formations au moins annuelles sur les normes et les pratiques d’audit interne.FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME Ce schéma montre que les auditeurs internes suivent surtout des formations qui leur permettent d’acquérir des connaissances techniques spécifiques au métier (normes.

les techniques anti-fraude (32% au niveau de l’IIA. Parmi les qualifications proposées examinons celles qui concernent : l’audit interne (telle que le Certified Internal Auditor de l’IIA) . Notamment. Certified Information Security Manager) . Pourtant. p.FORMATION SUIVIE AU MOINS UNE FOIS PAR AN IIA Normes et pratiques d’audit interne Bureautique/ Système d’information Techniques anti-fraude Ethique Communication Gestion d’une équipe 46% 36% 32% 38% 27% 27% France 43% 22% 23% 18% 15% 11% Les formations annuelles sur les normes et les pratiques d’audit interne arrivent toujours en tête. le nombre d’auditeurs internes qualifiés au sein du service d’audit interne.1 sur les compétences très diversifiées et des spécificités selon la catégorie d’emploi. § 1. Néanmoins. 22% en France).4.44). la fraude (telle que Certified Fraud Examiner) © IFACI juin 2008 59 . sur des thèmes liés à l’éthique (38% au niveau de l’IIA. les connaissances et le savoir-faire spécifique au métier arrivent en tête des compétences attendues (cf. 18% en France). la diversité des thèmes de formation est plus nette au niveau de l’IIA. l’audit des systèmes d’information (telle que Certified Information Systems Auditor. 23% en France) ou les systèmes d’information (36% au niveau de l’IIA. Les résultats concernant le type de spécialisation montrent que peu de répondants possèdent une spécialisation en audit interne (12% au niveau de l’IIA). La formation professionnelle continue permet-elle de palier à ces besoins ? L’enquête permet d’aborder la question de la qualification professionnelle sous deux aspects : le taux de qualification des répondants .3.

les responsables d’audit interne ont indiqué le nombre de personnes certifiées dans leur service d’audit interne. NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE 35% Réponse Non réponses 30% 25% 20% 15% 10% 29% 24% 16% 13% 84% 5% 0% 1 CIA… 2 à 5 CIA… 6 à 15 CIA… 3% Plus de 16 © IFACI juin 2008 60 .TAUX DE QUALIFICATION DES REPONDANTS IIA France Audit interne (CIA…) Audit des SI (CISA. Par ailleurs. 27% des répondants déclarent une qualification professionnelle en audit interne (ce taux est de 39% au niveau de l’IIA). CISM…) Fraude (CFE…) 39% 10% 5% 27% 7% 2% En France. La qualification en audit des systèmes d’information est rare (6% en France. La qualification en matière de fraude est encore moins répandue. 10% au niveau IIA). Elle est plus courante chez les répondants spécialisés en système d’information (ces derniers représentent 71% de ceux qui ont une qualification en audit des Systèmes d’Information).

un quart indique deux à cinq certifiés... Concernant les certifications spécifiques. notons qu’un tiers des répondants indiquent qu’il n’y a aucun auditeur interne qualifié en audit interne (CIA…) dans leur service... 2 à 5 CISA.. le taux de réponse est encore plus faible (9%). 6 à 15 CISA.. Il y a une personne certifiée dans 36% des cas. Néanmoins. 41% des responsables d’audit interne déclarent n’avoir aucun collaborateur certifié en audit des systèmes d’information.La portée de ces résultats est limitée par le faible nombre de réponses (taux de réponse de 16%). 9% 9% Non réponses 9% 91% 5% Plus de 16 En ce qui concerne la qualification en audit des systèmes d’information. Parmi les répondants. © IFACI juin 2008 61 . La même proportion déclare un seul certifié. 21% des responsables d’audit interne considèrent qu’un certificat autre que le CIA serait nécessaire pour leur catégorie d’emploi. NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE DES SYSTEMES D’INFORMATION Réponse 40% 36% 35% 30% 25% 20% 15% 10% 5% 0% 1 CISA.

4. Mais la véritable spécificité de la fonction reste l’existence d’un cadre de référence professionnel partagé au niveau international. une profession normée Le professionnalisme des auditeurs internes découle de leur formation et de leur expérience professionnelle. Leur mission première est d’évaluer l’efficacité du dispositif de contrôle interne et celle des processus de management des risques.1. les responsables d’audit interne considèrent majoritairement que la fonction d’audit interne est perçue comme une activité objective et indépendante au sein de leur organisation.4. L’audit interne. Le CBOK permet de tester la perception des principes inscrits dans la définition IIA/IFACI et dans les normes. Ils estiment également que leur fonction est positionnée à un niveau suffisant au sein de l’organisation pour leur permettre d’exercer leurs missions de manière efficace et d’être crédible (ce point arrive en deuxième position).1.4.4. Ce taux est de 82% au niveau de l’IIA. L’utilisation totale ou partielle du cadre de référence de l’IIA est citée par 70% des répondants. Perception des principes inscrits dans la définition et dans le code de déontologie IIA Comme le montre le tableau ci-dessous. © IFACI juin 2008 62 . 1.

80 4.30 3.72 proactive les aspects financiers.37 valeur ajoutée à l’organisation La fonction d’Audit Interne évalue d’une 4.52 4.10 4.12 fournissant des informations fiables à la Direction La fonction d’Audit Interne est à même d’apporter une réelle valeur ajoutée à 3.77 Interne apporte une réelle valeur ajoutée au processus de gouvernance de l’organisation La note indiquée est la moyenne des réponses graduées comme suit : 1 : totalement en désaccord.35 3.43 manière systématique l’efficacité du dispositif de contrôle interne La fonction d’Audit Interne évalue d’une 3.03 4.45 4. 3 : neutre.39 indépendante et objective d’assurance et de Conseil La fonction d’Audit Interne apporte une réelle 4.71 l’organisation dans la mesure où elle dispose d’un accès non intermédié au comité d’audit La Fonction d’Audit Interne est positionnée à 4.41 4.20 manière systématique les processus de management des risques La fonction d’Audit Interne évalue d’une 4. 2 : en désaccord.86 4.2 de l’organisation La conformité aux Normes de l’IIA est un facteur clé pour que la Fonction d’Audit 3.62 Fonction d’Audit Interne apporte une réelle valeur ajoutée à l’organisation L’objectivité est un facteur clé pour que la 4.58 4. les risques ainsi que les contrôles internes La fonction d’Audit Interne fait partie intégrante du processus de gouvernance en 4.57 manière systématique les processus de gouvernance d’entreprise La fonction d’Audit Interne examine de façon 3.07 4.7 Fonction d’Audit Interne apporte une réelle valeur ajoutée à l’organisation La fonction d’Audit Interne est crédible au sein 4. Responsable d’audit interne (IIA) 4.PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION Affirmations Responsable d’audit interne (France) La fonction d’Audit Interne est une activité 4. 5 : tout à fait d’accord. 4 : d’accord.71 Interne apporte une réelle valeur ajoutée au processus de gouvernance de l’organisation La conformité au code de déontologie de l’IIA est un facteur clé pour que la Fonction d’Audit 3.10 3.46 4.03 © IFACI juin 2008 63 .23 un niveau suffisant au sein de l’organisation pour être efficace L’indépendance est un facteur clé pour que la 4.

Les derniers points mentionnés dans le tableau traitent de la relation entre la conformité au cadre de référence et la valeur ajoutée de l’audit interne. le processus de gouvernement d’entreprise arrive en dernière position.4. Adéquation des normes professionnelles de l’audit interne Le niveau d’adéquation est jugé très satisfaisant.6) sensiblement inférieure à celle concernant l’efficacité du dispositif de contrôle interne (4. 1. Ces principes sont peu valorisés et pourtant ils renvoient à la notion d’exemplarité. © IFACI juin 2008 64 .2. les responsables d’audit interne sont d’accord avec l’affirmation selon laquelle la fonction d’audit interne fait partie intégrante du processus de gouvernance en fournissant des informations fiables à la Direction Générale.4. Les répondants partagent également le fait que l’audit interne apporte de la valeur dans la mesure où il y a un accès direct au Comité d’Audit.Ces résultats montrent l’universalité du fait que l’objectivité est un facteur clé pour apporter une réelle valeur ajoutée à l’organisation. En ce qui concerne le rôle de l’audit interne dans l’évaluation des processus. Néanmoins. Ce processus obtient une note (3. pierre angulaire de tout processus de gouvernement d’entreprise. qu’il s’agisse des normes de la série 1000 (Qualification des services d’audit interne et des auditeurs internes) ou celles de la série 2000 (Fonctionnement du service d’audit interne).4).

prudence […] Les règles du jeu doivent être claires pour tous les acteurs Il doit être conçu dans un ce qui signifie qu’elles devront être explicitées tant dans la charte d’audit double but : aider l'audit interne à apporter une valeur interne que dans celle du comité d’audit ». • • © IFACI juin 2008 65 . améliorer. et garantir qu'il les normes de la série 2500 « surveillance des actions de progrès » ont un est mené en conformité avec niveau d’adéquation satisfaisant (83%) ce qui est cohérent avec les les normes et le code de déontologie.4. Ce l’IFACI avait prévu un commentaire indiquant que « la mise en œuvre de programme inclut la réalisation périodique cette norme s’avère particulièrement délicate pour le responsable d’audit d’évaluations internes et interne. 78). Néanmoins.5.1 sur les modalités d’évaluation de la valeur ajoutée de l’audit interne. 79% des ajoutée aux opérations de l’organisation et à les répondants la jugent adéquate. » données sur les modalités d’évaluation de la valeur ajoutée de l’audit interne (cf.NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES Les normes ayant le niveau d’adéquation le plus faible (c'est-à-dire inférieure ou égale à 90%) sont : • « Le responsable de l'audit les normes de la série 1300 « programme d’assurance et d’amélioration interne doit élaborer et tenir qualité » qui nécessitent le plus de marge de progression. qualité portant sur tous les la norme 2600 « acceptation des risques par la direction générale » aspects de l'audit interne et permettant un contrôle soulève également quelques questions. § 1. p. ainsi qu’un suivi interne continu. Ainsi. Lors de la traduction de cette norme continu de son efficacité. 76% des à jour un programme d'assurance et d'amélioration répondants la jugent adéquate. Elle devra être en conséquence appliquée avec sagesse et externes de la qualité.

4. 1. © IFACI juin 2008 66 . Niveau de conformité aux normes professionnelles de l’IIA/IFACI Outre l’adéquation des normes. 6% 5% 1% 79% 5% 6% 10% générale » Norme 2500 « surveillance des actions de progrès » 81% 4% 4% 10% 83% 5% 5% 8% Il n’y a pas de différences significatives entre la France et les données internationales : La question « les Modalités Pratiques d’Application des normes sont-elles appropriées à votre fonction d’audit interne ?» montre les mêmes tendances que celles qui sont constatées pour les normes.3.COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS ADEQUATES IIA France Oui Non Ne Je ne Oui Non Ne Je ne l’utilise sais pas pas Norme 1300 « programme d’assurance et 77% 5% 6% 11% 76% 6% l’utilise sais pas pas 8% 10% d’amélioration qualité » Norme 2600 « acceptation des risques par la direction 76%. Le niveau de conformité déclaré est globalement satisfaisant avec des nuances entre la conformité totale et la conformité totale.4. les répondants se sont prononcés sur leur mise en œuvre effective et sur le niveau de conformité de leur organisation.

78% au niveau de l’IIA). Les principaux écarts concernent la norme 1300 « programme d’assurance et d’amélioration qualité » où le taux global de conformité en France (68%) est inférieur aux données internationales (76%). Ce point confirme la méconnaissance de cette norme et le fait qu’elle est perçue comme étant difficilement applicable. ce sont les trois normes citées précédemment qui sont les moins mises en œuvre.NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES Ce schéma est à rapprocher des données sur le niveau d’adéquation des normes. En effet. il n’y a pas de différences majeures entre la France et les données internationales. 11% pour la norme 2600 « acceptation des risques par la direction générale ». © IFACI juin 2008 67 . Lorsque l’on compare globalement la conformité (conformité totale et conformité partielle). Un léger écart est également constaté pour la norme 2600 « acceptation des risques par la direction générale » (72% en France. 13% pour la norme 2500 « surveillance des actions de progrès » . Le taux de non-conformité à ces normes est de : 20% pour la norme 1300 « programme d’assurance et d’amélioration qualité » . Notons que c’est cette norme qui recueille le plus fort taux d’indécis (17% des répondant ne se prononcent pas sur la conformité à la norme 2600).

Néanmoins. pouvoirs et responsabilités 1100 : objectivité 1200 : Compétence et conscience professionnelle 1300 : Programme d’assurance et d’amélioration qualité 2000 : Gestion de l’audit interne Indépendance et 63% 25% 57% 32% 67% 22% 53% 39% 63% 26% 32% 35% 40% 36% 32% 35% 58% 29% 42% 47% 2100 : Nature du travail 58% 29% 48% 40% Normes de fonctionnement 2200 : Planification de la mission 58% 29% 50% 40% 2300 : Accomplissement de la mission 2400 : résultats 2500 : Surveillance des actions de progrès 2600 : Acceptation des risques par la Direction Générale Communication des 60% 28% 57% 34% 64% 25% 57% 35% 53% 32% 44% 37% 47% 31% 39% 33% © IFACI juin 2008 68 . Au niveau de l’IIA les taux de conformité totale sont toujours supérieurs à ceux qui sont déclarés en France. l’analyse fine des taux de conformité montre que la conformité partielle est plus courante en France. COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES IIA Famille de norme Normes de la série Totale Partielle Totale Partielle France 1000 : Normes de qualification Mission.

pouvoirs et responsabilités. ce plan est mis à jour plusieurs fois dans l’année pour prendre en compte des demandes ponctuelles émanant de la Direction Générale.5.Au-delà des trois normes citées précédemment. En outre. ou bien une évolution de périmètre (fusion. les normes de la série 1200 « Compétence et conscience professionnelle ». §1. 1. Les normes où ces écarts sont les moins notables sont : les normes de la série 1000 relatives aux missions. 94% des responsables d’audit interne indiquent qu’un plan d’audit est réalisé au moins annuellement. de gestion des ressources. acquisition…). les normes de la série 2100 « Nature du travail » qui précise le rôle de l’audit interne dans l’évaluation d’un certain nombre de domaines notamment les processus de Gouvernance.4.4. Le chapitre concernant les documents et méthodes utilisées dans le service d’audit interne (cf. qui sont décrits dans la Charte d’audit . Ce document se fonde principalement sur les demandes émanant de la Direction Générale (85%). des intensités différentes de niveau de conformité entre la France et l’IIA sont également constatées pour : les normes de la série 2000 « gestion de l’audit interne » dans laquelle des exigences en matière de planification. © IFACI juin 2008 69 . p.4.4.4. sur les outils et méthodes. Dans 32% des cas. les normes de la série 1100 « Indépendance et objectivité » . Modalités de mise en œuvre de certaines normes Le CBOK précise les pratiques liées à la mise en œuvre de certaines normes.71) montre le développement de l’utilisation des plans d’audit. Plus précisément. de Management des risques et de Contrôle . les normes de la série 2300 sur « l’accomplissement de la mission ». les entretiens réalisés avec les responsables opérationnels (79%) ainsi qu’une analyse des risques (79%). les traitements réalisés au niveau de l’IIA indiquent que le niveau de conformité est corrélé avec l’ancienneté et la taille du service d’audit interne. de coordination avec les prestataires externes et de relations avec le Conseil et la Direction Générale sont prévues . • la norme 2010 relative à la planification. d’établissement des règles et procédures du service d’audit interne.

• les normes de la série 2400 relatives à la communication des résultats. © IFACI juin 2008 70 . La responsabilité de ce suivi est précisée ci-après. les auditeurs internes doivent évaluer de manière objective l’opinion des audités et valider leurs constats. PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES AUDITES • La norme 2500 relative à la surveillance des actions de progrès. Au cours d’une mission. Le schéma ci-après montre que la résolution des éventuels différends entre l’audit interne et les audités se fait au cours de la mission : lors des travaux sur le terrain ou pendant la phase de restitution (les réunions de clôture ou les rapports provisoires sont l’occasion de débats qui permettent de valider les constats et les conclusions). Seulement 3% des répondants ne font pas de suivi formel des recommandations.

A1 précise que le plan des missions d’audit interne s’appuie sur une évaluation des risques réalisée au moins une fois par an. Outils et méthodes La définition de l’audit interne insiste sur le fait qu’il s’agit d’une activité systématique et méthodique fondée sur un certain nombre de documents et outils. • Les méthodes d’évaluation de la performance telles que le Balanced Scorecard1 sont citées dans la MPA 1311-2 pour la mise en place d’indicateurs à l’appui des contrôles de la performance de l’activité d’audit interne. Ces normes sont complétées par la MPA 2010-2 sur « la prise en compte des risques pour l’élaboration du plan d’audit ».MODALITES DE SUIVI DES RECOMMANDATIONS IIA Audit interne et audité / client Audit interne Audité / client Autre 50% 31% 14% 2% France 51% 39% 6% 1% Normes professionnelles et outils d’audit • La norme 1220.A2 relative à la conscience professionnelle indique que l’auditeur interne doit envisager l’utilisation de techniques informatiques d’audit et d’analyse de données. La norme 2010. © IFACI juin 2008 71 . La moitié des répondants indique une responsabilité partagée avec les audités. PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE Document Plan d’audit interne Charte d’audit interne Lettre de mission de l’audit interne Manuel d’audit IIA 81% 72% 60% 63% France 90% 82% 79% 57% Le plan d’audit interne apparaît comme le document le plus répandu dans les services d’audit interne.4. • La MPA 2100-10 traite de la vérification par sondage et des méthodes d’échantillonnage. • La démarche de benchmarking est notamment indiquée dans le cadre de l’évaluation du processus de management des risques (MPA 2110-1) ou lors de l’évaluation périodique des services d’audit interne (MPA 13111). Ces résultats ont été complétés par une analyse croisée selon l’ancienneté du service d’audit interne. • La norme 2010 concerne la planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l’organisation.5.4. Il est suivi par la charte d’audit interne et la lettre de mission de l’audit interne qui sont présentes dans environ 80% des cas. il existe dans 90% des cas. 1. Certains outils sont même cités dans les normes. une minorité (6%) cite un suivi effectué uniquement par les audités.

Ces deux documents sont présents pour 2/3 des membres de services d’audit interne récents. La mise en place des documents de référence de la fonction (charte d’audit interne et lettre de mission) n’est pas immédiate. Enfin le manuel d’audit interne est présent pour moins de 60% des répondants (42% pour les services d’audit interne récents). © IFACI juin 2008 72 .DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES D’AUDIT INTERNE 0 à 5 ans 100 90 80 70 60 50 40 30 20 10 0 6 à 15 ans > 16 ans Ensemble Plan Audit Interne Charte Audit Interne Lettre de mission Audit Interne Manuel audit Le plan d’audit est systématiquement présent dans les services d’audit interne très anciens et apparaît à près de 80% dans les services d’audit interne récents de moins de 5 ans.

courrier électronique…) sont utilisés à plus de 98%. évaluation. courrier électronique) Des logiciels d’organigrammes 2 18 44 7 9 32 59 27 20 31 19 10% 20% 30% 41 40% 50% 58 46 54 35 45 46 58 46 53 32 19 22 23 40 60% 70% 80% 90% 16 11 Des document s de t ravail électroniques L’extraction des données L’aut o-évaluat ion du cont rôle L’audit au continu / en t emps réel Des t echniques d’audit support ées par informat ique Le benchmarking Des tableaux de perf ormances ou une structure similaire Une revue analytique 10 0% 100% Les outils bureautiques utilisés dans tous les types d’activités sont devenus incontournables.La planification d’audit basée sur le risque qui est très majoritairement utilisée par les services d’audit interne (90% dont 49% d’utilisation importante). Internet.UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT. Les autres outils peuvent être classés en deux catégories : • Les outils servant à la gestion (planification. Ceci qui confirme les réponses sur © IFACI juin 2008 73 . Pas utilisés Modérém ent et m oyennem ent utilisé 66 66 24 54 42 57 26 47 très et considérablem ent utilisé 25 28 22 49 37 27 80 6 10 6 Les t echniques de gest ion t otale de la qualit é Les outils de revue de l’évaluat ion de la qualit é de l’IIA L’échant illonnage de stat istiques La planif ication d’audit basée sur le risque 10 Des logiciels de modélisat ion de processus Des applicat ions de mappage de processus D’aut res modes de communication électronique (par exemple. suivi) de l’audit interne sont dans l’ordre : . Ainsi. les moyens de communication électroniques désormais universels (internet.

(cf. § 1. p. 62). . Les autres méthodes sont dans l’ordre : la revue analytique (81% d’utilisation). .4 sur l’utilisation des normes. . les tableaux de bord et de suivi de la performance tel que le balanced scorecard (69% d’utilisation).Des outils informatiques spécifiques à l’audit interne comme l’utilisation de techniques d’audit assistées par informatique (72% d’utilisation) ou l’audit en continu (41%).Les méthodes de suivi du contrôle interne telles que l’autoévaluation du contrôle utilisée à 69%. l’échantillonnage statistique (utilisé par 76% des répondants). le Benchmarking (80% d’utilisation dont 58% de façon modérée). l’extraction des données est très répandue (91% d’utilisation dont 46% de façon importante).4. Ainsi.l’adéquation et la conformité à la norme 2010 relative à la planification. • Les outils destinés à la conduite de la mission sont : .Des outils concernant les processus avec les applications de cartographie des processus (73% d’utilisation).Les outils de revue de l’évaluation de la qualité de l’IIA et les techniques de gestion totale de la qualité sont utilisés par un tiers des services d’audit interne et moins de 10% des répondants les utilisent de façon fréquente. . © IFACI juin 2008 74 .L’analyse ou le traitement des données. les logiciels de modélisation de processus (43%) ou les logiciels de Flowchart (56%).

COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS IIA Revue analytique Tableaux de bord. Le taux d’utilisation des techniques d’extractions des données est supérieur en France (+27% par rapport au taux d’utilisation moyen au niveau de l’IIA). En ce qui concerne la cartographie des processus. suivi de la performance (balanced scorecard) Benchmarking Techniques d'audit supportées par l’informatique Audit en continu/en temps réel Auto-évaluation du contrôle Extraction des données Documents de travail électroniques Logiciels de Flowchart Communication électronique Application de cartographie des processus Logiciels de modélisation de processus Planification d'audit basée sur le risque Echantillonnage de statistiques Outils de revue qualité (IIA) Techniques de gestion totale de la qualité 94% 52% 75% 78% 61% 66% 64% 80% 69% 97% 64% 37% 92% 82% 53% 51% France 81% 69% 80% 73% 41% 69% 91% 93% 56% 98% 74% 43% 90% 76% 34% 35% L’analyse comparative des données avec l’IIA montre un taux d’utilisation plus important pour certains outils de traitement des données ou de cartographie des processus. Dans le même temps. le taux d’utilisation est supérieur de 10% en France. © IFACI juin 2008 75 . Il est vrai que les auditeurs internes peuvent utiliser des logiciels bureautiques classiques pour réaliser des diagrammes de flux. Les éléments qui apparaissent clairement en retrait par rapport à l’IIA sont : L’audit en continu/ en temps réel (-20%) Les outils de revue qualité des services d’audit interne (-19%) Les techniques de gestion totale de la qualité (-17%). les logiciels de Flowchart sont moins cités en France (-13% par rapport à l’IIA). Les répondants mentionnent également un plus fort taux d’utilisation des tableaux de performance (+17% par rapport à l’IIA).

NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS prévu dans les 3 ans 34 53 34 58 76 85 90 96 43 59 74 87 98 utilisés Les techniques de gestion totale de la qualité Les outils de revue qualité (IIA) L’échantillonnage de statistiques La planification d’audit basée sur le risque Les logiciels de m odélisation de processus L'application de cartographie des processus La com m unication électronique 56 69 93 99 Les logiciels de Flow chart Les docum ents de travail électroniques 96 91 96 69 85 41 61 73 88 80 92 69 79 81 89 0 20 40 60 80 100 120 L’extraction des données L’auto-évaluation du contrôle L’audit au continu / en tem ps réel Les techniques d’audit supportées par inform atique Le benchm arking Les tableaux de bord. suivi de la perform ance (balanced scorecard) La revue analytique © IFACI juin 2008 76 .

comprendre l’organisation et ses activités à travers les logiciels de flowchart (+13%). Cette méthode qui permet d’identifier des priorités cohérentes avec les objectifs de l’organisation sera utilisée dans 96% des cas. Ce taux d’utilisation restera inférieur à celui qui est annoncé au niveau de l’IIA (80%). L’auto-évaluation du contrôle progresse de 16% . l’enquête confirme une généralisation de l’approche par les risques. une diversification des activités qui s’accompagne d’une densification des flux d’informations .Les évolutions envisagées dans le futur reflètent bien les changements auxquels sont soumis les organisations avec : un environnement fluctuant et concurrentiel . Qui plus est. Face à cette complexification. les applications de cartographie des processus (+13%) ou de modélisation des processus (+16%) . l’audit en continu/ en temps réel (+20%). Les outils de revue du programme qualité des services d’audit interne progressent de 24% pour atteindre 58%. cette utilisation deviendra plus intensive puisque l’usage fréquent de la planification basée sur les risques est prévu par (75%) au lieu de 49% actuellement. traiter les informations avec la progression des techniques d’audit supportées par l’informatique (+15%). l’échantillonnage statistique (+9%). le renforcement des dispositifs de contrôle. © IFACI juin 2008 77 . Malgré la progression annoncée. Les données figurant sur ce graphe indiquent une propension à mieux : se situer par les méthodes de benchmarking (+12%) ou l’utilisation des tableaux de bord (+10%) . le niveau d’utilisation future de l’audit en continu/ en temps réel en France (61%) reste inférieur à celui de l’IIA (82%) . évaluer l’audit interne. utiliser les démarches mises en œuvre dans le cadre des dispositifs de contrôle.

notamment au regard de l’assurance qu’elle donne à l’organisation sur le degré de maîtrise des risques et des opérations et sur les recommandations d’amélioration qu’elle émet.4. Dans ce contexte. à l’instar d’autres directions supports. Ce programme inclut la réalisation d’évaluations internes et externes. portant sur tous les aspects de l’activité d’audit interne. Dans un environnement en constant changement et de plus en plus exigeant. alors même qu’il s’agit de la finalité de l’audit interne inscrite dans la définition officielle IIA/IFACI. Modalités d’évaluation de la valeur ajoutée de l’audit interne A la question « Comment votre organisation mesure-t-elle la valeur ajoutée de la fonction d’audit interne ». renforcer l’image et la crédibilité de l’audit interne au sein de l’organisation. il peut arriver que l’audit interne soit interrogé sur son rapport coût/bénéfice.5. apporter encore davantage de valeur ajoutée à la Direction Générale.1. Il est important de signaler que 33% des répondants ne mesurent pas formellement la valeur ajoutée de leur direction.4. les responsables d’audit interne avaient le choix entre une dizaine d’options.1. 1. un engagement permanent d’amélioration continue est indispensable pour : respecter les normes professionnelles et être en mesure de communiquer sur le niveau de conformité du service d’audit interne . doit être mis en place pour contrôler de façon continue l’efficacité du service. maintenir la qualité des prestations au plus haut niveau et s’efforcer d’accroître en permanence celle-ci . En outre. il apparaît fondamental de démontrer formellement la valeur ajoutée de l’audit interne à travers des indicateurs mesurables. au Comité d’Audit et à l’organisation .5. © IFACI juin 2008 78 . L’évaluation de l’audit interne Les normes internationales de l’IIA précisent qu’un programme d’assurance et d’amélioration qualité.

les sociétés cotées se démarquent des autres. le second étant la confiance que les auditeurs externes accordent aux travaux de l’audit interne (43% en France et 33 % au niveau mondial). si 43% des répondants appartenant à des sociétés non © IFACI juin 2008 79 . Le troisième critère porte sur la réalisation d’enquêtes auprès des clients de l’audit interne et des audités (33% en France et 35% au niveau mondial). Ainsi. Le graphe ci-après présente les données par type d’organisation. Ce sont les sociétés qui font appel public à l’épargne qui mesurent le plus leur valeur ajoutée et qui utilisent le plus pour cela les trois critères susmentionnés. MESURE DE LA VALEUR AJOUTEE Acceptation/MO recommandation Enquête clients/audités 100 Confiance des auditeurs externes Demandes de la direction Pas de mesure formelle de la VA 90 80 70 60 50 40 30 20 10 0 Cotée Non cotée Secteur public Population totale En matière de mesure de la valeur ajoutée de l’audit interne. 51% au niveau mondial).Le premier élément cité par les services d’audit interne qui ont engagé une telle évaluation est le taux de recommandations acceptées et/ou mises en œuvre (66% en France.

Pourtant. ils représentent 52% des responsables d’audit interne qui affirment avoir déjà ce programme ou avoir l’intention d’en mettre un en place dans les douze mois qui suivent. § 1. il convient de rapprocher ces résultats des opinions formulées sur le niveau d’adéquation et de conformité des normes de la série 1300 (cf. Les entreprises cotées se distinguent également par le recours aux enquêtes auprès des clients de l’audit interne ou auprès des audités (51% dans les entreprises cotées. dans les rapports d’audit interne. Ce taux est plus faible dans les sociétés cotées (23%). En France.4. Il est vrai que le développement d’un tel programme fait partie des © IFACI juin 2008 80 . la conformité des normes.4. Pour les sociétés cotées. ce ratio est de 27% au niveau de l’IIA.3 sur l’adéquation.4. et 1. Le CBOK donne un éclairage particulier sur la proportion de directions d’audit interne qui ont mis en place un programme d’assurance et d’amélioration qualité conformément aux normes de la série 1300.2.cotées indiquent qu’aucune mesure de la valeur ajoutée n’est réalisée. 25% des responsables d’audit déclarent avoir mis en place un tel programme. La mesure de la valeur ajoutée renvoie à la performance de l’activité d’audit interne et des dispositifs qu’une direction d’audit met en œuvre pour garantir la qualité de ses activités et l’engagement dans un processus d’amélioration constante.4. 64). de la mention « conduit conformément aux Normes ». Par ailleurs. les deux critères essentiels de mesure de la valeur ajoutée de l’audit interne sont le taux de recommandations acceptées et mises en œuvre (77%) et la confiance des auditeurs externe (60%). p. Dans le secteur public. De plus. En effet. 43% des responsables d’audit n’envisagent pas de mettre en place ce programme dans l’année suivante (29% seulement au niveau de l’IIA). Un examen plus précis des réponses révèle une légère avance dans les services d’audit interne dont les responsables sont en poste depuis moins de deux ans. Tous les établissements publics ne sont pas soumis aux audits financiers des commissaires aux comptes et la certification des comptes des administrations publiques est une notion encore récente. la confiance accordée par l’audit externe est faiblement perçue comme un indicateur de la valeur ajoutée (12%). 14% pour les non cotées et 25% pour le secteur public). ce type de programme est une condition nécessaire pour l’utilisation.

en ce qui concerne la mise en place effective ou souhaitée au cours des douze prochains mois. ce sont les sociétés faisant appel public à l’épargne et les organisations du secteur public qui arrivent en tête. ce sont les responsables d’audit interne les plus récents qui sont les plus enclins à la mise en œuvre d’un programme d’amélioration qualité leur permettant d’aligner leurs pratiques et leur organisation sur les Normes. d’un Programme d’assurance et d’amélioration qualité (55% chacune). comme souligné précédemment. Par ailleurs. C’est aussi un moyen de gagner ou de renforcer leur crédibilité et leur autorité au sein de l’organisation. Il peut trouver son fondement dans la création accélérée de services d’audit. © IFACI juin 2008 81 . Or. ce constat peut s’analyser de différentes manières. De plus. cela permet à un nouveau responsable d’audit interne de comparer la situation du service d’audit interne avec les meilleures pratiques rassemblées dans le cadre de référence professionnel de l’IIA.éléments structurants d’un service d’audit interne. Dans le secteur public.

ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET D’AMELIORATION DE LA QUALITE DE L ’AUDIT INTERNE Les activités effectuées dans le cadre du programme d’assurance et d’amélioration qualité du service d’audit interne sont : la supervision des missions. la mise en place de listes de vérification (check-lists) et de manuels donnant l’assurance que des processus d’audit adéquats sont respectés. Sur ces deux derniers aspects. pour 31% (28% IIA) . pour 56% (43% IIA) . l’enquête ne précise pas s’il s’agit d’auto-évaluation (évaluations internes) ou d’évaluations confiées à un prestataire externe. pour 39% (41% IIA) . la vérification de la conformité de la fonction d’audit aux Normes internationales. © IFACI juin 2008 82 . pour 31% (France et IIA). le recueil des commentaires de clients d’audit à la fin d’une mission. la vérification du respect du Code de Déontologie par les auditeurs. pour 36% (39% IIA) .

… et à identifier. en collaboration avec le service d’audit interne. après consultation du Conseil/Comité d’audit). l’auto-évaluation ou la réalisation d’enquêtes) ou continues. p.) . par un évaluateur ou une équipe qualifiés et indépendants. la revue qualité. o des contrôles périodiques de conformité aux Normes via des auto-évaluations. 82) propose quelques exemples d’évaluations internes périodiques (par exemple. l’efficacité de l’activité d’audit interne au regard de sa Charte et des attentes de ses parties prenantes . Le graphe sur les activités effectuées dans le cadre du Programme d’assurance et d’amélioration qualité (cf.. 36% des répondants en France indiquent la réalisation d’une évaluation interne de leur service. Ce ratio est supérieur à celui constaté au niveau de l’IIA (33%). Les évaluations externes (Norme 1312). comprennent : o des contrôles continus de l’activité d’audit interne (par exemple : la supervision. elles contribuent également au processus global de gestion © IFACI juin 2008 83 . Les traitements réalisés au niveau de l’IIA révèlent une corrélation positive entre cette fréquence et l’ancienneté du service d’audit interne ou sa taille. la valeur ajoutée apportée par l’audit interne au regard notamment des attentes de ses clients et parties prenantes . selon l’appréciation du Responsable de l’audit interne. l’adéquation des ressources et du champ d’intervention de l’audit .4. les évaluations de fin de mission des auditeurs. La fréquence préconisée par les Normes est annuelle.Les évaluations internes (Norme 1311). la mesure et le suivi de divers indicateurs de performance.. et bien sûr la certification que nous privilégions et vers laquelle la plupart des organisations intéressées se tournent car elles veulent obtenir un label de qualité qui constitue un gage de crédibilité et de visibilité. 42% des répondants déclarent qu’il n’y a jamais eu d’évaluation interne dans leur service. réalisées au moins tous les cinq ans (ou plus fréquemment. 1. des axes d’amélioration.5. Au cours des trois dernières années. Evaluation interne du service d’audit interne En France. Ces actions ne servent pas uniquement à améliorer la performance du service d’audit interne. visent à apprécier : la conformité aux Normes . 28% des répondants déclarent une évaluation interne au cours des douze derniers mois (24% au niveau IIA). Les évaluations internes continues renvoient aux différentes modalités de développement des compétences. connaissances et savoir-faire des auditeurs internes. Rappelons que l’IFACI a signé en 2006 un protocole d’accord avec l’IIA Global l’autorisant à proposer aux directions d’audit interne tout type d’évaluation externe : la validation indépendante après autoévaluation.2. réalisées par des auditeurs internes en poste ou d’anciens auditeurs travaillant au sein de l’organisation. l’utilisation de bonnes pratiques .

http://www.asp?id=269). © IFACI juin 2008 84 . Evaluation externe du service d’audit Les Normes indiquent plusieurs formes d’évaluation externe : • • • la revue qualité. la certification. Fondée sur l’approche ISO. Afin de mesurer l’atteinte de cet objectif précis. le service d’audit interne doit mettre en place des dispositifs de mesures comme : • • • la réalisation d’évaluations post-mission des auditeurs internes .5. Cette diversité n’a peut être pas été suffisamment appréhendée par les 42% de répondants qui disent ne pas réaliser d’évaluation interne. Plus exigeante que les autres formes d’évaluation externe. la conformité avec la méthode adoptée par le service d’audit interne . la validation indépendante d’une auto-évaluation. développée par l’IFACI. le service d’audit interne est parfois perçu comme une pépinière de cadres de haut potentiel formés à une méthode rigoureuse et à la connaissance des activités et processus de l’organisation. documentée et méthodique. 1. la qualité des travaux.ifaci. En effet.4. Les actions qui peuvent être entreprises dans le cadre d’une évaluation interne sont donc assez variées. la mesure d’indicateurs tels que le nombre de jours de formation des auditeurs internes .3. elle présente aussi l’avantage d’adhérer le plus fidèlement possible à l’esprit des Normes à savoir l’engagement dans une amélioration continue des processus d’audit interne (Pour en savoir : IFACI Certification.des ressources humaines de l’organisation. la qualité des reclassements à la sortie du service d’audit interne…. cette certification induit des audits de suivi annuels et un renouvellement au terme de trois ans.com/fo/page. La question a pu être interprétée comme faisant uniquement référence à l’évaluation interne périodique. Ces évaluations permettent également d’ancrer un certain nombre de contrôles dans le processus d’audit pour vérifier : • • • le respect des objectifs fixés . sur la conformité aux Normes.

l’identification d’axes d’amélioration du service d’audit interne. Selon les Normes. Elle vise notamment : l’appréciation de l’utilisation de bonnes pratiques . la situation appréciée à un instant donné peut se dégrader très rapidement. Une période de cinq ans peut être longue pour une organisation et plus spécifiquement pour un service d’audit interne. En effet. au regard des Normes. ces ratios sont respectivement de 40% et 5%. Il convient de rappeler qu’une telle évaluation externe. Elle énonce dorénavant que le responsable de l’audit interne doit s’entretenir avec le Conseil ou Comité d’Audit au sujet du besoin éventuel d’augmenter la fréquence des évaluations externes. 17% citent une évaluation non conforme à la Norme 1312. Au niveau de l’IIA.En France. © IFACI juin 2008 85 . de réaliser une telle évaluation. les responsables d’audit de ces services peuvent donc considérer qu’ils sont encore dans la période des cinq premières années au cours de laquelle ils n’ont pas l’obligation. la périodicité minimale entre deux évaluations externes est de cinq ans. son équipe entièrement renouvelée en trois ou quatre ans. en cinq ans. Au niveau de l’IIA. dont 22% au cours des douze derniers mois. représente bien d’autres intérêts que le pur respect de la Norme 1312. le plus souvent. l’examen de l’adéquation des ressources et du champ d’intervention de l’audit . 35% des répondants déclarent que leur service d’audit interne n’a jamais fait l’objet d’une évaluation externe. Preuve en est que la Norme 1312 a été révisée en 2006. menée par un organisme indépendant et par des personnes qualifiées et compétentes. la mesure de l’efficacité de l’activité d’audit interne au regard de sa Charte et des attentes de ses parties prenantes . qui voit. 33% des répondants ont fait l’objet d’une évaluation externe. 28% des répondants français ont fait l’objet d’une évaluation externe au cours des cinq dernières années – fréquence minimale prescrite par les Normes – parmi lesquels 17% au cours des douze derniers mois. l’analyse de la valeur ajoutée apportée par l’audit interne au regard notamment des attentes de ses clients et parties prenantes . L’analyse de l’ancienneté moyenne révèle qu’un quart des services d’audit interne ont moins de cinq ans d’existence . Ce risque est désormais pris en considération par l’IIA.

© IFACI juin 2008 86 .

La généralisation des dispositifs de contrôle interne et de gouvernement d’entreprise La mise en place d’un dispositif de contrôle interne se généralise. Au niveau de l’IIA ces ratios sont respectivement de 64% et 90%. Ainsi. En effet. 1. Les auditeurs internes peuvent valablement apporter leur savoir-faire dans ces domaines ne serait-ce que par la valeur de leur exemplarité. Enjeux d’aujourd’hui et de demain Plusieurs questions du CBOK donnent des tendances sur l’évolution de la profession à court terme. ils sont 25% à prévoir la mise en place d’un dispositif de contrôle interne dans les trois années à venir. Ainsi. l’évolution des activités de l’audit interne . la formalisation accrue des dispositifs de contrôle interne nécessite une explication du contexte et des enjeux.1. 47% des répondants notent une implication de leur service dans ce domaine. Cette évolution induit de nouvelles attentes.1.5. les répondants se sont prononcés sur la validité d’un certain nombre d’affirmations dans les trois prochaines années. Actuellement. Par exemple. Les résultats correspondants sont résumés en les articulant autour de trois axes : • • • l’évolution des dispositifs de contrôle interne et de gouvernement d’entreprise . Cette tendance se confirme dans le futur puisque 15% des répondants cite la prochaine mise en place de ce dispositif (soit 98% au total en France. 83% des répondants déclarent l’existence d’un tel dispositif dans leur organisation (ils sont 71% au niveau de l’IIA). © IFACI juin 2008 87 . Cette quasi-unanimité masque une diversité de situation par secteur d’activité ou type d’organisation. dans le secteur des assurances. Ils seront 77% dans le futur.5. En France. en ce qui concerne le rôle de l’audit interne dans la sensibilisation du personnel au contrôle interne. au gouvernement d’entreprise et à la conformité. L’estimation globale future est de 95% au niveau IIA). la robustesse du cadre de référence international des pratiques professionnelles d’audit interne.

de gouvernement d’entreprise ou de conformité. 38% des répondants du secteur public affirment que leur service assume ce rôle. AU GOUVERNEMENT D’ENTREPRISE ET AUX QUESTIONS RELATIVES A LA CONFORMITE : Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Cotée Secteur public Non cotée Ensemble Le graphe ci-dessus révèle des différences selon le type d’organisation. Le rôle de vulgarisateur est largement intégré dans les sociétés cotées (65% actuellement et 86% dans les 3 ans). La projection à trois ans montre une nette évolution (près de 70% au total). l’audit interne n’est pas encore un acteur clé de la sensibilisation du personnel pour les questions de contrôle interne. Dans le secteur public. 88 © IFACI juin 2008 .LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE INTERNE. Actuellement. L’implantation des dispositifs de contrôle interne et leur pérennisation sont difficilement envisageables sans la structuration et la formalisation des processus de gouvernement d’entreprise qui pilotent et soutiennent ces dispositifs. Ce mouvement accompagne la mise en place de la Loi Organique des Lois de Finance (LOLF) et la culture de contrôle interne qu’elle introduit.

En moyenne. dans les trois années. 70% des répondants indiquent une formalisation d’une charte pour le fonctionnement des comités spécialisés du Conseil d’Administration tel que le comité d’audit. Ils sont appelés à se développer dans le futur. 23% des répondants considèrent que leur organisation se référera à un code de gouvernement d’entreprise soit un total de 80%.Ainsi. L’audit interne devrait d’ailleurs jouer un rôle accru © IFACI juin 2008 89 . trois quart des répondants déclarent l’existence d’un code d’éthique et la moitié d’entre eux dispose également d’un code de gouvernement d’entreprise. en France. ce type de référence est cité par un tiers des répondants avec une évolution globale à 60% dans le futur. Ils sont 57% à déclarer cette pratique au niveau de l’IIA. Dans le secteur public. 23% supplémentaires dans les 3 prochaines années) Tous ces documents participent au renforcement des valeurs de l’entreprise et renforcent de fait au le contrôle interne dans ces entités. L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE Applicable actuellement Applicable dans les 3 prochaines années Non applicable dans le futur Non applicable 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Cotée Non Cotée Secteur public Ensem ble L’existence d’un code de gouvernement d’entreprise semble fortement corrélée au fait que les sociétés sont cotées (76% actuellement et 96% au bout de trois ans). Ainsi. L’analyse par type d’organisation montre un panorama diversifié. Ce formalisme va avec un renforcement du professionnalisme des acteurs du gouvernement d’entreprise. La conformité au code de gouvernement d’entreprise (57% actuellement.

Ces données influencent-elles les pratiques envisagées ? EVOLUTION DU ROLE DE L’AUDIT INTERNE Augmentation Audit opérationnel Conformité Governance  Management des risques Revue des processus financiers 0% 20% 40% 60% 80% 100% 120% Baisse Identique Ces résultats montrent que le risque management. si 22% des répondants déclarent que leur service forme les membres du comité d’audit en matière de contrôle interne et de gouvernance.35) est celui où 71% des répondants pensent que leur service d’audit interne aura un rôle encore plus accru. Malgré l’émergence de fonctions dédiées au management des risques.2. l’audit interne conserve sa légitimité pour évaluer la fiabilité de l’ensemble du processus.dans ce domaine. Evolution du rôle de l’audit interne L’évolution de l’environnement réglementaire en matière de contrôle interne ainsi que les attentes des acteurs du gouvernement d’entreprise influencent l’audit interne.4. © IFACI juin 2008 90 . Ainsi.5. Malgré cette progression. domaine dans lequel l’audit interne a déjà un rôle notable (cf. le ratio prévu en France restera inférieur aux projections mondiales (66%).2. de la phase de recensement des risques au suivi des plans d’action prévus pour les gérer. § 1. cette situation devrait évoluer portant le pourcentage estimé dans le futur à 48%. Cette tendance peut s’expliquer par le renforcement des exigences réglementaires dans ce domaine.4. p. 1. notamment dans le secteur financier avec des dispositifs tels que Bâle II ou Solvency II.

En 2006. © IFACI juin 2008 91 . 74% des services d’audit concernés avaient dédié 74% de leurs ressources aux travaux SOX. En quelque sorte un retour à la normale avec la création de nouvelles fonctions dédiées à la mise en œuvre de ces dispositifs tandis que l’audit confirme son rôle en termes de surveillance et d’évaluation. l’enquête du CBOK montre une réduction de l’implication des services d’audit dans la mise en place des processus de conformité aux réglementations. Les services d’audit ont été généralement sollicités pour accompagner la mise en conformité vis-à-vis de réglementations telles que SOX. EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX REGLEMENTATIONS (DONNEES PAR TYPE D’ORGANISATION) Augmentation Baisse Identique Secteur public Non cotée Cotée 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Dans les sociétés cotées la baisse doit être analysée de manière relative.Les deux pôles relativement en retrait sont la conformité et l’audit opérationnel. Selon les résultats de l’enquête IFACI 2005.

SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA REGLEMENTATION (DONNEES SECTORIELLES ) Rôle actuel 10 0 % Role dans 3 ans Im probable Non applicable 90% 80% 70% 60% 50% 40% 30% 20% 10 % 0% Banque Assurance Pharm acie chim ie Détail Gros Technologie Services publics Ensem ble La tendance au développement du rôle de surveillance de la conformité existe quel que soit le secteur d’activité qu’il soit encadré par les régulateurs (Banque. p. la gestion des systèmes d’information.2. le CBOK donne-t-il des tendances plus précises sur les sujets d’audit de demain ? Les projections sur les domaines analysés dans le paragraphe (cf.35) mettent en évidence trois grandes tendances : - la confirmation du rôle de l’audit interne dans des domaines déjà majoritaires comme le management des risques. Assurance) ou non. la conformité. Au-delà de ces grands axes de développement.4. § 1.4. le benchmarking. la formation au contrôle interne. la fraude. © IFACI juin 2008 92 .

LA FRAUDE. Ils répondent à la question de l’efficience du processus de knowledge management et de déclinaison de la stratégie à tous les échelons opérationnels. - les domaines émergents sont cohérents avec les enjeux actuels des organisations. de stratégie ou de gestion de projet. Ce sont des domaines transverses qui sont connectés à la problématique de la bonne gouvernance et à la nécessité de prendre en compte les attentes des différentes parties prenantes. qu’il s’agisse de développement durable (responsabilité sociétale. y compris ceux où ce domaine était un peu en retrait. LA CONFORMITE. LA FORMATION AU CONTROLE INTERNE ET LE BENCHMARKING L’analyse sectorielle ne met pas en évidence de différences significatives entre secteurs d’activités.ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE. Ils s’assurent de leur contribution au renforcement de l’environnement de contrôle. © IFACI juin 2008 93 . Elle confirme la progression dans le domaine des systèmes d’information. de knowledge management. LA GESTION DES SYSTEMES D ’ INFORMATION. environnement).

En outre. Il s’agit de la gestion des sinistres. © IFACI juin 2008 94 .LES DOMAINES EMERGENTS - enfin. aux marchés émergents ou aux dossiers de fusions acquisition. la conformité ou la gestion des risques qui connaissent une bonne progression. des sujets comme la gestion des sinistres sont souvent couverts à travers des missions plus globales sur le management des risques. des missions liées à la mondialisation. certains domaines semblent rester en retrait. Cette position est toute relative par rapport à la vingtaine de thèmes qui étaient proposés dans l’enquête.

QU’EST CE QUI FREINE L’UTILISATION DES NORMES ? IIA Responsable Audit Interne Non perçues.3. partagé à travers le monde et inscrit dans les documents conçus par les services d’audit interne. comme ayant une valeur ajoutée Contraintes de temps La conformité aux normes n’est pas exigée par le Conseil et la Direction Générale Non appropriées pour les petites structures Soumis à une réglementation ou des normes spécifiques Normes et modalités pratiques d’application trop complexes La conformité aux normes est trop coûteuse Autre Conformité non exigée dans le pays Non appropriées pour le secteur d’activité Auditeurs internes non qualifiés 10% 16% 19% 17% 12% 12% 19% 18% 12% 17% 26% 20% 12% 14% 23% 28% Effectif total France Responsable Audit Interne Effectif total 11% 10% 15% 16% 6% 7% 22% 16% 9% 12% 6% 4% 13% 13% 11% 6% 4% 14% 12% 4% 3% 7% 10% 11% 7% 7% 6% 6% © IFACI juin 2008 95 .5. Pour mieux comprendre les freins à la non-utilisation de ce référentiel. Cette universalité se fonde sur un élément fédérateur : le cadre de référence de la pratique professionnelle de l’IIA. un cadre universel pour une pratique professionnelle de l’audit interne Les différents résultats du CBOK convergent vers une même évidence : le caractère universel des principes fondateurs de la profession.1. Le référentiel IIA. par le Conseil et la Direction Générale. les réponses à la question à choix multiples correspondante sont présentées ci-après.

temps. En France. 28% des répondants justifient l’absence d’utilisation des normes parce qu’elles ne sont pas perçues comme génératrices de valeur ajoutée par les organes dirigeants (ils sont 12% à partager cette opinion au niveau de l’IIA). • • l’absence de perception de la valeur ajoutée par les dirigeants (28%) et le manque de soutien de la part des dirigeants (18%) . Il peut sembler étonnant qu’un tiers des répondants 96 © IFACI juin 2008 . Rappelons que ce cadre de référence est utilisé par 70% des répondants en France et 82% au niveau de l’IIA. les résultats de la France montrent : . l’inadéquation pour des petites structures (17%). De même. Par rapport aux données mondiales. le caractère délibéré de la démarche est mise en avant puisque l’absence d’exigence réglementaire dans ce domaine est le dernier critère cité par les non utilisateurs. Ils sont également 18% à considérer que la Direction et le Conseil ne soutiennent pas la conformité aux normes (12% au niveau de l’IIA) . Les principales raisons citées par les personnes qui déclarent que leur service d’audit interne n’utilise pas le cadre de référence de l’IIA sont : • les contraintes de temps (20% des répondants).Ces données confirment le caractère universel du cadre de référence car très peu de répondants évoquent le fait qu’il n’est pas adapté à leur secteur d’activité. la complexité (16%). Le critère de coût est cité par 11% des répondants. faible perception de la valeur ajoutée par le management).une vision plus pessimiste de la complexité des normes (16% en France. Ces défauts sont surtout cités par les responsables d’audit interne (respectivement 26% et 22%). A contrario. . personnel qualifié) ou organisationnelles (petites structures. 6% au niveau de l’IIA). Ils sont 6% à expliquer la non-utilisation des normes par des lacunes de compétences au niveau du staff au lieu de 14% au niveau IIA. Les responsables d’audit internes sont plus sensibles aux contraintes de ressources (coût. en France les répondants mettent moins en avant les contraintes de compétences.une différence sur la perception des normes par la Direction et du Conseil.

Ce nouveau corpus s’inscrit dans la continuité du précédent mais il prend en compte des tendances confirmées par le CBOK. Notons néanmoins que l’existence de règles plus contraignantes est citée par 16% de ceux qui n’utilisent pas les normes en France (10% au niveau de l’IIA) . L’analyse des commentaires libres des non utilisateurs nuance ces résultats puisqu’ils mettent en avant : l’utilisation d’autres standards (Groupe ou réglementaire) sans pour autant préciser si ces standards prennent en compte des principes du cadre de référence de l’IIA.64). Ces commentaires ne doivent pas occulter la robustesse de ce cadre de référence qui s’adapte aux différents secteurs d’activités (cf. La révision du cadre de référence engagé par l’IIA doit aboutir à la parution de l’IPPF (International Professional Practice Framework) en janvier 2009. Enfin. Le processus continu de mise à jour de ce cadre devrait également permettre aux auditeurs internes de faire face aux responsabilités émergentes. le marketing de la valeur ajoutée de l’audit interne passe d’abord par une démarche professionnelle et donc une appropriation du cadre © IFACI juin 2008 97 . Or.4. Les responsables d’audit interne sont déjà convaincus de la nécessité de promouvoir leur fonction.2 sur l’adéquation des normes. un principe de précaution dans la gestion du changement. § 1. D’ores et déjà. p. De plus. La robustesse du cadre de référence et son utilité seront confirmées avec ces évolutions.4.n’utilise pas les normes. des précisions ou des compléments sont apportés sur le rôle de l’audit interne en matière de fraude ou de relations directes avec les organes de gouvernance. Il permet déjà de couvrir les domaines phare de l’activité d’audit notamment en ce qui concerne le processus de management des risques. l’orientation plus opérationnelle et plus pragmatique (avec l’introduction de guides d’applications qui viennent préciser et détailler les modalités pratiques d’application des normes) devraient mieux répondre aux contraintes des petites structures. les notes interprétatives devraient contribuer à réduire l’impression de complexité. Certains répondants envisagent l’utilisation du cadre de référence mais sont prudents dans l’introduction rapide de nouveaux critères alors même que la fonction d’audit interne est en cours d’implantation.

de référence professionnel de l’IIA. © IFACI juin 2008 98 . Il doit être aligné sur les enjeux propres à chaque organisation.

Manager .1. Personnel d’audit interne . services généraux de l’Audit Interne). Autres (y compris administration. montre une bonne représentativité de chacune des catégories d’emploi. Le graphe ci-dessus. vice-président) . Senior ou superviseur .2. Cette population est plus diversifiée que celle de l’enquête IFACI de 2005 qui s’adressait uniquement à des responsables d’audit. 2. Pour les données provenant de France. tous les répondants sont adhérents de l’IFACI. une forte proportion du personnel d’encadrement des services d’audit interne © IFACI juin 2008 99 . Catégorie d’emploi Les répondants avaient le choix entre cinq catégories de fonction : • • • • • Directeur d’audit (y compris auditeur général. On note néanmoins. TYPOLOGIE DES REPONDANTS L’avis d’enquête a été diffusé via les instituts affiliés à l’IIA. Au niveau mondial 93% des répondants sont adhérents d’un institut affilié à l’IIA.

3% 100% % (France) % (IIA) © IFACI juin 2008 100 . LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE/ IIA).2% 7.6% 100% 26. Nombre (France) Responsable d’audit interne Manager Superviseur Auditeur interne Autres Total 69 48 60 52 6 235 29.REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI Cette représentativité des différentes fonctions se retrouve également au niveau mondial avec des pourcentages qui ne sont pas significativement différents de ceux de la France.4% 25.1% 2.4% 20.5% 22.2% 18.8% 25.5% 22.

Il y a une forte corrélation entre l’âge et la position dans le service d’audit interne.2. Cette tendance se retrouve dans les résultats internationaux. 75% des répondants ont moins de 45 ans. près de la moitié (47%) des responsables d’audit interne ont plus de 45 ans alors que moins du tiers (30%) des autres fonctions se trouvent dans cette catégorie. Age Les taux de réponse à cette question varient de 68% (responsables d’audit interne) à 84% (autres) soit un taux de réponse moyen de 80%. En effet.2. PYRAMIDE DES AGES DES REPONDANTS 55‐64 ans 45‐54 ans Effectifs totaux  Responsables  audit interne 35‐44 ans 26‐34 ans 25 ans et moins 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% © IFACI juin 2008 101 .

2.3. Type d’organisation
Les répondants ont classé leur organisation selon cinq catégories.

TYPES D’ORGANISATION Responsable Audit Interne (%) Société cotée Société privée non cotée Secteur public Organisme à but non lucratif Prestataire de service/consultant Autres 51% 29% 12% 6% 3% 0% 40% 27% 17% 9% 7% 4% 38% 19% 23% 6% 11% 3% Effectifs totaux (%) IIA (%)

Il apparaît que les répondants sont majoritairement des professionnels employés dans des services d’audit interne (seulement 7% sont chez des prestataires de services, ce taux baisse à 3% pour les Responsables d’Audit Interne). Les organisations représentées sont plutôt des sociétés cotées (40% du total et la moitié des Responsables d’Audit Interne appartiennent à des sociétés listées). Une bonne représentativité du secteur public (17%) et non côté ; les organisations à but non lucratif ne sont pas en reste avec 8,5% des répondants. Les prestataires représentent 7% des répondants en France et 11% au niveau mondial.

© IFACI juin 2008

102

2.4. Secteur d’activité
Les répondants ont eu le choix entre 22 modalités de réponse. Pour cette question à choix multiples, le total est donc supérieur à 100%. Les cinq principaux secteurs représentés dans l’échantillon français sont mentionnés ci-après.

SECTEURS D’ACTIVITE Responsable Audit Interne (%) Banque Services publics Assurance Autres Communication/Télécommunication 28% 7% 10% 13% 9% 28% 17% 16% 11% 10% 25% 8% 9% 14% 7% Effectifs totaux (%) IIA (%)

Les services publics et les assurances sont mieux représentés dans la souspopulation « France » (17% et 16% au lieu de 8 et 9% au niveau mondial). A contrario, le secteur de la transformation est mieux classé au niveau IIA (13% et troisième position) par rapport aux données de la France (7% et 8ème position). De même pour les services financiers : 11% et 4ème position au niveau IIA ; 8% et 7ème position en France.

En termes de classement une différence notable avec les résultats de l’IIA concerne le secteur de l’éducation figurant dans les 10 premiers secteurs au niveau mondial (7%) et minoritaire en France (1%).

© IFACI juin 2008

103

2.5. Taille des organisations représentées
Au niveau de l’effectif des organisations, on retrouve sensiblement les mêmes proportions que dans l’enquête de 2005. La moitié des organisations ont moins de 5000 employés. La présence de l’audit interne est confirmée dans les organisations de moindre dimension : 11% des répondants appartiennent à des organisations de moins de 500 employés et un tiers ont moins de 2500 employés.

EFFECTIF DE L’ORGANISATION Nombre d’employés <1000 1000 à 5000 5000 à 50000 >50000 % CBOK France 16% 32% 31% 22% % IFACI 2005 20% 35% 28% 17%

Pour ce qui est du chiffre d’affaires, le taux de réponse est de 48%.

CHIFFRES D’AFFAIRES DE L’ORGANISATION Chiffre d’affaires (millions euros) >7500 7500 à 750 750 à 150 <150 % CBOK France 25% 15% 30% 22% % IFACI 2005 22% 45% 19% 14%

Comme pour le nombre d’employés, on note que l’audit interne n’est pas l’apanage des grandes organisations. Même si ¼ des répondants sont dans des organisations qui génèrent plus de 7,5 milliards d’euros, 20% des personnes qui ont répondu à cette question sont dans des organisations qui génèrent moins de 75 millions d’euros de chiffre d’affaires. La tranche des organisations ayant moins de 750 millions de chiffre d’affaires et mieux représentée (52%) que dans l’enquête de 2005 (33%).

© IFACI juin 2008

104

La répartition du périmètre des organisations est différente de celle des résultats globaux où l’échelon international est moins représenté (39%) au profit du local (32%). régionale % CBOK France 58% 29% 12% CBOK IIA 39% 29% 32% © IFACI juin 2008 105 . Périmètre des organisations représentées PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION Les répondants appartiennent à des organisations intervenant au niveau national (29%) et international (58%).2.6. Implantation Internationale Nationale Locale.

3. LISTE DES TABLEAUX ET SCHEMAS DOCUMENTS RELATIFS A LA CORPORATE GOVERNANCE   ________________________________________________ 19  QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE ?  ________________________________ 20  QUI PREND PART A LA NOMINATION DU RESPONSABLE DE L’AUDIT INTERNE (ANALYSE DETAILLEE AU  NIVEAU DE L’IIA) ? __________________________________________________________________________ 21  LES ACTEURS DE LA NOMINATION DU RESPONSABLE D’AUDIT INTERNE SELON LE SECTEUR  ________________________ 22  QUI EVALUE LE RESPONSABLE DE L’AUDIT INTERNE ?  __________________________________________________ 23  EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION ________________________________________ 23  PARTICIPATION DU RESPONSABLE DE L’AUDIT INTERNE AUX REUNIONS DU COMITE D’AUDIT  ______________________ 24  REUNIONS INFORMELLES ET APPRECIATION DE L’ACCES AU COMITE D’AUDIT   _________________________________ 25  DES SERVICES D’AUDIT INTERNE RECENTS   __________________________________________________________ 27  _ L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE SECTEUR D’ACTIVITE  __________________________________ 28  L’ANCIENNETE DU SERVICE D’AUDIT INTERNE SELON LE TYPE D’ORGANISATION  ________________________________ 29  ANCIENNETE DES AUDITEURS INTERNES ____________________________________________________________ 30  ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE DANS LEUR FONCTION. ___________________________________ 31  COMPARAISON FRANCE / IIA  DE L’ANCIENNETE DES RESPONSABLES D’AUDIT INTERNE  __________________________ 31  L’AMPLITUDE DES EFFECTIFS D’AUDIT INTERNE  _______________________________________________________ 32  RATIO EFFECTIF AUDIT INTERNE /EFFECTIF TOTAL DE L’ORGANISATION  ______________________________________ 33  MODALITES DE GESTION DES LACUNES DE COMPETENCES   _______________________________________________ 34  DOMAINES CLES D’INTERVENTION DE L’AUDIT INTERNE  _________________________________________________ 36  DOMAINES LES MOINS CITES DU PERIMETRE D’AUDIT INTERNE  ___________________________________________ 37  _ AUTRES DOMAINES DU PERIMETRE D’AUDIT INTERNE  __________________________________________________ 38  POURCENTAGE DES MISSIONS REALISEES PAR L’AUDIT INTERNE SUR UNE TRENTAINE D’ACTIVITES  ___________________ 39  TEMPS PASSE PAR TYPE DE MISSIONS   _____________________________________________________________ 43  _ COMPETENCES COMPORTEMENTALES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX   _ RESPONSABLES D ’AUDIT INTERNE )  _______________________________________________________________ 45  COMPETENCES TECHNIQUES PAR CATEGORIE DE FONCTION (QUESTION POSEE AUX RESPONSABLES  D’AUDIT INTERNE ) ___________________________________________________________________________ 47  SAVOIR‐FAIRE PAR CATEGORIE D ’EMPLOIE FONCTION (QUESTION POSEE AUX RESPONSABLES D ’AUDIT  INTERNE )  _________________________________________________________________________________ 50  APPRECIATION DES CONNAISSANCES NECESSAIRES A L’EXERCICE DE L’AUDIT INTERNE  ___________________________ 53  NIVEAU DE FORMATION _______________________________________________________________________ 54  TYPES DE SPECIALISATION ______________________________________________________________________ 55  COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (EFFECTIF TOTAL) _____________________________ 56  COMPARAISON INTERNATIONALE DES TYPES DE SPECIALISATION (RESPONSABLES D’AUDIT INTERNE )  ________________ 56  _ NOMBRE D ’HEURES DE FORMATION OU DE SEMINAIRE AU COURS DES TROIS DERNIERES ANNEES  ___________________ 57  © IFACI juin 2008 106 .

 AU  GOUVERNEMENT D ’ENTREPRISE ET AUX QUESTIONS RELATIVES A LA CONFORMITE :  ____________________________ 88  _ L’ORGANISATION RESPECTE UN CODE DU GOUVERNEMENT D’ENTREPRISE  ____________________________________ 89  EVOLUTION DU ROLE DE L’AUDIT INTERNE __________________________________________________________ 90  EVOLUTION DU ROLE DE L’AUDIT INTERNE DANS LA CONFORMITE AUX REGLEMENTATIONS (DONNEES  PAR TYPE D ’ ORGANISATION) ____________________________________________________________________ 91  SURVEILLANCE DE L’EVALUATION DE LA CONFORMITE A LA REGLEMENTATION (DONNEES  SECTORIELLES ) ______________________________________________________________________________ 92  ROLE FUTUR DE LA FONCTION DANS LE MANAGEMENT DU RISQUE.FREQUENCE DES FORMATIONS SUIVIES EN FONCTION DU THEME   __________________________________________ 58  FORMATION SUIVIE AU MOINS UNE FOIS PAR AN  _____________________________________________________ 59  TAUX DE QUALIFICATION DES REPONDANTS  _________________________________________________________ 60  NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE  ______________ 60  NOMBRE DE PERSONNES DU SERVICE D’AUDIT INTERNE AYANT UNE QUALIFICATION EN AUDIT INTERNE  DES SYSTEMES D ’INFORMATION   _________________________________________________________________ 61  PERCEPTION DE LA FONCTION AUDIT INTERNE AU SEIN DE L’ORGANISATION  _____________________________________ 63  NIVEAU D’ADEQUATION DES NORMES PROFESSIONNELLES  _______________________________________________ 65  COMPARAISON IIA/ FRANCE POUR LES NORMES JUGEES LES MOINS ADEQUATES  ______________________________ 66  NIVEAU DE CONFORMITE AUX NORMES PROFESSIONNELLES  ______________________________________________ 67  COMPARAISON IIA/ FRANCE POUR LA CONFORMITE AUX NORMES   ________________________________________ 68  PHASE DE RESOLUTION DES DIFFERENDS ENTRE L’AUDIT INTERNE ET LES AUDITES  ______________________________ 70  MODALITES DE SUIVI DES RECOMMANDATIONS   ______________________________________________________ 71  PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE  ___________________________________ 71  DOCUMENTATION EXISTANTE EN FONCTION DE L’ANCIENNETE DES SERVICES D’AUDIT INTERNE  ____________________ 72  UTILISATION DES OUTILS ET TECHNIQUES POUR LES MISSIONS D’AUDIT. LA FORMATION AU CONTROLE INTERNE ET LE  BENCHMARKING   ____________________________________________________________________________ 93  LES DOMAINES EMERGENTS   ____________________________________________________________________ 94  QU’EST CE QUI FREINE L’UTILISATION DES NORMES ? __________________________________________________ 95  REPARTITION DES REPONDANTS SELON CINQ CATEGORIES D’EMPLOI  ______________________________________ 100  LES CATEGORIES DE REPONDANTS (COMPARAISON FRANCE / IIA). LA FRAUDE. LA  GESTION DES SYSTEMES D ’ INFORMATION. ________________________________________ 100  PYRAMIDE DES AGES DES REPONDANTS  ____________________________________________________________ 101  _ TYPES D’ORGANISATION _______________________________________________________________________ 102  © IFACI juin 2008 107 . _____________________________________ 73  COMPARAISON INTERNATIONALE DE L’UTILISATION ACTUELLE DES OUTILS   ___________________________________ 75  NIVEAU ACTUEL D’UTILISATION DES OUTILS ET PROJECTION A TROIS ANS  ____________________________________ 76  MESURE DE LA VALEUR AJOUTEE _________________________________________________________________ 79  ACTIVITES EFFECTUEES DANS LE CADRE DU PROGRAMME D’EVALUATION ET D’AMELIORATION DE LA  QUALITE DE L’AUDIT INTERNE  ___________________________________________________________________ 82  LA FONCTION D’AUDIT INTERNE SENSIBILISE LE PERSONNEL AU CONTROLE INTERNE. LA CONFORMITE.

SECTEURS D’ACTIVITE  ________________________________________________________________________ 103  EFFECTIF DE L’ORGANISATION  __________________________________________________________________ 104  CHIFFRES D ’AFFAIRES DE L’ORGANISATION _________________________________________________________ 104  PERIMETRE GEOGRAPHIQUE DE L’ORGANISATION ____________________________________________________ 105  © IFACI juin 2008 108 .

75008 Paris Tél.com Institut Français de l’Audit et du Contrôle Internes . place Henri Bergson .Association Loi 1901 L’IFACI est affilié à The Institute of Internal Auditors . : 01 40 08 48 00 .ifaci.Fax : 01 40 08 48 20 Mel : institut@ifaci.com .12 bis.Internet : www.