Audit des risques stratégiques

Points de vue concrets de responsables de l’audit interne

Etude du CBOK sur les parties prenantes J. Michael Joyce, Jr.

CIA, CPA, CRMA

CBOK
The Global Internal Audit
Common Body of Knowledge
 À propos de CBOK
DONNÉES – ÉTUDE SUR LES
PARTIES PRENANTES Le CBOK (Common Body of Knowledge) est la plus grande étude actuellement
menée sur l'audit interne à l'échelle mondiale. Elle comprend notamment
Participants à l’enquête 1 124 des enquêtes auprès des professionnels et de leurs parties prenantes. L’enquête
Participants aux entretiens 112
mondiale sur la pratique de l’audit interne examine les activités de la profes-
Pays 23
sion. L’étude auprès des parties prenantes analyse leurs points de vue sur les
Langues 13
performances de l’audit interne. Les enquêtes, les entretiens et l’analyse des
PARTIES PRENANTES données ont été effectués par Protiviti en collaboration avec les instituts de
REPRÉSENTÉES l’IIA à travers le monde. Les rapports des parties prenantes sont axés sur l'iden-
tification des meilleures pratiques qui peuvent permettre d’améliorer l'efficacité
Administrateurs 34%
de l'audit interne.
Directeur généraux 15%
Directeurs financiers 18% Les rapports du CBOK sont gratuits grâce à la généreuse contribution d’indivi-
Autres dirigeants 33% dus, d’organisations, de chapitres et d’instituts de l’IIA dans le monde. Tous les
rapports sont téléchargeables sur le site du CBOK Resource Exchange (www.
theiia.org/goto/CBOK). Les rapports sur les parties prenantes sont également
téléchargeables sur le site de Protiviti (www.protiviti.com).

Etude du CBOK 2015 sur les parties prenantes : 23 pays d’origine

Russie
Pays-Bas

Canada Royaume-
Uni Pologne
France Allemagne
Italie
Espagne Turquie Chine Japon
États-Unis

Inde Taïwan
Mexique Émirats
Arabes Unis Hong-
Kong
Malaisie
Singapour

Brésil
Afrique Australie
du Sud

Note : Les enquêtes et les questionnaires de la Fondation de l’audit interne, anciennement appelée la Fondation de la recherche
de l’IIA, et de Protiviti ont été distribués aux parties prenantes dans 23 pays entre juillet 2015 et février 2016. Les questionnaires
partiellement remplis ont été inclus dans l’analyse dès lors que les informations sur la population interrogée étaient complètes.
Les questions sont intitulées Q1, Q2, etc. La carte met en évidence la répartition des pays ciblés par les enquêtes du CBOK en sept
grandes régions (selon le modèle de la Banque mondiale).

2 ● Audit des risques stratégiques

L’étude internationale du CBOK
2015 sur les parties prenantes

Ce rapport fait partie de l’étude internationale menée auprès

des parties prenantes dans le cadre du CBOK (Common
Body of Knowledge) 2015 de la Fondation de l’audit interne
(Internal Audit Foundation) de l’IIA. Un des principaux
constats est que près de deux tiers (soit 64 %) des parties
prenantes (les administrateurs, les directeurs généraux, les
directeurs financiers, des systèmes d’information, de la ges-
tion des risques et autres dirigeants) souhaitent que l’audit
interne soit plus actif en matière de risques stratégiques.
A travers ce rapport, des directeurs de l’audit interne de
différents secteurs ont été interrogés afin d’en savoir plus
sur la façon dont ils s’impliquaient dans trois principaux
risques stratégiques : la cybersécurité, les projets relatifs aux
systèmes d’information (SI) et les projets d’investissement.
Leurs points de vue recueillis de manière anonyme ont
permis d’illustrer notre propos en nous fondant sur leurs
réactions et avis sincères.

Table des matières

Introduction : Des points de vue à la fois ordinaires et captivants

sur l’audit des risques stratégiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

La cybersécurité n’existe pas hors de tout cadre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Projets relatifs aux systèmes d’information : Examiner rigoureusement

les données, le développement et les comportements . . . . . . . . . . . . . . . . . . . . . . . . 7

Projets d’investissement : Le processus avant tout . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Les quatre leviers des fonctions d’audit interne à la pointe . . . . . . . . . . . . . . . . . . . . 10

En guise de conclusion : L’assurance vient avant le conseil . . . . . . . . . . . . . . . . . . . 11

www.theiia.org/goto/CBOK ● 3
Introduction : Des points de vue à sur les risques, la crédibilité de l’audit interne aux yeux des
la fois ordinaires et captivants sur métiers et la capacité de la fonction à prospérer selon une
méthode consultative. Ces blocs de construction cruciaux
l’audit des risques stratégiques
existent au sein des fonctions d’audit les plus performantes
« Nous gardons un œil sur les hypothèses, celles qui sont depuis un certain temps.
à l’origine de l’initiative stratégique et celles qui conti- Deux autres constats, plus inattendus, ont également
nuent de soutenir l’initiative dans sa progression. Ces émergé de ce dialogue. Tout d’abord, les fonctions d’audit
hypothèses sont-elles toujours pertinentes ? » interne progressent de façon significative dans la façon dont
elles vérifient et abordent les risques stratégiques à travers un
Les pratiques exemplaires partagées par les directeurs de large éventail de démarches (comme nous l’observons dans
l’audit interne sont tour à tour ordinaires et captivantes les paragraphes concernant la cybersécurité, les projets liés
lorsque ces responsables confient la façon dont leur fonc- aux SI et les projets d’investissement). Ensuite, les fonctions
tion d’audit interne interagit avec la direction générale et d’audit interne à la pointe travaillent consciencieusement et
le Conseil pour aborder trois types de risques stratégiques avec créativité afin de conforter leur contribution dans les
pour leur organisation : la cybersécurité, les projets liés aux cercles de décision, la crédibilité de leur fonction et leur rôle
systèmes d’information et les projets d’investissement. de conseiller par le biais de certains effets de leviers (résumés
Ces pratiques nous semblent ordinaires à cause de l’approche dans la dernière partie de ce rapport).
fondée sur les risques et des leviers que les responsables de Les entretiens avaient un double objectif : en décrivant la
l’audit interne indiquent pour l’efficacité d’une mission façon dont ils abordent les risques stratégiques, ces respon-
d’«audit stratégique». Notons que de plus en plus d’admi- sables de l’audit, qui sont à l’avant-garde, ont mis en lumière
nistrateurs, de directeurs généraux, de directeurs financiers les moyens qu’ils utilisent pour promouvoir et maintenir
et autres dirigeants incitent l’audit interne à se lancer dans leur rôle de partenaire stratégique des métiers sans pour
ce type de missions. Les directeurs de l’audit interne sou- autant remettre en cause la priorité qu’ils accordent à leurs
lignent la valeur d’une implication précoce de leur service responsabilités en matière de conformité et d’assurance.
dans les initiatives stratégiques, l’approche d’audit fondée

4 ● Audit des risques stratégiques

La cybersécurité n’existe pas hors de
tout cadre Bonnes pratiques d’audit du risque
stratégique :
« La cybersécurité doit fonctionner comme l’ensemble CYBERSECURITE
des systèmes et des organes d’un corps humain qui inte-
ragissent pour le défendre face aux menaces et le rendre • Collaborer avec ceux qui définissent et
plus efficace. Ce n’est pas une procédure isolée. Il n’ y a façonnent la stratégie de cybersécurité.
pas un aspect de notre entreprise qui n’impacte pas la • Clarifier les responsabilités de maîtrise des
cybersécurité ». risques de cybersécurité et être coordonné
avec les autres acteurs.
A la comparaison entre un projet d’investissement majeur
en cours dans une région en guerre et une mission d’audit • Effectuer une évaluation formelle des risques.
de la cybersécurité, un directeur de l’audit interne a immé-
• Donner des conseils sur les cadres de réfé-
diatement répondu : « Ce projet d’investissement n’est ni rence, normes et guides de cybersécurité.
aussi complexe ni aussi impressionnant ».
• Evaluer la cyber résilience.
Les comités d’audit réclament des informations actualisées
sur la capacité de l’entreprise à aborder le risque stratégique • Apprendre sans discontinuer.
colossal que constitue la cybersécurité. Les directeurs de l’au-
dit interne y répondent de différentes façons. Par exemple, • Surmonter le défi des compétences et des
connaissances en matière de cybersécurité.
en aiguisant leur vision de la cybersécurité au sein de l’or-
ganisation grâce à des évaluations formelles des risques et
une implication directe dans les comités et exercices de pilo- peuvent apporter des avis pertinents sur les ques-
tage de la cybersécurité, en augmentant et en étendant les tions de cybersécurité cruciales et d’actualité ».
points liés à la cybersécurité dans les programmes d’audit
et en ajustant leurs activités de gestion du risque avec les ●● Clarifier les responsabilités de maîtrise des
DSI, les fonctions sécurité de l’information et management risques de cybersécurité et être coordonné avec
des risques à l’échelle de l’entreprise (ERM - Entreprise risk les autres acteurs : Les directeurs de l’audit interne
management). travaillent étroitement avec leurs partenaires de la
DSI, des équipes de sécurité de l’information et
Les directeurs de l’audit interne interrogés ont surtout cité de gestion des risques (ERM) pour identifier leurs
les activités et les bonnes pratiques suivantes pour décrire activités en matière de cybersécurité. Cette coordi-
leurs facteurs d’efficacité en matière d’audit de cybersécurité : nation aide à synchroniser l’ensemble des efforts au
●● Collaborer avec ceux qui définissent et façonnent sein d’une entreprise tout en renforçant le rôle de
la stratégie de cybersécurité : Tout en soulignant l’audit interne dans la fourniture d’une assurance
que leurs fonctions ont toujours mené de nom- objective et indépendante en ce qui concerne le
breuses missions sur la gestion des identités, la risque de cybersécurité. Par exemple, un directeur
gestion des patchs et d’autres formes d’audit de la de l’audit interne et son responsable de l’infor-
cybersécurité bien avant que le terme de « cyber- mation, effectuent des présentations conjointes
sécurité » n’acquière sa signification actuelle, les sur les risques de cybersécurité au comité d’audit
responsables de l’audit interne indiquent qu’ils afin de montrer que « nous travaillons de façon
cherchent désormais à jouer le rôle de conseillers coordonnée sur la base d’une approche commune
au sein de comités chargés de définir et de renforcer d’évaluation des risques ».
les stratégies et les compétences de cybersécurité de ●● Effectuer une évaluation formelle des risques :
l’organisation. Par ailleurs, comme le souligne l’un Les évaluations formelles des risques, qu’elles soient
des directeurs de l’audit interne, une autre option réalisées par l’audit interne ou un expert tiers,
est de : « travailler avec le comité d’audit pour créer constituent une partie essentielle de la démarche
un sous-comité dédié à la cybersécurité qui lui soit de cybersécurité. Ces analyses permettent d’identi-
rattaché et soit composé d’experts externes qui fier les lacunes, clarifient les progrès et les priorités

www.theiia.org/goto/CBOK ● 5
 de remédiation (par exemple faire face à une forte profilage psychologique, sont des facteurs essentiels
augmentation des mèls de phishing), aident à du succès d’une mission d’audit de cybersécurité.
déterminer les différentes facettes de la cybersécu- « Je suis un Certified Information Systems Security
rité dans le plan d’audit, influencent les conseils Professional (CISSP) », a fait remarquer un direc-
en matière de cybersécurité et aident l’entreprise à teur de l’audit interne « et j’ai passé beaucoup de
ajuster ses risques de cybersécurité et ses objectifs temps à étudier et à faire des recherches sur la
d’amélioration. cybersécurité ... [par exemple], je veux savoir exac-
tement comment Equifax a été attaqué ». Ce même
●● Donner des conseils sur les cadres de référence,
responsable exhorte aussi son équipe à comprendre
normes et guides de cybersécurité : Chaque
l’état d’esprit de nombreuses parties prenantes qui
directeur de l’audit interne a cité une ou plu-
pourraient exposer, en connaissance de cause ou à
sieurs normes que leur entreprise utilise et adapte,
leur insu, l’entreprise à une menace de cybersécu-
pour aider à structurer l’ensemble du programme
rité. « L’audit interne nécessite de comprendre le
de cybersécurité et les activités d’assurance affé-
raisonnement et la méthodologie d’un hacker »,
rentes. Ces normes comprennent entre autres le
a-t-il déclaré. « Un responsable d’audit interne
cadre de référence de cybersécurité NIST, COSO
doit être capable de penser comme un comptable,
ERM, HITRUST, COBIT, ISO, le guide d’au-
un investisseur, un avocat, un expert de la confor-
dit (GTAG - Global Technologies Audit Guide) de
mité, un commercial, un directeur des ressources
l’IIA : « Évaluer le risque de cybersécurité : Les rôles
humaines, quiconque qui pourrait être à l’origine
des trois lignes de maîtrise », CSC20, FFIEC. Un
d’un risque qui exposerait l’entreprise à une défail-
directeur de l’audit interne qui apprécie le cadre de
lance de cybersécurité ». Par ailleurs, l’examen de
référence COSO ERM parce qu’il permet notam-
l’efficacité de la formation et de la sensibilisation
ment une cohérence, une transparence et une
à la cybersécurité réalisée dans l’ensemble de l’or-
sensibilisation du conseil d’administration vis-à-
ganisation constitue un des volets des missions
vis du risque de cybersécurité, souligne également
d’assurance menées par l’audit interne.
que ce cadre de référence « peut, par exemple, ne
pas suffire en Inde, en Australie ou dans d’autres ●● Surmonter le défi des compétences et des
pays où d’autres modèles de gestion des risques connaissances en matière de cybersécurité : La
de cybersécurité sont utilisés. Nous avons pris ce plupart des directeurs de l’audit interne confirment
que nous estimons être le meilleur dans chaque que le recrutement et la fidélisation d’auditeurs
modèle et l’avons appliqué pour répondre à nos internes possédant des connaissances en infor-
besoins au niveau mondial ». L’implication directe matique et cybersécurité est un défi. Ils gèrent
des directeurs de l’audit interne dans la discussion cet obstacle par des stratégies et des tactiques de
et l’évaluation de chacun des cadres de référence gestion des talents, tels que des programmes de
potentiels, de leurs avantages et inconvénients, formation et de développement professionnel, le
place l’audit interne en position d’aider leurs orga- recours à des experts externes et une étroite colla-
nisations à tirer le meilleur bénéfice des cadres de boration avec les collègues des ressources humaines
référence. afin de concevoir des mesures d’incitation pour le
recrutement, la performance et la fidélisation.
●● Evaluer la cyber résilience : En partant du constat
que, dans le contexte actuel, une intrusion est iné-
vitable, les directeurs de l’audit interne devront
évaluer la capacité de l’organisation à réagir, com-
muniquer et se restaurer lorsqu’une intrusion
se produit. Les domaines à prendre en compte
incluent non seulement les procédures de conti-
nuité mais également les plans de gestion de crise.
●● Apprendre sans discontinuer : La connaissance
des menaces extérieures, des nouvelles normes, des
nouvelles obligations de conformité et même le

6 ● Audit des risques stratégiques

Projets relatifs aux systèmes
d’information : Examiner Bonnes pratiques d’audit du risque
stratégique :
rigoureusement les données,
le développement et les PROJETS SI
comportements • Développer une procédure structurée d’éva-
luation à plusieurs phases.
« Si les gens pensent que la cybersécurité et les projets SI
sont séparés, ils se trompent ». • Dépasser les barrières psychologiques.

• Proposer des prestations de conseil en com-

Alors que de plus en plus d’entreprises misent tout sur la
plément des missions d’assurance.
transformation numérique et que de plus en plus de sys-
tèmes d’information et d’applications migrent vers le cloud, • Admettre la nécessité de traiter les dévelop-
de plus en plus de projets relatifs aux systèmes d’informa- pements en mode agile.
tion de toutes tailles et de différents champs d’application
présentent des risques stratégiques. Par conséquent, une
plus grande variété de projets SI et d’activités de développe-
s’était organisée en deux pôles pour les missions
ment d’applications nécessitent un examen rigoureux de la
concernant les projets SI : l’un se focalise sur l’évo-
part de l’audit interne.
lution des systèmes liés aux contrôles financiers
Cette rigueur peut également être profitable à l’audit qui nécessitent la contribution d’auditeurs SI et
interne. Un directeur de l’audit interne se souvient de la d’auditeurs au profil financier ; l’autre se focalise
mise en place d’un logiciel majeur qui a mobilisé ses audi- sur des thèmes plus classiques de gestion des pro-
teurs SI car le prestataire externe chargé de tester le système jets SI, de gouvernance et d’efficience.
n’a pas fourni des résultats assez précis. « Nous avons pris les ●● Dépasser les barrières psychologiques : Un
devants pour indiquer que nous n’étions pas prêts à approu-
directeur de l’audit interne a précisé comment
ver les travaux menés, d’autant plus que nous pouvions
les auditeurs SI ont constaté à plusieurs reprises
étayer de manière factuelle notre position par le fait que les
que des équipes en charge de projets SI ont ignoré
résultats des tests n’étaient pas satisfaisants », explique-t-il.
ou manifestement caché des problèmes. L’audit
La documentation complète de son équipe a convaincu que
interne a par conséquent revu sa communication
d’autres tests étaient nécessaires avant de lancer le système.
avec ces équipes de projet. « Une fois que nous
« Cela nous a conforté dans le positionnement de la fonc-
avons constaté qu’elles ne voulaient pas parler
tion », poursuit-il. « Depuis, le cycle de test du logiciel a
des problèmes importants, nous avons fait en
continué à s’améliorer ».
sorte qu’elles se sentent plus à l’aise de le faire »,
Une rigueur minutieuse et une audace factuelle similaires a expliqué le responsable de l’audit. « A propos du
sont mises en avant par les responsables d’audit parmi les système d’évaluation par les couleurs rouge, jaune
facteurs d’efficacité des missions d’audit des projets SI : et vert, nous avons lancé un nouveau slogan « red
●● Développer une procédure structurée d’évalua- is not dead », autrement dit : « rouge ne veut pas
tion à plusieurs phases : Les directeurs de l’audit dire mort ». L’équipe d’audit SI a également for-
interne insistent sur la valeur du développement mulé un business case explicitant les bénéfices de la
et de l’amélioration des évaluations structurées remontée et de la résolution des problèmes le plus
pour chaque phase d’un projet SI. Etant donné en amont possible du cycle de vie du projet plutôt
que le volume, la valeur et l’importance des don- que lorsque les conséquences et les coûts de pro-
nées concernant les nouvelles implémentations et blèmes mineurs auront pris de l’ampleur.
les conversions de systèmes augmentent, la sécu-
rité apparaît souvent comme le point de départ de
l’évaluation d’un projet SI. Un directeur de l’audit
interne a expliqué comment son équipe d’audit SI

www.theiia.org/goto/CBOK ● 7
 ●● Proposer des prestations de conseil en com- ●● Admettre la nécessité de traiter les développe-
plément des missions d’assurance : Une équipe ments en mode agile : De nombreux directeurs
d’audit SI a développé une offre de conseils à partir de l’audit interne avec lesquels nous avons dis-
de critères d’évaluation que les auditeurs SI uti- cuté cherchent à aborder les risques associés aux
lisent lors d’une mission d’audit d’un projet SI développements en mode agile qui sont de plus en
(par exemple : Avons-nous une stratégie d’implé- plus adoptés par les DSI. Bien que cette approche
mentation ? Qui est le sponsor ? Le financement très collaborative, itérative et allégée des dévelop-
est-il approuvé ? Quels sont les risques connus du pements logiciels réduise énormément la durée
projet ? Quel est le plan d’urgence requis ?) Au fil nécessaire pour créer de nouvelles applications et
de la revue de ces questions avec les équipes en améliore indirectement l’agilité de l’organisation
charge des projets SI, les auditeurs SI donnent des et sa vitesse d’accès au marché, elle n’est pas sans
conseils sous forme de recommandations qui ne risque. « Du point de vue de l’audit, nous devons
donnent pas lieu à un plan d’action formel. Selon résoudre des questions comme les exigences de tra-
le directeur de l’audit interne, « les équipes de çabilité, l’obtention des approbations appropriées
projet ont tellement bien intégré cette prestation de la conception par les équipes de développement,
qu’elles n’ont plus besoin de la demander. Elles etc. », explique un responsable de l’audit interne.
le font d’elles-mêmes en suivant les éléments que « Cela peut être un avantage pour les organisations
nous avons formalisés et partagés ». mais présente également de nouveaux risques ».

8 ● Audit des risques stratégiques

Projets d’investissement :
Le processus avant tout Bonnes pratiques d’audit du risque
stratégique :

« Nous évaluons le processus et non la personne ». PROJETS D’INVESTISSEMENT

• Etre impliqué en amont et dès la planifica-

Les directeurs de l’audit interne dont les fonctions réa- tion.
lisent des missions d’audit et des évaluations de gros projets
d’investissement ont tendance à mettre l’accent sur l’impor- • Etre attentif à la logique sous-jacente à l’in-
tance de deux sujets. Tout d’abord, il est fondamental de vestissement.
distinguer le suivi de l’équilibre et de l’évolution de chaque • Déployer l’expertise nécessaire.
projet d’investissement qui relève de la direction générale,
et l’assurance qu’apporte l’audit interne. Deuxièmement, • Effectuer des évaluations de projets rigou-
les responsables de l’audit interne font la distinction entre reuses et centrées sur les processus.
leur travaux relatifs à des projets d’investissement donnés et
• Donner des conseils pour améliorer la ges-
la nécessité d’évaluer la capacité générale de l’organisation tion des projets d’investissement.
à gérer des projets d’investissement. Ce dernier point peut
être très utile dans le premier cas. • Effectuer des missions d’audit et des évalua-
tions a posteriori.
Les directeurs de l’audit interne ont cité les activités et les
bonnes pratiques suivantes pour augmenter l’efficacité de
leurs missions d’assurance et de conseil relatives aux projets a du sens et est pratique », poursuit-il. « Sur quels
d’investissement : faits pouvons-nous nous baser ? Si vous avez effec-
●● Etre impliqué en amont et dès la planification : tué une modélisation, comment savez-vous que les
L’implication de l’audit interne au premier stade modèles sont exacts ? Comment savez-vous que les
de toute initiative stratégique est un atout pour formules sont intègres ? Le retour sur investisse-
l’organisation. C’est particulièrement vrai dans ment prévu est-il confirmé/validé ? »
le cas, par exemple, d’un projet de construction ●● Déployer l’expertise nécessaire : Un directeur
de 500 millions de dollars sur plusieurs années à de l’audit interne a récemment engagé en externe
l’autre bout du monde. Cette implication se mani- un auditeur spécialiste de la construction afin de
feste souvent par des évaluations des risques en réaliser une étude détaillée des factures du prin-
phase préliminaire fortement axées sur la structure cipal prestataire d’un type de chantier que nous
de gouvernance des projets. Un directeur de l’au- n’avions jamais réalisé. Ainsi, « nous avons pu
dit interne explique qu’une de ces évaluations des poser des questions techniques auxquelles seule
risques a eu pour conséquences des modifications une personne expérimentée dans ce type de projet
fondamentales, y compris au niveau de l’équipe de construction pouvait penser. » D’autres direc-
d’ingénierie, au niveau des achats et de l’entre- teurs d’audit recrutent et fidélisent des auditeurs
prise de construction prestataire, qui ont influencé internes ayant une expérience approfondie des
l’évolution des travaux. projets d’investissement et de construction, qui
●● Etre attentif à la logique sous-jacente à l’inves- savent quels problèmes rechercher et auxquels
tissement : De nombreux projets d’investissement ils devront éventuellement s’attaquer au fur et à
s’étalent sur plusieurs années et les hypothèses sous- mesure des visites sur site, des réunions de suivi et
jacentes à la décision d’investissement peuvent des états d’avancement du projet.
changer dans le temps. Dans le cadre des audits ●● Effectuer des évaluations de projets rigoureuses
de projets d’investissement, un directeur de l’audit et centrées sur les processus : Dans la plupart
interne et son équipe identifient quelles sont les des cas, les missions d’audit de projets d’investis-
sources de données qu’il faut utiliser pour valider sement concernent l’ensemble du projet et sont
les hypothèses de la prise de décision. « Nous tes- peu automatisées. L’évaluation de la gouvernance
tons ces hypothèses de façon sélective lorsque cela

www.theiia.org/goto/CBOK ● 9
 détermine si l’équipe de pilotage du projet s’est Les quatre leviers des fonctions
focalisée sur les risques pertinents et si elle reçoit d’audit interne à la pointe
des informations correctes, complètes et en temps
voulu. L’évaluation de l’état d’avancement et du En plus des éléments spécifiques identifiés ci-dessus, les
budget nécessite l’analyse de gros volumes de don- commentaires et les points de vue des directeurs de l’au-
nées et les pièces justificatives accompagnant les dit interne révèlent plusieurs leviers essentiels dans le succès
factures du principal prestataire ont tendance à être des missions d’audit stratégique. Les directeurs de l’audit
particulièrement épaisses. Alors qu’une approche interne interrogés indiquent que ces attributs existent dans
rigoureuse est absolument nécessaire, les direc- chacune de leur fonction.
teurs de l’audit interne soulignent constamment le
besoin de clarifier auprès des chefs de projet que
l’audit interne s’intéresse aux processus et ne vise Quatre principaux leviers :
pas les personnes. Atteindre cet équilibre nécessite 1. Démonstration permanente de la valeur
que les responsables d’audit traduisent les risques, ajoutée
les dispositifs de contrôle interne et les autres jar-
gons et perspectives en des termes qui interpellent 2. Accès
les chefs de projet pressés par le temps. 3. Langage commun
●● Donner des conseils pour améliorer la gestion
4. Participation
des projets d’investissement : Une fonction d’au-
dit interne a développé une offre de conseils que
les équipes en charge de projets d’investissement
peuvent utiliser au début d’une nouvelle initiative. 1. Démonstration permanente de la valeur ajou-
L’audit interne donne des lignes directrices sur tée : La plupart des directeurs de l’audit interne
les principaux contrôles opérationnels, financiers évoquent les moments à l’origine de l’acceptation
et risques liés aux projets dont l’équipe doit tenir de la fonction d’audit interne comme un partenaire
compte ainsi qu’une formation de sensibilisation et stratégique donnant de l’assurance et des conseils.
de prévention des fraudes liées aux factures de pres- Comme des flashbacks dans un film qui nous per-
tataires. « Nous avons alors un rôle de conseiller en mettent de découvrir comment les super-héros ont
matière de risques et de partenaire stratégique sans acquis leurs super pouvoirs, ces descriptions sou-
pour autant perturber les premières échéances et lignent les circonstances dans lesquelles les actions
une implémentation réussie », déclare le directeur de l’audit interne ont modifié la façon dont la
de l’audit interne. Une autre équipe d’audit interne direction générale, les membres du Conseil et les
participe à une initiative stratégique centrée sur propriétaires de processus considèrent leur fonc-
l’amélioration de la capacité de gestion de projets tion d’audit interne. En particulier, les responsables
d’investissement de l’entreprise et, plus particuliè- de l’audit interne soulignent que la réputation bien
rement, sur les modalités de mesure et de suivi des méritée de leur fonction doit être entretenue et
investissements. Dans cette organisation, le rôle confortée par une démonstration permanente de
de la fonction d’audit interne consiste à s’assurer sa valeur ajoutée. De nouveaux dirigeants et pro-
que des contrôles appropriés sont intégrés dans les priétaires de processus rejoignent en permanence
nouveaux processus que l’équipe développe. l’organisation et, tôt ou tard, ils cherchent la preuve
de la crédibilité de l’audit interne.
●● Effectuer des missions d’audit et des évaluations
a posteriori (post mortem) : Les résultats de ces 2. Accès : La démonstration de la valeur ajoutée de la
activités peuvent constituer un retour d’informa- fonction d’audit interne et l’engagement du direc-
tion utile sur la validité des hypothèses initiales teur de l’audit interne à développer des relations
utilisées pour justifier le projet d’investissement durables lui offrent un important laissez-passer
et améliorer les approches pour les projets futurs, vers les membres du Conseil, la direction générale
y compris la possibilité d’une mission d’audit et les propriétaires de processus dans toute l’entre-
interne aux stades préliminaires du projet. prise. Cet accès se traduit par une connaissance

10 ● Audit des risques stratégiques

 appréciable de ce qui se passe dans toute l’organi- En guise de conclusion : L’assurance
sation et des changements et initiatives stratégiques vient avant le conseil
qui peuvent se présenter.
3. Langage commun : Il est surprenant de consta- Bien que les directeurs de l’audit interne décrivent une inté-
ter combien de directeurs de l’audit interne ont ressante série de prestations de conseil que leurs fonctions
cité l’importance de traduire le terme « contrôle offrent afin d’aider l’organisation à aborder les risques stra-
interne » de manière plus intelligible dans le tégiques, ils insistent également, sans ambiguïté, sur le fait
contexte des fonctions SI, du Chief Information que les missions d’assurance sont toujours prioritaires.
Security Officer (CISO), des gestionnaires de pro-
jets d’investissement et des autres propriétaires L’anecdote suivante en est un bon exemple : Quelques
de processus. Un responsable de l’audit interne semaines après son recrutement, un auditeur sénior a
indique qu’au lieu de « contrôle interne », ils pré- demandé à son directeur de l’audit interne pourquoi la
fèrent parler, « des processus qui, où que vous fonction ne faisait pas plus la promotion de sa gamme de
soyez (usine, fonction, site), vous font avancer vers services de conseil qui ne cessait de s’étoffer. Sa réponse a
vos objectifs ». Les directeurs de l’audit interne clarifié les priorités de la fonction : « Plutôt que de foncer
insistent sur la nécessité de traduire l’ensemble des bille en tête avec les services de conseil, je préfère que les
travaux de la fonction en des termes pratiques et personnes avec lesquelles nous interagissons pour les mis-
compréhensibles qui ont une signification pour les sions d’assurance, qui comprennent notre valeur, nous
parties prenantes dans leurs contextes. demandent des conseils. Je pense que c’est de cette façon
4. Participation : Les fonctions d’audit à l’avant- que l’on attire des clients ».
garde ont tendance à être très actives et
participatives. Elles participent à des exercices de
simulation d’incidents conçus pour être confron-
tées à des défaillances de la cybersécurité. Elles
passent un temps non négligeable dans les ateliers
de fabrication et les chantiers. « Nous effectuons
des tests d’intrusion sur le réseau dans le cadre
de notre plan d’audit », a déclaré un directeur de
l’audit interne. « Cela nous permet de mieux saisir
les points faibles et la façon dont le management
les aborde ». Les informations que le responsable
de l’audit interne partage avec le Conseil lui per-
mettent une communication actualisée et tangible
sur la cybersécurité au comité d’audit.

www.theiia.org/goto/CBOK ● 11
 À propos des auteurs
J. Michael Joyce Jr., CIA, CPA, CRMA, FAHM, est Vice-président, Responsable de
l’audit et de la conformité pour la Blue Cross Blue Shield Association (BCBSA), une
fédération nationale rassemblant 36 entreprises Blue Cross et Blue Shield indépendantes
et exerçant localement. Blue System est l’assureur le plus important du pays en matière
de santé, couvrant plus de 107 millions d’adhérents, soit un américain sur trois. Joyce a
la responsabilité de l’audit interne, de la lutte contre la fraude et de la conformité de cette
association. Il possède une expérience professionnelle de 35 ans et travaille pour BCBSA
depuis juin 1999. Il est un contributeur actif de l’IIA depuis 1989.

À propos de la Fondation de l’audit interne

Le CBOK est géré par la Fondation de l’audit interne, qui réalise depuis 40 ans des études
novatrices sur la profession d’audit interne. À travers différents projets d’exploration des
problématiques actuelles, des nouvelles tendances et des besoins futurs, la Fondation n’a
cessé de jouer un rôle moteur pour l’évolution et le développement de la profession. La
Fondation peut être contactée au : 1035 Greenwood Blvd., Suite 401, Lake Mary, Floride
32746, États-Unis.

À propos de Protiviti Inc.

Protiviti est un cabinet de conseil international qui offre une expertise approfondie, des
idées objectives, une approche sur mesure et une collaboration inégalée en vue d’aider les
leaders à affronter l’avenir avec confiance. Protiviti et nos entreprises membres indépen-
dantes fournissent des solutions de conseil en finance, technologie, opérations, données,
analyses, gouvernance, risques et audit interne à nos clients grâce à notre réseau de plus de
70 bureaux établis dans plus de 20 pays.
Vos dons ont
un impact Plus de 60 % des entreprises du classement Fortune 1000® et 35 % de celles figurant au
classement Fortune Global 500® ont fait appel à Protiviti. La société travaille également
Les rapports du CBOK avec des entreprises de plus petite envergure, des entreprises en croissance, des entreprises
sont disponibles souhaitant s’introduire en bourse, ainsi que des organismes publics. Protiviti est une filiale
gratuitement en détenue à 100 % par Robert Half (coté au NYSE : RHI). Fondée en 1948, la société
libre accès grâce
Robert Half est membre de l’indice S&P 500.
à la généreuse
contribution Protiviti n’est ni agréé ni enregistré comme cabinet d’experts comptables, et ne délivre pas d’opi-
d’individus et nions sur les états financiers ni ne propose de service de certification.
d’organisations,
mais également de
Limite de responsabilité
branches et d’instituts
de l’IIA du monde La Fondation de l’audit interne publie ce document à titre informatif et pédagogique
entier. uniquement. Elle ne fournit aucun service juridique ou de conseil, et ne garantit, par la
publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes
Faire un don juridiques ou comptables, il convient de recourir à l’assistance de professionnels.
www.theiia.org/goto/ Copyright © 2018 par la Fondation de l’audit interne, anciennement appelée la Fondation
CBOK pour la recherche de l’Institute of Internal Auditors (IIARF). Tous droits réservés. Pour
toute autorisation de reproduction ou de citation, prière de contacter [email protected].
ID #2018-0722