Plan d'audit interne : cinq erreurs à ne pas commettre !
Professionnels de l’audit interne, vous êtes sûrement en train de travailler sur votre plan d’audit de l’année prochaine. Cet exercice de plus en plus complexe constitue le socle du bon fonctionnement de la fonction d’audit interne. Pour ne pas le faire échouer, voici cinq erreurs à éviter.
“Avancer dans l’inconnu”
Erreur 1 : mal définir son univers d’audit et ne pas être en capacité d’établir voire de démontrer la couverture des risques de l’organisation auditée
Savoir établir précisément la couverture des risques au sein de l’organisation est le point de départ de la construction du plan d’audit robuste, mais aussi le principal levier permettant de mesurer et valoriser auprès des décideurs l’apport de la fonction d’audit interne. C’est se mettre en capacité de doter la fonction de moyens à la mesure des enjeux auxquels fait face l’organisation.
Laisser de côté des sanctuaires ou ne pas être en mesure d’établir une couverture pluriannuelle des grands processus de l’organisation sont autant de lacunes qui peuvent conduire la fonction à une situation d’échec.
“Je passe sous un tunnel, ça va couper”
Erreur 2 : ne pas revisiter le plan d’audit en cours d’année ou encore ne pas se laisser de capacité à intervenir en urgence sur les risques émergents
Nous voyons aujourd’hui qu’une crise en remplace une autre et il est possible que l’état de crise permanent s’installe : sanitaire, tension sociale, polarisation du monde, climat, conflit, raréfaction des ressources … sans compter celles que nous n’avons pas encore imaginées.
C’est pourquoi il est important de revoir fréquemment son plan d’audit (à minima deux fois par an) pour prendre en compte les nouveaux risques et les sujets émergents ou d’actualités.
Il est important également de conserver une capacité de réserve pour adresser en cours d’année les risques émergent ou sujets urgents. Apporter une réponse rapide à de telles problématiques est souvent l’occasion pour la fonction d’audit interne de gagner ses lettres de noblesse.
« On va faire avec les moyens du bord »
Erreur 3 : construire le plan d’audit selon les ressources humaines disponibles plutôt qu’en fonction des risques et de la stratégie d’entreprise
En écho avec la capacité à démontrer la couverture des risques et l’importance d’adosser la construction du plan d’audit à la stratégie de l’entreprise, nous voyons trop souvent des fonctions limiter fortement leur champs d’intervention aux moyens disponibles (souvent à la baisse)… mais surtout par manque de capacité à démontrer l’importance et l’apport des missions proposées au plan. Le plan d’audit doit refléter une position de “business partner”, il doit attirer l’attention de la direction et de l’administrateur, interpeller sur l’importance de traiter certains sujets ou risques.
Ainsi, nous préconisons avant tout pour chaque thème “candidat” au plan d’audit, d’aller un cran plus loin en problématisant le sujet, posant des objectifs d’audit précis et en formalisant les gains espérés : couverture des risques, performance, sécurisation de projets etc…
Recommandé par LinkedIn
L’arbitrage sur le plan et les moyens associés sera ainsi posé en connaissance de cause ; il reflétera plus fidèlement ce que la fonction d’audit interne est en capacité d’apporter à l’organisation et ce qui est attendu d’elle.
« Loin des yeux, loin du cœur »
Erreur 4 : limiter les contacts entre la fonction d’Audit interne, les membres du Comex et du Comité d’audit, écartant toute possibilité d’échange autour des risques stratégiques
L’élaboration du plan d’audit est un moment particulièrement important pour définir les priorités d’action de l’audit interne, en cherchant un équilibre entre les enjeux stratégique, les risques structurels ou permanents, liés à aux processus transactionnels de l’organisation.
Identifier ces différentes typologies de risques passe par des échanges structurés entre les différentes parties prenantes qui, de par leur vision et leurs connaissances établies aux différentes strates de l’organisation, seront en mesure de définir l’ordre de priorité.
Le manque d'échange et de transparence entre les différents organes de gouvernance, c’est le gage d’un plan d’audit interne obsolète, sans relief et loin des enjeux de l’organisation.
« Technique de l’autruche »
Erreur 5 : un échange trop rare et / ou limité avec le comité d’audit
Limiter la fréquence du Comité d'audit au strict minimum (souvent semestrielle), c’est également limiter la capacité de l’audit interne à se faire entendre, à exposer l’apport de ses travaux, à assurer la bonne compréhension des risques et des principales conclusions par les instances de gouvernance… A s’assurer que les moyens consentis à cette fonction sont suivis d’effets.
Augmenter la fréquence de ce comité permet de thématiser ce dernier en fonction du cycle annuel de l’organisation. Consacrer un (ou deux) comité(s) de façon prépondérante à l’audit interne, c’est permettre de veiller à la correcte exécution du plan d’audit et à sa mise à jour, puis de challenger au fil de l’année sa cohérence au regard de la conjoncture, des enjeux de l’organisation.
Pour aller plus loin sur le sujet :
Cet article a été co-écrit par : Paul Le Nail Thibault Vincelot Margot Segui Karine Noslen
Internal Audit and Control Director
2 ans100% en ligne avec ces 5 points