Article publié initialement sur le blog de l’IFACI: https://blogs.ifaci.com/2016/03/20/les-auditeurs-internes-peuvent-ils-se-contenter-dapparaitre-comme-de-bons-generalistes/
Comme le souligne régulièrement le BCG[1], les entreprises ne cessent de se complexifier d’un point de vue organisationnel, cette évolution s’expliquant notamment par l’inflation réglementaire et normative d’envergure internationale (en matière comptable, sociale, fiscale, d’hygiène et de sécurité…) à laquelle se trouvent exposés les grands groupes: ainsi, il n’est pas rare de voir apparaître des spécialistes de la norme IFRS X, du dispositif fiscal Y ou bien du règlement Z, tant ces derniers nécessitent des compétences importantes (certaines société ayant été jusqu’à bâtir un modèle économique complet sur l’analyse d’une réglementation, à l’exemple des sociétés de conseil en Crédit d’Impôt Recherche). Ce contexte « d’hyper spécialisation » n’est à mon sens pas sans impact sur l’activité d’audit interne. En effet, nous nous sommes toujours présentés comme des « spécialistes » de l’audit mais également comme de « bons généralistes ». Or, en raison des éléments évoqués ci-dessus, je ne suis pas certain que ce positionnement puisse être pertinent dans le long terme pour la bonne et simple raison qu’être « généraliste » devient parfois impossible. Quelques exemples pour illustrer cette affirmation : est-il possible d’être généraliste :
- en matière de sécurité informatique, un domaine qui requiert des connaissances techniques extrêmement pointues ?
- au regard de l’application de certaines normes IFRS (ex : IFRS 32/39), voire de l’ensemble des normes ?
- en matière de droit social ? (à titre d’exemple « le comité d’entreprise pour les nuls » consacre près de 15 pages au « simple » calcul du seuil de 50 salariés)…
Alors que les auditeurs internes, comme nombre d’autres départements dans un contexte de réduction budgétaire, doivent démontrer au quotidien la valeur ajoutée qu’ils apportent à l’organisation, cette dernière est je pense de moins en moins évidente dans un contexte de complexification généralisé de notre environnement professionnel.
Quelques solutions existent, mais leur application réclame à la fois des moyens importants et dans certains cas un changement important de philosophie:
- l’audit interne peut davantage se spécialiser par internalisation de compétences spécifiques (à l’exemple de ce que l’on voit sur l’IT/le CISA). Cette option requiert des moyens financiers importants mais également la mise en place de « filières » d’audit dédiées. Il semblerait que ce soit actuellement l’option privilégiée de la profession tant les certifications spécifiques se sont développées au cours de ces dernières années,
- l’audit interne peut accroître son recours à des « guest auditors ». Cette option n’est bien sûr pas sans impact sur l’indépendance du département,
- l’audit interne peut renoncer à couvrir certains risques spécifiques jugés trop « techniques ». De mon point de vue, c’est déjà le cas par exemple dans le domaine fiscal, même si ce renoncement n’a jamais été officialisé,
- l’audit interne peut devenir l’ambassadeur des méthodes de management de la complexité (https://www.bcgperspectives.com/content/articles/operations_cost_efficiency_asset_optimization_mastering_complexity/?chapter=4), tout en appliquant ces dernières à sa propre activité,
Ces questions sont à mon avis essentielles et devraient faire l’objet d’un important débat au sein de notre communauté professionnelle afin que l’audit interne ne donne pas (de manière croissante) à l’ensemble de ses parties prenantes l’impression de « survoler » les sujets qu’elle doit auditer.
[1] http://managementdisrupted.com/wp-content/uploads/2014/12/BCG-complexity-index.png