I. L'Audit Interne : Qu'est-ce que c'est ? A quoi a sert ?

I1. Audit interne dites-vous ?

L'audit interne est une activit  indpendante, objective et impartiale, exerce dans une organisation (entreprise, organisme, ), par des personnes formes, le plus souvent de l'organisation et en quipe ;  mene pour produire de la valeur ajoute pour cette organisation en lui apportant assurance sur son fonctionnement et conseils pour lamliorer : l'audit l'aide atteindre ses objectifs par une approche systmatique et mthodique dvaluation et damlioration des processus de management des risques, de contrle et de gouvernement dentreprise. Cette dfinition, trs proche de celle adopte en juin 1999 par l'IIA (the Institute of Internal Auditors, l'institut mondial, en France l'IFACI : Institut Franais de l'Audit et du Contrle Internes), diffre des ides rpandues dans le grand public. L'objet de l'audit n'est pas de produire des rapports mais d'aider l'organisation atteindre ses objectifs, mme si cela passe le plus souvent par l'mission d'un rapport comportant des recommandations : l'objet du mdecin n'est pas de produire des ordonnances mais d'aider le patient retrouver la sant, mme si cela passe le plus souvent par la rdaction d'une ordonnance comportant des prescriptions. L'audit apporte l'organisation assurance sur son fonctionnement diagnostic et pronostic et conseils pour l'amliorer : thrapeutique. Au passage, on pressent que a ne marche pas toujours : soit que le diagnostic soit erron (rare), soit que la thrapeutique soit trop dsagrable ! Auditeurs et mdecins doivent vendre leurs recommandations / prescriptions, c'est cela que sert le pronostic (en audit : la description des risques). La dfinition ne parle pas de contrles, et pourtant tout le monde sait bien que l'audit en fait ! Le mdecin aussi : par les examens qu'il fait (en audit : les investigations) et ceux qu'il fait faire puis interprte (en audit : le recours des experts). Les contrles que fait l'audit sont des moyens pour s'assurer que le fonctionnement de l'organisation est sain. Et certains contrles peuvent

surprendre, paratre dplacs ; le mdecin vous fait bien tirer la langue alors que c'est ailleurs que vous avez mal ! Le mdecin de famille vous dit revenez me voir dans dix jours, ou appelez-moi. L'auditeur interne reviendra s'assurer que les recommandations ont t mises en uvre et suivies d'effet.

Et si votre mdecin ne vous apporte pas d'amlioration, la valeur ajoute que vous attendez, n'en changez-vous pas ? L'audit interne a une obligation de rsultats : que les processus de management des risques, de contrle et de gouvernement dentreprise s'amliorent rellement. Le champ d'action de l'audit interne est en effet ces trois processus, et le premier est le management des risques. Qu'est-ce qu'un risque ?

I2. Risque et management des risques

Dpche-toi, on risque d'arriver en retard au spectacle lui dit-il. Tu as raison, cette heure on risque d'avoir des encombrements rpondelle. Pour lui, risque voque une consquence regrettable (arriver en retard), la non atteinte d'un objectif (tre l'heure) ; pour elle, une circonstance, un vnement mal prvisible (les encombrements), qui peut avoir des consquences regrettables. A les couter tous deux, arriver en retard serait engendr par les encombrements, comme s'ils ne savaient pas que dans toutes les espces il faut deux parents pour faire un enfant. L'autre parent est bien videmment le choix de l'heure de dpart (encore que ce n'est pas si vident que a : lors du premier cours de l'anne, je suis toujours amen expliquer mes tudiants que pour tre srs d'arriver l'heure au cours il existe une mthode : partir en avance de chez eux, et non au dernier moment). Le Risque est un triptyque : la possibilit que la combinaison d'un vnement (ou circonstance) et d'un mode de fonctionnement (ou facteur organisationnel) compromette l'atteinte d'un objectif. Le management d'un risque consiste alors mettre en place aux trois moments avantpendantaprs les mesures visant 1. empcher le risque de se matrialiser : prvention, 2. s'apercevoir que malgr cela il est advenu : dtection, 3. limiter ses consquences : protection.

vnement, circonstance, incident mode de fonctionnement objectif compromis

C'est en effet le plus souvent chacun des trois moments qu'il faut agir, un seul suffit rarement. Par exemple, le risque d'impays sera rduit par des enqutes de solvabilit (et l'utilisation d'une liste rouge), mais pas supprim car cela ncessiterait d'tre outrageusement prudent ce stade ; il faut ensuite surveiller le paiement des factures (balance par antriorit par exemple) ; et enfin prendre les mesures de rduction du compte clients : relances de plus en plus svres, contentieux, mise sur liste rouge, Le risque et son management se composent donc de : 1 triptyque logique : circonstance + cause consquence, 3 types de mesures : prvention dtection protection.

Pour visualiser cela :

Le mme triptyque logique 3 moments

1 triptyque logique : Circonstance + Cause Consquence 3 types de mesures : Prvention - Dtection - Protection
O R I G I N E MA NI FES TA TION IMPACT dommages menace + non prvention

vnement

non dtection

inaction

non protection

Au niveau oprationnel, c'est--dire lors d'une mission d'audit (ou pour un manager, lors de ses activits courantes s'il est soucieux de ses responsabilits), cette vision du risque comme un triptyque est indispensable : elle fait percevoir que la causalit est une combinatoire : le dclencheur est la conjonction-combinaison de causes (heure de dpart et encombrements dans l'exemple du couple qui va au spectacle) ;

elle pousse distinguer les causes matrisables (heure de dpart), en audit les causes, des causes imparables (encombrements), en audit les vnements ou circonstances.

Quand le couple ci-dessus arrivera en retard au spectacle en raison des encombrements, il se verra rpondre par le portier (un ancien auditeur ?) : non, vous n'tes pas en retard cause des encombrements, vous pouviez (deviez ?) les prvoir ; vous tes en retard parce que vous tes partis trop tard de chez vous. Les auditeurs (et les portiers) sont vraiment dsagrables ! Leur rle est de rechercher dans votre organisation et votre fonctionnement, donc chez vous, les facteurs de risque qui, s'ils se combinent la ralisation d'vnements o vous n'y tes pour rien, vont entraner des consquences dommageables. Il ne s'agit pas ncessairement d'viter les risques, il s'agit de ne les prendre que consciemment. Manager, c'est arbitrer entre les risques (comme le dmineur !) ; par exemple accepter de courir le risque que la salle informatique soit inonde en cas de crue exceptionnelle (ce serait onreux de la dplacer), et mettre en place un plan de secours (back-up) rgulirement test.