L’Audit Interne Agile : en quoi ça consiste concrètement

De tels constats ont amené l’IIA à soutenir l’idée selon laquelle l’audit interne devrait se réformer pour pallier ses insuffisances et dépasser ses vulnérabilités, et que cette transformation devrait être imminente. Cette conclusion est appuyée par son président, qui l’exprime en ces termes :

« Nos succès passés ne suffiront pas à nous faire aller de l’avant. Nous devons nous transformer pour maintenir la cadence et il nous faut commencer dès maintenant ».
Richard Chambers, Président de l’IIA

Une telle transformation ne saurait se faire sans de l’agilité, une notion de plus en plus redondante dans le contexte de l’audit interne et que nous proposons de décrypter afin d’en saisir les tenants et les aboutissants.

De la nécessaire transformation de l’Audit Interne

A l’instar de toute autre fonction de l’organisation, l’audit interne est mis à l’épreuve de justifier de son utilité et de sa valeur ajoutée.

Cet impératif est mis en évidence dans le cadre d’une étude conduite conjointement par Protiviti et l’IIA Australie « Achieving High Performance in Internal Audit», qui estime que la pérennité de la profession d’audit interne est conditionnée par sa capacité à convaincre d’une valeur ajoutée.

Conformément à cette étude, une telle valeur ajoutée se démontrerait notamment à travers l’accompagnement des parties prenantes dans les problématiques qu’elles cherchent à résoudre, en leur apportant des éclairages objectifs et pertinents.

Dans la mesure où les parties prenantes de l’audit interne sont multiples (comité d’audit, direction générale, direction financière, autres directions, etc.), leurs attentes seront variées et leur perception quant à la valeur ajoutée apportée par l’audit interne dépendra de la capacité de cette fonction à répondre à leurs attentes et interrogations. Ces attentes et interrogations se voient intensifiées par l’instabilité de l’environnement de l’entreprise et les risques émergents auxquels elle est sans cesse soumise.

Ceci ne simplifie pas la tâche pour l’auditeur interne qui doit aujourd’hui jongler entre son programme d’audit (appréciations, évaluations et restitutions), les missions ponctuelles qui lui sont assignées par les parties prenantes (dites missions de performance), et le besoin d’anticiper d’autres risques dont la survenance est probable (interrogations sur la probabilité d’occurrence de risques particuliers, sur les implications de ces risques, etc.).

L’audit interne est aujourd’hui confronté à des enjeux majeurs parmi lesquels :

• La nécessité de convaincre ses parties prenantes de son utilité et de la valeur ajoutée qu’il crée.
• La capacité à s’adapter aux changements qui impactent son environnement.
• La rapidité d’exécution : l’audit interne doit être suffisamment réactif à l’égard des changements, des nouveaux risques...
• La faculté d‘anticipation : l’audit interne doit être « visionnaire », prédictif à l’égard des risques à venir.
• L’aptitude à traiter efficacement de grandes quantités de données (structurées et non structurées).

L’agilité comme réponse aux disruptions

Puisant leurs origines dans le domaine du développement logiciel, les méthodes agiles sont proposées comme alternatives à des méthodes plus rigides, incapables d’accompagner correctement des changements rapides.

Synonyme de flexibilité et d’adaptation permanente, la notion d’« agilité » s’est exportée à d’autres domaines - dont l’audit interne - pour devenir la réponse aux « disruptions » qui caractérisent le climat économique actuel.

Notons que par disruption, il est fait référence aux bouleversements rapides surgissant dans l’environnement des organisations et auxquels l’entreprise fait face. Il est bien évidemment question des avancées technologiques, de la cybersécurité mais aussi des nouveautés réglementaires plus fréquentes, des challenges financiers, des risques géopolitiques, etc.

Ces disruptions impliquent pour les parties prenantes le besoin de s’adapter et pour l’audit interne la nécessité d’apporter l’accompagnement adéquat pour y parvenir.

Pour répondre à des problématiques changeantes continuellement et souvent urgentes, l’audit interne se doit d’être dynamique, flexible, réactif et anticipatif… en un mot : « agile ».

La transformation de l’audit interne en une fonction agile, apte à répondre efficacement à ses nouveaux objectifs, ne se limite pas à quelques actions isolées mais requiert des réformes qui impacteront simultanément :

• Ses méthodologies et procédures
• Sa communication
• Ses équipes (qui devront regrouper davantage de spécialistes en SI, cybersécurité, data…)
• Ses livrables (en termes de contenu et de fréquence de production)
• etc.

Ainsi, pour être qualifié d’« agile », l’audit interne ne peut pas de se contenter de quelques actions isolées mais doit se réinventer dans son ensemble.

De l’agilité en audit interne, oui… mais comment ?

L’audit interne agile doit s’envisager de manière holistique et non à travers quelques initiatives isolées relevant de la tactique et visant à résoudre une difficulté ponctuelle. Ainsi, les réformes doivent porter sur la fonction audit interne dans sa globalité, en incluant à la fois son système de gouvernance, ses méthodologies et ses technologies (voir schéma ci-dessous).

Dans la mesure où chaque fonction d’audit interne est différente non seulement en termes de ressources, de structure et de fonctionnement mais aussi en termes d’acception et de préparation au changement, il n’est aucunement possible d’établir une liste exhaustive des mesures à mettre en place pour disposer d’une fonction audit interne agile. Toutefois, il serait pertinent de dresser quelques lignes directrices à suivre, ainsi que de développer quelques exemples qui permettraient de concevoir l’agilité de manière plus pratique :

1. L’agilité comme « philosophie »

L’agilité en matière d’audit interne est avant tout une question d’« état d’esprit » et d’« ouverture au changement ».

En d’autres termes, pour être agile, l’équipe d’audit interne doit commencer par assimiler l’intérêt et l’urgence d’une telle transformation pour la pérennité de sa fonction et s’imprégner d’une culture du changement.

Elle doit par ailleurs intégrer à sa fonction une approche d’audit agile, caractérisée par une vision prédictive et anticipative à l’égard du risque ainsi que par des démarches plus pragmatiques et flexibles, susceptibles de s’adapter aux changements.

Ainsi, l’agilité constituera pour les auditeurs internes une logique de fonctionnement (logique dans leurs idées et réflexions, logique dans leur évaluation du risque) qu’ils appliqueront tout au long de leur mission.

2. L’agilité dans le déroulement de la mission et la restitution des résultats de l’audit

Pour gagner en agilité, l’audit interne a besoin de voir ses cycles « écourtés ». En effet, vu le climat économique actuel et la vitesse des changements qu’il observe, il est étonnant de voir des entités décliner leurs plans d’audit sur trois ou sur cinq ans et il serait opportun de revoir la durée du plan d’audit à la baisse ! D’autre part, le plan d’audit doit se « flexibiliser », de sorte à prévoir du temps aux éventuelles problématiques qui peuvent émerger et qui nécessiteraient une grande réactivité de la part de l’entité.

S’agissant de la restitution des résultats de l’audit, les besoins en agilité nécessitent la génération d’une documentation plus allégée mais plus pertinente.
Cette documentation se substituera aux longs rapports d’audit, à la fois longs à rédiger et donc consommateurs de temps mais aussi difficiles à appréhender par les parties prenantes dans leur globalité en raison de l’importante quantité informationnelle qu’ils incluent.

3. L’agilité à travers les compétences

S’entourer de spécialistes (« experts ») constitue une condition sous-jacente à l’agilité de l’audit interne. Comment faire sinon pour s’approprier les problématiques émergentes et réagir en conséquence à la fois rapidement et efficacement ? S’agissant des domaines qui nécessitent des expertises pointues, les SI et la cybersécurité sont en tête de liste. On peut aussi avoir besoin d’expertises sectorielles et métiers, ou encore d’expertises en data analytics, data sciences, etc.

4. L’agilité grâce aux nouvelles approches et technologies

Pour gagner en agilité, l’audit interne doit tirer profit des nouvelles approches et des nouvelles technologies (analyse de données, automatisation & robotisation, Intelligence Artificielle et Machine Learning, etc.) qui aident à traiter rapidement et efficacement des quantités importantes de données.

Ceci permet non seulement d’augmenter le niveau de couverture et d’accroitre par conséquent le niveau d’assurance mais aussi d’améliorer la productivité des équipes et de dégager du temps pour répondre aux demandes urgentes et non anticipées des parties prenantes.

Nombreuses sont les nouvelles technologies qui profitent efficacement à la fonction d’audit interne. L’un des défis majeurs de l’audit interne étant le traitement de quantités « astronomiques » de données dans des temps « records », ces outils peuvent aider à le relever efficacement :

• Le Machine Learning (ML) : Cette technologie permet de traiter des volumes importants de données non structurées afin, par exemple, d’identifier et de récupérer des données nécessaires à l’exécution d’un programme d’audit (exemple : identification de données relatives à des conditions tarifaires, non enregistrées dans les systèmes, à partir de contrats numérisés et structuration des résultats dans un format bureautique, etc.)
• Le Data Analytics (DA) : Les techniques de DA peuvent se substituer aux techniques d’audit par échantillonnage (insuffisantes en cas de niveau d’assurance bas) et ce en testant le bon fonctionnement d’un processus ou d’une série de contrôles sur une population exhaustive. Ces techniques permettent aussi d’anticiper des risques potentiels tels que la fraude à travers l’analyse des caractéristiques des opérations ou de l’identification des tendances.

Des besoins en agilité encore plus importants pour le secteur financier

• Outre les enjeux communs à tous les secteurs, le secteur financier dispose de spécificités qui ont pour conséquence d’amplifier les disruptions et les enjeux de la fonction d’audit interne et d’accroitre par conséquent ses besoins en matière d’agilité :
• Le secteur financier est complexe, de part la nature des services, des produits et des sous-jacents mais aussi du fait de l’incertitude de l’environnement externe, etc.
• La gouvernance des institutions financières est, elle aussi, complexe. Elle est basée sur la gestion des risques et sur la capacité à maitriser les opérations et à respecter l’appétence pour le risque telle que définie par l’organisation (notamment au moyen des trois lignes de défense).
• Puisque davantage encadré que les autres secteurs, le secteur financier fait sans cesse l’objet de nouvelles réglementations (lois, règlements et ordonnances) et d’une surveillance rigoureuse de la part des régulateurs et des autorités prudentielles.
• Les métiers de la finance subissent une forte concurrence et une importante disruption technologique. Ils observent continuellement des nouveautés dans les produits et les services offerts et recourent de plus en plus aux nouvelles technologies dans leurs offres de service (Fintech, Regtech, écosystèmes « OpenAPI », etc.).

Notre point de vue pour instaurer une fonction Audit Interne agile

1. Ne tardez pas à entreprendre les réformes nécessaires pour instaurer une fonction audit interne agile : plus on avancera dans le temps, plus il y aura de nouveautés et de challenges à relever… et plus les retards seront difficiles à rattraper.
2. Tout en gardant en vue la dimension holistique de l’audit interne agile, commencez par introduire les changements de manière progressive : ceci vous permettra d’apprécier les premiers aboutissements et d’être plus confiants pour la suite...
3. Si vous avez des difficultés à attirer les compétences rares dans vos équipes ou à les maintenir, pensez à recourir à des ressources externes, de manière permanente ou encore ponctuelle. Cette solution pourra s’avérer d’autant plus efficace que les consultants externes auront connaissance des meilleures pratiques dans certains domaines spécifiques.
4. Gardez en tête que la valeur ajoutée de votre fonction ainsi que sa légitimité dépendent fortement de la perception des parties prenantes. Essayez donc d’identifier quelles sont les principales parties-prenantes dans votre cas, de comprendre leurs besoins, et surtout, de vous tenir continuellement informés de leurs attentes. Ceci vous permettra de mieux y répondre.