1.3) Les risques liés à l’audit interne
L’audit interne est exposé à deux principaux types de risques :
- le risque d’audit et
- le risque associé à la gestion de programmes et de projets.
-
Le risque d’audit
Les auditeurs internes et les auditeurs externes ont tous recours au concept de risque, notamment dans le cadre de la planification de leurs travaux. Toutefois, ils définissent et emploient ce terme d’une façon différente :
- Les auditeurs internes procèdent à l’évaluation des risques en vue de décider sur quelles activités va porter l’audit
- Tandis que les auditeurs externes (les grandes orientations de leur mission étant déterminées pour une large part par la loi) utilisent le concept de risque d’audit pour déterminer la nature, la date et l’étendue des travaux d’audit qu’il leur faut accomplir afin de réduire le risque d’émettre une opinion erronée.
En règle générale, les auditeurs internes utilisent le concept de risque dans le cadre des évaluations de risques qu’ils effectuent pour planifier leurs travaux à long terme et pour décider quels domaines de l’entreprise ils vont examiner, avec quelle périodicité et dans quel ordre.
Si les auditeurs internes appliquent le concept de risque pour déterminer le champ de leurs travaux, ils ne l’appliquent pas toujours, en revanche, dans le cadre de ces travaux proprement dits. En ce sens, on peut dire qu’ils n’appliquent peut-être pas de façon explicite le concept de risque d’audit.
Le risque d’audit interne est celui qu’un auditeur interne émette une opinion inexacte sur l’adéquation, l’application et l’efficacité des contrôles internes examinés.
Il se décompose de la façon suivante :
- Le risque intrinsèque est celui que des incidents non désirés ou non prévus, susceptibles de se produire alors que l’on s’efforce d’atteindre les objectifs fixés au sein de l’entreprise, n’entraînent des conséquences négatives.
- Le risque de contrôle interne est le risque que les contrôles internes ne permettent pas d’empêcher ou de détecter des conséquences négatives significatives et, si nécessaire, de s’assurer que des mesures appropriées sont prises pour les minimiser, afin de les ramener à des niveaux tolérables et approuvés par la société, et ce dans des délais raisonnables.
- Le risque de non-détection est celui que l’auditeur interne, en dépit des procédures mises en œuvre, ne détecte pas les cas dans lesquels les contrôles internes ne permettent d’avoir l’assurance raisonnable que les risques n’excéderont ni les seuils fixés au niveau de la société, ni des niveaux inacceptables.
Le risque d’audit interne peut se produire soit au niveau de la définition de la mission d’audit soit au niveau du programme d’audit ou de l’opinion émise annuellement.
-
Risque lié à la gestion de programmes
Chaque audit est en soi un projet distinct. Pour pouvoir effectuer une série d’audits au cours d’une période donnée, une unité d’audit interne doit établir un programme coordonné qui doit déboucher sur la formulation d’une opinion et sa communication au Conseil d’administration et aux dirigeants.
La gestion de programmes consiste en la sélection et la planification d’un portefeuille de projets en vue d’atteindre une série d’objectifs, et l’exécution efficace de ces projets dans un environnement contrôlé, de telle sorte qu’ils présentent un intérêt maximum pour l’opération en cause.
Ainsi, les plans à long terme établis par la plupart des unités d’audit sont des programmes. Ils sont donc exposés au large éventail de risques qui sont généralement associés à la gestion de projets et à la gestion de programmes.
On admet généralement que les projets comportent des risques importants car, par nature, ils possèdent toujours dans une certaine mesure un caractère unique. Les auditeurs internes connaissent bien les principaux risques liés aux projets : dépassements de délais et de coûts, et problèmes de qualité.
Les problèmes posés par la gestion de programmes sont souvent moins bien connus. Les risques liés aux programmes proviennent de nombreuses sources, notamment des projets qu’ils comportent, et de la nécessité de gérer le risque de façon cohérente pour tout le programme pris dans son ensemble.
Il est essentiel que les liens entre la stratégie globale de l’entreprise et les objectifs du programme soient correctement appréhendés et qu’ils soient pris en compte pour la gestion des risques liés au programme.
Il existe quatre sources principales de risques liés aux programmes :
- Les changements non prévus, notamment les changements de stratégies et d’objectifs, l’introduction de nouvelles exigences, l’évolution de la législation et de la réglementation, les changements politiques et technologiques et l’évolution des tendances du marché.
- Les conflits d’intérêts résultant de la politique interne, soit en cas de conflit entre les projets et programmes existants et les nouveaux projets, soit en raison de l’introduction de nouvelles exigences remettant en cause les engagements pris en termes de ressources.
- Un contrôle insuffisant, notamment la gestion inefficace des ressources et la mauvaise coordination des projets, ainsi que la variation de l’étendue du programme (le contenu du programme augmente régulièrement mais de façon imperceptible) et les défaillances de tiers.
- Les profits non réalisés en raison d’une attente excessive ou de prévisions optimistes, de divergences entre des partenaires dont les exigences varient et ne sont pas respectées, d’une mauvaise gestion de la qualité, ou de l’absence de livraison aux utilisateurs des éléments à livrer dans le cadre du projet.
En outre, les programmes d’audit sont de plus en plus soumis à des pressions spécifiques à l’audit, le principal risque étant celui de ne pas être en mesure d’émettre une opinion d’audit bien fondée.
Pour résoudre ces difficultés, il existe principalement trois stratégies. Tout d’abord, une approche cyclique dans laquelle tous les systèmes sont audités au moins une fois au cours du cycle d’audit, qui est généralement de cinq ans, et qui permet de se forger ainsi au cours du cycle une opinion sur l’adéquation de l’ensemble du système de contrôle interne.
Ensuite, une approche axée sur les systèmes dans laquelle tous les systèmes ou tous les domaines ne font pas nécessairement l’objet d’une revue. Les systèmes à faibles risques peuvent être examinés plus rapidement, moins souvent et, le cas échéant, ne pas être examinés.
Les systèmes importants et à hauts risques sont examinés dans les premières phases du programme car leur examen permet d’évaluer le degré d’assurance qui peut être attribué aux autres systèmes.
On peut ainsi acquérir une assurance qui couvre plus largement l’entreprise sans nécessairement examiner tous les systèmes ou tous les domaines.
Enfin, une approche matricielle, qui repose souvent sur le modèle de matrice à trois dimensions (les cinq composantes d’un contrôle efficace, les trois objectifs du contrôle et les principales unités fonctionnelles ou activités de l’entreprise) proposé par le COSO.
La matrice à plusieurs dimensions est utilisée pour sélectionner les domaines à examiner de façon à obtenir une couverture maximum dans le plus grand nombre de dimensions possibles.
Ainsi, chaque audit donne une assurance sur plusieurs dimensions et les liens entre les résultats obtenus dans différents domaines deviennent plus évidents.
L’établissement de programmes d’audit comporte toujours la formulation d’hypothèses sur le mode de fonctionnement des contrôles dans l’entreprise et sur la définition des bonnes pratiques.
Pour établir ces programmes, les auditeurs internes doivent formuler des hypothèses sur le gouvernement d’entreprise, et ce souvent sur la base d’informations incomplètes et malgré les incertitudes et la complexité qui caractérisent ce domaine. Ce qui implique, inévitablement, une prise de risques.