les apports de la certification dans un … joies de la certification dans un service d’audit...
TRANSCRIPT
MEMOIRE MASTER 2 CCA PARCOURS AUDIT INTERNE
Master 2 CCA 2010-2013
LES APPORTS DE LA
CERTIFICATION
DANS UN SERVICE
D’AUDIT INTERNE
Nelly DIFO MANTO Responsable du mémoire : Mme Bon-Michel Béatrice
N E L L Y D I F O M A N T O , M A S T E R 2 C C A C N A M 2 0 1 0 - 2 0 1 3
2
Remerciements
Je souhaite tout d’abord remercier ma responsable de mémoire Mme Bon-Michel pour ses
conseils, remarques, commentaires et corrections qui m’ont permis d’avancer dans la rédaction de
ce mémoire et me donner le recul nécessaire pour l’appréhender.
Je souhaite ensuite remercier Mr Formery, Mr Tamisier et Mr Prévost qui m’ont donné
l’opportunité de réaliser un stage de six mois à la Direction de l’Audit de Total ; ce dernier m’a initiée
aux joies de la certification dans un service d’audit interne.
Je souhaite remercier toutes les personnes de l’Audit Groupe qui ont bien voulu se prêter au
jeu des questions-réponses et permis ainsi d’étayer mon mémoire.
Je souhaite ensuite remercier mon père Fidèle pour son soutien indéfectible tout au long de
ma vie scolaire et encore aujourd’hui.
Je souhaite remercier mon Mari Amadou pour son soutien dans mes moments de
découragement et notre petit bébé Eva Louise pour avoir bien voulu me laisser travailler.
Je souhaite remercier ma maman Louise et ma tante adorée Anne pour avoir gardé la petite
Evalou et m’avoir ainsi permis de finaliser mon mémoire.
Je souhaite pour finir remercier ma sœur Corinne, soutien de toujours et de toute épreuve.
3
Problématique
Dans un contexte où de plus en plus d’entreprises se certifient pour satisfaire leurs différentes parties
prenantes, quel peut être l’apport d’une certification pour un service qui n’est pas toujours perçu
comme créateur de valeur ? Quelle est la perception par le management de la certification IFACI
dans un service d’audit interne ? A partir des éléments de réponse, nous pourrons construire une
grille d’apports de la certification.
Questions de recherche
Question 1 : Quels sont les apports de la certification IFACI dans un service d’audit interne ?
Question 2: Quel(s) élément(s) peuvent freiner le processus de certification et les apports pour
l’entreprise ?
Question 3 : Quelle est la perception par le management de la certification IFACI dans un service
d’audit interne ?
Méthodologie envisagée
Pour pouvoir aboutir à une grille d’analyse des apports de la certification, la méthodologie de
recherche repose sur une démarche qualitative à base d’entretiens semi-directifs auprès du
management du département d’audit interne de Total. Des documents internes seront également
utilisés (rapports de certification, etc.) et viendront compléter les propos des acteurs. Les entretiens
reposeront sur un guide d’entretien.
4
SOMMAIRE
Liste des abréviations ...................................................................................................................... 5
Introduction ...................................................................................................................................... 6
Première partie : Les enjeux des certifications en audit interne........................................................... 8
Chapitre 1 : Les enjeux de la certification pour l’entreprise .............................................................. 9
Section A : Les motivations externes de la certification .............................................................. 13
Section B: Les motivations internes de la certification ................................................................ 17
Chapitre 2 : Pourquoi l’audit interne cherche t-elle à se faire certifier ? .......................................... 20
Section A : De la conformité aux Normes à la reconnaissance externe ................................... 22
Section B : Certification et gouvernance ..................................................................................... 28
Conclusion de la première partie ................................................................................................... 32
Deuxième Partie : la certification IFACI à la DAG de Total ................................................................ 33
Chapitre 1 : Pourquoi choisir l’IFACI ? ........................................................................................... 34
Section A : Le rôle de l’IFACI en tant que certificateur ................................................................ 35
Section B : Pourquoi se faire certifier IFACI ? ......................................................................... 39
Chapitre 2 : Les processus attachés à la démarche de certification ............................................... 44
Section A : La mission d’auto-évaluation .................................................................................... 46
Section B : L’audit de certification ............................................................................................... 53
Conclusion de la deuxième partie .................................................................................................. 58
Troisième partie: Résultats et analyses sur les apports de la certification ......................................... 59
Chapitre 1 : Les résultats de notre étude ....................................................................................... 60
Section A : le rôle de la certification dans la formalisation et la structuration de la démarche ..... 62
Section B : le rôle de la certification en termes d’apprentissage des équipes ............................. 72
Chapitre 2: Synthèse et grille d’analyse ......................................................................................... 75
Section A : Des sentiments partagés .......................................................................................... 76
Section B : Les apports de la certification ................................................................................... 82
Conclusion de la troisième partie ................................................................................................... 87
Conclusion générale ...................................................................................................................... 90
Annexes ........................................................................................................................................... 92
Table de matières ........................................................................................................................ 111
Bibliographie ................................................................................................................................ 115
5
Liste des abréviations
AFNOR : Association Française de Normalisation
AFAQ : Association Française pour l'Assurance de la Qualité
CAC : Commissaires Aux Comptes
CRIPP: Cadre de Référence International Des Pratiques Professionnelles de l’Audit Interne.
DAG : Direction de l’Audit Groupe
IIA: The Institute of Internal Auditors
IFACI: Institut Français des Auditeurs et Contrôleurs Internes
ISO: International Organization for Standardization
LSF : Loi sur la Sécurité Financière
FRAP : Feuille de Révélation et d’Analyse de Problèmes
NPAI: Normes Professionnelles de l’Audit Interne
PAAQ : Programme d’Assurance et d’Amélioration Qualité
PDM : Processus Détaillé Des Missions
PME : Petites et Moyennes Entreprises
RPAI: Référentiel Professionnel de l’Audit Interne
SAI : Service d’Audit Interne
SMQ : Système de Management de la Qualité
SOX : Sarbanes Oxley Act
6
Introduction
L'éclatement de la bulle financière a déstabilisé les marchés et entaché la confiance des
investisseurs. Dans ce contexte de crise économique et sociale persistant, trois quarts des dirigeants
affirment que l’audit interne agit positivement sur la maîtrise de leurs risques et contribue à
l’amélioration durable des performances dans leur entreprise.1 Par ailleurs, 75% des répondants
attribuent à la gestion des risques une action positive sur la performance des résultats à long terme.
Ces conclusions issues de l’enquête d’E&Y de 2011 sur le rôle de l’auditeur interne montre bien à
quel point cette fonction est incontournable aujourd’hui pour l’entreprise tant pour les grandes
organisations que pour les PME. Pour autant, cette enquête révèle aussi que 80% des dirigeants
interrogés pensent que leur fonction d’audit interne doit être améliorée et doit s’adapter sans délai
afin de répondre aux exigences de performance nécessaires pour affronter cet environnement
incertain. En effet, pour la fonction d’audit interne, les enjeux à relever sont nombreux : améliorer le
processus de gestion des risques, aligner la stratégie sur les objectifs opérationnels et stratégiques
de l’entreprise, coordonner les fonctions « risques », apporter de la valeur ajoutée et un levier de
création de valeur, accroître la qualité, développer les expertises afin de couvrir des domaines
nouveaux, maîtriser les coûts. Au vu de ces enjeux cruciaux, la fonction d’audit interne doit se révéler
efficace et efficiente pour son organisation. Dans ce cadre, comment les clients de l’audit notamment
la direction générale et le comité d’audit peuvent évaluer et s’assurer de la qualité de la fonction
d’audit interne et de son amélioration continue ? La certification du service d’audit interne est-elle
une solution possible?
Qui dit certification dit Normes. Qui dit Normes dit qualité et plus récemment l’assurance
qualité. L’assurance qualité est une « partie du management de la qualité visant à donner confiance
en ce que les exigences pour la qualité seront satisfaites.»2 Cette notion très à la mode aujourd’hui
semble être une préoccupation majeure pour l’entreprise. Comment cette dernière peut elle attester
de cette assurance qualité et pour quelles raisons devrait-elle le faire ? C’est là que rentre en jeu la
certification d’entreprises et les motivations qui poussent les entreprises à se certifier.
1 Enquête internationale « the future of internal audit is now », Ernst & Young de Décembre 2011 réalisée par Forbes Insights auprès de 695 acteurs et professionnels de l’audit portant sur l’évolution du rôle de l’auditeur interne. Les répondants sont des responsables de l’audit interne, cadres dirigeants et membres du conseil d’administration d’organisations au CA global supérieur ou égal à 500 millions de dollars US, dans 26 secteurs d’activité. 2 Définition glossaire ISO
7
D’après l’AFNOR (Association Française de Normalisation), « la certification est une activité
par laquelle un organisme reconnu, indépendant des parties en cause, donne une assurance écrite
qu’une organisation, un processus, un service, un produit ou des compétences professionnelles sont
conformes à des exigences spécifiées dans un référentiel. ». Le référentiel ici s’appuie sur des
Normes, qui pour donner plus de poids à la certification, doivent être reconnues à l’international.
Dans cette optique, une série des Normes ISO 9000 a été conçue à l’origine par l’Organisation
Mondiale de Standardisation pour harmoniser la multitude de normes développées à travers le
monde aussi bien nationales, corporatives ou encore militaires. Dans la foulée des Normes ISO, l’IIA
(The Institute of Internal Auditors) a développé les Normes Professionnelles de l’Audit Interne.
Dans le cadre des Normes Professionnelles de l’Audit Interne, les Responsables de l’audit
interne doivent procéder à des évaluations externes du service au moins tous les cinq ans. Les
auditeurs internes sont encouragés par la norme 1330 à indiquer dans leurs rapports que leurs
activités sont « conduites conformément aux normes pour la pratique professionnelle de l’audit
interne ». Cette mention ne peut être utilisée que si les évaluations du Programme d’Assurance et
d’Amélioration Qualité montrent que l’Audit fonctionne conformément aux Normes. Pour répondre à
cette exigence et pour d’autres raisons, L’IFACI propose via sa filiale IFACI Certification un label de
qualité et de performance aux directions d’audit interne qui appliquent les trente exigences
éprouvées du RPAI. La certification intervient au terme d’un processus d’audit réalisé par les équipes
d’IFACI Certification qui évaluent de manière indépendante les activités de la direction d’audit
concernée et s’accompagne d’un suivi annuel et d’une nouvelle évaluation tous les trois ans. Est-ce
que cette certification peut finalement aider les services d’audit interne à s’améliorer et progresser
pour faire face aux enjeux auxquels ils sont confrontés ?
Dans le cadre de ce mémoire, nous nous sommes posés la question des réels apports de la
certification dans un service d’audit interne. Quel(s) élément(s) peuvent freiner le processus de
certification et les apports pour l’entreprise ? Quelle est la perception par le management de la
certification IFACI dans un service d’audit interne ? Pour répondre à ces questions et aboutir à une
grille d’apports de la certification qui pourrait convaincre les services d’audit interne hésitants à
franchir le pas de la certification, le mémoire s’articule autour de trois parties. La première partie
reprend les enjeux des certifications en audit interne. La deuxième partie reprend de manière
concrète la certification IFACI à la direction de l’audit Groupe de Total. Pour finir, la troisième et
dernière partie récapitule les différents résultats et analyses sur les apports de la certification dans
un SAI.
8
Première partie : Les enjeux des certifications en audit interne
9
Chapitre 1 : Les enjeux de la certification pour l’ entreprise
Avec la conjoncture économique, les entreprises sont aujourd’hui de plus en plus soumises à
une forte pression concurrentielle. Les clients sont plus exigeants et souhaitent avoir des produits de
qualité qui satisfassent leurs besoins au meilleur coût. La notion de qualité est donc mis à propos
régulièrement ; les entreprises tant industrielles que de service s’attèlent à la mettre en œuvre pour
être au plus près des besoins clients.
La qualité n’est pas une notion nouvelle ! C’est un concept qui existe depuis plusieurs
années et qui a évolué au fil du temps. Le mot qualité vient du latin “qualitas”. Il existe plusieurs
définitions de la qualité. Une des définitions tirée du dictionnaire de français Larousse est la
suivante : « La qualité est ce qui rend quelque chose supérieur à la moyenne ». La définition adoptée
par la norme ISO 8402 est la suivante : « La qualité est l'ensemble des propriétés et caractéristiques
d'un produit ou service qui lui confèrent l'aptitude à satisfaire des besoins exprimés ou implicites.» La
définition que nous retiendrons est celle de l’ISO 9000 :2005, «Aptitude d'un ensemble de
caractéristiques intrinsèques à satisfaire des exigences.»
Cette notion de qualité a fait place plus récemment aux concepts de management de la
qualité et d’assurance qualité. Le terme « système de management » désigne un dispositif qui
permet à une organisation de gérer ses processus et ses activités, de sorte que ses produits ou
services répondent aux objectifs qu’elle s’est fixés. Dans le cadre d’un système de management de
la qualité, les objectifs requis ont trait à la qualité (Rolland, 2009). Le développement et l’application
des systèmes d’assurance qualité aident les compagnies à mieux organiser et synchroniser leurs
opérations à travers la documentation de leurs processus, en évacuant les ambigüités et en
définissant clairement les tâches et les responsabilités parmi les employés et les départements.
Malgré la mise en place d’un système de management de la qualité pour plusieurs entreprises, les
clients demandent à être rassurés quant à la qualité des produits ou services qu’ils achètent. Pour
les entreprises, il ne suffit pas de dire que l’on fait de la qualité encore faut-il le prouver. C’est dans
cette dynamique et également dans un souci d’harmonisation des pratiques que s’est développé un
corpus de normes pouvant être certifiées. En 1987, l’organisation mondiale de la normalisation a
développé une série de normes ISO.
10
Publiées sous la désignation de normes internationales, les normes ISO représentent un
consensus international sur l’état des connaissances techniques et des bonnes pratiques
concernées. Les normes ISO séries 9000 permettent le développement, la production et la livraison
de produits et services plus efficaces ainsi que des échanges facilités et plus équitables entre les
pays3. Dès leur lancement, ces dernières ont connu un grand succès. Elles constituent un cadre de
référence, un socle commun de management de la qualité pour diverses entreprises qui souhaitent
se développer et réaliser des affaires à l’international. Dès lors, la délivrance d’un certificat par les
organismes nationaux indépendants du client et du fournisseur, en accord avec les normes ISO 9000
s’avère incontournable : c’est la naissance de la certification d’entreprises.
D’après l’AFNOR (Association Française de Normalisation), « la certification est une activité
par laquelle un organisme reconnu, indépendant des parties en cause, donne une assurance écrite
qu’une organisation, un processus, un service, un produit ou des compétences professionnelles sont
conformes à des exigences spécifiées dans un référentiel.». Le développement de la certification a
été marqué en France par la mise en place en 1988 de l’Association Française pour l'Assurance de
la Qualité (AFAQ). Cette structure de certification, qui regroupe les syndicats professionnels, les
donneurs d'ordre ainsi que les organismes de contrôle et les associations qualité, répond à
l’émergence des normes ISO 9000, outil privilégié pour structurer la démarche qualité dans les
entreprises. Par ailleurs, cette dernière a pour objet la certification par tierce partie des systèmes
d'assurance qualité des entreprises en conformité avec les modèles normatifs internationaux ISO
9001, 9002 et 9003. Dès lors, aucun service de l’entreprise ne semble plus échapper à cette notion
de système de management de la qualité, ni à la certification de ce dernier.
Beaucoup d’études ont été publiées sur la norme ISO 9000 à travers le monde. Ces
dernières décrivent les caractéristiques des entreprises certifiées et analysent les raisons pour
lesquelles elles se certifient. Ces analyses pour la plupart conduisent aux mêmes conclusions.
3 http://www.iso.org/iso/fr/iso_9000_selection_and_use-2009.pdf
11
Magd et Curry (2003), dans leur analyse sur la raison pour laquelle les entreprises
égyptiennes recherchent la certification ISO, recensent douze motivations dans leur sondage :
l’amélioration de l’efficience du système de management de la qualité, la pression des concurrents et
des partenaires d’affaires étrangers, le maintien ou l’accroissement des parts de marché, la
satisfaction des besoins clients, la pression du gouvernement, l’amélioration de la qualité, la
commercialisation des produits dans un environnement international, l’utilisation de l’ISO comme un
outil marketing et promotionnel, une étape supplémentaire au management de la qualité totale, la
réduction des coûts, la réalisation des objectifs d’entreprises, l’amélioration des relations entre les
employés.
Casadesus et Karapetrovic (2005), dans leur étude empirique sur les coûts et bénéfices de
l’ISO 9001 :2000 comparé à l’ISO 9001 /2 /3 :1994 portant sur 399 compagnies espagnoles,
retrouvent les mêmes motivations pour les entreprises de se certifier ISO. Ces dernières se
résument comme suit : améliorer l’image de qualité, tenir compte des contraintes clients, améliorer
l’efficience et le contrôle, améliorer le produit et le service qualité, accroître les parts de marché,
diminuer les plaintes clients et initier l’entreprise au management total de la qualité.
Selon l’ISO, plusieurs raisons peuvent pousser une entreprise à rechercher la certification. En
effet, cette dernière peut découler d'une exigence contractuelle ou réglementaire. Par ailleurs, elle
peut être indispensable si c'est un critère décisif pour les clients. La certification peut en outre
s'inscrire dans le cadre d'un programme de gestion des risques et servir à motiver le personnel en
représentant un objectif clair à atteindre pour la mise en place du système de management de la
qualité.
La recherche de la certification par les entreprises peut aussi s’expliquer par les contraintes
commerciales, l’accroissement des exigences règlementaires, la volonté de globalisation impliquant
différentes parties prenantes, le besoin de réaliser des processus plus élaborés et de responsabiliser
les acteurs. Le certificat apparaît donc comme un moyen de maîtriser l’image de marque de
l’entreprise tout en se traduisant par une valeur ajoutée. Le déploiement et la certification d’un
système de management de la qualité permettent aussi de montrer que l’entreprise est engagée
dans une logique d’amélioration continue de performance.
L’entreprise peut par ailleurs s’engager volontairement dans une démarche de certification
soit pour se différencier de la concurrence ou encore accéder à de nouveaux marchés. Cependant,
elle peut se faire certifier dans une logique de contrainte notamment liée aux exigences des clients.
En effet, il semble qu’un nombre non négligeable d’entreprises entrent dans la démarche de
certification sous la contrainte ou par simple comportement mimétique entraînant une faible adhésion
(Boiral, 2003, 2007),.
12
Ainsi, au regard de la littérature, une multitude de raisons poussent les entreprises à certifier
leurs systèmes de management par un organisme indépendant. Nous présenterons ces motivations
sous deux angles de vue : les motivations externes et les motivations internes. Nous avons choisi de
présenter ces motivations sous cet axe conformément à (Boiral et Roy, 2007) qui dans leur analyse
utilisant quatre aspects clé de la norme ISO 9000 (les motivations des entreprises de se certifier, les
impacts organisationnels, les opinions par rapport à l’audit de certification, les opinions par rapport à
la version 2000 de la norme), présentent les motivations de la certification à la fois externes
(répondre à la pression des clients, améliorer l’image de l’entreprise) et des motivations internes
(améliorer la rigueur dans le management, inspirer les employés, améliorer la qualité , implémenter
le contrôle interne).
.
13
Section A : Les motivations externes de la certific ation
I. La pression concurrentielle
La principale motivation derrière la certification d’un système de management de la qualité
est de l’améliorer et de lutter ainsi contre les pressions des entreprises concurrentes et des
partenaires étrangers (Madg et Curry, 2003). Par ailleurs, dans le cadre des compagnies en joint
venture, les partenaires étrangers exigent que les firmes égyptiennes soient certifiées ISO. La
certification apparaît donc comme un signal différenciateur sur le marché pour se distinguer de la
concurrence et ainsi gagner de nouveaux clients tout en fidélisant les anciens.
II. Un enjeu commercial
D’après l’AFNOR4, quand une entreprise engage un processus de certification, elle place
d’emblée la satisfaction du client au cœur de ses préoccupations. Nous pouvons donc considérer
que la certification apporte un signe distinctif en termes d’image et de notoriété qui créé un avantage
concurrentiel commercial important pour l’entreprise certifiée.
Par ailleurs, l’amélioration des produits ou des services contribue à une satisfaction accrue
des clients et à véhiculer une image positive et dynamique de l’entreprise. Les clients satisfaits ont
plus tendance à rester fidèles s’ils trouvent une réponse à leurs attentes. La certification accroît la
sensibilité de l’ensemble du personnel à la satisfaction du client et à sa mesure (Fernandez-
Gonzales et Prado Prado, 2007). Elle sert finalement d’outil pour le personnel dans sa relation avec
le client.
4Source : http://www.boutique-certification.afnor.org/certification/certification-iso-9001
14
En outre, pour identifier les fournisseurs de qualité, les acheteurs envoient souvent des
auditeurs contrôler la production et la qualité des processus des dits fournisseurs (Ragothanan et
Korte, 1999). Ces audits ont deux limites : plusieurs acheteurs auditent un même fournisseur ce qui
conduit à un excès d’audit conduisant à un gaspillage de ressources. Une autre limite repose sur
certains fournisseurs étrangers dont la culture différente et l’éloignement rendent les audits difficiles
et coûteux. Pour pallier à ces difficultés, une agence a développé des normes internationales
adoptées par les fournisseurs et qui peuvent être facilement auditées par une tierce partie
(Ragothanan et Korte, 1999). La certification permet donc de renforcer la satisfaction client via une
amélioration de la maîtrise des processus car le produit offert l’est de manière plus fiable et efficace.
D’autre part, certaines entreprises souhaitent travailler seulement avec des fournisseurs
certifiés. C’est le cas des grandes entreprises comme Eastman Kodak, Bristish Telecom, Dupont et
General Electric qui incitent vivement leurs clients à adopter les normes (Ragothanan et Korte
,1999).
III. La recherche de la reconnaissance externe
Selon l’AFNOR, être certifié AFAQ ISO 9001 permet à l’entreprise de se positionner sur des
marchés à l’international ; y renoncer ne dissuadera aucunement les entreprises étrangères
notamment celles de pays à faible coût de production tels que l’Inde ou la Chine de venir conquérir
leurs marchés, surtout avec un contexte global déprimé, facteur exacerbant la concurrence.
Par ailleurs, la facilité des échanges est un facteur déterminant dans le développement des
normes ISO. L’étude d’Anderson et al. (1999) a porté sur 514 compagnies certifiées ISO 9000 et un
groupe de contrôle de 1 965 compagnies non certifiées au Canada et aux Etats-Unis dans le secteur
de l’industrie manufacturière. Cette dernière montre que les managers obtiennent la certification
principalement pour fournir un signal crédible d’assurance qualité aux parties prenantes externes.
D’autres résultats de cette étude montrent que les compagnies qui vendent en Europe et dans
d’autres marchés internationaux ont plus tendance à se certifier ISO 9000. De ce fait, la norme ISO
9000 est adoptée lorsqu’elle est considérée comme un avantage compétitif pour le management de
la qualité et la communication.
15
D’autres auteurs ont établi un lien entre les normes et le succès à l’exportation. En effet,
Schellinck et Rosson (2001), dans leur recherche sur la relation entre la certification ISO 9000 et
l’exportation, montrent que la certification ISO 9000 se révèle très importante pour leur échantillon
de 567 entreprises exportatrices. Les compagnies exportatrices certifiées estiment qu’elles sont
supérieures à leur pairs non certifiées et sont plus positives sur leur habilité à les concurrencer
tant sur le plan national qu’international. Par ailleurs, les compagnies exportatrices recommandent
la certification aux autres compagnies non certifiées.
Casadesus et al. (2001), montrent que les compagnies certifiées montrent une plus grande
capacité à exporter que les autres. La certification permet de pénétrer des marchés internationaux.
La norme qualité qui est largement acceptée en Europe, est devenue un passeport pour faire des
affaires dans plusieurs pays.
IV. Une pression règlementaire
Au fil des années, les gouvernements ont joué un rôle fondamental dans l’essor des
certifications d’entreprises. Ainsi, en France, avec la création de l’Association Française de
Normalisation (AFNOR) en 1926 et l’Association Française pour l'Assurance de la Qualité (AFAQ)
sous l’impulsion du ministre de l’industrie, la certification par tierce partie des systèmes d'assurance
qualité des entreprises en conformité avec les modèles normatifs internationaux ISO 9001, 9002 et
9003 a gagné de l’ampleur.
De plus, l’étude d’Anderson et al. (1999) montre que la conformité avec le régulateur et les
exigences des clients sont des raisons importantes pour l’entreprise de rechercher la certification
ISO 9000.
V. Un enjeu de valorisation boursière
Il semble que la certification constitue une variable efficace de signal : l’annonce de la
certification accroît l’image de marque et la notoriété de l’entreprise et est favorablement perçue par
les marchés financiers.
16
Docking et Dowen (1999) analysent la réaction des actions de 252 entreprises américaines
à l’annonce de la certification ISO 9000 et constatent que le marché réagit positivement à l’annonce
des certifications pour les petites entreprises mais pas pour les grandes. Deux interprétations
découlent de ces résultats : les grandes compagnies qui sont connues n’ont pas besoin d’un signal
externe de la qualité et la seconde est que le marché estime que les coûts et bénéfices de la
certification de ces compagnies se contrebalancent.
Plusieurs motivations tant externes qu’internes poussent les entreprises à se certifier. Nous
allons maintenant étudier les raisons internes qui conduisent les entreprises à s’aventurer sur le
chemin de la certification.
17
Section B: Les motivations internes de la certifica tion
I. Améliorer ses dispositifs internes
La mise en œuvre du projet de certification amène à revoir les processus internes et
améliorer ainsi l’organisation (Rolland, 2009). Elle permet aussi de mesurer les performances et les
projets réalisés. L’entreprise peut s’engager dans une logique volontaire d’amélioration globale de
son image que l’on pourrait qualifier de démarche de progrès.
II. Gérer par la qualité
Certaines entreprises décident de se faire certifier pour faire vivre et améliorer de façon
continue leur système de management de la qualité. La qualité devient ainsi un moyen d’évaluer les
risques de défaillance potentiels, de détecter des problématiques liées directement à la non qualité et
d’appréhender les problématiques en amont : y apporter les remèdes nécessaires avant les dégâts
irréversibles. Elle permet ainsi d’aboutir à une meilleure gestion des risques.
Améliorer l’efficience du système de qualité apparaît comme la principale motivation pour les
entreprises égyptiennes qui recherchent la certification ISO (Madg et Curry, 2003). L’étude révèle
que les entreprises manufacturières sont plus enclines à rechercher la certification ISO comme une
part de leur programme de management de la qualité et d’améliorer l’efficience de leur système de
qualité.
D’autres études (Buttle, 1997) soulignent que les bénéfices internes de la certification telles
que l’amélioration de la rigueur dans le management, la documentation de la procédure et la
réduction des erreurs sont plus importantes que les bénéfices commerciaux et externes de la
certification.
III. Chercher à se comparer aux meilleures pratiques
Lors des entretiens réalisés pendant notre stage à la direction de l’audit du Groupe Total, la
notion de benchmark est apparue comme la motivation principale pour la certification du service
d’audit interne. Être à l’affût des meilleures pratiques qui se font dans le secteur, semblait être une
raison importante pour rechercher la certification.
18
IV. Améliorer son efficacité et son efficience
Dans une étude conduite sur 1220 entreprises certifiées, Buttle (1997) trouve que les
motivations commerciales sont moins importantes dans la mise en place de la certification que la
recherche de l’amélioration des procédures et du profit.
Par ailleurs, rentabiliser les coûts de production tout en recherchant l’amélioration continue,
limiter des coûts liés à la non qualité (rappels produits, retour clients, etc.) principalement ceux
détectés semblent pousser certaines entreprises à rechercher la certification. En effet, Corbet et al
(2005) montrent dans leur analyse que les entreprises non certifiées font l’expérience de
dégradations substantielles de la productivité alors que les entreprises certifiées ont en général
évité de tels problèmes de sous-performance.
V. Impliquer les équipes autour d’un projet commun
La réussite d’un projet de certification peut difficilement se faire sans l’appui et le soutien des
collaborateurs. Le développement des compétences des collaborateurs, la fédération autour d’un
projet commun, la mobilisation et la valorisation des collaborateurs semblent être un des motifs
moteurs pour la recherche de la certification.
Par ailleurs, la certification contribuerait à une meilleure utilisation des ressources et une
augmentation de la compétitivité via l’optimisation du fonctionnement de l’entreprise et l’amélioration
continue des pratiques pour les rendre plus homogènes. L’obtention du certificat rassure les
différents partenaires de l’entreprise (fournisseurs, clients, prospects, etc…) sur le management et
l’organisation de l’entreprise et permettrait donc via le signe très positif donné à l’extérieur de
renforcer la confiance dans l’organisation.
Nous comprenons que pour pallier à la forte pression concurrentielle, pour satisfaire les
besoins de ses clients ou pour améliorer leur système d’amélioration qualité, plusieurs entreprises
sautent le pas de la certification. Boiral (2003) identifie quatre groupes d’entreprises en fonction de
leur vision de la norme ISO.
Pour les ISO integrators, la norme est vue premièrement comme un outil de management. La
certification est conduite dans l’intérêt interne d’intégrer les propositions de la norme dans
l’organisation et engendre un haut niveau d’avantages commerciaux et un bas niveau des
problèmes liés à l’organisation.
19
Pour les quality enthusiasts: la norme est vue à la fois comme un outil de management et de
marketing. La certification est vue comme une nécessité pour l’entreprise. Ceci entraîne, un haut
niveau d’avantages commerciaux et un faible niveau de problèmes organisationnels.
Pour les dissidents: la norme est vue comme un outil bureaucratique dont la légitimité interne
ou externe est questionnable, la certification est vue comme une contrainte entraînant de la
résistance au sein de l’organisation. Ce qui se traduit par un faible niveau d’avantages commerciaux
et un certain nombre de problèmes organisationnels avec une vision négative des procédures
d’audit. Ceci correspond aux petites organisations.
Pour les ritual integrators: la norme est vue comme un outil marketing dont la pertinence
interne est remise en cause ; la certification à tendance à être superficielle. Les conséquences
finales sont un faible niveau d’avantages commerciaux et un niveau élevé de problèmes
organisationnels. Cette grille permet d’appréhender la diversité des motivations derrière les
certifications d’entreprises.
Nous constatons de part ce chapitre que plusieurs motivations allant de la forte pression
concurrentielle à l’amélioration du système de management de la qualité expliquent l’envolée des
certifications d’entreprises notamment la certification ISO 9001. Nous nous attèlerons dans la suite
de ce mémoire à étudier la certification non plus de façon générale mais dans un cadre plus
restreint : celui de l’audit interne. En effet, dans un contexte où de plus en plus d’entreprises se
certifient pour satisfaire leurs différentes parties prenantes, quel peut-être l’apport d’une certification
pour un service qui n’est pas toujours perçu comme créateur de valeur ? Nous allons de ce fait
présenter les enjeux des certifications dans un service d’audit interne.
20
Chapitre 2 : Pourquoi l’audit interne cherche t-ell e à se faire certifier ?
L’Institut des Auditeurs Internes (The Institute of Internal Auditors: IIA), association
internationale qui regroupe les instituts d’audit interne nationaux, définit l’audit interne comme « an
independent, objective assurance and consulting activity designed to add value and improve an
organization’s operations. It helps an organization accomplish its objectives by bringing a systematic,
disciplined approach to evaluate and improve the effectiveness of risk management, control and
governance processes». Pour l’Institut Français de l’Audit et du Contrôle Internes (IFACI), organisme
français de l’IIA, « L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour
les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de management
des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions pour
renforcer leur efficacité .». Cette définition reflète la version française de la définition internationale
approuvée le 21 Mars 2000 par le conseil d’administration de l’IFACI.
La pratique professionnelle contemporaine de l’audit interne est née en 1941. Cette année
est marquée par la création de l’Institut International des auditeurs (IIA). Depuis 1941, l’IIA a
beaucoup fait pour améliorer le statut professionnel des auditeurs internes en prenant différents
actions et programmes notamment la recherche et le développement d’un programme commun de
connaissances, la mise en place des programmes continus de certification professionnelle et le plus
marquant, l’adoption des standards pour la pratique professionnelle de l’audit interne (Normes) et
l’établissement d’un code d’éthique de la profession. Le métier d’auditeur interne est donc une
profession normée qui a beaucoup évolué suite à la rapide croissance du secteur public ainsi que les
problèmes organisationnels de contrôle et de supervision. Ces derniers ont de ce fait conduit à la
demande d’évaluations internes et indépendante des systèmes qui peuvent aider le top management
à atteindre ses objectifs de façon efficace et l’efficience mais aussi à sauvegarder les actifs de
l'organisation.
21
L’audit interne classique qui est axé sur la performance comptable et financière a été
graduellement étendu à des aspects plus opérationnels de l’organisation impliquant un audit interne
moderne plus opérationnel. En effet, avant les années 50, les activités de l’audit interne dans
plusieurs organisations étaient axées sur l’audit financier ; les départements de l’audit interne étant
grandement centrés sur la revue des états financiers. Aujourd’hui, l’audit interne prend une place
plus large. L’objectif de l’audit interne est d’assister tous les membres du management dans
l’exercice de leur fonction en leur fournissant des analyses, des appréciations, des recommandations
et des commentaires pertinents concernant les activités auditées.
Al-Twaijry et al (2003), déclarent qu’il existe deux principaux avantages d’avoir un
département d’audit interne. Le premier est l’audit conventionnel des systèmes financiers. C’est un
premier focus sur la prévention et la détection des irrégularités, qui arrivent du fait d’erreurs ou de
fraude, et la sauvegarde des actifs au sein l’organisation. Le second est l’audit de performance, qui
concerne l’efficience et l’efficacité des différents aspects de l’organisation. Son principal but est
d’améliorer l’économie, l’efficience et l’efficacité de l’organisation en créant de la valeur ajoutée pour
la performance opérationnelle.
L’audit interne est largement reconnu comme un outil important dans le domaine du
management de la qualité (Bhatti et Arwan, 2004). Avec l’accent mis sur la gouvernance
d’entreprise, les comités de direction placent des demandes fortes dans les services d’audit interne
pour fournir des évaluations pertinentes sur le contrôle des activités de l’entreprise et la gestion des
risques. Ces évaluations sont un élément clé pour permettre aux comités d’audit et de direction de
mieux appréhender les actions du management et ainsi réduire les risques. Face à tous ces
dangers(risques d'erreurs, fraude, etc.), la nécessité d’un service d’audit interne efficace et efficient
n’a jamais été aussi importante. De ce fait, la confiance du comité d’audit aux procédures et à la
performance des auditeurs internes devient capitale. Dans ce cadre, une revue qualité de la fonction
d’audit interne peut aider l’entreprise à évaluer les processus et la performance du service d’audit
interne (Kinsella, 2010)
La revue qualité de la fonction d’audit interne peut se traduire par la certification du
département d'audit interne. Nous nous intéresserons dans ce chapitre aux enjeux de la certification
pour un service d’audit interne et ensuite établirons le lien entre certification et gouvernance
d’entreprises.
22
Section A : De la conformité aux Normes à la rec onnaissance externe
Dans un contexte de crise économique et sociale persistant où les entreprises sont
confrontées à une forte pression sur les prix, à un retournement économique et à une pression
commerciale, trois quarts des dirigeants affirment que l’audit interne contribue à l’amélioration
durable des performances de leur entreprise. Pour autant, 80% des dirigeants interrogés pensent
que leur fonction audit interne doit être améliorée et doit s’adapter sans délai afin de répondre aux
exigences de performance nécessaires pour affronter cet environnement incertain5. Cette enquête
d’Ernst & Young, 2011 réalisée auprès de 695 dirigeants (directeurs de l’audit interne, directeurs
généraux et membres de comités exécutifs) montre la place importante que revêt la fonction d’audit
interne sur la maîtrise des risques et la performance des entreprises. La fonction d’audit interne doit
se révéler efficiente et efficace pour l’entreprise. La certification du service d’audit interne peut donc
apparaître comme une étape clé pouvant largement contribuée à l’amélioration de la fonction d’audit
interne. Dans cette optique, nous allons donner quelques éléments de réponse sur l’intérêt de la
certification dans un service d’audit interne.
I. Exigence des Normes professionnelles de l’audit interne
Les Normes Internationales pour la pratique professionnelle de l’audit interne de l’IIA
notamment la Norme 1300 stipule que le responsable de l’audit interne doit mettre en œuvre un
programme d’assurance et d’amélioration qualité (PAAQ) portant sur tous les aspects de l’audit
interne et permettant un contrôle continu de son efficacité. Ce programme d’assurance et
d’amélioration qualité est conçu de façon à évaluer d’une part la conformité de l’audit interne avec la
définition de l’audit interne et des Normes ; d’autre part le respect du code de déontologie par les
auditeurs. Il permet par ailleurs de s’assurer de l’efficacité et de l’efficience de l’activité d’audit interne
et d’identifier toutes les opportunités d’amélioration.6
5 Enquête internationale « the future of internal audit is now », Ernst & Young, Décembre 2011, réalisée par
Forbes Insights auprès de 695 acteurs et professionnels de l’audit portant sur l’évolution du rôle de l’auditeur interne. Les répondants sont des responsables de l’audit interne, cadres dirigeants et membres du conseil d’administration d’organisations au CA global supérieur ou égal à 500 millions de dollars US, dans 26 secteurs d’activité.. 6 MPA (Modalité pratique d’application 1300-1)
23
La Norme 1320 préconise que le responsable d’audit interne doit communiquer les résultats
du programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’au conseil.
D’autre part, les auditeurs sont encouragés par la norme 1321 à indiquer que l’activité d’audit interne
est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit
interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont
démontré.
La Norme 1310 précise que le PAAQ doit comporter des évaluations internes et externes.
Les exigences d’évaluations internes impliquent une surveillance continue de la performance de
l’audit interne et des revues périodiques effectuées par auto-évaluation ou par d’autres personnes de
l’organisation possédant une connaissance suffisante des pratiques d’audit interne. La supervision
continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité
d’audit interne. Les revues périodiques sont conduites pour évaluer la conformité à la définition de
l’audit interne, au Code de déontologie et aux Normes.
Par ailleurs, la norme 1312 stipule que des évaluations externes doivent être réalisées au
moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à
l’organisation. Le responsable de l’audit interne doit s’entretenir avec le conseil au sujet du besoin
d’augmenter la fréquence des évaluations externes ; des qualifications de l’évaluateur ou de l’équipe
d’évaluation externe ainsi que de leur indépendance y compris au regard de tout conflit d’intérêt
potentiel. D’après l’interprétation de la norme, les évaluations externes peuvent prendre la forme
d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante
externe.
La certification apparaît ici comme un moyen d’évaluation externe du programme d’assurance
et d’amélioration qualité. En effet, cette dernière permettra donc de challenger le programme
d’assurance et d’amélioration qualité instauré dans le service d’audit interne et ainsi de participer à
son amélioration.
24
II. Véritable outil de management
La certification dans un service d’audit interne peut avoir pour intérêt la mise en place d’un
système de management de la qualité. En effet, les normes pour la pratique professionnelle de
l’audit interne de l’IIA préconisent la mise en place d’un programme d’assurance et d’amélioration
qualité. Les départements d’audit interne qui souhaitent mettre en place ce programme peuvent
utiliser la certification comme booster dans ce cadre. La certification agira alors comme outil de
management et servira d’éclairage sur les défauts et les faiblesses dans le service d’audit interne.
Elle permettra d’inscrire le système de management de la qualité dans une logique d’amélioration
continue de la qualité.
III. Amélioration du système de management de la qualité/satisfaction des parties prenantes
Daniel Bretin, directeur national de l’audit interne de la Poste en 1999, précise dans la revue
audit de Décembre 1999 que la certification serait un moyen de poursuivre l’amélioration des
prestations d’audit auprès du groupe la Poste : «L’objectif étant de satisfaire au mieux les attentes
implicites et explicites des clients représentés par la direction générale et les directions des sièges
tout en obtenant une reconnaissance officielle. C’est la raison pour laquelle La DNAI (Direction
Nationale de l’Audit Interne) a obtenu en Juin 1999 le certificat ISO 9001 sous le libellé « conception
et réalisation des prestations d’audit interne pour évaluer et améliorer la maîtrise des processus du
Groupe la Poste.». La certification serait donc l’occasion de mobiliser l’ensemble du personnel
(responsables d’équipe, auditeurs, personnel administratif), de clarifier et d’homogénéiser les
pratiques et permettrait d’améliorer le fonctionnement de la direction de l’audit interne de manière
collective.
25
Par ailleurs, Daniel Bretin résume les apports de la démarche sur l’activité en une
simplification des procédures pour aller à l’essentiel, une mobilisation des équipes d’audit, une
harmonisation des pratiques de l’ensemble du personnel et un apprentissage de l’assurance qualité
permettant la diffusion de la culture qualité au sein de la direction de l’audit interne. Finalement, la
certification ISO est un moyen d’exploiter la synergie entre le contrôle interne et la qualité pour
susciter une dynamique d’amélioration continue de l’ensemble des processus de l’entreprise. L’enjeu
est de faire vivre le système tout en lui apportant les aménagements et la souplesse nécessaires à
sa pérennisation et à son optimisation.
Dans la même optique, Jean-Louis Pierret, responsable du pôle méthodes à l’inspection
générale du Crédit Lyonnais, précise que la certification ISO est un facteur de progrès pour l’audit
interne (n°168 revue Audit 2004). Cette dernière permet de mieux répondre aux attentes des clients
bénéficiaires des prestations d’audit interne et d’améliorer de manière continue le fonctionnement du
service d’audit tout en visant l’efficacité optimale.
IV. Attentes de la direction générale et du comité d’audit
Dans une conjoncture économique morose, l’audit interne est l’une des pierres angulaires du
gouvernement d’entreprise, au même titre que le conseil d’administration, la direction générale et
l’audit externe. En raison de la position unique des auditeurs internes au sein de l’organisation, ceux-
ci assurent aux membres du comité d’audit une aide précieuse en procurant une assurance objective
sur le gouvernement d’entreprise, la gestion des risques et les processus de contrôle. Au cours des
dernières années, les responsabilités du comité d’audit ont été soumises au contrôle ou mises en
valeur par les organismes règlementaires dans le monde entier. Ce dernier a des responsabilités
de surveillance de l’audit interne notamment le contrôle et l’évaluation de l’efficacité de l’audit interne.
Dans ce cadre, la certification du service d’audit interne peut fournir un confort à la direction générale
et au comité d’audit sur la performance de l’audit interne et donner des pistes sur comment atteindre
une performance optimale de l’audit interne aujourd’hui et dans le futur (Kinsella, 2010).
26
Pour la direction Générale et le comité d’audit, une certification efficace pourrait donc
permettre de répondre aux questions suivantes : Est-ce que l’audit interne est efficace et se focalise
sur les vrais sujets ? Est-ce que l’audit interne est le plus efficient possible ? Est-ce que l’audit
interne apporte de la valeur ajoutée ? Est-ce que l’audit interne est bien respecté et est influent au
sein de l’organisation ? Est-ce que l’audit interne comprend les besoins des parties prenantes ? Est-
ce que les pratiques d’audit interne reflètent les meilleures pratiques de la profession ? Est-ce que
l’audit interne a les meilleures stratégies pour le succès futur de l’organisation ? Est-ce que l’audit
interne est bien structuré et a les ressources nécessaires ? Est-ce que l’audit interne joue un rôle
actif dans le management des risques ?
V. Crédibilité du service d’audit interne
Il existe des divergences dans les attentes liées à la fonction d’audit interne. En effet, les
clients de l’audit interne n’apprécient pas toujours la valeur ajoutée de la fonction d’audit interne.
Face à ce constat, la certification peut être utilisée comme moyen de crédibiliser le service d’audit
interne. Le fait que le service d’audit interne accepte de se soumettre à des auditeurs certificateurs
agit comme un signal envoyé aux audités et comme un gage de bonnes pratiques. La certification
permettrait donc de donner un signal fort au marché, aux parties prenantes et renforcer la crédibilité
de l’audit interne.
VI. Capter les meilleures pratiques de la profession
L’un des bénéfices d’une revue qualité du département d’audit interne est de
« benchmarker » l’audit interne avec ses pairs et ainsi de permettre au service de comparer ses
performances tout en ayant une opportunité de développement. C’est la raison pour laquelle lorsque
l’entreprise choisit des auditeurs certificateurs externes, elle doit prendre en compte leurs
expériences des meilleures pratiques dans les organisations similaires (Kensela, 2010). La
certification dans ce cadre apparaît comme un moyen pour le département d’audit interne de se
hisser au plus haut niveau de la pratique professionnelle.
27
VII. Outil de communication
Comme le préconise la modalité d’application (MPA 1310-1), « Par souci de transparence, le
responsable de l’audit interne communique les résultats des évaluations externes …du programme
d’assurance qualité aux différentes parties prenantes de l’audit interne, telles que la direction
générale, le Conseil et les auditeurs externes. ». La certification dans ce contexte peut servir de
vecteur de communication aux différentes parties prenantes de l’audit mais aussi aux audités
bénéficiaires des prestations d’audit.
Nous constatons que plusieurs motivations sont sous-jacentes à la certification d’un service
d’audit interne. En effet, comme nous l’avons mentionné ci-dessus, les normes recommandent aux
organisations de conduire des audits externes indépendants au moins une fois tous les cinq ans pour
apprécier les opérations d’audit. Il est intéressant maintenant de s’interroger sur l’intérêt de la
certification dans le cadre de la gouvernance d’entreprise.
28
Section B : Certification et gouvernance
I. Les enjeux de la gouvernance
Le terme de gouvernance ou gouvernement d’entreprise a donné lieu à plusieurs définitions.
Nous retiendrons celle proposée par Charreaux (1997, p.1652) selon laquelle la gouvernance
d’entreprise recouvre « l’ensemble des mécanismes organisationnels qui ont pour effet de délimiter
les pouvoirs et d’influencer les décisions des dirigeants, autrement dit, qui gouvernent leur espace
discrétionnaire ».
La gouvernance d'entreprise et les questions de transparence de l'information financière sont
au centre des débats depuis plusieurs années en France. Cette dernière s’est développée aux Etats-
Unis et en Europe suite à une série des scandales liée à l’absence de bonne gouvernance
notamment Enron en novembre 2001, Andersen en janvier 2002, Worldcom –MCI en mars 2002 ;
Vivendi en juillet 2002, etc. Estimant que la plupart de ces scandales étaient principalement
imputables à l’inefficacité des systèmes de contrôle interne, les législateurs des principaux pays
concernés ont été amenés à légiférer. C’est le cas de la Loi Sarbanes- Oxley (SOX) de juillet 2002
aux Etats-Unis et de la Loi sur la sécurité financière (LSF) du 1er août 2003 en France. Ces
dernières imposent de nouvelles obligations en matière de contrôle interne et regroupent les
recommandations en matière de gouvernance d'entreprise pour protéger les investisseurs.
La Loi de Sécurité Financière a été adoptée par le Parlement français afin de renforcer les
dispositions légales en matière de Gouvernance d'Entreprise. Cette loi s'applique à toutes les
sociétés anonymes ainsi qu'aux sociétés faisant appel à l'épargne publique. Comme la loi américaine
Sarbanes-Oxley, la Loi de Sécurité Financière repose principalement sur une responsabilité accrue
des dirigeants, un renforcement du contrôle interne, une réduction des sources de conflits d'intérêt.
La LSF prévoit, entre autre, que le Président du Conseil d'Administration doit rendre compte des
procédures de contrôle interne mises en place par la société. Cette évaluation sera intégrée au
rapport de gestion sur les comptes sociaux et consolidés. Les Commissaires aux Comptes (CAC)
devront apprécier, dans leur rapport, l'évaluation du contrôle interne faite par le Président du Conseil
d'Administration. L'environnement de contrôle interne doit garantir que l'ensemble des opérations
s'est déroulé conformément aux procédures et doit correspondre à l'activité réelle de l'entreprise.
29
La gouvernance d’entreprise prend donc toute sa place aujourd’hui au sein de l’organisation.
Il est intéressant de s’interroger sur le rôle joué par la fonction d’audit interne au sein de ce
mécanisme et comment la certification du SAI peut y apporter un confort supplémentaire.
II. L’audit interne, instrument au service de la gouvernance
Gramling et al. (2004), distinguent quatre composantes dans la gouvernance de l’entreprise :
l’audit externe, le comité d’audit, le management et la fonction d’audit interne. La définition de l’audit
interne de l’IIA/IFACI prend en compte dans sa définition la notion de gouvernance d’entreprise « […]
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle et de gouvernement
d’entreprise et en faisant des propositions pour renforcer son efficacité ». Le terme de gouvernement
d’entreprise qui se retrouve dans la définition de l’audit interne préfigure bien du lien entre ces deux
notions. Par ailleurs, la Norme 2130.A1 sur la fiabilité et l’intégrité de l’information préconise que :
« L’audit interne doit évaluer la pertinence et l’efficacité du dispositif de contrôle choisi pour faire face
aux risques relatifs au gouvernement d’entreprise, aux opérations et systèmes d’information de
l’organisation. Cette évaluation doit porter sur les aspects suivants : la fiabilité et l’intégrité des
informations financières et opérationnelles ; l’efficacité et l’efficience des opérations ; la protection
des actifs ; le respect des lois, règlements et contrats. » L’audit interne constitue donc un mécanisme
de grande importance dans le processus de gouvernance de l’entreprise.
Le rôle fondamental de la fonction d’audit interne dans le mécanisme de la gouvernance peut
encore être expliqué par deux théories : la théorie de l’agence et la théorie des coûts de transaction.
30
a) La théorie de l’agence
La théorie de l’agence a été élaborée par Jensen et Meckling (1976). Dans leur article
fondateur, ces deux auteurs considèrent que le fonctionnement des entreprises est caractérisé par
des rapports contractuels. On parle de relation d’agence lorsqu’une entreprise ou une personne
confie la gestion de ses propres intérêts à une tierce personne. Pour Jensen et Meckling, cette
relation contractuelle engendre des conflits au sein de l’entreprise qui peuvent s’avérer coûteux pour
cette dernière. L’audit externe apparaît, dans ce cadre, comme le mécanisme de contrôle et de
surveillance du comportement de l’agent (dirigeant), plus enclin à faire supporter au principal des
coûts d’agence et à ne pas respecter toutes ses obligations contractuelles (Ebondo Wa Mandzila,
2006). L’audit interne ici, de par son rattachement à la direction générale, n’a pas été considéré par
la théorie de l’agence comme un mécanisme de surveillance au sein de la relation d’agence.
Cependant, depuis quelques années, la théorie de l’agence a donné lieu à de nombreux
développements tendent à intégrer aussi l’audit interne comme un mécanisme de gouvernance de
l’entreprise (Ebondo Wa Mandzila, 2006). En effet, l’audit interne a un rôle à jouer dans le cadre de
la réduction de l’asymétrie d’information née du conflit entre l’agent et le principal.
Pigé (2000) distingue trois niveaux d’asymétrie d’information liée au gouvernement
d’entreprise : l’asymétrie d’information existant entre les dirigeants et les représentants des
actionnaires, l’asymétrie d’information existant entre les actionnaires et leurs représentants, les
administrateurs et un troisième niveau d’asymétrie apparaît lorsque les actionnaires d’une entreprise
souhaitent ouvrir leur capital et faire ainsi un appel public à l’épargne. L’audit interne peut servir
d’atout pour réduire ces asymétries d’information entre les différentes parties prenantes de la
gouvernance d’entreprise notamment grâce à la LSF qui exige que le président du conseil
d’administration ou de surveillance la production d’un rapport sur le contrôle interne et le
rattachement hiérarchique de l’audit interne au conseil d’administration et/ou au comité d’audit. Il est
important de noter que la fonction d’audit interne pourra jouer ce rôle de façon plus efficace si elle est
rattachée au conseil d’administration et/ou comité d’audit.
31
b) La théorie des coûts de transaction
La théorie des coûts de transaction a été proposé par (Coase, 1937) et (Williamson, 1975).
Pour ces derniers, l’entreprise contrairement au marché, apparaît comme le mode d’organisation qui
permet de réaliser des économies sur les coûts de transaction. En effet, cette théorie met en
évidence que le recours au marché c'est-à-dire la coordination par les prix peut s’avérer coûteux ;
dans ce cas dans certaines situations le recours à l’entreprise c'est-à-dire l’internalisation de certains
travaux s’impose. C’est donc le souci d’économies qui fut à l’origine de la création de la fonction
d’audit interne dans les grandes entreprises, après la crise de 1929 (Ebondo Wa Mandzila, 2006).
Pour les réduire, il est ainsi apparu pour bénéfique les dirigeants, dans le cadre de l’internalisation de
certains de leurs travaux d’audit légal, de recruter des auditeurs, salariés de l’entreprise, pour
réaliser certaines activités d’audit. Appliquée à la gouvernance de l’entreprise, la théorie des coûts
de transaction offre ainsi une pertinente justification de la création des services d’audit interne dans
les entreprises (Ebondo Wa Mandzila, 2006). La fonction d’audit interne apparaît finalement comme
un instrument nécessaire et favorable à une bonne gouvernance dans la mesure où il permet à la
fois une réduction des coûts et une amélioration des performances.
III. Certification du SAI et gouvernance
D’après les développements précédents, l’audit interne apparaît comme une fonction
ressource pour la gouvernance dont la valeur est contingente de sa qualité. Dans la mesure où la
qualité de la fonction d’audit interne conditionne celle de la gouvernance d’entreprise (Gramling et
al., 2004), il est important que cette dernière puisse attester de sa qualité. La certification du SAI
entre dès lors en jeu puisqu’elle permet finalement d’évaluer le SAI par apport à un référentiel
professionnel qui se repose sur des Normes internationales donc la Norme 2130.A1 citée plus haut.
La certification permettra en plus de l’amélioration du système de management de la qualité du SAI,
d’accroître la crédibilité du service et ainsi aider le SAI à atteindre ses objectifs dont l’évaluation de
la pertinence et l’efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au
gouvernement d’entreprise.
32
Conclusion de la première partie
Dans une conjoncture économique morose marquée par la pression des différentes parties
prenantes (clients, concurrents, législateurs, etc.), la certification d’entreprise trouve tout son essor.
Le département d’audit interne ne semble pas y échapper. En effet, suite aux différentes lois : Loi de
Sécurité Financière (LSF) et Sarbanes Olxley ACt (SOX), qui attribuent un rôle éminent à l’audit
interne dans le domaine du contrôle interne, la fonction d’audit interne est renforcée dans les
sociétés cotées. Au-delà de sociétés cotées, la fonction d’audit interne trouve toute sa place
aujourd’hui pour aider les entreprises, qu’elles soient petites, moyennes ou grandes, à une meilleure
gestion de leurs risques majeurs. Dans ce cadre, sa certification qui permettra entre autre de
s’assurer de la bonne qualité de ses prestations apparaît alors comme cruciale.
La certification d’un service d’audit interne bénéficie d’un retour sur investissement escompté.
En effet, pour un service d’audit interne, elle lui offre l’opportunité de s’engager dans un plan
d’amélioration qualité continue et de se mettre au niveau de meilleures pratiques. Elle peut par
ailleurs contribuer à améliorer l’image de l’audit interne auprès de ces différentes parties prenantes.
Pour la direction générale, elle atteste de la capacité de l’audit interne à jouer son rôle en matière de
contrôle, de management des risques et de gouvernement d’entreprises de façon efficiente et
efficace. Une direction d’audit interne certifiée est donc gage de son professionnalisme et
l’assurance, sur lesquels le président pourra s’appuyer pour rédiger son rapport. La mention de cette
certification dans le rapport pourra être perçue par le marché comme un signal fort de la volonté de
la direction de mettre tout en œuvre pour la maîtrise de son système de contrôle interne.
Plusieurs directions d'audit interne ont franchi le pas de la certification IFACI en 2012 et
peuvent désormais communiquer auprès de leurs parties prenantes internes ou externes qu’elles
délivrent des prestations de qualité dans le respect des normes internationales de l'audit interne :
ALCATEL LUCENT ,ARCELORMITTAL , ATOS , Centre d’Audit des Armées (Ministère de la
Défense) , Contrôle Général Economique et Financier (Ministère de l'Économie et des Finances)
,COVEA (GMF, MAAF, MMA) , DCNS , EADS , GROUPE EUROTUNNEL , LA POSTE IMMO ,
REUNICA . D’autres entreprises ont procédé au renouvellement de leur certification IFACI :
AEROPORTS DE PARIS, AIR FRANCE KLM, CNP Assurances, COMPAGNIE DES ALPES,
DANONE, FRANCE TELECOM, LA POSTE (Courrier et Audit Informatique), NEXANS, SNCF,
TOTAL, UNEDIC, VEOLIA ENVIRONNEMENT. Cette recrudescence de certification IFACI des
différents services d’audit interne prouve bien que ces derniers y trouvent leurs comptes. Il est donc
intéressant de présenter dans la deuxième partie de ce mémoire un moyen d’évaluation externe
d’un service d’audit interne : la certification IFACI à la direction de l’audit Groupe (DAG) de Total de
façon plus concrète.
33
Deuxième Partie : la certification IFACI à la DAG de Total
34
Chapitre 1 : Pourquoi choisir l’IFACI ?
Fondé en 1965, l’IFACI (Institut Français de l’Audit et du Contrôle Internes) fédère 4000
auditeurs et contrôleurs internes issus de 900 organismes des secteurs public et privé. Affilié à l’IIA
(The Institute of Internal Auditors), l’IFACI bénéficie d’un réseau de plus de 160 000 spécialistes de
l’audit et du contrôle internes répartis dans 160 pays. L’IFACI est, en France, l’organisme chargé de
représenter la profession de l’audit et du contrôle internes, de promouvoir son développement et de
servir les auditeurs et les contrôleurs internes. L’IFACI a développé avec sa filiale IFACI Certification
une politique de certification des directions d’audit interne basée sur le respect des Normes
professionnelles et la valeur ajoutée apportée à leurs organisations.
L’IFACI propose trois offres de certification : la certification selon le Référentiel Professionnel
de l’Audit Interne (RPAI), la certification ISO 9001-version 2000 et la certification combinée. A noter
que l’IFACI propose prioritairement la première certification car cette dernière s’appuie sur un
référentiel fondé sur les Normes internationales pour la pratique professionnelle de l’audit interne
(Normes) de l’IIA/IFACI, Normes reconnues au niveau international.
Nous allons présenter dans cette section la certification selon le Référentiel Professionnel de
l’Audit Interne ; lorsque nous parlerons de certification IFACI c’est bien à cette dernière que nous
ferons référence. L’objectif est de présenter les grandes composantes de la démarche ce qui nous
permettra dans un deuxième temps de voir de manière concrète les processus attachés à la
démarche de certification dans un service d’audit interne.
35
Section A : Le rôle de l’IFACI en tant que certific ateur
L’audit interne est une profession qui connaît des changements rapides. C’est dans ce
contexte que le Conseil d’administration de l’IIA a mis en place un comité de pilotage international et
un groupe de travail pour réviser le Cadre de Référence des Pratiques Professionnelles (CRIPP). Le
CRIPP est la structure conceptuelle qui organise les lignes directrices émises par l’IIA. On distingue
deux catégories de lignes directrices approuvées par l’IIA : les dispositions obligatoires et les
dispositions fortement recommandées. Le respect des éléments des dispositions obligatoires est
exigé. La conformité aux principes mis en exergue dans les lignes directrices obligatoires est
indispensable pour la pratique professionnelle de l’audit interne. Les dispositions fortement
recommandées par l’IIA proposent des pratiques pour la mise œuvre effective de la définition de
l’audit interne, du Code de déontologie de l’IIA et des Normes. Le CRIPP comprend donc un
ensemble d’éléments : la définition de l’Audit interne, le Code de déontologie, les Normes
internationales pour la pratique professionnelle de l’audit interne (Normes), les prises de position, les
Modalités pratiques d’application (MPA) et les Guides pratiques. Nous allons présenter dans les
lignes qui suivent de façon succincte les Normes.
I. Présentation des Normes pour la pratique professionnelle de l’audit interne
Le CRIPP reprend dans ses dispositions obligatoires la définition de l’audit interne, le code de
déontologie et les Normes internationales. Les Normes sont regroupées en trois grands groupes :
les Normes de qualification, les Normes de fonctionnement et les Normes de mise en œuvre. Les
Normes de mise en œuvre précisent les Normes de qualification et les Normes de fonctionnement en
indiquant les exigences applicables dans les activités d’assurance (A) ou de conseil (C).
36
a) Les Normes de qualification
Les Normes de qualification énoncent les caractéristiques que doivent présenter les
organisations et les personnes accomplissant les missions d’audit interne. Elles sont regroupées en
quatre séries de normes.
- La série des Normes 1000 : Mission, pouvoirs et responsabilités
- La série des Normes 1100 : Indépendance et objectivité
- La série des Normes 1200 : Compétences et conscience professionnelle
- La série des Normes 1300 : Programme d’assurance et d’amélioration qualité
b) Les Normes de fonctionnement
Les Normes de fonctionnement décrivent la nature des missions d’audit interne et définissent
des critères de qualité permettant de mesurer la performance des services fournis.
- La série des Normes 2000: Gestion de l’audit interne
- La série des Normes 2100: Nature du travail
- La série des Normes 2200: Planification de la mission
- La série des Normes 2300: Accomplissement de la mission
- La série des Normes 2400: Communication des résultats
- La série des Normes 2500: Surveillance des actions de progrès
c) Le référentiel de l’audit interne
Comme nous l’avons déjà mentionné, la certification IFACI est réalisée conformément aux
Normes internationale de l’audit interne de l’IIA/IFACI. Les Normes n’étant pas directement pratique,
le référentiel professionnel de l’audit interne (RPAI)7 a été conçu pour les présenter de façon plus
pragmatique et ainsi servir de support à la certification d’un service d’audit interne. Le référentiel est
composé de trente exigences générales classées en trois catégories : les exigences de moyens, de
prestations et de pilotage.
Le référentiel d’audit interne est un référentiel qui a été préparé par une équipe de
professionnels de l’audit interne, dûment validé par un comité d’évaluation, composé de
représentants des directions d’audit interne , d’utilisateurs et d’experts en audit interne.
7 Voir RPAI 2009 Annexe 5 P.99
37
Nous verrons ce référentiel de façon plus pratique dans le chapitre 3 via les processus
rattachés à la démarche de certification.
II. Processus de la certification IFACI
Le processus de certification IFACI d’un service d’audit interne peut se regrouper en trois
grandes phases : la phase de lancement, la phase d’audit et la phase de certification et de suivi.
Schéma récapitulatif du processus de certification IFACI
Le Service d’Audit Interne (SAI) adresse sa demande à IFACI CERTIFICATION
1-Lancement IFACI CERTIFICATION examine sa recevabilité
Le SAI reçoit une proposition d’intervention (1) incluant une sélection d’auditeurs
1ère option : Les auditeurs réalisent un diagnostic ou un audit à blanc
2-Audit de certification 2ième option : les auditeurs réalisent l’audit de certification
Les conclusions de l’audit sont présentées au comité de certification
3- Obtention du certificat
Le comité de certification valide les conclusions de l’audit et propose la délivrance du certificat
Un programme de suivi de la certification est établi (audit annuel de suivi et audit de renouvellement tous les trois
ans)
38
Source : Cadre de référence international des pratiques professionnelles de l’audit interne, P.116,
IFACI, Avril 2009
(1) En même temps que l’envoi de la proposition d’intervention, IFACI certification lui demande
un certain nombre de documents en vue de réaliser une revue documentaire préalable. Cette
revue déterminante permettra d’orienter le service vers un diagnostic d’audit à blanc si elle
révèle un trop grand nombre d’écarts avec le référentiel (diagnostic), ou quelques écarts ou
incertitudes (audit à blanc) ou encore de reporter l’audit en cas de lacune majeure.
39
Section B : Pourquoi se faire certifier IFACI ?
Selon l’IFACI, plusieurs raisons expliquent l’intérêt pour une direction d’audit interne de se faire
certifier IFACI. Parmi ces dernières, nous pouvons citer le signal fort et visible donné aux parties
prenantes de l’organisation de la rigueur avec laquelle sont évalués ses processus de gestion des
risques et de contrôle interne. Par ailleurs, la certification IFACI permettrait d’affirmer la capacité de
l’audit interne à éclairer la décision managériale dans les domaines à forts enjeux, et à accompagner
les projets innovants de l’organisation. En outre, à travers la certification, le département d’audit
interne confortera sa stature et sa visibilité au sein de l’organisation, par une reconnaissance de sa
valeur donnée par un organisme indépendant. L’audit interne renforcera ainsi sa position au sein de
l’organisation. De plus, la fédération de l’équipe d’audit autour d’un projet dynamique contribuant ainsi
à la pérennisation et une homogénéisation des pratiques du département d’audit interne sont des
intérêts non négligeables pour un service d’audit interne d’obtenir la certification IFACI.
Au-delà de la vision de l’IFACI sur l’intérêt de la certification, il est intéressant de voir l’avis
des membres d’une direction d’audit interne. A cet effet, nous avons eu l’opportunité d’effectuer un
stage de 6 mois à la direction de l’audit du Groupe TOTAL de janvier à Juin 2011. La mission de ce
stage portait sur le deuxième renouvellement de la certification IFACI de la DAG. Au cours de notre
stage, nous avons pu nous entretenir avec des membres de l’audit groupe8. De ces entretiens, nous
avons pu tirer différentes motivations derrière la certification IFACI d’un service d’audit interne.
I. Le point de vue de la DAG
a) Se conformer aux Normes
Même si l’exigence par rapport aux Normes de la pratique professionnelle de l’audit interne
n’est pas citée en premier, elle ressort comme motivation pour le service d’audit interne de se
certifier IFACI : « […] il faut donc s’assurer que le travail est fait dans le cadre de ces Normes.
Respect/conformité des Normes. Auto-évaluation insuffisante. » ; « S’assurer qu’on est conforme aux
Normes applicables en Audit. » ; « D’une certaine manière permet de dire par rapport aux Standards,
est-ce qu’on est conforme ? »
8 Voir répartition de la population interviewée Annexe 3 P.95
40
b) Benchmarker son service par rapport aux meilleur es pratiques
« Le bon côté de la certification c’est de nous obliger à réfléchir à certains concepts et
principes de fonctionnement par rapport à un benchmark théorique […] On peut tomber rapidement
en audit interne dans le nombrilisme». Cette pensée issue des entretiens avec le management de la
direction de l’audit Groupe de Total traduit un des intérêts fort pour un service d’audit interne de se
faire certifier IFACI. En effet, la certification IFACI est une occasion de dépasser le côté interne et de
repenser les pratiques de l’audit interne par rapport aux Normes, au monde extérieur, aux pratiques
du marché. Elle est donc utile dans un service d’audit interne de part son côté récurrent et régulier
qui oblige à faire un veille réglementaire, à se poser les questions sur le cadre normatif. Cela est
renforcé par les problématiques de gouvernance, de gestion de risques qui évoluent dans le temps.
Il est aussi intéressant de voir que la notion de benchmarking, pour pouvoir analyser ses
forces et ses faiblesses, est souvent ressortie comme une forte motivation pour la direction de l’audit
Groupe de se certifier IFACI. En effet, cette notion revient de différentes façons : « […]servir de
benchmarking pour le service d’audit[…] » ; « Vision extérieure intéressante et partage des bonnes
pratiques de métier d’audit pour plus d’efficacité » ; « […] Avoir une reconnaissance externe de nos
pratiques d’audit. De pouvoir se mesurer à un référentiel de métier. Déterminer les faiblesses et
trouver des axes de progrès. Un moyen de s’améliorer en permanence. L’idée de se mesurer à une
référence. Nous oblige à suivre les évolutions d’une pratique d’audit (revue de processus, analyse
des risques »; « Orientation d’actions de progrès selon les tendances de grands groupes
internationaux, offrir un regard extérieur […] » ; « [...] répondre à une exigence externe et servir
d’aiguillon […] » ; « Dans le cadre de la préparation de la certification, l’audit fait un bilan sur l’état
des activités d’audit et permet d’observer l’évolution de la pratique professionnelle » ; « Les
motivations étaient de plusieurs ordres […]réflexion sur les forces et faiblesses de l’Audit Groupe ».
41
c) Gagner en crédibilité en interne (auprès des aud ités et de la direction)
Par ailleurs, la certification IFACI permettrait de renforcer la confiance des audités vis-à-vis
de la direction de l’audit interne mais aussi de renforcer la crédibilité du service vis-à-vis des parties
prenantes : « L’objectif est d’augmenter la robustesse des démarches d’audit et la confiance qu’on
peut avoir en cette démarche. Assurance qu’on puisse donner aux audités sur la prise en compte
des risques. […] » ; « Renforcer le message et la crédibilité de la démarche d’audit : montrer qu’au-
delà des qualités individuelles des auditeurs, la démarche audit est structurée et reconnue par un
organisme extérieur. » ; « […] Elle fournit à l’audité une certaine assurance que l’organisme d’audit
travaille d’une manière appropriée. Principe général, tout le monde doit pouvoir démontrer à ses
clients qu’il respecte un certain nombre de bonnes pratiques. » ; « Argument nécessaire qu’on
présente en réunion d’ouverture vis-à-vis des audités. Garantie qu’on les audite correctement.
Assurance à dire qu’on est apte à vous donner des conseils et à faire des recommandations.
Renforce le poids de l’audit. » ; « Pour les audités, donne une assurance que l’audit respecte les
Normes, nous aussi on est audité. Etre en ligne avec les pratiques d’audit admises à l’extérieur.
Assurer aux audités que le travail fourni par l’audit ne se fait pas de manière non organisée mais
selon un référentiel de bonnes pratiques. Important qu’un service d’audit interne puisse revendiquer
la certification vis-à-vis de l’interne et des audités. » ; « Un gage, une garantie de fiabilité du bon
fonctionnement de l’audit, vérifie qu’il ya des procédures et qu’elles sont bien appliquées. Justifie que
la direction de l’Audit est un exemple pour le groupe en termes de procédures. » ; « Nécessaire
d’être certifié en interne comme en externe/ crédibilité. Permet de dire aux filiales qu’on est audité,
notre métier est certifié par l’organisme certificateur. Crédibilise complètement la méthode. Ils ont
conscience (les audités) que çà provient des Normes. Renforce et montre l’indépendance de
l’audit. » ; « A l’externe, audits association, important de montrer qu’on est certifié vis-à-vis des
partenaires (Shell, BP, Exxon) qui sont aussi certifiées. Crédible pour participer aux audits
d’association et être le lead. » .
42
d) Rassurer les instances de gouvernance (comité d’ audit notamment)
La communication vis-à-vis des parties prenantes est un des éléments intéressants le
processus de certification IFACI, « […] Montrer à la direction le souci de qualité de l’Audit Groupe
[…] » ; « Communication vis-à-vis de la hiérarchie, communication vis-à-vis des entités de
coordination des branches, communication vis-à-vis des audités (démarche d’amélioration
comparable à celle demandée aux audités) » ; « Permet de prouver aux responsables de filiales et
des branches que la Direction de l’Audit peut les contrôler étant donné que l’Audit lui-même est
contrôlé. Implique le respect de la part des audités car l’audit prouve que lui aussi est contrôlé. » ;
« Valide la qualification de l’audit à aller auditer les filiales. ».
e) Amélioration des pratiques de travail
En plus de la notion de benchmark, l’accent est aussi mis sur la nécessité d’améliorer les
pratiques de travail et de tester la qualité des prestations du département d’audit interne : « La
certification permet de renforcer la rigueur et la systématisation des méthodes dans une optique de
progrès permanent. » ; «[…] c’est un très bon moyen de tester la qualité de nos prestations par un
tiers qui ne connaît pas notre business […] » ; « Remise en question du service d’audit sur ses
méthodes de travail par rapport à des exigences reconnues internationalement » ; « Baliser un
parcours d’amélioration de la qualité du service d’audit » ; «[…]Moteur de progrès » ; « Ce n’est pas
une démarche purement normative de conformité/ on est dans une démarche d’amélioration
continue (rien n’est immédiat) avoir une vision dans le temps plus dynamique de progrès. » ; « Pour
l’avoir vu évoluer, les exigences de l’IFACI aujourd’hui sont croissantes de part la règlementation qui
évolue (gestion des risques, fraude). Pression de l’IFACI plus forte et nous amène à progresser ;
Certificateur qui , de part l’environnement règlementaire, met la barre plus haute et pousse le service
à évoluer. ».
Nous constatons que plusieurs raisons peuvent pousser une direction d’audit interne à se
certifier IFACI. Il convient donc de comparer brièvement la certification IFACI avec la certification ISO
d’un service d’audit interne.
43
II. Certification IFACI versus certification ISO 9001
La certification IFACI est basée sur le référentiel professionnel de l’audit interne structuré
selon les règles de présentation des référentiels liés à la qualité avec des exigences de prestations,
de moyens, de pilotage et de contrôle. Ce référentiel s’appuie sur les Normes professionnelles de
l’audit interne. Le référentiel assure une homogénéité des travaux des auditeurs et des conclusions
du comité de certification.
La norme ISO 9001 est un référentiel générique qui peut s’appliquer à tous les services d’une
entreprise notamment à un service d’audit interne. Ce dernier fournit les exigences relatives au
système de management de la qualité que le service d’audit interne doit mettre en place en vue de la
certification. A noter que la norme ISO 9001 de part son caractère générique nécessite un guide
d’application pour sa mise en place dans un service d’audit interne.
Même si la certification ISO 9001 est plus reconnue à l’international de part sa notoriété et
son ancienneté, l’avantage principal de la certification IFACI d’un service d’audit interne est qu’elle
s’appuie sur les Normes professionnelles de l’audit interne. A cet effet, Romain Drappier, Directeur
de l’Audit Interne du Groupe RÉUNICA précise à propos de l’obtention de la certification IFACI
Groupe Réunica en 2011: « Cette nouvelle certification est une reconnaissance concrète du
professionnalisme de RÉUNICA puisqu’elle est construite sur la base d’un référentiel professionnel
exigeant reprenant les Normes Internationales des métiers d’Audit Interne et les bonnes pratiques à
adopter ».
Nous avons compris dans ce chapitre que plusieurs raisons sont sous-jacentes à la
certification d’un service d’audit interne. Nous pouvons citer entre autres le benchmarking du service
c’est-à-dire être à jour et au fait des meilleures pratiques, l’amélioration des prestations que le
service d’audit interne pourra fournir à ses clients ou encore le renforcement de la crédibilité de ce
dernier. Nous avons aussi vu de manière succincte les processus rattachés à la démarche de
certification IFACI d’un service d’audit interne. Il est intéressant de présenter plus en détail et de
façon plus concrète deux processus rattachés à cette démarche de certification : la mission d’auto-
évaluation s’apparentant à un audit à blanc et l’audit de certification.
44
Chapitre 2 : Les processus attachés à la démarche d e certification
Le groupe Total est une compagnie pétrolière française cotée sur les Bourses de Paris et de
New York, qui fait partie des majors, c'est-à-dire des cinq plus grosses entreprises du secteur à
l'échelle mondiale, avec Exxon Mobil, Shell, Chevron, BP. C'est la plus grande entreprise française
en chiffre d'affaires9, ainsi que la 1ère capitalisation boursière de la zone Euro au 31 décembre 2010.
Ses activités s’étendent de l'extraction du pétrole brut et du gaz naturel au raffinage, et à la
distribution. Total est par ailleurs une entreprise importante dans le domaine de la chimie et vise à le
devenir dans le domaine des énergies renouvelables. La direction de l’audit du groupe Total a été
parmi les premières à recevoir le label de qualité Certification IFACI mis en place en 2005.
Le label de qualité Certification IFACI, promu par l’Institut International des Auditeurs Internes
(IIA) et la confédération internationale des instituts d’audit interne, est délivré aux directions d’audit
interne qui appliquent les trente exigences éprouvées et concrètes du Référentiel Professionnel de
l’Audit Interne (RPAI). Ce Référentiel, issu des Normes Internationales d’Audit Interne, présente les
pré requis et forme le tronc commun de la profession d’Audit Interne.
Nous avons compris de part des entretiens avec le management que le coordinateur des
Méthodes 2005 a initié la démarche de certification en 2005. En effet, étant l’interlocuteur privilégié
de Total vis-à-vis de l’IFACI, il a convaincu le directeur de l’audit de l’époque et le management de la
nécessité de mettre en œuvre une démarche qualité via la certification IFACI qui était encore récente
à ce moment. La direction a tout de suite adhérer au projet. L’audit 2005 dans ce cadre a été direct
sans audit à blanc.
L’adhésion de la direction à l’idée de la certification était de prime abord pour donner du relief,
de la légitimé au service d’Audit Interne mais aussi pour bénéficier d’un regard extérieur suite à la
réorganisation du service ; le directeur de l’époque ayant vécu la fusion Elf/ Total. Cette certification
avait aussi pour objectif de permettre à l’audit interne de communiquer « […] pour montrer que l’audit
aussi est confronté à une démarche de qualité et d’assurer ainsi sa légitimité au sein du Groupe.»
9 Source : Fortune Global 500
45
La direction de l’audit Groupe de Total a donc été certifié IFACI en 2005 et 2008. Chaque
certification était suivie de deux audits de suivi de certification. L’année 2011 marquait le deuxième
renouvellement de certification à laquelle se soumettait la direction de l’audit Groupe. Il est important
de noter que les enjeux de la certification d’un service d’audit interne venant juste d’être réorganisé
en 2005 et ceux du même service six ans plus tard ne sont plus tout à fait les mêmes.
La certification IFACI de la direction de l’audit Groupe de Total s’est déclinée en différentes
étapes. Nous avons eu l’opportunité d’effectuer un stage de six mois à la direction de l’audit Groupe
de Total dans le cadre de la préparation au renouvellement de la certification IFACI 2011. De ce fait,
nous avons participé à la mission d’auto-évaluation du service d’audit interne mais aussi à l’audit de
renouvellement de certification que nous allons présenter dans ce chapitre.
46
Section A : La mission d’auto-évaluation
Selon la Norme 1311 de la pratique professionnelle de l’audit interne, les évaluations internes
doivent comporter deux volets. D’une part une surveillance continue de la performance de l’audit
interne matérialisée à la direction de l’audit Groupe de Total par la surveillance d’indicateurs de
performance. D’autre part des revues périodiques, effectuées par auto-évaluation ou par d’autres
personnes de l’organisme possédant une connaissance suffisante des pratiques de l’audit interne. La
mission d’auto-évaluation 2011 de la direction de l’audit groupe de Total a donc été effectuée
conformément au Référentiel Professionnel de l’Audit Interne (RPAI) dans le cadre de la préparation
au renouvellement de la certification IFACI 2011.
I. Objectif de la mission
La mission d’auto-évaluation de la DAG (Direction de l’Audit Groupe) s’inscrivait dans la
démarche du programme d’assurance et d’amélioration qualité prévu dans les Normes
Professionnelles de l’Audit Interne (NPAI) édictées par l’IIA /l’IFACI. Dans la perspective de l’audit de
renouvellement de la certification IFACI programmé en mai 2011, cette mission avait pour finalité :
• de vérifier la mise en œuvre des plans d’action de l’Audit Groupe proposés en
réponse aux exigences de l’IFACI sur les non-conformités relevés ou maintenues lors
du dernier audit de suivi,
• d’identifier d’éventuels axes d’améliorations relatives aux Normes professionnelles.
II. Champ et périmètre de la mission
La mission d’auto-évaluation de la DAG a été réalisée conformément au Référentiel
Professionnel de L’audit Interne (RPAI). A cet effet, les 10 points des exigences de moyens, les 26
points des exigences de prestations et les 4 points des exigences de pilotage ont été redescendus.
47
Source : http://www.ifaci.com/certification/le-rpai-53.html
Les tests ont porté sur les missions d’audit de l’année 2010. Le tableau ci-dessous
rassemble l’ensemble des missions réalisées par le DAG en 2010.
Secteur
Nombre de missions sur la
période
Pourcentage
AMONT 45 37% AVAL 34 28% CHIMIE 24 20% HOLDING 9 7% PETRO 6 5% SOA 4 3% TOTAL 122 100%
Dans le scope sélectionné, les missions ci-dessous ont été prises en compte :
• les audits classiques de contrôle interne,
• les audits SOA (Sarbanes Oxley Act),
• les suivis d’audit,
• les missions transversales.
48
Ont été exclus du périmètre d’audit :
• les audits d’association et interprofessionnels,
• les cartographies.
III. Démarche d’audit
Deux approches ont été adoptées pour couvrir le sujet: un examen des dossiers d’audit
archivés (répertoires sur W et dossiers de travail), ainsi que des interviews avec le management de
la DAG et des entretiens avec des auditeurs. La mission a été conduite suivant le référentiel RPAI et
une attention particulière a été portée sur les actions mises en œuvre.
a) Les entretiens réalisés
Des entretiens ont été menés avec des collaborateurs de l’Audit Groupe :
• le directeur de l’Audit Groupe,
• les directeurs sectoriels,
• cinq managers,
• la responsable du planning,
• le manager méthodes,
• le coordinateur Méthodes et Formation,
• quatre auditeurs.
Durant ces entretiens, deux thèmes ont été abordés :
• le plan d’action sur les non-conformités relevées par l’IFACI lors des audits de suivi de
certification et par les auditeurs internes lors des précédentes autoévaluations,
• un dialogue sur le fonctionnement actuel de l’Audit Groupe et les moyens de répondre
efficacement aux exigences de l’IFACI.
49
b) Les tests sur les missions
Des tests sur les dossiers d’audit archivés sous W et dans OASIS ont été réalisés. Sur les
122 missions d’audit effectuées en 2010, 15 missions de contrôle interne et transversales ont été
sélectionnées pour réaliser des tests de conformité aux Normes professionnelles.
IV. Résultats obtenus
Les résultats de la mission ont été présentés au directeur de l’Audit Groupe et aux directeurs
sectoriels lors de la réunion de clôture le 2 février 2011. Les résultats ont été présentés sous forme
de fiche de non-conformité et de recommandations. Le rapport de mission d’auto-évaluation prend
en compte les réponses du management aux constats et recommandations des auditeurs et ont servi
de point de départ à la mise en place de plans d’actions.
Les résultats de la mission d’auto-évaluation ont mis en exergue des constats et des
recommandations sur plusieurs points du Référentiel Professionnel de L’Audit Interne que nous
allons énoncer ci-dessous de façon succincte.
Pour des raisons de confidentialité de ce rapport, nous n’allons pas entièrement présenter les
résultats de cette mission d’auto-évaluation. Nous allons présenter un exemple de fiche de non-
conformité et de recommandation élaborée et une conclusion générale de ces résultats.
a) Les exigences de moyens
• Point 1 - L’indépendance
• Point 2- La charte d’audit
• Point 3-Déontologie
• Points 5 & 6-Compétence et conscience professionnelle
• Point 8 –Ressources du plan d’audit
• Point 10- Règles et procédures
50
Exemple de Fiche de Non-conformité et Recommandations de la mission d’auto-évaluation
Rappel norme Norme 1100 : La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne.
Référence IFACI
Suivi 2010 : NCm5 Mineure Ouverte
Commentaire IFACI (suivi 2010) La mise à jour qui a été réalisée, prend en compte les aspects du libre accès aux documents et aux personnes et de la définition de la nature des missions. Cependant à la date de la mission, la charte n’était pas approuvée dans l’attente de la prise de fonction du nouveau Président Directeur Général. Constats autoévaluation
Le contenu de la Charte de l’Audit interne en vigueur (datée de 2004) n’est pas pleinement conforme aux recommandations de l’IFACI. En effet, elle ne prend pas en compte le libre accès aux documents et aux personnes et la définition de la nature de la mission.
La charte a fait l’objet d’une mise à jour récente pour tenir compte des dernières remarques de l’IFACI mais n’a pas encore été soumise à l’approbation de la Direction Générale. Une date de validation avait été retenue lors de l’audit de suivi IFACI en 2010, à savoir : l’attente de la prise de fonction du nouveau Président Directeur Général à l’été 2010. Cette date n’a pas été respectée et, à ce jour, l’Audit Groupe n’a pas défini un calendrier clair de mise à jour. La Charte de l’Audit Interne s’inscrit dans le document de référence « Le Contrôle Interne de Total » qui décrit : - La Charte de l’Audit Interne, - Le Cadre de Contrôle Interne, - La Mission de l’Audit Interne. D’après le management de l’Audit Groupe, ces éléments étant actuellement regroupés, la publication de la nouvelle Charte est dépendante de la mise en place d’un nouveau cadre de contrôle interne, prenant en compte les évolutions du cadre réglementaire (AMF) et du COSO. Recommandation des auditeurs : Obtenir la validation de la Charte de l’Audit Interne. A cet effet, établir un calendrier de révision du document de référence « Le contrôle interne de Total ». Réponse du management de l’Audit Groupe : Actuellement la Charte fait partie d’un triptyque incluant également la Mission de l’Audit Interne (en fait une extension de la Charte) et le Cadre de Contrôle Interne. Pour cette raison, sa mise à jour devrait être conduite simultanément avec la mise en place d’un nouveau cadre de contrôle interne, tenant compte les évolutions du cadre réglementaire (AMF) et du COSO. Pour éviter à l’avenir cette situation, il est envisagé que la Charte et la Mission d’une part, le Cadre de Contrôle Interne, d’autre part fassent l’objet de publications séparées.
51
b) Les exigences de prestations
• Point 13- Plan d’audit-Risques
• Point 16- Communication préalable
• Point 17- Examen préliminaire et plan de mission
• Point 18- Référentiel de contrôle
• Point 19 &20- Objectifs et travaux d’audit
• Point 23- Diffusion des résultats
• Point 24- Surveillance des actions de progrès
• Point 27- Supervision de la mission
c) Les exigences de pilotage
• Point 28- Accès au dossier
• Point 29-Programme d’assurance et d’amélioration qualité
La mission d’autoévaluation a consisté en une revue de l’ensemble des pratiques internes de
l’Audit Groupe vis à vis du référentiel professionnel de l’Audit Interne. Au terme de celle-ci, il
apparaissait que les pratiques de l’Audit Groupe sont aujourd’hui plus largement conformes aux
normes professionnelles mais restent cependant perfectibles sur un certain nombre de points.
En effet, les évaluations précédentes soulignaient la nécessité d’une formalisation des
pratiques internes de la l’Audit Groupe. La présente évaluation montre que cette recommandation a
été prise en compte et que la démarche de formalisation des pratiques à travers un ensemble
cohérent de procédures internes a été engagée. Cependant, la dernière étape, de validation et de
diffusion, doit être encore mise en œuvre.
Sur les autres thèmes du référentiel professionnel, plusieurs constats de faiblesses formulés
lors de la dernière mission d’audit de suivi restent pertinents. De plus, d’autres lacunes qui
constituent des non-conformités potentielles ont été mises en évidence lors de cette mission.
La période de préparation à l’audit de certification IFACI a été mise à profit pour finaliser les
actions de progrès initiées en 2010, et en particulier la validation puis la diffusion de l’ensemble des
procédures rédigées aux membres de l’Audit Groupe.
52
V. Programme d’assurance et d’amélioration qualité (PAAQ)
A la suite de la mission d’auto-évaluation; les recommandations des auditeurs et les réponses
du management ont été intégrées pour définir des plans d’action en vue de l’amélioration des
prestations du département d’audit interne. La mission d’auto-évaluation a permis de balayer le RPAI
et ainsi de déterminer les points clés sur lesquels l’audit Groupe pouvait s’améliorer pour renforcer
sa conformité avec les NPAI. Nous étions chargés dans ce cadre sous la direction du manager
méthodes de La Direction de l’Audit de participer au Programme d’Assurance et d’Amélioration
Qualité global, intégrant l’ensemble des plans d’actions issus des autoévaluations et des audits de
suivi de l’IFACI. Un des objectifs de ce programme était de contribuer à la consolidation et
l’harmonisation des pratiques internes de l’Audit Groupe.
Le programme d’assurance et d’amélioration qualité a été actualisé suite à la mission d’auto-
évaluation. Nous verrons dans la deuxième partie de ce mémoire les apports de la certification IFACI
à ce programme. Cependant, nous allons tout d’abord présenter à la section B l’audit de certification
de la direction de l’audit Groupe.
53
Section B : L’audit de certification
Selon la Norme 1312 de la pratique professionnelle de l’audit interne, « Des évaluations
externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifié,
indépendantes à l’organisation… ». La modalité pratique de la Norme précise que les évaluations
externes couvrent l’ensemble des prestations d’assurance et de conseil et ne sont pas limitées à
l’évaluation de son programme d’assurance et d’amélioration qualité. L’audit de certification entre
dans cette optique.
La direction de l’audit Groupe de Total a connu sa première certification en 2005. Après cette
dernière, deux audits de suivi de certification en 2006 et 2007 ont été réalisés par des auditeurs
certificateurs de l’IFACI. La DAG a ensuite obtenu en 2008 le premier renouvellement de sa
certification IFACI qui a donné suite à deux audits de suivi en 2009 et 2010. L’année 2011 a marqué
ainsi son deuxième audit de renouvellement de certification.
Le processus d'audit de certification est décomposé en plusieurs étapes :
• Une revue documentaire du système mis en place afin de répondre aux exigences du RPAI.
• Un audit sur site dont le but est d'évaluer, à partir d’échantillonnages, la conformité des
activités de la DAI par rapport aux exigences du RPAI.
• Un rapport d'audit est établi.
• Les actions correctives doivent être présentées à l'auditeur suite aux non-conformités
relevées par ce dernier lors de son audit, dans un délai de trois semaines au maximum.
• Le dossier est présenté à deux membres du comité de certification d'IFACI Certification. Au
vu du rapport d'audit, des fiches de non-conformités, des actions correctives mises en place
et des recommandations de l'auditeur, la décision de certification ou de rejet est prise.
54
I. L’audit initial
a) Présentation de la Direction d’Audit Interne (DA G)
L’audit de certification de la DAG de Total de 2011 s’est tenu du 09 au 16 Mai 2011. D’un
effectif moyen de 65 personnes, la DAG est implantée au Siège à Paris. Elle est organisée par
secteurs sous l’autorité de Directeurs sectoriels, avec cependant l’application du principe de
polyvalence sectorielle des auditeurs. Elle rapporte à la Direction Générale (via le Secrétaire Général
membre du COMEX) et au Comité d’audit.
b) Périmètre d’intervention
L’audit de certification de la DAG a été réalisé par deux auditeurs qualifiés par IFACI
Certification : un responsable de mission et un auditeur certificateur. Le champ de l’Audit de
Renouvellement de Certification couvre toutes les activités d’audit de la DAG, à l’exception des
audits d’association, des audits interprofessionnels, et des missions SOX. Ce dernier s’est inscrit
dans certaines limites : même si toutes les exigences du Référentiel ont été examinées, les travaux
sont effectués par échantillonnage, et n’assurent donc pas la détection exhaustive des non
conformités.
c) Approche retenue pour l’audit de renouvellement de certification
Les deux auditeurs d’IFACI CERTIFICATION ont utilisée l’approche suivante lors de l’audit de renouvellement :
• la prise de connaissance et l’analyse des caractéristiques, du fonctionnement, et des prestations de la Direction de l'Audit Groupe par voie :
- de recueil et d’examen des documents clés;
- d’analyse de 7 dossiers de missions représentatifs des activités de la Direction de l'Audit
Groupe
55
- d’entretiens à l’extérieur de la Direction de l'Audit Groupe, auprès des principaux
responsables :
⋅ Le directeur Financier de Total
⋅ La directrice du Développement durable et de l'Environnement ;
- d’entretiens au sein de la Direction de l'Audit Groupe :
⋅ Le Directeur de l'Audit Groupe ;
⋅ Le Directeur sectoriel Holding ;
⋅ Le Directeur sectoriel Aval (Raffinage & Marketing);
⋅ Le Directeur sectoriel Amont (Exploration et Exploitation);
⋅ Le Directeur sectoriel T&S (transactions services) ;
⋅ Des managers des missions revues.
• la comparaison des informations recueillies avec les exigences du Référentiel ;
• l’identification d’écarts avec le Référentiel, écarts appelés « non-conformités ».
L’approche retenue par les auditeurs de l’IFACI leur a permis de dégager des points forts de
la Direction de l’Audit Groupe en 2011 mais aussi d’identifier quatre non-conformités mineures au
RPAI. Les auditeurs ont par ailleurs fait des observations et proposés des axes d’amélioration à
l’audit interne.
d) Les points forts de la DAG
Des points forts et bonnes pratiques soulignés par les auditeurs IFACI sont les suivants :
• une contribution appuyée aux processus de management des risques et de contrôle interne du
Groupe ;
• des efforts proactifs et correctifs engagés en démarche qualité ;
• un développement des missions transversales ;
• un effort d’analyse et de communication préalables aux missions d’audit ;
• une adéquation qualitative des équipes d’audit.
56
e) Les Non-conformités
Les non-conformités mineures mises en évidence portent sur :
• la mise à jour de la charte d’audit interne
• l’adossement du plan d’audit à la cartographie des dispositifs de maîtrise des risques vitaux,
• l’affinement de l’évaluation préliminaire des risques du sujet audité
• Le suivi des plans d’actions correctives
A noter que les non-conformités ressorties de l’audit de renouvellement de certification ont
fait l’objet de réponses de la part du management de l’audit Groupe.
f) Opinions globale des auditeurs certificateurs
"N’ayant pas identifié d’éléments majeurs de nature à remettre en cause la Certification, nous
formulons donc une recommandation au Comité de Certification en faveur de son renouvellement.
Cependant, quatre écarts mineurs doivent faire l’objet des plans d’actions correctives annexés à ce
rapport." ; telle est la conclusion des auditeurs certificateurs pour l’audit de renouvellement de la
direction de l’audit de Total en 2011.
La direction de l’audit Groupe de Total a ainsi obtenu le renouvellement de sa certification.
Nous verrons dans la deuxième partie de ce mémoire, les évolutions de la direction de l’audit interne
suite aux différentes certifications auxquelles elle a été confrontée.
II. L’audit de suivi
Suite à la délivrance du certificat, des visites de suivi annuelles sont prévues par IFACI
Certification. La validité du certificat est de trois ans. À l'issue de ces trois années, un nouvel audit
complet doit être réalisé (audit de renouvellement). Les audits de suivi sont réalisés de la même
façon qu'un audit initial. Toutefois, la durée de l'audit de suivi est inférieure à la durée de l'audit initial.
Les éléments du référentiel à auditer lors de la prochaine visite sont sélectionnés par l'auditeur lors
de l'audit précédent. L'ensemble des éléments du référentiel doit être audité sur les deux années
suivant l'audit initial.
57
Les éléments obligatoires à auditer tous les ans sont les suivants :
• la mise en œuvre des actions correctives mises en place suite aux non-conformités relevées
lors de l'audit précédent ;
• l'engagement de la direction ;
• la gestion du fichier des missions ;
• l'évaluation de la satisfaction des clients ;
• les réclamations des clients et des parties prenantes portant sur les caractéristiques
essentielles prévues dans le référentiel ;
• le respect des règles de communication relatives à la certification suivant le " Référentiel
professionnel de l'audit interne ".
Nous n’avons pas assisté aux audits de suivi du renouvellement de la certification 2011.
Cependant, nous allons analyser dans la troisième partie de ce mémoire comment les différentes
certifications de la DAG, les audits de suivi mais aussi les missions d’auto-évaluations et les
différents plans d’actions mis en œuvre ont permis l’évolution du SAI.
58
Conclusion de la deuxième partie
Nous avons compris dans ce chapitre que le CRIPP est constitué de deux types de lignes
directrices : les lignes directrices obligatoires qui comprennent la définition de l’audit interne ; le Code
de déontologie, les Normes et les lignes directrices recommandées qui comprennent les prises de
position, les MPA et les guides pratiques. Les Normes internationales pour la pratique
professionnelle de l’audit interne sont des principes qui fournissent un cadre pour la réalisation des
missions et la promotion de l’audit interne. Elles se comportent de Normes de qualification, de
Normes de fonctionnement et de Normes de mise en œuvre. Par ailleurs, les Normes reposent sur
des exigences obligatoires constituées d’une part de déclarations sur les exigences fondamentales
pour la pratique professionnelle et l’évaluation de la performance de l’audit interne et d’autre part
d’interprétations clarifiant les termes ou les concepts utilisés dans ces déclarations.
Nous avons pu aussi voir que l’IFACI, dans son rôle de certificateur, permet la diffusion de
ces Normes via le Référentiel Professionnel de l’Audit Interne et des bonnes pratiques de la
profession. En effet, les audits de certification permettent de revisiter les différents points du RPAI
dans le service d’audit interne et ainsi d’émettre soient des Non conformités majeures ou mineures,
des observations mais aussi de proposer des axes d’amélioration issues des meilleures pratiques de
la profession. Les Non conformités donnent lieu à la mise en place des plans d’actions au sein du
service d’audit interne. La mise en œuvre effective de ces plans d’actions conditionne l’obtention de
la certification. Par ailleurs, les audits de suivi maintiennent le service d’audit sous tension. Dans ce
cadre, ils sont l’occasion pour les auditeurs certificateurs de s’assurer de la réalisation des plans
d’actions soit en clôturant les Non conformités, soit en les requalifiant. Ces audits permettent aussi
d’informer la direction d’audit sur les différentes mises à jour du RPAI.
Le bloc audit de certification et audits de suivi de l’IFACI est donc un formidable moyen de
pérenniser une démarche d’amélioration continue de la qualité au sein d’un service d’audit interne.
Nous allons dans ce cadre étudier, dans la troisième partie de ce mémoire, les apports effectifs de la
certification dans une direction d’audit interne et ainsi aboutir à une grille d’analyse des apports de la
certification dans un service d’audit interne.
59
Troisième partie: Résultats et analyses sur les apports de la
certification
60
Chapitre 1 : Les résultats de notre étude
Nous avons vu dans la première partie de notre mémoire les motivations qui poussaient les
entreprises à se certifier. Nous avons compris que les directions d’audit interne ne semblaient pas
échapper à la règle. La fonction d’audit interne semble donc prendre une place de plus en plus
prépondérante tant dans les grandes organisations que dans les petites et moyennes entreprises. En
effet, d’après une enquête de Décembre 2011 commandée par Ernst & Young à Forbes, 75% des
répondants estiment que la fonction d’audit interne a un impact positif sur la gestion des risques de
l’entreprise. Par ailleurs, toujours d’après la même enquête, sur la question concernant le futur de la
fonction d’audit interne, cinq priorités ressortent des réponses : améliorer les processus d’évaluation
des risques, améliorer la surveillance des risques émergents, être plus pertinent pour atteindre les
objectifs de l’organisation, réduire les coûts de la fonction d’audit interne sans compromettre la
couverture des risques et enfin identifier les opportunités pour les économies de coûts dans
l’organisation. Nous comprenons donc que la fonction d’audit interne est sujette à beaucoup
d’attentes de la part de ses différentes parties prenantes. De ce fait, les directions d’audit interne
doivent être dans une logique d’amélioration continue pour répondre au mieux aux attentes de leurs
différentes parties prenantes. La certification selon le RPAI peut être ici un soutien non négligeable à
cette fonction d’audit interne pour atteindre les objectifs qui lui sont confiés.
Le service d’audit du Groupe Total existe depuis plus d’une trentaine d’année. Le service était
rattaché initialement à la Direction Financière du Groupe. En 2005, l’Audit est rattachée à la DSER
(Direction Stratégique et risques groupe), direction créée au moment de la fusion avec Elf. Suite à la
disparition de la DSER, la DAG est ensuite rattachée au secrétariat général du COMEX. Nous avons
compris que c’est une préoccupation de longue date dans le Groupe de vérifier l’efficacité du
dispositif de contrôle interne notamment au début centré sur la fiabilité des comptes et étendue
ensuite à tous les processus du Groupe, à la lutte contre la fraude, la gouvernance d’entreprise et le
management des risques . La culture d’audit existe dans le Groupe depuis des nombreuses années
61
A la fin de l’année 2004, la DAG de Total a pris la décision d’initier une certification selon le
référentiel professionnel de l’audit interne. Cette certification, dispensée par IFACI Certification, vise
à certifier le contenu et le niveau de services rendus par la direction d’audit interne par rapport à un
Référentiel qui trouve sa légitimité dans les Normes Internationales de l’IIA/IFACI. La première
certification selon le Référentiel professionnel s’inscrivait dans le Plan d’action 2005 de la DAG et
intervient à une période où la DAG s’est vu confier une nouvelle responsabilité, celle d’être le gardien
du Sarbanes-Oxley Act. Elle répondait en particulier à la volonté de pérenniser le système et les
méthodes mises en place depuis cinq ans ; de conforter le climat de confiance instauré avec les
parties auditées et d’assurer vis-à-vis des organes de gouvernance et des clients internes, la qualité
des travaux rendus par la DAG, dans la plus stricte conformité aux meilleures pratiques que
constituent les Normes Internationales d’Audit Interne.
Il est intéressant d’analyser les évolutions d’une direction d’audit interne suite à sa
certification selon le RPAI. Pour cela, nous allons étudier les rapports de certifications de 2005, 2008,
2011, les rapports de missions d’auto-évaluation et d’audit de suivi ainsi que les différents plans
d’action mis en œuvre suite aux différentes remarques. Nous allons dans ce fait analyser dans une
première section le rôle de la certification dans la formalisation et la structuration de la démarche.
Nous étudierons, dans une deuxième section, le rôle de la certification en termes d’apprentissage
des équipes.
62
Section A : le rôle de la certification dans la for malisation et la
structuration de la démarche
La certification fait partie de la démarche d’amélioration continue de la DAG de Total. De part
les entretiens avec le management, nous avons compris que les premiers éléments qui sont sortis
de la première certification de l’audit Groupe ont bousculé les pratiques. Ce regard extérieur a
finalement permis au fil des années d’apporter certaines évolutions au sein de la DAG tant au niveau
de la formalisation que de la structuration de la démarche d’audit. La certification a permis de
renforcer ou d’instaurer certains points au sein de la DAG. De ce fait, au fil des différentes
certifications; les non conformités, observations, propositions d’axes d’améliorations des auditeurs
certificateurs ont permis la mise en œuvre des plans d’action par la DAG. Ces différents plans
d’actions ont contribué à une meilleure formalisation au sein de la DAG d’une part mais aussi à la
diffusion des bonnes pratiques d’autre part. La certification a par ailleurs facilité et vulgarisé des
éléments utiles. Elle a en outre permis une formalisation plus pertinente ainsi qu’une approche plus
systématique et professionnelle.
I. Les exigences de prestations
Les exigences de prestations du RPAI regroupent un certain nombre d’éléments allant du
gouvernement de l’entreprise au bilan de l’audit interne. Nous allons montrer pour certains de ces
éléments comment, entre 2005 et 2011, la DAG a fait de la certification un véritable atout.
63
a) Formalisation du déroulement de la mission
Lors de la certification 2005, les auditeurs certificateurs avaient mis en exergue l’absence de
traçabilité, une fois la mission terminée, du lien entre les objectifs d’audit, les éléments factuels et les
conclusions. Ils avaient par ailleurs estimé que la formalisation des dossiers était parfois insuffisante
avec notamment l’absence d’indexation entre les objectifs d’audit, les travaux réalisés et les résultats
reportés dans le rapport et une non-conservation systématique des papiers de travail réalisés. Ce
point avait permis la mise en place à la DAG d’un PDM (Processus Détaillé de la Mission)
systématique, dont la forme est laissée libre mais qui doit impérativement contenir les informations
relatives aux objectifs, aux risques, aux contacts, aux tests et aux résultats. Par ailleurs, la DAG a
défini de nouvelles règles d’archivage déclinées par étapes de la vie du dossier et qui prévoit
notamment qu’après l’émission du projet de rapport, le PDM et le dossier de travail sont remis au
manager qui a supervisé la mission. Nous comprenons donc que l’identification de ce point lors de la
certification, a permis la mise en œuvre d’actions correctives.
En outre, de part les entretiens avec le management de l’audit, nous avons compris que la
certification a permis le renforcement de la traçabilité des travaux d’audit au sein de la DAG.
b) Formalisation du programme de travail
La certification 2005 a mis en exergue le fait que des programmes de travail formels détaillant
les procédures, techniques et travaux à déployer, et permettant de documenter les travaux effectués
n’étaient pas toujours présents dans les dossiers. La DAG a répondu à ce point avec l’utilisation plus
systématique du PDM avec la mention, par sous-thème de la mission, de l’auditeur responsable, des
résultats des tests, des problèmes rencontrés et de l’indexation aux FRAPs du rapport.
64
c) Programme de la mission-intégration de l’analyse des risques
Le point relatif à l’examen préliminaire des risques et le plan de mission y afférent est ressorti
tout au long des différents audits de certification. En effet, le planning memo ne mettait pas toujours
en évidence une analyse préalable des risques attachés à l’activité auditée (colonne « Risques »
prévue à cet effet). Par ailleurs, les risques ne faisaient pas toujours l’objet d’une évaluation
préalable formelle en vue de les hiérarchiser et d’en dégager les priorités pour les thèmes à traiter.
La DAG a dans ce cadre mis en place plusieurs solutions pour améliorer ce point notamment la
sensibilisation des auditeurs sur la nécessité de remplir la colonne « Risques » du Planning memo et
intégration d’une colonne « Risques », également sur le PDM. En outre, la DAG a veillé à attirer
l’attention des auditeurs et des managers sur l’importance de l’évaluation préliminaire des risques,
pour donner la priorité aux aspects porteurs des plus grands risques dans le programme de travail
mais aussi d’identifier les sujets moins prioritaires. En outre, pour les missions « standards », la DAG
veille dorénavant à la clarté des commentaires de la grille d’évaluation des risques par processus et
à la corrélation entre risques et priorités.
Par ailleurs, de part les entretiens avec le management, nous avons compris que la
certification a permis l’amélioration, au sein du service d’audit, de l’analyse des risques, mission par
mission, à travers une priorisation des thèmes et une évaluation préliminaire des risques.
d) Débat entre le management audité et l’auditeur i nterne, support de documentation
L’audit de certification a mis en évidence le manque de documentation des points de
rencontre réalisés en cours de mission entre l’audit interne et le management audité. Pour les
auditeurs certificateurs, il n’était pas nécessaire que cette documentation présente le contenu des
échanges mais qu’elle retrace l’ensemble des points de rencontre (quand, avec qui, thème
abordé,…). Dans ce cadre, la DAG a mis en place un document type, le « planning des rendez-
vous», listant les contacts entre le management audité et les auditeurs et permettant d’en conserver
une preuve.
65
e) Communication des délais entre les résultats et la diffusion
En 2005, les auditeurs certificateurs ont préconisé l’amélioration du délai de communication
des résultats (rapport final) même si les résultats des missions sont communiqués rapidement par
les auditeurs internes (lors de la réunion de clôture qui intervient le dernier jour de la mission et dans
le cadre du draft du rapport et de la synthèse). En effet, ils ont estimé qu’on doit considérer qu’il y a
réellement accord des audités sur les recommandations une fois le rapport final accepté. L’émission
de ce rapport final est donc une étape critique dans le déroulement de la mission. A cet effet, le délai
d’émission des rapports d’audit est un indicateur de suivi dans le tableau de bord de la DAG et cette
dernière a mis en place un outil de gestion de suivi des missions.
f) Plan d’audit basé sur les risques
Si la première certification de la DAG s’est beaucoup attardée sur des questions de forme, les
deux certifications de renouvellement se sont attelées sur le fond notamment sur le volet plan d’audit
basé sur les risques. Les auditeurs certificateurs ont mis en avant la variété des sources utilisées par
l’audit groupe dans le cadre de l’élaboration du plan d’audit. Cependant, ils ont préconisé le
renforcement de la documentation du plan d’audit. Ce point soulevé par les auditeurs certificateurs
faisait partie des préoccupations de la DAG que la certification a donc permis de mettre en relief. De
ce fait, une cartographie des risques majeurs du Groupe et des dispositifs de maîtrise des risques
associés était en cours de réalisation à la demande du Comité Risques Groupe.
Nous comprenons que la certification a permis d’amorcer ou de renforcer des éléments des
exigences de prestations du RPAI au sein de la DAG. Il convient d’analyser les évolutions liées aux
exigences de pilotage.
66
II. Les exigences de pilotage
a) Matérialisation de la supervision des missions
Les auditeurs certificateurs lors de la certification de 2005 avaient mis en avant l’absence sur
certains dossiers, de marques de supervision visant notamment à s’assurer de l’objectivité des
conclusions de l’audit. De ce fait, la DAG a mis en place un document standard intitulé « Liste des
contacts managers/auditeurs » et qui doit matérialiser la date, la nature du contact (téléphonique, e-
mail,…) et les commentaires principaux de chaque contact. Par ailleurs, la signature systématique
par le manager du planning memo et du PDM a été initiée.
Au-delà des évolutions identifiées suite aux différents rapports de certification, il ressort aussi
des entretiens avec le management de l’audit que la certification a facilité et renforcé la formalisation
de la supervision des missions.
b) Programme d’assurance et d’amélioration continue /contrôle périodique
Le Plan d’Assurance et d’Amélioration Qualité que doit mettre en place toute direction d’audit
interne comprend des évaluations externes et des évaluations internes. Parmi celles-ci figurent des
contrôles continus (supervision, mesure d’indicateurs de performance, plan d’action,…) et des
contrôles périodiques. Les auditeurs certificateurs avaient identifié en 2005 que ces derniers
n’étaient pas réalisés par la DAG. Dans ce cadre, la DAG a mis en place une auto-évaluation
annuelle du service d’audit par des auditeurs de l’audit Groupe. Cette auto-évaluation donne lieu à
des recommandations de la part des auditeurs et à des plans d’action dirigés par le manager
méthodes. Par ailleurs, la surveillance continue est assurée par un tableau de bord récapitulant des
indicateurs de suivi de l’activité d’audit. En outre, au-delà du manuel d’audit, un ensemble de
procédures étaient en cours de rédaction en 2011 pour baliser l’activité. D’autre part, le coordinateur
des méthodes a préconisé la réalisation de tests ponctuels sur les dossiers de mission.
En outre, dans le cadre de mon stage à la DAG, à la demande du coordinateur des
méthodes, nous avons proposé un exemple tableau de bord de suivi des indicateurs de performance
présenté en Annexes 4 P.96-98.
67
c) Archivage de dossiers
Les auditeurs certificateurs ont mis en exergue un point sur le respect des règles d’archivage,
et préconiser la détermination d’une liste de documents qui devait impérativement être conservée. Ils
ont par ailleurs estimé que le suivi de la sortie des archives devait être amélioré. La DAG a mis en
place la rédaction d’une procédure d’archivage en accord avec la direction juridique.
d) Information périodique sur le suivi des recomman dations
Les auditeurs certificateurs ont estimé que les reportings réguliers faits par la DAG au Comex
et au Comité d’audit (Etat du contrôle interne) doivent inclure différents éléments tels que par
exemple des informations sur le suivi des recommandations (taux d’acceptation et de mise en œuvre
des recommandations, statistiques sur le degré d’avancement des plans d’actions, les missions
ayant donné lieu à des recommandations jugées prioritaires et le degré d’avancement des plans
d’actions correspondants. La DAG a mis en place un tableau de bord de suivi des recommandations.
Par ailleurs, la DAG a rappelé aux secteurs l’importance pour les recommandations les plus
importantes, de recueillir, auprès des audités ou des entités des Branches chargées de l’animation
du contrôle interne, des éléments concrets sur les modalités de mise en œuvre des plans d’action
lors des Comités de Suivi, notamment pour en prononcer la clôture.
Nous avons en outre compris, de part les entretiens avec le management, que la certification
a permis un meilleur suivi des recommandations.
En définitive, la certification a permis des améliorations au sein de la DAG notamment sur les
exigences de pilotage du RPAI. Elle a aussi permis à la DAG de réfléchir sur des points liés aux
exigences de moyens du RPAI.
68
III. Les exigences de moyens
a) Charte d’audit interne
Les auditeurs certificateurs tout au long des différents audits de certification ont estimé que la
charte d’audit interne n’était pas complète. Bien que ce point étant très formel, il a permis à la DAG
d’engager une réflexion sur son contenu tout en restant en accord avec les règles du Groupe. Par
ailleurs les entretiens avec le management étayent ce point comme le démontre cette verbatim à la
question posée sur les évolutions de la certification dans le service d’audit interne« […] faire un peu
d’ordre et mettre à plat les processus internes qu’on pourrait être tenté de mettre de côté si on n’était
pas contraint de le faire.»
b) Code de Déontologie- engagement formel
L’audit de certification montre que différents documents reprennent les valeurs et principes
constitutifs du Code de déontologie de l’Audit Interne ; cependant, il n’y a pas d’engagement formel
des auditeurs internes à les respecter. Bien que ce point soit très formel comme la charte d’audit, il a
permis à la DAG d’y réfléchir et ainsi de faire signer par chaque auditeur, lors de son arrivée à l’audit,
l’engagement de progrès qui fait référence aux valeurs de la DAG.
c) Règles et procédures-harmonisation des dossiers de travail
L’un des constats de la certification 2005 a été une certaine hétérogénéité dans la forme des
dossiers susceptible de gêner la supervision des missions. Les auditeurs certificateurs ont estimé
qu’une des raisons de cette hétérogénéité était l’insuffisance de modèles de documents permettant
de guider les auditeurs. La DAG a mis en place un ensemble de modèles de documents et une
refonte de procédures a été engagée en 2011.
La certification de la DAG a permis sur les trois volets du RPAI d’amorcer ou de renforcer
différents points. Il est intéressant d’appréhender l’avis du management de l’audit Groupe sur
l’évolution du service suite aux différents audits de certification.
69
IV. Les évolutions de l’audit Groupe vues par le management de la DAG
Nous avons vu précédemment différentes évolutions de la DAG suite aux audits de
certification et de suivi. Il est intéressant d’analyser l’avis du management de l’audit Groupe de 2011.
A cet effet, nous allons résumer en deux volets les réponses à l’une des questions qui leur a été
posée qui est la suivante : Suite aux différents audits de certification, avez-vous constaté des
évolutions dans le département d’audit ? Si oui , sur quelles composantes ?
a) Un réel apport de formalisme nécessaire à la tra çabilité
Lors des entretiens avec le management de la DAG, plusieurs réflexions ont été émises sur
les évolutions de la DAG suite aux différents audits de certification. Ces dernières se rejoignent pour
la plupart. Cependant, étant donner que le management de l’audit peut être souvent renouvelé,
toutes les personnes interviewées ont en moyenne assisté à un audit de certification et à deux audits
de suivi. Les évolutions formulées sont recensées ci-dessous.
La certification a participé au sein de la DAG à une documentation et une formalisation plus
pertinentes et une approche plus systématique et professionnelle. Ceci se matérialise par une
systématisation du PDM, une meilleure formalisation du planning mémo. Par ailleurs, le fait que la
certification demande plus de formalisme (lien entre risques et programme de travail), a favorisé une
meilleure formalisation au sein de l’audit. De ce fait, la traçabilité de la démarche d’audit, du planning
mémo (préparation) jusqu’à la FRAP et le suivi des plans d’action suite à la mission, a facilité la
supervision des managers et la rédaction des rapports. La certification a donc donné plus d’exigence
sur ce point. En outre, elle a donné des éléments pour un meilleur reporting concernant le suivi des
recommandations au COMEX.
Nous pouvons en outre noter un effort de documentation des référentiels et des procédures.
En effet, la certification a permis de faire un peu d’ordre et mettre à plat les processus internes que la
DAG pourrait être tentée de mettre de côté si elle n’était pas contrainte de le faire dans le cadre de
la certification.
70
Pour finir, la mise en place et l'utilisation de l’outil OASIS entre la certification 2008 et 2011
notamment en 2009 a été impulsée par la certification IFACI 2008. En effet, au-delà de la demande
forte des auditeurs pour la mise en place d’une base de données, la certification a aussi dans ce
cadre servi de catalyseur. Cette base de données a facilité la traçabilité des travaux d’audit tels que
l’ approbation du planning mémo, la date de validation des travaux d’audit en fin de mission, le suivi
par le département méthodes du bon déroulement de la mission et des bonnes pratiques, etc.
b) Sur le fond : une meilleure prise en compte du r isque
Les éléments qui ressortent des entretiens avec le management concerne principalement
l’aspect prise en compte des risques tant au niveau du plan d’audit qu’au niveau de chaque mission.
Ceci est en parfaite corrélation avec le COSO 2 basé sur la gestion des risques. Nous avons dans ce
cadre compris que la certification a permis au sein de la DAG une évolution au niveau des aspects
risque. Elle a servi de facilitateur pour vulgariser les éléments utiles tels qu’une meilleure
structuration des risques dans les missions d’audit, le renforcement de l’aspect analyse des risques
avant la mission et hiérarchisation de ces derniers, une analyse des risques au niveau global plutôt
que par branche. Dans ce cadre, elle a mis l’accent sur l’analyse des risques mission par mission
(priorisation des thèmes, évaluation préliminaire des risques et priorisation des thèmes des
missions).
71
La certification a permis par ailleurs de mettre en relief la liaison entre l’analyse des risques et
la construction du plan d’audit avec prise en compte des risques majeurs via le choix des
thématiques et une meilleure documentation du plan d’audit. Elle a servi d’aiguillon et a initié
beaucoup de discussions au niveau du management, notamment sur les missions transversales :
définition des thèmes de missions transversales (préparation et conduite), le renforcement du suivi
des plans d’actions suite aux missions et surtout la prise en compte de la dimension risque dans la
construction du plan d’audit et la définition des thèmes prioritaires pour les missions individuelles. En
effet, dans le cadre de la certification 2011, une évolution significative a eu lieu quant à la préparation
du plan d’audit 2012. A partir de Septembre 2011, une réflexion devait être menée pour une
meilleure documentation du plan d’audit 2012. Bien que la DAG, au-delà de la certification, fût déjà
consciente de ce point, la certification a servi de catalyseur et d’aide à la réflexion. En effet, en
donnant plus de force et obligeant l’ensemble des personnes de l’audit à considérer ces points pour
les faire avancer, la certification a donné l’impulsion sur ces différents sujets (la préparation du plan
d’audit importante pour la prise en compte des risques majeurs, sa meilleure construction, une vision
pluriannuelle du plan pour couvrir progressivement tout le panorama des risques). La DAG a pu donc
prendre appui sur un avis extérieur pour travailler et mettre tout le monde au même niveau de
sensibilité au regard de la gestion des risques.
Nous pouvons dire en définitive que la certification a permis de générer une véritable
réflexion au sein de la DAG sur le suivi des plans d’actions pour les rendre plus efficace.
La certification de la DAG a engendré des évolutions au sein de la DAG tant au niveau la
formalisation que de la structuration de la démarche. Il est dorénavant intéressant de s’interroger sur
le rôle que peut avoir la certification en termes d’apprentissage des équipes.
72
Section B : le rôle de la certification en termes d ’apprentissage des
équipes
La certification d’entreprise en générale et d’un service d’audit interne en particulier présente
des avantages significatifs comme nous l’avons précisé dans la première partie. En effet, nous avons
mentionné qu’une des motivations internes qui pousse les entreprises à se certifier est l’implication
des équipes autour d’un projet commun. Cette implication, source d’émulation, peut conduire à un
apprentissage organisationnel. En effet, l’un des apports les plus importants de la mise en place des
SMQ et leurs certifications réside dans l’impact du processus de rédaction des documents qualité sur
la dynamique de l’apprentissage organisationnel (Rolland, 2009). La certification IFACI entrant
pleinement dans le cadre du programme d’assurance et d’amélioration qualité, a permis au sein de la
DAG une refonte des procédures (mise à jour du manuel d’audit et de modèle de documents,
rédaction de nouvelles procédures) mais aussi à des séances de communication vis-à-vis du
management et des auditeurs.
I. Refonte des procédures au sein de la DAG
a) Mise à jour et rédaction des procédures.
La préparation du renouvellement de la certification IFACI en 2011 au sein de la DAG a
donné lieu à une mise à jour du manuel d’audit et à la rédaction de nouvelles procédures. Le
coordinateur méthodes a procédé à la rédaction d’un corps de procédures pour encore faciliter et
améliorer la documentation des travaux d’audit au sein de la DAG. Ces différentes procédures ont
été soumises au management avant approbation pour tenir compte de leurs différentes attentes et
pour que ces procédures soient les plus opérationnelles possibles. Par ailleurs, suite au
renouvellement de la certification 2011, des modèles de documents telles que la lettre d’annonce ou
encore la réunion d’ouverture ont été mis à jour.
73
b) Formalisation du PAAQ
Le renouvellement de la certification 2011 a donné lieu à une formalisation plus concrète du
programme d’assurance et d’amélioration qualité de la DAG. En effet, suite aux recommandations
des auditeurs certificateurs depuis la certification 2005, la DAG a mis en place des missions d’auto-
évaluation annuelles de la DAG conformément au RPAI. Par ailleurs, la DAG a aussi mis en place
des tableaux de bord de suivi d’indicateurs de performance KPI. Ces deux éléments font partie
respectivement des évaluations internes et de la surveillance continue au sein de la DAG.
Les missions d’auto-évaluation permettent chaque année de voir la position du service par
rapport au RPAI. Ces dernières donnent lieu à la mise en place d’actions correctives. Le fait pour la
DAG de s’auto-évaluer chaque année permet de garder le service au fait des Normes
professionnelles de l’audit interne et est aussi l’occasion de diffuser les Normes au sein du service
d’audit.
Le tableau de bord de suivi d’indicateurs de performance de l’audit permet de piloter l’activité
en intégrant les notions d’efficacité et d’efficience du service d’audit interne. Dans le cadre de notre
stage à la DAG, nous étions chargés de proposer de nouveaux indicateurs de performance toujours
dans une logique de surveillance continue du service d’audit interne.
Par ailleurs, les audits de certification et de suivi au sein de la DAG donne lieu soit à des
Non-conformités Majeures, soit à de Non-conformité mineures ou encore à des remarques et
observations de la part des auditeurs certificateurs. Au-delà de ces points, ces derniers donnent au
service d’audit des axes d’améliorations mais aussi des bonnes pratiques issues de la profession.
Les audits de suivi sont aussi l’occasion d’informer le service sur l’actualisation des Normes
professionnelles (nouveaux points ou interprétation). De ce fait, la DAG en plus d’être au fait du
cadre de référence de la pratique professionnelle, peut se comparer à un benchmark théorique et
ainsi mettre en œuvre des plans d’actions efficaces pour l’amélioration des pratiques de travail.
Tous les éléments cités plus haut participent de façon concrète à l’apprentissage des équipes
tant au niveau des Normes que des meilleures pratiques de la profession.
74
II. Session d’informations suite à la mission d’auto-évaluation
a) Séance d’informations vis-à-vis du management
Suite à la mission d’auto-évaluation 2011 dont les recommandations ont été restituées au
directeur de l’audit, aux directeurs sectoriels et au coordinateur méthodes, des plans d’actions ont
été établis. Ces derniers ont donné lieu à des sessions d’information tant au niveau du management
(managers des missions d’audit) que des auditeurs. Ces sessions d’information étaient l’occasion de
rappeler les Normes de l’audit interne, de discuter des constats et des recommandations des
auditeurs et surtout de renforcer et diffuser les plans d’actions pour les rendre plus opérationnels.
Par ailleurs, suite à l’audit de renouvellement de certification, des réunions de débriefing ont
été organisées pour informer le management sur les constats, les recommandations et les axes
d’amélioration préconisés par les auditeurs certificateurs. Ces derniers ont donné lieu à des
discussions au sein du management et à la mise en place de plans d’actions pour répondre au mieux
aux auditeurs de l’IFACI.
b) Séance d’informations vis-à-vis des auditeurs
Dans le cadre de la préparation de l’audit de certification, des sessions d’information ont été
organisées pour les auditeurs pour leur rappeler les Normes, leur présenter le RPAI mais aussi pour
les constats et les plans d’actions résultant de la mission d’auto-évaluation. Ces échanges avec les
auditeurs ont permis de recueillir leurs avis mais aussi les mettre au fait de la certification à venir.
Une des remontées de ces différentes réunions a été une meilleure prise en compte des retours
d’expérience des auditeurs sur le terrain mais aussi des bonnes pratiques développées par ces
derniers lors de leurs différentes missions.
La certification IFACI joue ainsi un rôle d’aiguillon et de catalyseur au sein d’un service d’audit
interne tant au niveau de la structuration et de la formalisation de la démarche qu’en termes
d’apprentissage des équipes. Nous allons analyser dans le chapitre 2 la perception de la certification
par le management d’un service d’audit interne et aboutir à une grille d’apports de la certification
dans un SAI.
75
Chapitre 2: Synthèse et grille d’analyse
De l’exigence des Normes à la crédibilité du SAI, nous avons compris que plusieurs raisons
poussent les entreprises notamment leur service d’audit interne à se certifier. Nous avons aussi vu
pourquoi certains SAI choisissaient de se faire certifier IFACI et entrevu les processus rattachés à la
démarche de certification : la mission d’auto-évaluation , l’audit de certification et les audits de suivi.
Il est maintenant intéressant de s’interroger sur la perception de la certification vue par les
membres de la DAG de Total. En effet, nous avons réalisé une synthèse de ces entretiens semi-
directifs à partir du guide d’entretien10.
Les réponses à ces questions en plus des éléments de la littérature ont permis d’aboutir à
une synthèse et grille11d’analyse des apports de la certification tant pour la direction générale, le
comité d’audit, l’audit interne ou encore les audités. Il est aussi important que nous puissions croiser
les résultats de notre étude pour finalement mettre en avant les enjeux de la certification. Est-ce que
finalement une entreprise peut s’engager dans une démarche de certification, même si dans un
premier temps, elle raisonne souvent en termes de coût de la certification ?
10Voir guide d’entretien Annexes 2 P.94 11 Voir Grille d’apports Annexes 1 P.93
76
Section A : Des sentiments partagés
I. Perception de la certification par la DAG
La perception de la certification est assez variable au sein des membres de la DAG.
Cependant une constance revient notamment sur la différence d’enjeux entre les audits de suivi et
de renouvellement d’une part mais aussi la différence entre l’audit de certification 2005 et les audits
de renouvellement 2008 et 2011 d’autre part. Entre 2005 et 2011 les questions sont montées en
niveau, on est notamment passé des questions de forme à des questions de fond. Entre 2005 et
2008, les recommandations étaient plus axées sur la forme. En effet, la certification 2005 et les
audits de suivi 2006, 2007 ont fait plus ressortir des problématiques liées à la traçabilité par exemple
sur la formalisation d’échanges entre auditeurs et managers. De l’avis de certain, cela a desservi au
début l’image de la certification au sein de l’équipe. On avait l’impression que le fond du travail n’était
pas mis en avant. La façon dont l’IFACI a présenté les recommandations à l’époque a engendré le
fait que la certification a été prise comme un exercice formel. De l’avis d’autres, le fait que l’IFACI
questionne l’Audit Groupe sur la traçabilité a été un moyen de pousser le sujet en interne.
L’audit de renouvellement 2011, par contre, a fait ressortir des questions pertinentes sur le
fond, notamment sur le positionnement de l’audit dans le groupe ainsi que le suivi et la mise en
œuvre des recommandations. En effet, beaucoup soulignent la bonne qualité de l’interview, de la
restitution des travaux mais aussi des constats qui incitaient à la réflexion. L’audit répondait bien à
une préoccupation de démarche qualité et stimulait la réflexion. Beaucoup de challenge de la part
des auditeurs sur le management des risques et les questions de gouvernance. Les échanges ont
été intéressants du fait de la transparence des interviewés. Par ailleurs, beaucoup estiment que
l’audit 2011 a été de meilleure qualité, positionné à un niveau utile pour l’audit interne tant sur les
vrais enjeux que sur une bonne démarche d’audit et d’analyse de risques. En effet, la certification a
touché des vraies questions. L’équipe a traité des points fondamentaux notamment concernant la
préparation du plan d’audit basé sur les risques. Nous comprenons qu’il ya eu une évolution des
recommandations des auditeurs certificateurs passant du volet « assurance » au volet
« risques ». Le volet « assurance » est caractérisé par des recommandations de forme par exemple
la traçabilité et le volet « risques » caractérisés par des recommandations de fond tel le suivi des
recommandations. Ceci peut s’expliquer de l’avis de certains pas le passage du COSO 1 au COSO 2
plus marqué sur la gestion des risques.
77
II. Points forts de la démarche de certification vus par la DAG
Les points forts identifiés de la démarche de certification sont de quatre ordres : benchmark
par rapport au RPAI, assurance du niveau de la qualité de travail, accompagnement du service
d’audit, le côté triennal de la certification.
a) Benchmark
De l’avis de certains, il est nécessaire de connaître le positionnement de l’audit par rapport
aux Normes ainsi que les points de fragilité du dispositif présent. Le benchmark avec le référentiel
contribue à la réflexion de la DAG. De l’avis d’autres, l’apport de la certification IFACI est de servir
d’aiguillon pour les bonnes pratiques professionnelles et mettre ainsi la DAG en position d’une
réflexion collective pour améliorer ses pratiques et contribuer au métier de l’audit. Elle permet de
disposer d’un regard extérieur et de regarder la pertinence de ce que le service fait par rapport à ce
qui peut être fait ailleurs. En effet, le service doit vérifier qu’il reste « update », en phase avec les
évolutions extérieures et être au courant de ce qui se passe ailleurs. Il est donc nécessaire pour le
SAI de toujours avoir un élément de comparaison pour s’améliorer.
b) Assurance de la qualité de travail
La certification donne une bonne assurance sur le niveau de la qualité de travail au sein de
la DAG. Dans ce cadre, le plan d’assurance et d’amélioration qualité est une réflexion continue sur
les travaux de la DAG. La certification a par ailleurs incité à mettre en place des processus plus
précis dans la documentation des travaux notamment le PDM qui est sous produit de la première
certification.
La certification est donc une bonne démarche qui permet la couverture de plusieurs sujets.
Elle renforce l’approche, la structuration et la démarche au sein de la DAG et permet d’avoir une
vision plus globale de voir les choses. Elle sert de catalyseur pour l’organisation de l’audit qui se
l’approprie et s’engage vis-à-vis des sujets et participe à vision commune au sein du département.
78
c) Accompagnement du service d’audit
De l’avis de certains, la certification aide surtout à faire progresser les entreprises. La
certification IFACI permet aussi aux services d’audit d’évoluer, de trouver le moyen de continuer
d’interpeller. Le but de la certification est de faire évoluer les services d’audit. La certification IFACI
est une démarche pédagogique plus adaptée sur des contextes comme celui de la DAG. C’est aussi
un moyen pour la DAG de faire valoir un certain nombre de sujets à l’intérieur de la maison. La
demande de l’IFACI qui s’appuie sur la règlementation donne du poids à l’Audit vis-à-vis de la
maison. La certification c’est un moyen d’animer un service. En effet, la peur du gendarme amène
des idées nouvelles et la façon de se positionner sur ces sujets.
d) Côté triennal de la certification
Le fait que la certification se renouvelle tous les trois ans permet de mettre tout le monde en
ordre de bataille régulièrement. C’est une démarche récurrente avec une bonne périodicité. Elle
oblige tous les acteurs (de l’auditeur au management) à consolider les acquis et essayer de
s’améliorer dans le domaine.
III. Axes D’amélioration de la certification vus par la DAG
a) Moins de forme plus de fond
De l’avis de certains, même si l’audit de certification doit s’attacher aux choses pratiques,
pour qu’une équipe d’audit adhère bien à l’enjeu, il ne faudrait pas que ce ne soit que de la forme. En
effet, l’aspect formel était prédominant lors des audits de 2005, 2006, 2007. Les recommandations
pouvaient être souvent purement formelles plus sur des principes. Par ailleurs, en termes de conseil
en matière de contrôle interne, il est difficile de voir l’apport concret de la certification IFACI
notamment sur la problématique quelle est la bonne pratique de contrôle interne à mettre en place
par rapport à la thématique considérée par exemple sur les activités de marché.
79
b) Participation de tous les acteurs
La certification est souvent un moyen de rassembler tous les acteurs autour d’un enjeu
commun. Cependant, le fait pour certains que les auditeurs n’aient pas été interviewés par les
auditeurs certificateurs lors de l’audit de renouvellement de 2011 reste une limite ; ces derniers étant
le baromètre de l’audit sur le terrain. D’autres estiment qu’il n y a pas particulièrement de limites.
Cependant, il est bon que les auditeurs aillent questionner les parties prenantes de l’audit en direct.
En effet, ils trouvent que la notion de conformité aux normes n’inclut pas forcément la satisfaction et
l’écoute des parties prenantes notamment des audités. Dans ce cadre, à chaque audit de
certification, il est important de noter que les auditeurs certificateurs interrogent un panel de parties
prenantes par exemple les membres du comité d’audit ou du COMEX. En effet, les auditeurs
certificateurs ont interviewé en 2005 le président du comité d’audit, le directeur général Raffinage &
Marketing membre du COMEX et quatre managers d’entités audités, en 2008, le secrétaire général
du COMEX et cinq managers d’entités audités et enfin en 2011, le directeur financier et la directrice
du développement durable et de l’environnement.
c) La question de l’indépendance posée
Est-ce qu’on peut auditer en parfaite indépendance les personnes qui te permettent de
vivre ? Même si il n y a pas de relation de dépendance entre les auditeurs certificateurs et
l’entreprise auditée, la question reste posée sur l’indépendance du certificateur étant donné que
l’entreprise certifiée est très impliquée dans les activités de l’organisme certificateur. En effet,
l’organisme audite ses propres membres. Cette problématique pourrait être mise en exergue avec
celle liée aux commissaires aux comptes qui sont payés par l’entreprise dont ils doivent certifier les
comptes. La démarche de cet organisme est-elle certifiée et par qui?
80
IV. Perception de la certification par les parties prenantes de l’audit : point de vue de la DAG
N’ayant pas pu interroger les parties prenantes de l’audit en direct, nous avons posé la
question au management de la DAG sur la perception de la certification par les parties prenantes de
l’audit. Il est important de noter que ces avis sont à relativiser étant donné que la question n’a pas
été directement posée aux concernés. Il s’agit ici de donner le sentiment de la DAG sur la perception
de la certification par les parties prenantes de l’audit.
a) Pour le COMEX et le comité d’audit
Pour le COMEX et le Comité d’audit, le fait de savoir que l’activité est certifiée leur donne
une plus grande assurance sur les travaux réalisés au sein de la DAG.
b) Pour les audités
Pour l’avis de beaucoup, il n’y a pas de retour particulier des audités sur la certification de
l’audit Groupe. En effet, la communication sur la certification de l’audit Groupe se fait principalement
par une très brève présentation en réunion d’ouverture. Pour certains, la certification se révèle être
utile pour les audités car elle leur permet de montrer aux audités que l’audit aussi peut être audité.
La certification est un gage de sérieux et de crédibilité. Elle rend l’audit plus sympathique et permet
de communiquer sur l’audit. Dans ce cadre l’audit n’est pas juge des audités sans lui même être
jaugé par un organisme professionnel. Pour d’autres, on survalorise la certification vis-à-vis des
audités. Ce n’est pas tant que çà une attente ou encore un enjeu pour les audités. (Si l’audit ne
l’avait pas ce ne serait pas forcément négatif vis-à-vis des audités). Ce qui compte pour l’audité est
que les auditeurs trouvent les failles qu’ils n’ont pas vu et leur donnent des solutions qu’ils trouvent
utiles. Pour d’autres, les audités ont une perception limitée de la certification. De ce fait, deux
hypothèses peuvent être évoqués : soit ils n’en n’ont rien à faire ; soit l’audit groupe communique mal
sur la certification. Par ailleurs, les audités sont pris par un tas de certifications. Aujourd’hui on est
dans un environnement de certification. C’est l’environnement normal pour eux que l’audit soit
certifié. Dans le meilleur des cas, c’est la normalité.
81
Pour d’autres encore ce n’est pas facile à évaluer objectivement. En effet, L’IFACI c’est
français, et on audite beaucoup d’activités à l’extérieur. La valeur ajoutée de l’audit c’est la manière
d’auditer, d’échanger à travers ce que l’audit propose. La certification impacte donc indirectement
l’audité en renforçant nos valeurs vis-à-vis de lui.
Nous comprenons de part cette section que la certification évoque des sentiments partagés
au sein de la DAG. Il est intéressant d’analyser concrètement l’apport de la certification dans un
service d’audit interne tant au niveau de la direction (COMEX, Comité d’audit) qu’au niveau du
management audité.
82
Section B : Les apports de la certification
Nous avons tout au long de ce mémoire exploré les motivations qui peuvent pousser les
entreprises notamment leur service d’audit interne à se certifier. Nous avons aussi pu entrevoir les
évolutions d’une DAG suite à la certification. Il est intéressant de pousser la réflexion et ainsi
proposer une grille d’analyse des apports de la certification. Cette grille peut être présentée sous
deux volets : le premier étant les apports de la certification pour l’Audit Interne et ses parties
prenantes (Direction, Comité d’audit, management audité), le deuxième étant les apports internes et
externes de la certification12.
I. Les apports de la certification pour la Direction
a) Certification et confort sur la qualité su SAI
Les directions générales, les comités exécutifs et les comités d’audit ont beaucoup d’attente
vis-à-vis du service d’audit interne. Ces derniers souhaitent recevoir une assurance sur la conformité
du fonctionnement des différentes entités aux Normes de leur organisation mais aussi aux lois et au
règlement. Dans ce cadre, ils veulent être alertés en cas de survenance d’un problème ou point
sensible et être informés sur l’ensemble des risques de l’entreprise. L’apport de la certification ici est
de pérenniser la qualité, le service et le positionnement du service d’audit interne au sein de
l’organisation. Elle donne ainsi aux organes dirigeantes et de gouvernance un confort
supplémentaire par un organisme certificateur extérieur à l’entreprise que les missions audit sont
réalisées conformément à un référentiel professionnel issu des Normes internationales d’audit
interne. Par ailleurs, elle atteste de la capacité de l’audit interne à jouer son rôle en matière de
contrôle, de management des risques et de gouvernement d’entreprises de façon efficiente et
efficace.
12 Voir Grille Annexe 1 P.93
83
b) Certification et crédibilité du SAI
Comme nous l’avons vu plus haut, un des apports de la certification pour l’entreprise en
général est de renforcer sa crédibilité vis-à-vis de ses partenaires clients, fournisseurs, etc. Ceci se
traduit par un organisme certificateur indépendant atteste que le produit ou le service est conforme à
une Norme reconnue internationalement. Il en est de même pour la certification d’un SAI qui permet
de renforcer le poids et la crédibilité du service d’audit interne vis-à-vis de ces parties prenantes au
sein de l’organisation. Une direction d’audit interne certifiée est donc gage de son professionnalisme
et l’assurance, sur lesquels le président pourra s’appuyer pour rédiger son rapport sur le contrôle
interne.
II. Les apports de la certification pour l’Audit Interne
a) Certification et amélioration des méthodes de tr avail
Comme nous l’avons vu plus haut, l’une des motivations pour une entreprise de se certifier
est l’amélioration de ses dispositifs internes. L’un des apports forts de la certification est donc
l’amélioration des méthodes de travail (plus de rigueur, de traçabilité, etc.) au sein du SAI. En effet,
la certification oblige à connaître et maîtriser des règles professionnelles mais aussi à mettre à jour
les procédures au sein du SAI. Grâce à la certification, le SAI met en place ou renforce son
programme d’assurance et d’amélioration qualité qui aide à mieux structurer la démarche d’audit
interne tout en intégrant le management des risques. Les audits de certification sont donc l’occasion
pour la SAI de remettre à plat les pratiques et méthodes de travail dans un objectif d’amélioration
continue.
84
b) Certification et diffusion des meilleures pratiq ues de la profession
Une valeur ajoutée de la certification est que cette dernière permet de capter les meilleures
pratiques de la profession. En effet, les auditeurs certificateurs de part leur expérience et leurs audits
de certification dans différentes organisation ont accès aux bonnes pratiques de la profession d’audit
interne. Ainsi, à travers leurs recommandations et leurs propositions d’axes d’amélioration, ils
participent à la diffusion de ces bonnes pratiques au sein du SAI. Par ailleurs, l’audit de certification
permet au SAI de se comparer aux autres services d’audit interne mais aussi se mesurer à un
benchmark théorique actualisé : le RPAI.
c) Certification, aiguillon pour le SAI
Un des apports internes de la certification est de servir d’aiguillon au sein de le SAI. En effet,
la certification pousse le SAI à se poser les bonnes questions et ainsi engager ou renforcer la
réflexion sur différents sujets tels que l’analyse des risques, la prise en compte des risques majeurs
dans l’établissement du plan d’audit, la mise à jour des procédures, le tableau de bord d’indicateurs
de performance de l’activité d’audit , la remise à plat des démarches de progrès, etc. La certification
joue donc un rôle de catalyseur dans le SAI pour mettre des sujets sur la table et les faire évoluer et
participe ainsi à maintenir le service sous tension sur les dits sujets. Elle pousse le SAI à se mettre
des échéances, à évoluer par pallier, à se mettre des priorités d’actions.
d) Certification et communication avec les parties prenantes
La certification peut servir d’outil de communication avec les différentes parties prenantes de
l’audit (Direction, comité d’audit, audités). Dans ce cadre, elle permet de renforcer l’image de l’Audit
du Groupe vis -à-vis des organes dirigeants, des instances de gouvernance mais aussi des audités.
Par ailleurs, les auditeurs certificateurs incluent dans le rapport de certification les points saillants
issus des comptes rendus des interviews des parties prenantes. Ces derniers permettent aussi pour
l’audit interne d’avoir une idée des attentes et des besoins de ces dernières.
85
e) Certification et mobilisation des équipes autour d’un projet commun
Une des motivations internes de la certification que nous avons analysées plus haut est
l’implication des équipes autour d’un projet commun. Cette démarche permet donc de mobiliser les
équipes dans une optique de consolider les pratiques. Par ailleurs, elle permet de sensibiliser les
équipes sur différents sujets à partir des sessions d’information ou encore de la mise à jour des
procédures suite aux missions d’auto-évaluation, aux audits de certification et aux audits de suivi.
f) Certification et conformité aux Normes
La certification permet aussi au SAI de rester en Conformité et à jour avec les Normes
professionnelles. En effet, chaque audit de suivi ou de renouvellement de certification est l’occasion
pour les auditeurs certificateurs d’informer le SAI sur la mise à jour du RPAI d’une part et de
redescendre ses trente exigences d’autre part.
III. Les apports de la certification pour le management audité
a) Certification et confort sur la conduite des mi ssions d’audit
Un des apports de la certification pour le management audité est de lui donner une certaine
assurance que la démarche méthodologique censée être utilisée par les auditeurs sur le terrain est le
reflet d’une Norme professionnelle reconnue internationalement. En effet, l’audité attend de l’audit
interne une valeur ajoutée notamment à travers la détection de failles dans le dispositif de contrôle
interne et la préconisation des recommandations pour les résorber. L’audit interne doit donc à travers
une analyse appropriée des risques aider les audités à les couvrir. La certification participe à
rassurer l’audité sur la conduite de la mission d’audit conformément à un référentiel international qui
a fait ses preuves.
86
b) Certification et crédibilité du SAI
Comme nous l’avons mentionné pour les organes dirigeants, la certification donne aussi de la
crédibilité au SAI vis-à-vis des audités. Tout ce qui participe à la qualité de l’audit rend le SAI plus
crédible et bénéficie in fine aux audités. Tout vient de l’idée qu’il faut apporter de la crédibilité,
légitimer de telle ou telle manière, la certification est finalement une de ces manières.
87
Conclusion de la troisième partie
Tout les éléments évoqués précédemment, sur les évolutions d’un service d’audit interne
suite à la certification, sur la perception de la certification par le management de ce service, sur les
axes d’amélioration ou encore les apports de la certification, constitue t ils des facteurs incitatifs à la
certification d’un service d’audit interne par un organisme externe ? Derrière la conformité aux
normes, cette certification présente t-elle un intérêt ?
Il est vrai que ce n’est pas un exercice facile de trouver la limite entre ce que le service
d’audit interne aurait été amené à réaliser de lui-même et ce que la certification l’a finalement amené
à accomplir. Ce qu’on peut très certainement dire c’est que la certification a le mérite de conduire le
service à se poser les questions utiles et à ne pas se reposer sur ses acquis. En effet, pour
beaucoup, l’audit de certification est un moyen comme un autre de rester dans le coup, d’être au
courant et de se poser les bonnes questions particulièrement dans cette période où les enjeux sont
évolutifs. La gouvernance, l’analyse des risques sont des sujets en mutation avec un cadre
règlementaire exigeant sur ces thèmes. C’est donc important pour le SAI de rester en alerte sur ces
points. Par ailleurs, la certification sert de catalyseur pour mettre en exergue et renforcer certains
aspects. Servant de force de proposition, elle permet aussi de capter les meilleures pratiques de la
profession en aidant le SAI à se positionner par rapport aux autres du secteur. Au-delà de son rôle
d’impulsion, la préparation de l’audit de certification et l’audit de certification permettent à toute
l’équipe du SAI de travailler ensemble tout en homogénéisant les pratiques du service et en
renforçant l’aspect méthodologique. La certification reste finalement un moyen pour l’audit de
progresser et peut être assimilé à « un gardien du temple » au sein de l’audit d’autant plus que cette
dernière s’appuie sur un référentiel international élaboré par les experts de la profession.
Malgré tout l’intérêt et les différents apports que peut engendrer la certification, il est
important de se poser des questions sur les éventuels freins de la certification : le coût de la
certification est-il accessible pour les SAI ? La certification IFACI n’est-elle pas une démarche lourde
pour un SAI ? La certification devrait elle plus s’axer sur le fond ou plutôt sur la forme ? Le fait qu’à
la dernière certification de la DAG de Total ni les auditeurs, ni le management audité n’ait été
interviewés est-il pertinent ? N y a-t-il pas finalement conflit d’intérêt si le directeur de l’audit du
service certifié est aussi administrateur ou membre du comité de certification de l’IFACI ?
88
La question du coût de la certification n’a pas été un sujet au sein de la DAG de Total. En
effet, la grande majorité des interviewés étaient unanimes sur le fait que le coût n’est en aucun cas
un frein pour la certification de la DAG. Si ce point est vrai à la DAG, il est intéressant de s’intéresser
ci cela reste le cas dans d’autres SAI notamment pour les PME. Nous ne pouvons pas à ce stade
répondre à cette question mais il peut s’avérer pertinent dans le cadre d’autres travaux de voir si le
coût de la certification peut être un frein dans des structures plus petites.
A la question sur la lourdeur de la démarche de la certification IFACI qui est triennale,
l’analyse peut s’engager sur deux fronts. Le premier front peut être résumé par « un gendarme trop
présent » et le second par « le gardien du temple ». En effet, dans le premier cas, le SAI certifié
IFACI voit finalement les auditeurs certificateurs chaque année soit pour l’audit de certification,
l’audit de renouvellement de certification ou l’audit de suivi. Même si l’audit de suivi est moins lourd
puisqu’il permet de s’assurer de la mise en œuvre des plans d’actions concernant les Non
conformités mais aussi de la mise à jour du RPAI ; il est juste de se demander si le SAI a le temps de
prendre de recul et de se retourner. La visite constante des auditeurs certificateurs n’empêche t-il
pas finalement le SAI de mettre en œuvre des plans d’actions profonds plutôt que de petits plans
pour clôturer les non conformités. Dans la seconde optique, la certification permet finalement de
maintenir le SAI sous une constante tension qui lui permet de maintenir le cap et de ne pas se
reposer sur ses acquis. La surveillance continue du service passe finalement par un PAAQ
renouvelé et actualisé. Pour notre part, il s’agira pour le SAI de trouver le juste milieu et de ne pas
se laisser enfermer dans une certification comme un exercice académique mais plutôt d’utiliser à bon
escient ses effets.
89
Comme nous l’avons vu précédemment, le premier audit de certification de la DAG était plus
axé sur la forme et les deux seconds plus sur des enjeux de fond. Alors la certification, enjeu de
fond ou forme ? Deux hypothèses peuvent être apportées à cette question. En effet ; au moment du
premier audit de certification en 2005, le COSO 2 basé sur le management des risques était encore
récent et donc peut appréhender : ceci pourrait expliquer pourquoi les auditeurs certificateurs se sont
principalement basé sur la formalisation et la documentation lors du premier audit. La deuxième
hypothèse s’articule autour de la maturité du service d’audit. En effet, le rôle premier de la
certification est de s’assurer que les méthodes de travail du SAI sont conformes au RPAI. Il est donc
finalement normal que l’homogénéisation des pratiques de travail qui passe par une bonne
structuration et formalisation de la démarche d’audit soit prioritaire. Ensuite lorsque le SAI est
mature sur ce sujet, il est plus opportun d’attaquer les sujets plus de fond notamment sur la prise en
compte des risques tant au niveau du plan d’audit que de l’évaluation préliminaire.
Sur la pertinence de l’interview ou non des auditeurs ou du management audité, la question
n’est pas simple car elle renvoie aussi à une autre question importante : qui sont les vrais clients de
l’audit ? En effet, les auditeurs sont les yeux du SAI sur le terrain et le management audité finalement
« subi » l’audit même si finalement les recommandations pertinentes engendreront un apport certain
pour ce dernier. Si l’on considère que les seuls clients de l’audit sont la direction générale et le
comité d’audit, est-il pertinent pour les auditeurs certificateurs d’interviewés le management audité
qui pourrait ne pas forcément être objectif en fonction de son ressenti de l’audit ? Finalement,
l’interrogation des auditeurs qui ont la main dans le cambouis est-il nécessaire lors d’un audit de
certification étant donné qu’ils font partie intégrante du dispositif ? Il serait intéressant dans une
recherche future de prendre l’avis des auditeurs certificateurs sur ces différents points.
Notre réflexion se poursuit sur le possible conflit d’intérêt entre le SAI certifié et l’IFACI. Cette
problématique se pose aussi dans le cadre des commissaires aux comptes qui sont payés par
l’entreprise pour laquelle ils doivent certifier les comptes. Cette question finalement d’indépendance
pourrait aussi se poser dans le cadre d’un SAI qui serait rattaché par exemple à un autre
département de son organisation. Les éléments de réponse que nous pouvons apporter dans ce
cadre sont les suivants : le jugement professionnel des auditeurs certificateurs et finalement le rôle
d’accompagnateur que joue aussi la certification IFACI auprès des SAI.
90
Conclusion générale
Dans un contexte où les entreprises sont confrontées à une forte pression sur les prix, à un
retournement économique et à une pression croissante de la règlementation, la certification
d’entreprise semble de plus en plus se développer. Le service d’audit interne ne semble pas
échapper à la règle. De l’avis de certains, la certification est incontournable, il faut la banaliser car
elle permet de s’assurer que le SAI répond aux attentes du groupe notamment de la direction
générale et du comité d’audit. Nous avons essayé tout au long de ce mémoire d’apporter des
éléments de réponse aux différentes questions de recherche posées : Quels sont les apports de la
certification IFACI dans un service d’audit interne ? Quel(s) élément(s) peuvent freiner le processus
de certification et les apports pour l’entreprise ? Quelle est la perception par le management de la
certification IFACI dans un service d’audit interne ?
Nous avons tout d’abord étudié les motivations qui poussent un service d’audit interne à se
certifier. Ces dernières vont de l’exigence aux Normes aux attentes des organes de gouvernance en
passant par la volonté du SAI de s’améliorer et de capter les meilleures pratiques de la profession.
Nous avons par ailleurs expliqué le choix de la certification IFACI comme évaluation externe
à la place par exemple de la certification ISO. En effet la certification IFACI est réalisée
conformément au RPAI qui s’appuie sur des Normes internationales d’audit interne éprouvées et
approuvées par l’IIA qui est la voix de la profession d’audit interne dans le monde. Par ailleurs, le
RPAI sert de benchmark théorique aux différents SAI dans le cadre de leur processus d’amélioration
continue.
Nous avons ensuite étudié de manière concrète la certification IFACI dans une DAG. Nous
avons montré que la certification engendrait des évolutions certaines dans ce service notamment de
par son rôle d’aiguillon et de catalyseur pour mettre en exergue les sujets importants.
Nous avons pour finir entrevu la perception de la certification par le management d’un service
d’audit interne et essayé finalement d’aboutir à une grille d’apports de la certification. On peut retenir
de cette grille que la certification permet à la fonction l’audit interne de capter les meilleures pratiques
de la profession et atteste aux différentes parties prenantes de l’audit, de la qualité des travaux et
des sujets traités par le SAI.
91
Cette grille d’apports13 de la certification que nous avons proposée pourrait s’avérer utile pour
les entreprises qui se posent la question de franchir ou non le pas de la certification. Il serait par
ailleurs intéressant de la tester auprès d’un panel de responsables d’audit pour pouvoir la valider
mais aussi l’affiner.
Il est important de noter cependant, que comme tout travail de recherche, ce mémoire
présente certaines limites. En effet, le questionnaire aurait pu être affiné et testé dans d’autres
services d’audit pour avoir un panel plus quantitatif. Par ailleurs, nous n’avons pas pu interviewer les
parties prenantes de l’audit tels que les audités, ce qui aurait pu s’avérer pertinent pour notre
analyse. Il aurait aussi été intéressant de nous entretenir avec les auditeurs certificateurs de l’IFACI
pour enrichir notre analyse.
Ce mémoire peut être étendu sur plusieurs axes notamment comme nous l’avons mentionné
plus haut, le test de façon concrète de la grille d’apport auprès d’un panel de Responsables d’audit
interne avec la possibilité de l’étendre à des membres du comité d’audit. Par ailleurs, on peut
s’interroger sur les raisons qui pourraient pousser certains SAI à arrêter de se certifier ou encore à
choisir une autre évaluation externe ISO ou peer revue par exemple. Finalement, l’enquête IFACI
d’octobre 2009 sur les pratiques de l’audit et du contrôle interne en France révèle que les trois sujets
pour lesquels les responsables d’audit interne pensent que leurs responsabilités vont s’accroître
dans les prochaines années sont dans l’ordre : la gestion du changement, les systèmes d’information
et les questions de gouvernance. Il pourrait être utile d’approfondir le sujet sur le rôle de la
certification du SAI dans le mécanisme de gouvernance d’entreprise.
13 Voir Grille d’apport Annexe 1 P.93
92
Annexes
93
Annexe 1 : Grille d’apports de la certification
Pour la Direction générale et le
comité d'audit
Pour l'audit
interne
Pour les audités
Apports Internes
Aiguillon X
Amélioration des méthodes de travail X
Diffusion des Meilleures pratiques de la profession X
Mobilisation des équipes X
Apports externes
Communication X
Conformité aux Normes d'audit interne X
Confort sur la qualité du SAI X
Confort sur la conduite des missions d'audit X
Crédibilité du SAI X X
Grille d'apports de la certification d'un SAI
94
Annexe 2 : Guide d’entretien
Questionnaire à destination du management du servic e d’Audit Interne
Secteur :
Ancienneté :
Différents postes occupés à l’audit :
L’audit Groupe a connu trois certifications avec 4 audits de suivi
1/Quel est, selon vous, l’objectif, l’intérêt de la certification d’un service d’audit interne?
2/Avez-vous participé à une mission de certification ? Si oui combien de fois ?
3/ Quel impressions en tirez-vous ? / Quelle perception en avez-vous ?
4/Suite aux différents audits de certification, avez-vous constaté des évolutions dans le département d’audit ? Si oui sur quels points ?
5/ Que voyez-vous aujourd’hui comme points forts de la démarche de certification ?
6/ Quels sont selon vous les points faibles de cette démarche, les freins éventuels ? (disponibilité, intérêt de la démarche, coût …)
7/ Quelle sont selon vous les apports/ valeur ajoutée de la certification ?
8/ Comment est perçue la certification par les parties prenantes de l’audit, notamment les audités ? Pensez-vous que la certification leur apporte un plus ? Si oui lequel ?
9/ La certification a t-elle modifié votre manière de travailler ? De percevoir votre métier ?
10/ Selon vous, l’audit groupe doit-il continuer à se certifier, indépendamment de ce que dicte les normes ?
95
Annexe 3 : Statistiques sur les personnes interview ées
A noter que les personnes interviewées ont assisté en moyenne à un audit de certification et à deux
audits de suivi.
* Les personnes support sont constituées de l’administratrice Oasis et la coordinatrice méthodes
1
4
8
1
2
Repartition de la population interviewée
Directeur de l'audit
Directeurs sectoriels
Managers
Auditeur
Support*
Annexe 4: Exemple de tableau de bord d’indicateurs de performance d’un SAI
Indicateurs de performance Objectifs Outils de reporting Mode de calcul Périodicité Acteurs Cible Réalisé Ecart Analyse de l'écart Actions correctives
Respect de la planification initiale (en nombre de missions)
Nombre de missions réalisées _________________________________x 100Nombre de missions du plan d'audit
Trimestrielle
Respect de la planification initiale (en nombre de semaines terrain)
Nombre de semaines réalisées _________________________________ x 100 Nombre total de semaines du plan d'audit
Trimestrielle
Temps consacré aux travaux d'audit interne
Mesurer le temps consacré aux activités d'audit interne par rapport à l'ensemble des activités de l'unité
Nombre de jours d'audit réalisés_________________________________x 100Nombre total de jours travaillés disponibles(excluant maladie, vacances, fériés).
Annuelle
Taux de missions d'assurance
Avoir une visibilité sur le nombre de missions d'assurance sur le total des missions de l'Audit Groupe
Nombre de jours de missions d'assurance réalisés_________________________________x 100Nombre de jours d'audit réalisés
Annuelle
Taux d'utilisation des auditeurs par branche
S'assurer de la rotation des équipes d'audit
Nombre de semaines terrain sur un secteur/Nombre total de semaines terrain de l'auditeur
Trimestrielle
Tableau de bord de suivi de la
réalisation du plan d'audit
Mesurer la proportion des activités d'audit interne réalisées par rapport à celles prévues à la planification intiale et entérinées par la direction.
Plan d'audit et planification
Tableau de bord de suivi d'indicateurs de performan ce de l'Audit Groupe: missions d'assurance
97
Indicateurs de performance Objectifs Outils de report ing Mode de calcul Périodicité Acteurs Cible Réalisé Ecar t Analyse de l'écart Actions correctives
Taux de conformité lettre d'annonce
S'assurer que l'audité est informé à temps de la mission d'audit
Nombre de lettres d'annonce conformes/Nombre de lettres d'annonce envoyées
Trimestrielle
Taux de conformité de la semaine de prépration
S'assurer de la qualité de la préparation de mission
Nombre de semaines de préparation conformes /nombre de missions testées
Trimestrielle
Documentation des tests S'assurer de la qualité des dossiers de travail
Nombre de dossiers de travail documentés/ Nombre de dossiers de travail testés Trimestrielle
S'assurer de la bonne supervision des missions
Nombre de dossiers de travail conformes/ Nombre de dossiers de travail testés
Trimestrielle
Taux de conformité délai de diffusion du rapport draft
S'assurer du respect du délai de diffusion du rapport draft mentionné à l'audité lors de la réunion de clôture
Nombre de rapports draft envoyés dans les délais / Nombre total de rapports draft envoyés
Trimestrielle
Taux de conformité délai rapport final
S'assurer du respect du délai de diffusion du rapport final mentionné à l'audité lors de la réunion de clôture
Nombre de rapports finaux envoyés dans les délais/ Nombre de rapports finaux envoyés Trimestrielle
Taux de recommandations acceptées
Valeur ajoutée de l'Audit Groupe Rapports d'audit Nombre de recommandations acceptées_________________________________x 100Nombre de recommandations émises
Trimestrielle
Taux de recommandations totalement ou partiellement mises en œuvre
Déterminer le niveau de la mise en application des recommandations des rapports d'audit interne
Rapport de suivi Nombre de recommandations totalement ou partiellement mises en application_________________________________x 100Nombre de recommandations émises
Trimestrielle
Bénéfices monétaires potentiels des recommandation
Mesurer l'économie monétaire , récurrente ou non , liéeà un gain de productivité , à une réduction ou à un abandon d'activité.
Budget annuel, rapport financier
Somme des économies identifiées à la réallocation d es ressources pour réaliser l'activité concernée________________________________x 100Budget total de l'unité d'audit interne
OASIS+Tests ponctuels
Gestion et suivi de la mission
OASIS
98
Indicateurs de performance Objectifs Outils de report ing Mode de calcul Périodicité Acteurs Cible Réalisé Ecar t Analyse de l'écart Actions correctives
Taux d'archivage des dossiers de travail
S'assurer du bon Classements des documents en fin de mission
Nombre de dossiers bien archivés/ Nombre de dossiers testés Trimestrielle
Taux de destruction des dossiers de travail
S'assurer de la destruction des documents de travail papier et électroniques de la mission
Nombre de dossiers détruits/ Nombre de dossiers testés
Trimestrielle
Taux de destruction des dossiers de mission
S'assurer de la destruction des dossiers de mission par les managers
Nombre de dossiers de missions détruits/ Nombre de dossiers s de missions testés
Annuelle
Nombre total d'heures de formations
Nombre d'heures de formations suivies
Taux de suivi de formations Nombre de formations suivies/ Nombre de formation demandées
Archivage de dossiers
FormationS'assurer de la foramation continue des auditeurs
Tableau de bord de suivi de formation
Trimestrielle
Annexe 5 : RPAI 2009
Exigence générale Exigence détaillée
11- GOUVERNEMENT D’ENTREPRISE
L'audit interne doit évaluer le processus de gouvernement d’entreprise et formule les recommandations appropriées en vue de son amélioration, sur la base d’une approche systématique et méthodique (N 2100, 2110).
Évaluation du processus de gouvernement d’entrepris e
L’audit interne doit déterminer si le processus de gouvernement d’entreprise répond
aux objectifs suivants :
promouvoir des règles d’éthique et un environnement de contrôle appropriés au
sein de l’organisation ;
définir des objectifs, en suivre la réalisation et en rendre compte ;
communiquer au sein de l’organisation les informations relatives aux risques et
aux contrôles ;
fournir une information adéquate au Comité d’audit (ou au Conseil), aux auditeurs
internes et externes et au management, et permettre d’assurer une
coordination efficace de leurs activités.
L’audit interne doit évaluer si la gouvernance des systèmes d’information de
l’organisation soutient et supporte la stratégie et les objectifs de l’organisation.
Promotion et évaluation des principes éthiques
L’audit interne doit évaluer la conception, la mise en œuvre et l’efficacité des objectifs,
des programmes et des activités de l'organisation liés à l’éthique.
12- PROCESSUS DE MANAGEMENT DES RISQUES ET DE CONTRÔLE
L'audit interne doit évaluer l’efficacité et contribuer à l’amélioration des processus de management des risques et du dispositif de contrôle interne (N 2100, 2120, 2130).
Évaluation de l’efficacité du système de management des risques
L’audit interne vérifie l’existence d’un processus de management des risques. S’il
existe, l’audit interne procède à l’évaluation de son efficacité.
Les auditeurs internes doivent s’assurer, à cet effet, que :
les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
les risques significatifs sont identifiés et évalués ;
les modalités de traitement des risques retenues sont appropriées et en
adéquation avec l’appétence pour le risque de l’organisation ;
les informations relatives aux risques sont recensées et communiquées en temps
opportun au sein de l’organisation pour permettre aux collaborateurs, à leur
hiérarchie et au Comité d’audit (ou au Conseil) d’exercer leurs
responsabilités.
L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est
géré par l’organisation.
Évaluation du dispositif de contrôle interne
100
Les missions d’assurance doivent évaluer la pertinence et l'efficacité du dispositif de
contrôle interne choisi pour faire face aux risques au regard :
de la fiabilité et l’intégrité des informations financières et opérationnelles ;
de l’efficacité et l’efficience des opérations ;
de la protection des actifs ;
du respect des lois, règlements et contrats.
Contribution au processus de maîtrise des risques
Au cours des missions de conseil, les auditeurs internes doivent couvrir les risques
liés aux objectifs de la mission et demeurer vigilant vis-à-vis de l’existence de tout
autre risque susceptible d’être significatif.
13- PLAN D’AUDIT FONDE SUR LES RISQUES
Le responsable de l’audit interne doit établir un plan annuel ou pluriannuel d’audit fondé sur les risques , afin de définir les priorités de ce plan cohérentes avec les objectifs de l’organisation
(N 2010).
Analyse des risques et cohérence objectifs / risque s
Le responsable de l’audit interne établit un plan fondé sur une analyse de l’ensemble
des risques de son organisation.
Pour se faire, le responsable de l’audit interne prend en compte le système de
management des risques défini au sein de l’organisation. Il tient notamment
compte de l’appétence pour le risque définie par le management pour les
différentes activités ou branches de l’organisation.
Si ce système de management des risques n’existe pas, le responsable de l’audit
interne doit se baser sur sa propre analyse des risques après consultation de la
Direction Générale et du Comité d’audit (ou du Conseil.
La planification des missions s’appuie sur cette évaluation des risques documentée
et réalisée au moins une fois par an.
Cette analyse des risques est en phase avec l’univers d’audit de l’organisation,
incluant les activités externalisées, et avec les objectifs et les risques majeurs et
stratégiques de l’organisation.
Prise en compte des demandes des parties prenantes
Elle doit prendre en compte le point de vue de la Direction Générale et du Conseil
dans ce processus.
Analyse de la couverture des risques, des entités e t des systèmes
Le champ d’analyse des risques vise toutes les entités, tous les processus de
l’organisation, toutes ses opérations ainsi que tous ses systèmes d’information.
Le niveau de couverture des thèmes auditables ou objets d’audit, y compris les
thèmes informatiques, est démontré et approprié.
Les missions de conseil acceptées sont intégrées dans le plan d’audit annuel.
14- APPROBATION DU PLAN D’AUDIT
Le responsable de l'audit interne doit
Approbation par la Direction Générale et le Comité d’audit (ou le Conseil)
Le responsable de l'audit interne doit communiquer pour approbation son plan annuel
à la Direction Générale et au Comité d’audit (ou au Consei).
101
communiquer à la Direction Générale et au Comité d’audit (ou au Conseil) son plan et ses besoins, pour examen et approbation (N 2020).
Le responsable de l'audit interne doit communiquer en outre tout changement
important du plan annuel susceptible d’intervenir en cours d’exercice à la Direction
Générale et au Comité d’audit (ou au Conseil).
Report et annulation de missions
Si des missions reportées présentent un niveau élevé de risques, le responsable de
l’audit interne obtient l’accord de la Direction Générale et du Comité d’audit (ou du
Conseil).
15- EXAMEN PRELIMINAIRE ET PLAN DE MISSION
A partir des objectifs de la mission, les auditeurs internes doivent concevoir et documenter un plan de mission sur la base d’un examen préliminaire (N 2200, 2201, 2210).
Etablissement d’un plan de mission
Le plan de mission précise :
les objectifs de la mission, définissant les réalisations attendues de la mission en
termes généraux ;
le champ d’intervention prévu,
la date et la durée,
les ressources estimées.
Dans le cadre de l’établissement du plan de mission, les auditeurs internes prennent
en compte les attentes de la Direction Générale.
Le plan de mission présente un résumé des résultats obtenus dans le cadre de
l’examen préliminaire, et notamment :
les problèmes importants et les raisons pour poursuivre une étude plus
approfondie ;
les points de contrôle potentiellement délicats, les manques ou les excès de
contrôles apparents ;
les approches particulières telles que les techniques d’audit assistées par
ordinateur.
Dans le cas d’une mission de conseil, l’accord du client donneur d’ordre doit être
établi sur le plan de mission, qui précise notamment les responsabilités de
chacun, les attentes du client donneur d’ordre, ainsi que la méthodologie à mettre
en œuvre pour atteindre les objectifs de la mission.
Réalisation d’un examen préliminaire
Les auditeurs internes collectent des informations de base sur l’activité à auditer et
conduisent un examen préliminaire sur pièces et sur place, préalablement à la
phase de vérification et d’évaluation.
Cet examen préliminaire permet d’établir l’approche d’audit de la mission, et d’affecter
les ressources de l’audit interne aux domaines où elles peuvent être utilisées le
plus efficacement.
Dans le cadre de cet examen préliminaire, les auditeurs internes doivent prendre en
compte :
les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée par
102
le dispositif de contrôle interne existant ;
les risques significatifs relatifs à ces objectifs, y compris de fraude ;
la pertinence et l'efficacité des processus de management des risques et de
contrôle de l'activité, en référence à un cadre ou modèle de contrôle
approprié ;
les opportunités d'améliorer de manière significative les processus de
management des risques et de contrôle de l'activité.
Évaluation préliminaire des risques
Les auditeurs internes doivent procéder à une évaluation préliminaire des risques, y
compris informatiques, relatifs à l’activité auditée.
Cette évaluation préliminaire des risques permet d’identifier les problématiques
significatives de l’activité qu’il convient de considérer comme objectifs d’audit
prioritaires.
16- REFERENTIEL DE CONTRÔLE
Afin de pouvoir évaluer le dispositif de contrôle , les auditeurs internes doivent déterminer, en liaison avec le management audité, les critères de contrôle interne adéquats pour apprécier si les objectifs des opérations et processus ont été atteints
(N 2130, 2210).
Revue des processus opérationnels
Dans le cadre de l’examen préliminaire ou dans son prolongement, les auditeurs
internes déterminent dans quelle mesure des objectifs concernant les opérations
et les processus ont été définis et si ces objectifs sont conformes à ceux de
l'organisation.
Les auditeurs internes passent en revue ces opérations et ces processus afin de
déterminer dans quelle mesure les résultats suivent les objectifs définis et si ces
opérations et processus sont mis en œuvre ou réalisés comme prévu.
Recensement des référentiels et dispositifs de cont rôle applicables
Dans le cadre de l’examen préliminaire ou dans son prolongement, les auditeurs
internes doivent déterminer dans quelle mesure le management a défini des
critères de contrôle adéquats pour apprécier si les objectifs de ces opérations et
de ces processus ont été atteints.
Si ces critères de contrôle sont adéquats, les auditeurs internes doivent les utiliser
dans leur évaluation.
S'ils sont inadéquats, les auditeurs internes doivent travailler avec le management
pour élaborer des critères de contrôle appropriés.
Confirmation de l’examen préliminaire et de l’évalu ation préliminaire des
risques
Les auditeurs internes s’entretiennent avec le management audité des risques
afférents aux objectifs de l’activité, de la pertinence et de l’efficacité des
processus de management des risques et de contrôle de l’activité, et du dispositif
de contrôle interne.
17- OBJECTIFS D’AUDIT ET PROGRAMME DE
Objectifs et procédures d’audit
Les objectifs d’audit, assertions que l’auditeur doit vérifier, sont formalisés et un
103
TRAVAIL
Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission (N 2240).
programme de travail documenté fait référence aux procédures à appliquer pour
trouver, analyser, évaluer et documenter les informations lors de la mission.
Les procédures d’audit sont quantifiées afin de préciser les ressources nécessaires et
de d’orienter les ressources disponibles sur les objectifs d’audit critiques.
Approbation et suivi du programme de travail
Le programme de travail doit être approuvé avant le début des travaux par le
responsable de l’audit interne ou son délégué. Ses ajustements éventuels doivent
être approuvés rapidement.
18- CHAMP ET RESSOURCES DE LA MISSION
Les auditeurs internes doivent déterminer le champ et les ressources appropriées et suffisantes pour répondre aux objectifs de la mission (N 2220, 2230).
Périmètre de la mission
Le champ des missions doit couvrir les systèmes, les documents, le personnel et les
biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers.
Adéquation de l’équipe
La composition des équipes s’appuie sur une évaluation de la nature et de la
complexité de chaque mission, des contraintes de temps et des ressources
disponibles
19- COMMUNICATION PREALABLE
Les auditeurs internes doivent informer le management opérationnel audité sur le déroulement de la mission
(N 2200).
Objectifs et programme de la mission
Les auditeurs internes informent le management sur le programme de la mission, ses
objectifs et son champ.
Dates et période
Les auditeurs internes informent le management sur les dates retenues et la durée
prévue de la mission.
Modalités et validation et diffusion des résultats
Les auditeurs internes informent le management sur les modalités de validation et de
diffusion des résultats de l’audit et leur suivi.
104
20- TRAVAUX D’AUDIT
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission
(N 2300, 2310, 2320, 2330).
Documentation des éléments factuels
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission
sur des analyses et évaluations appropriées permettant d’identifier les causes des
dysfonctionnements, et les risques associés.
Les auditeurs internes doivent documenter les informations pertinentes pour étayer
les conclusions et les résultats de la mission.
Piste d’audit et qualité des papiers de travail
Les papiers de travail sont clairs, indexés, classés, référencés au programme de
travail et aux documents supports.
Résultats et conclusions
Les papiers de travail contiennent les résultats des procédures d’audit et les
conclusions et recommandations qui en résultent.
21- DEBATS DES CONSTATS, DES CAUSES ET DES RECOMMANDATIONS
Les auditeurs internes débattent des conclusions et recommandations de la mission avec les responsables appropriés (N 2440).
Communication régulière
Ces débats s’effectuent en cours de mission, à l’occasion des constats de l’audit
interne, ainsi que lors des réunions de fin de mission.
Validation des conclusions
Les éléments significatifs de ces échanges avec les responsables audités sont
consignés et mettent en évidence la position et les actions envisagées par les
audités.
Implication des décideurs
Ces débats réunissent les personnes qui connaissent précisément les opérations
auditées et celles qui sont en mesure d’autoriser la mise en œuvre de mesures
correctives.
22- COMMUNICATION DES RESULTATS
Les auditeurs internes doivent communiquer les
Contenu de la communication finale
La communication doit inclure :
les objectifs de la mission ;
le champ de la mission ;
105
résultats de la mission, en respectant des conditions de fond et de forme (N 2400, 2410, 2420).
les points forts relevés ;
ses résultats et conclusions ;
l’opinion globale des auditeurs internes ;
ses recommandations ;
l’évaluation des risques résiduels.
Analyse causale
Les recommandations sont ciblées sur les causes explicites des insuffisances
constatées, avec pour objectif de les supprimer.
Plans d’action
L’audit interne obtient de la part des audités les plans d'actions répondant aux
recommandations.
Qualité et délai de la communication
Les résultats de la mission sont communiqués rapidement par les auditeurs.
La communication finale doit être exacte, objective, claire, concise, constructive,
complète et émise en temps utile.
23- DIFFUSION DES RESULTATS
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés (N 2440).
Diffusion des résultats
Le responsable de l'audit interne communique les résultats définitifs d’une mission
d’assurance aux personnes à même d’assurer que ces résultats recevront
l'attention nécessaire.
Le responsable de l'audit interne ou son délégué revoient et approuvent le rapport
définitif avant qu’il ne soit émis, et décident à qui et de quelle manière il sera
diffusé.
Le responsable de l'audit interne communique les résultats définitifs des missions de
conseil à son client donneur d’ordre.
Au cours des missions de conseil, si des problèmes relatifs aux processus de
management des risques, de contrôle et de gouvernement d’entreprise sont
identifiés, ils sont communiqués à la Direction Générale et au Comité d’audit (ou
au Conseil).
Autorisation de diffusion
Le responsable de l’audit interne doit accomplir les tâches suivantes avant de diffuser
les résultats à des destinataires ne faisant pas partie de l’organisation :
évaluer les risques potentiels pour l’organisation ;
consulter la Direction Générale et/ou, selon les cas, un conseil juridique ;
maîtriser la diffusion en imposant des restrictions quant à l’utilisation des
résultats.
Restrictions d’utilisation
Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant
pas partie de l’organisation, les documents communiqués doivent préciser les
106
restrictions à observer en matière de diffusion et d’exploitation des résultats.
24- SURVEILLANCE DES ACTIONS DE PROGRES
Le responsable de l'audit interne doit mettre en place un processus de suivi des actions correctives (N 2500).
Processus de suivi
Le responsable de l'audit interne doit mettre en place et tenir à jour un processus
permettant de surveiller la suite donnée aux résultats communiqués au
management.
L’audit interne surveille la suite donnée aux résultats des missions de conseil
conformément à l’accord passé avec le client donneur d’ordre.
Validation des résultats observés
Ce processus permet de surveiller et de garantir que des mesures ont été
effectivement mises en œuvre par le management et que ces mesures ont bien
corrigé la cause des dysfonctionnements.
Les auditeurs internes apprécient si les actions entreprises par le management, en
réponse aux observations et recommandations, sont appropriées, réelles et
entreprises à temps.
Recommandations non mises en œuvre
Ce processus permet d’assurer que la Direction Générale a été informée et a accepté
le risque de ne pas engager d’actions correctives sur les observations figurant
dans les rapports.
Ce processus inclut une formalisation des raisons de non mise en œuvre des actions
de progrès.
25- COORDINATION D’AUDIT
Le responsable de l'audit interne partage les informations et coordonne les activités avec les autres prestataires internes et externes des services d’assurance et de conseil (N 2050).
Coordination interne
Le responsable de l'audit interne partage les informations et coordonne les activités
avec les autres prestataires internes de services d’assurance et de conseil
(notamment les directions des systèmes d’information, des risques, du contrôle
interne, de la conformité, de la qualité,...), de manière à assurer une couverture
efficiente des risques de l’organisation.
Coordination externe
Le responsable de l'audit interne assure régulièrement une coordination entre l’audit
interne et les commissaires aux comptes.
Une concertation entre l’audit interne et les commissaires aux comptes est mise en
place quant à leurs travaux respectifs. Des échanges d’informations existent
quant aux résultats de leurs travaux. Des réunions régulières sont organisées
avec les commissaires aux comptes pour échanger sur des sujets d’intérêt
mutuel.
Le responsable de l’audit interne communique à la Direction Générale et au Comité
d’audit (ou au Conseil) les conclusions concernant la coordination entre les
auditeurs internes et les commissaires aux comptes.
26- BILAN DE L’AUDIT INTERNE
Le responsable de
Contenu du bilan d’audit
Ces rapports portent sur les missions, pouvoirs et responsabilités de l’audit interne, et
notamment sur :
107
l'audit interne doit rendre compte périodiquement à la Direction Générale et au Comité d’audit (ou au Conseil) des résultats obtenus (N 2060, 2600).
le degré de réalisation du plan d’audit ;
l’exposition à l’ensemble des risques significatifs (y compris des risques de
fraude) et les activités de contrôle correspondantes ;
des sujets relatifs au gouvernement d’entreprise ;
tout autre problème répondant à un besoin ou à une demande de la Direction
Générale ou du Conseil.
la surveillance des actions de progrès.
Approbation des risques par la Direction Générale
Lorsque le responsable de l'audit interne estime que la Direction Générale a accepté
un niveau de risque résiduel qui pourrait s’avérer inacceptable pour l'organisation,
il doit examiner la question avec elle.
Si aucune décision n’est prise concernant le risque résiduel, le responsable de l’audit
interne doit soumettre la question au Comité d’audit (ou au Conseil) aux fins de
résolution.
108
LES EXIGENCES DE PILOTAGE ET DE CONTRÔLE
Exigence générale Exigence détaillée
27- SUPERVISION
Le service d’audit interne et les missions doivent faire l'objet d'une supervision appropriée (N 1311, 2340).
Direction du service d’audit interne
La surveillance continue fait partie intégrante de la supervision
quotidienne, de la revue et du suivi de l’activité d’audit
interne. La surveillance continue est intégrée dans les
procédures et les pratiques courantes de gestion du
service d’audit interne.
Supervision des missions
Les missions doivent faire l'objet d'une supervision appropriée
afin de garantir que les objectifs sont atteints, la qualité
assurée et le développement professionnel du personnel
effectué.
L’étendue de la supervision est fonction de la compétence et
de l’expérience des auditeurs internes, ainsi que de la
complexité de la mission.
Le responsable de l'audit interne a l’entière responsabilité de
la supervision des missions qui sont réalisées par ou pour
le compte du service d’audit interne. Il peut déléguer cette
responsabilité à d’autres membres du service d’audit
interne possédant l’expérience et la compétence
nécessaires pour réaliser cette supervision.
La preuve de la supervision doit être documentée et
conservée dans les papiers de travail.
Service d’audit interne central
Le service d’audit interne central coordonne les plans d’audit
des services d’audit interne décentralisés ou experts qui
lui sont rattachés, et échange ces informations avec les
autres services d’audit qui ne lui sont pas rattachés.
Le service d’audit interne central établit et déploie une
méthodologie d’audit commune.
Le service d’audit interne central consolide les rapports d’audit
des services d’audit interne décentralisés ou experts.
28- ACCES AUX DOSSIERS
Conservation des dossiers
109
Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission (N 2330)
Le responsable de l'audit interne doit arrêter des règles en
matière de conservation des dossiers de la mission et ce,
quelque soit le support d’archivage utilisé.
Communication des dossiers
Le responsable de l'audit interne doit obtenir l'accord de la
Direction Générale avant de communiquer ces dossiers à
des parties extérieures.
29- EVALUATIONS DU PROGRAMME QUALITE
Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne (N 1300, 1310, 1311, 1312, 1320).
Programme qualité
Le responsable de l’audit interne doit élaborer et tenir à jour
un programme d'assurance et d'amélioration qualité.
Un processus permettant de surveiller et d'évaluer l'efficacité
globale de ce programme qualité est mis en oeuvre ; ce
processus comporte des évaluations tant internes
qu'externes.
Le programme d'assurance et d'amélioration qualité est conçu
de façon à évaluer :
la conformité de l’audit interne avec la définition de l’audit
interne et les Normes ;
le respect du Code de Déontologie par les auditeurs
internes ;
la contribution aux processus de gouvernement
d’entreprise, de management des risques, et de
contrôle interne ;
l’efficacité et l’efficience de l’activité d’audit interne et à
identifier toutes opportunités d’amélioration.
Évaluations internes
Les évaluations internes doivent comporter une surveillance
continue de la performance de l'audit interne, et des
revues périodiques, effectuées par auto-évaluation ou par
d'autres personnes de l'organisation possédant une
connaissance suffisante des pratiques d'audit interne et
des Normes.
Les évaluateurs internes disposent au moins de la
compréhension de l’ensemble des éléments du cadre de
référence international des pratiques professionnelles.
Évaluations externes
Des évaluations externes doivent être réalisées au moins tous
les cinq ans par un évaluateur ou une équipe qualifiés,
indépendants et extérieurs à l'organisation.
110
Le responsable de l'audit interne doit s’entretenir avec le
Conseil au sujet du besoin d'augmenter la fréquence de
ces évaluations externes, et des qualifications de
l'évaluateur ou de l'équipe d'évaluation externes ainsi que
de leur indépendance y compris au regard de tout conflit
d'intérêt potentiel.
Communication relative au programme d’assurance et
d’amélioration qualité
Le responsable de l’audit interne doit communiquer les
résultats du programme d'assurance et d'amélioration
qualité à la Direction Générale ainsi qu’au Comité d’audit
(ou au Conseil).
30- CONFORMITES AUX NORMES
Lorsqu’une mission donnée n’a pas été conduite conformément aux Normes , la communication des résultats doit l’indiquer
(N 1321, 1322, 2430, 2431).
Communication de la conformité aux Normes
Le responsable de l’audit interne indique que l’activité d’audit
interne et les missions sont conduites conformément aux
Normes internationales pour la pratique professionnelle de
l'audit interne.
Il ne l’indique seulement si les résultats du programme
d'assurance et d'amélioration qualité l’ont démontré..
Communication de la non-conformité aux Normes
Quand la non-conformité de l’activité d’audit interne avec la
Définition de l’Audit Interne, le Code de Déontologie ou
encore les Normes a une incidence sur le champ
d'intervention ou sur le fonctionnement de l'audit interne,
le responsable de l’audit interne doit informer la Direction
Générale et le Comité d’audit (ou le Conseil) de cette non-
conformité et de ses conséquences.
Lorsqu'une mission donnée n'a pas été conduite
conformément au Code de Déontologie ou aux Normes, la
communication des résultats doit indiquer :
les principes ou les règles de conduite du Code de
Déontologie, ou les Normes avec lesquelles la
mission n’a pas été en conformité ;
la ou les raisons de la non-conformité ;
l'incidence de la non-conformité sur la mission et sur les
résultats communiqués.
111
Table de matières
Remerciements ............................................................................................................................... 2
SOMMAIRE ..................................................................................................................................... 4
Liste des abréviations ...................................................................................................................... 5
Introduction ...................................................................................................................................... 6
Première partie : Les enjeux des certifications en audit interne........................................................... 8
Chapitre 1 : Les enjeux de la certification pour l’entreprise .............................................................. 9
Section A : Les motivations externes de la certification .............................................................. 13
I. La pression concurrentielle ............................................................................................ 13
II. Un enjeu commercial ...................................................................................................... 13
III. La recherche de la reconnaissance externe ................................................................ 14
IV. Une pression règlementaire ....................................................................................... 15
V. Un enjeu de valorisation boursière .................................................................................. 15
Section B: Les motivations internes de la certification ................................................................ 17
I. Améliorer ses dispositifs internes ................................................................................... 17
II. Gérer par la qualité ......................................................................................................... 17
III. Chercher à se comparer aux meilleures pratiques ....................................................... 17
IV. Améliorer son efficacité et son efficience ..................................................................... 18
V. Impliquer les équipes autour d’un projet commun ........................................................... 18
Chapitre 2 : Pourquoi l’audit interne cherche t-elle à se faire certifier ? .......................................... 20
Section A : De la conformité aux Normes à la reconnaissance externe ................................... 22
I. Exigence des Normes professionnelles de l’audit interne ................................................ 22
II. Véritable outil de management ........................................................................................ 24
III. Amélioration du système de management de la qualité/satisfaction des parties prenantes ............................................................................................................................... 24
IV. Attentes de la direction générale et du comité d’audit ................................................. 25
V. Crédibilité du service d’audit interne ................................................................................ 26
VI. Capter les meilleures pratiques de la profession .......................................................... 26
VII. Outil de communication ............................................................................................... 27
Section B : Certification et gouvernance ..................................................................................... 28
I. Les enjeux de la gouvernance......................................................................................... 28
II. L’audit interne, instrument au service de la gouvernance ................................................ 29
a) La théorie de l’agence ................................................................................................. 30
b) La théorie des coûts de transaction ............................................................................. 31
III. Certification du SAI et gouvernance ......................................................................... 31
Conclusion de la première partie ................................................................................................... 32
112
Deuxième Partie : la certification IFACI à la DAG de total ................................................................ 33
Chapitre 1 : Pourquoi choisir l’IFACI ? ........................................................................................... 34
Section A : Le rôle de l’IFACI en tant que certificateur ................................................................ 35
I. Présentation des Normes pour la pratique professionnelle de l’audit interne ................... 35
a) Les Normes de qualification......................................................................................... 36
b) Les Normes de fonctionnement ................................................................................... 36
c) Le référentiel de l’audit interne ..................................................................................... 36
II. Processus de la certification IFACI .................................................................................. 37
Section B : Pourquoi se faire certifier IFACI ? ......................................................................... 39
I. Le point de vue de la DAG .............................................................................................. 39
a) Se conformer aux normes ........................................................................................... 39
b) Benchmarker son service par rapport aux meilleures pratiques ................................... 40
c) Gagner en crédibilité en interne (auprès des audités et de la direction) ....................... 41
d) Rassurer les instances de gouvernance (comité d’audit notamment) .......................... 42
e) Amélioration des pratiques de travail ........................................................................... 42
II. Certification IFACI versus certification ISO 9001 ............................................................. 43
Chapitre 2 : Les processus attachés à la démarche de certification ............................................... 44
Section A : La mission d’auto-évaluation .................................................................................... 46
I. Objectif de la mission ...................................................................................................... 46
II. Champ et périmètre de la mission ................................................................................... 46
III. Démarche d’audit ........................................................................................................ 48
a) Les entretiens réalisés ................................................................................................. 48
b) Les tests sur les missions ............................................................................................ 49
IV. Résultats obtenus ........................................................................................................ 49
a) Les exigences de moyens ........................................................................................... 49
b) Les exigences de prestations ...................................................................................... 51
c) Les exigences de pilotage ........................................................................................... 51
V. Programme d’assurance et d’amélioration qualité (PAAQ) .............................................. 52
Section B : L’audit de certification ............................................................................................... 53
I. L’audit initial .................................................................................................................... 54
a) Présentation de la Direction d’Audit Interne (DAG) ...................................................... 54
b) Périmètre d’intervention ............................................................................................... 54
c) Approche retenue pour l’audit de renouvellement de certification ................................ 54
d) Les points forts de la DAG ........................................................................................... 55
e) Les Non-conformités ................................................................................................... 56
f) Opinions globale des auditeurs certificateurs ............................................................... 56
II. L’audit de suivi ................................................................................................................ 56
113
Conclusion de la deuxième partie .................................................................................................. 58
Troisième partie: Résultats et analyses sur les apports de la certification ......................................... 59
Chapitre 1 : Les résultats de notre étude ....................................................................................... 60
Section A : le rôle de la certification dans la formalisation et la structuration de la démarche ..... 62
I. Les exigences de prestations .......................................................................................... 62
a) Formalisation du déroulement de la mission ................................................................ 63
b) Formalisation du programme de travail ........................................................................ 63
c) Programme de la mission-intégration de l’analyse des risques .................................... 64
d) Débat entre le management audité et l’auditeur interne, support de documentation .... 64
e) Communication des délais entre les résultats et la diffusion ........................................ 65
f) Plan d’audit basé sur les risques ................................................................................. 65
II. Les exigences de pilotage ............................................................................................... 66
a) Matérialisation de la supervision des missions ............................................................ 66
b) Programme d’assurance et d’amélioration continue /contrôle périodique .................... 66
III. Les exigences de moyens ........................................................................................... 68
a) Charte d’audit interne .................................................................................................. 68
b) Code de Déontologie- engagement formel .................................................................. 68
c) Règles et procédures-harmonisation des dossiers de travail ....................................... 68
IV. Les évolutions de l’audit Groupe vues par le management de la DAG ......................... 69
a) Un réel apport de formalisme nécessaire à la traçabilité .............................................. 69
b) Sur le fond : une meilleure prise en compte du risque ................................................. 70
Section B : le rôle de la certification en termes d’apprentissage des équipes ............................. 72
I. Refonte des procédures au sein de la DAG .................................................................... 72
a) Mise à jour et rédaction des procédures. .................................................................... 72
b) Formalisation du PAAQ ............................................................................................... 73
II. Session d’informations suite à la mission d’auto-évaluation ............................................ 74
a) Séance d’informations vis-à-vis du management ......................................................... 74
b) Séance d’informations vis-à-vis des auditeurs ............................................................. 74
Chapitre 2: Synthèse et grille d’analyse ......................................................................................... 75
Section A : Des sentiments partagés .......................................................................................... 76
I. Perception de la certification par la DAG ......................................................................... 76
II. Points forts de la démarche de certification vus par la DAG ........................................... 77
a) Benchmark .................................................................................................................. 77
b) Assurance de la qualité de travail ................................................................................ 77
c) Accompagnement du service d’audit ........................................................................... 78
d) Côté triennal de la certification ..................................................................................... 78
III. Axes D’amélioration de la certification vus par la DAG ............................................... 78
114
a) Moins de forme plus de fond........................................................................................ 78
b) Participation de tous les acteurs .................................................................................. 79
c) La question de l’indépendance posée .......................................................................... 79
IV. Perception de la certification par les parties prenantes de l’audit : point de vue de la DAG 80
a) Pour le COMEX et le comité d’audit ............................................................................. 80
b) Pour les audités ........................................................................................................... 80
Section B : Les apports de la certification ................................................................................... 82
I. Les apports de la certification pour la Direction ............................................................... 82
a) Certification et confort sur la qualité su SAI ................................................................. 82
b) Certification et crédibilité du SAI .................................................................................. 83
II. Les apports de la certification pour l’Audit Interne ........................................................... 83
a) Certification et amélioration des méthodes de travail ................................................... 83
b) Certification et diffusion des meilleures pratiques de la profession .............................. 84
c) Certification, aiguillon pour le SAI ................................................................................ 84
d) Certification et communication avec les parties prenantes ........................................... 84
e) Certification et mobilisation des équipes autour d’un projet commun ........................... 85
f) Certification et conformité aux Normes ........................................................................ 85
III. Les apports de la certification pour le management audité .......................................... 85
a) Certification et confort sur la conduite des missions d’audit ........................................ 85
b) Certification et crédibilité du SAI .................................................................................. 86
Conclusion de la troisième partie ................................................................................................... 87
Conclusion générale ...................................................................................................................... 90
Annexes ........................................................................................................................................... 92
Annexe 1 : Grille d’apports de la certification .............................................................................. 93
Annexe 2 : Guide d’entretien ...................................................................................................... 94
Annexe 3 : Statistiques sur les personnes interviewées ............................................................. 95
Annexe 4: Exemple de tableau de bord d’indicateurs de performance d’un SAI ........................ 96
Annexe 5 : RPAI 2009 ................................................................................................................ 99
Table de matières ........................................................................................................................ 111
Bibliographie ................................................................................................................................ 115
115
Bibliographie
AL-Twaijry, A.A.M., Brierley, J.A. & Gwilliam, D.R. , «The development of internal audit in Saudi Arabia: an institutional theory perspective», Critical Perspective on Accounting, Vol. 14, No. 5, 2003, pp. 507-531.
Anderson, S.W., J.D. Daly, M.F. Johnson, «Why Firms Seek ISO 9000 Certification: Regulatory Compliance or Competitive Advantage? », Production and Operations Management, Vol. 8, No. 1, 1999, pp. 28-43
Bhatti I., Awan HM., «The role of quality Auditing in the continuous improvement of quality: lessons from Paskistani experience», International Journal of Auditing, No 8, 2004, pp.21-32.
Buttle F, «ISO 9000: marketing motivations and benefits», International Journal of Quality & Reliability Management, Vol. 14, No. 9, 1997, pp.936 – 947.
Boiral O., «ISO 9000: Outside The Iron Cage», Organization science, vol. 14, No. 6, 2003, pp. 720 à 737.
Boiral O., Roy M.J., «ISO 9000: Integration Rationales and Organizational Impacts», International journal of operations & production management, vol. 27, No. 2, 2007, pp. 226 à 247.
Bretin D., «L’audit interne de La Poste certifié ISO 9002”, Audit, No 147, 1999.
Casadesus M., Karapetrovic S., «An Empirical Study of the Benefits and Costs of ISO 9001: 2000 Compared to ISO 9001/2/3: 1994»,Total quality management, vol. 16, No. 1, 2005, pp.105 à 120.
Casadesus M., Gimenez G., Heras I., « Benefits of ISO 9000 implementation in Spanish industry », European Businness Review, vol.13, No 6, 2001, pp.327-335.
Casetta A., « Audit de la démarche qualité d'un service d'audit interne : Sous l'aspect audit d'efficacité », 1995.
116
Charreaux G., « Vers une théorie du gouvernement des entreprises », in G. Charreaux (Ed.), Le Gouvernement des entreprises », Economica, 1997, pp.1652.
Coase R.H. (1937), « The nature of the Firm », Economica, vol. 4, November, pp. 331-351 ou “La nature de la firme”, revue française d’Economie, vol. 2, n0 1, 1987, pp.133-163.
Corbett C.J., Montes-Sancho M.J., Kirsch D.A., «The Financial Impact of ISO 9000 Certification in the US: An Empirical Analysis», Management science, vol. 51, No.7, 2005, pp. 1046 à 1059.
Cadre de Référence International Des Pratiques Professionnelles de l’Audit Interne (CRIPP), Institut Français des Auditeurs et Contrôleurs Internes (IFACI), Avril 2009.
Docking D.S., Dowen R. (1999), «Market Interpretation of ISO 9000 Registration», the Journal of Financial Research, vol. 22, No. 2, pp. 147-60.
Ebondo Wa Mandzila E., « La gouvernance de l’entreprise : une approche par l’audit et le contrôle interne », L’Harmattan, 2006.
Fernandez-Gonzalez A.J., Prado J.C., «Measurement and Analysis of Customer Satisfaction: Company Practices in Spain and Portugal», International journal of productivity and performance management, vol. 56, No. 5/6, 2007, pp. 500 à 517.
Garotta J., « La Certification ISO 9001:2000 d'une direction d'audit interne : Spécificités et bonnes pratiques de la norme ISO 9001 en audit interne », 2007
Gotzamani KD., Tsiotras GD., « An empirical study of the ISO 9000 standards’ contribution towards total quality management », International Journal of Operations & Production Management, vol.21, No .10,2001, pp.1326-1342.
Gramling A. A., Maletta, M. J., Schneider A.; Church, B.K., «Role of the internal audit function in Corporate Governance: A Synthesis of the Extant Internal Auditing Literature and Directions for Future Research», The Journal of Accounting Literature, vol. 23, 2004, pp.194-244.
117
Jensen M.C., et Meckling W.H., « Theory of the Firm : Managerial behaviour agency costs and Ownership Structure”, in Journal of Financial Economics, Vol. 3, 1976, pp. 305-360.
Ji W., « Comment passer de la certification ISO 9001:2000 à la certification selon la norme professionnelle d'audit interne ou à l'inverse », 2006.
Kinsela D., « Assesssing Your Internal Audit function”, 2010, Accountancy Ireland, vol.42, No2, 2010,pp. 10-12.
Magd H., Curry A., « An empirical analysis of management attitudes towards ISO 9001:2000 in Egypt », The TQM Magazine, vol.15, No 6, 2003, pp. 381-390.
Mimoun A., « La Certification d'un service d'audit interne suivant le nouveau référentiel ISO 9001 : 2000 : Guide d'audit et mode opératoire », 2000.
Pierret, JL., «La certification ISO, un facteur de progrès pour l’audit interne», Audit, No. 168, 2004.
Pigé B., « qualité d’audit et gouvernement d’entreprise : le rôle et les limites de la concurrence sur le marché de l'audit », Comptabilité Contrôle Audit, Tome 6, vol. 2, 2000, pp. 133-151.
Ragothanan S., Korte L., « The ISO 9000 international quality registration: an empirical analysis of implications for business firms», International journal of applied quality management, vol.2, No. 1, 1999, pp.59-73.
Rolland S., « Un bilan de 20 ans de certification des systèmes de management de la qualité: les apports perçus de la certification ISO 9000 par les managers », No. 29, 2009, pp.31-51.
Schellinck T., Rosson P., « Standards and exporting: canadian companies and ISO 9000 », ASAC Conference, 2001.
Williamson O. E., « Markets and Hierarchies : Analysis and antitrust implications », The Free Press, New York, 1975.