Des ouvrages de plus en plus nombreux traitent en détail de l’organisation de la relation entre le Comité d’audit et l’audit interne et de nombreuses recommandations ont été formulées par des institutions professionnelles ou de place. Je ne souhaite pas ici reprendre et justifier ces recommandations, mais plutôt apporter quelques commentaires pratiques sur leur contexte et leur mise en oeuvre.
Le contexte de la relation comité d’audit/audit interne
Pour situer le contexte de cette relation, il me paraît nécessaire de revenir sur deux de ses aspects :
le premier est tout simplement de rappeler que le conseil, avec le comité d’audit, se situe au 4ème niveau de contrôle. Il intervient après le contrôle interne mis en oeuvre par le management, l’audit interne et l’audit externe. Pour exercer sa mission de contrôle, le conseil doit en premier lieu s’assurer de la qualité, de la solidité et de l’intégrité des niveaux de contrôle précédents.
le second est l’asymétrie qui existe entre le comité d’audit et l’audit interne : asymétrie de temps, asymétrie d’information. Le comité d’audit, dans les sociétés importantes, consacre entre 4 et 15 jours par an aux questions relevant de ses responsabilités, l’audit interne plus de 200 jours. Cette asymétrie de temps entraîne mécaniquement une asymétrie majeure, celle de l’information : le comité d’audit ne peut avoir une connaissance approfondie de l’organisation, des méthodes de l’audit interne, du plan d’audit, de l’ensemble des rapports…
Une relation propre à chaque entreprise
Quatre critères, de bon sens, me paraissent pertinents pour apprécier l’importance (volume et fréquence) de la relation entre le comité d’audit et l’audit interne :
la structure du capital : la plupart des pays ont rendu obligatoire la création d’un comité d’audit au sein du Conseil des sociétés cotées.
la taille de l’entreprise : plus il y a de salariés, de niveaux hiérarchiques, plus les responsabilités de chacun sont formalisées dans des manuels de procédures et de délégations de pouvoirs.
la diversité des métiers : c’est à l’évidence un facteur de complexité important pour le pilotage des activités par l’exécutif et pour leur contrôle par le conseil/comité d’audit. Des activités considérées comme secondaires par rapport au coeur de métier peuvent être sources de risques majeurs (voir certains acteurs de la finance aujourd’hui !).
l’activité internationale : chaque pays a sa culture business faite d’une langue, de règles de droit et d’usages parfois très éloignés des nôtres. Le pilotage de l’activité internationale est un exercice difficile pour le management, le contrôle par le conseil l’est encore plus.
Dans une mesure du risque, il me semble que les facteurs de risques liés à ces quatre critères ne s’additionnent pas, ils se multiplient… Le dispositif de contrôle interne, les équipes et l’organisation de l’audit interne doivent être structurés et dimensionnés en conséquence.
Une première tentation : la confiance excessive, voire aveugle
La dynamique de cette relation repose sur la confiance, comme toute relation au sein de l’entreprise. Comme le rappelle l’Institut Français des Administrateurs :
l’audit interne est d’abord un outil de management de la direction générale,
il appartient à la direction générale de mettre en place un dispositif de contrôle interne et de gestion des risques adapté aux caractéristiques propres de chaque entreprise,
La tentation du conseil et du comité d’audit peut alors être de se reposer sur le management. Il peut choisir de  limiter son champ d’investigation. Cette vision réductrice peut être encouragée, par l’exécutif qui n’est pas toujours favorable à un contrôle par des administrateurs compétents qui savent analyser et débattre des questions sensibles !
La confiance est essentielle, certes, mais lorsqu’elle devient excessive – conduisant parfois jusqu’à l’aveuglement – elle ne correspond évidemment pas à l’esprit des textes ni aux attentes des actionnaires qui ont mandaté les administrateurs, le conseil et ses comités pour exercer un contrôle et leur rendre compte lors de l’assemblée générale.
Une deuxième tentation : le « toujours plus »
Le comité d’audit n’a pas pour vocation de mettre en doute les informations transmises par le management et par l’audit interne. Ils sont sa source quasi exclusive d’informations ; l’audit externe, les commissaires aux comptes, sont les seuls pouvant apporter un éclairage complémentaire parfois différent au conseil/comité d’audit.
Certains préconisent un rôle très étendu du comité d’audit. En effet, selon la loi, le conseil – et par délégation le comité d’audit – peut exercer tout contrôle qu’il juge opportun.
Cette tentation du « toujours plus » peut se trouver renforcée lorsque les administrateurs connaissent l’entreprise, ses activités, ses filiales et ont les compétences leur permettant de débattre avec l’exécutif, ou intervenir dans le détail du programme d’audit interne par exemple.
L’excès d’information peut également provenir de l’audit interne lorsqu’il remet au comité d’audit la totalité de ses rapports ou des synthèses très détaillées. « Trop d’information tue l’information » pertinente et utile au comité.
Une confiance raisonnée entre le comité d’audit et l’audit interne
Depuis plusieurs années, j’observe les pratiques et le fonctionnement des conseils et des comités. Dans leur relation avec les dirigeants, directeur de l’audit interne notamment, la confiance s’établit sur des critères irrationnels (éducation, culture, empathie…) et un critère rationnel, l’information : il est plus facile de faire confiance à celui qui vient informer et rendre compte de ses missions qu’à celui qui ne le fait pas.
La courbe suivante traduit cette observation :
la confiance croît avec le volume d’information (transparence) pour atteindre un seuil d’équilibre ou seuil de confiance. Puis, si l’information devient excessive, la confiance décroît, la défiance s’installe.
Relation entre confiance et transparence
La difficulté est alors de déterminer le bon niveau de transparence entre l’audit interne et le comité d’audit. Cela suppose en premier lieu que le comité d’audit détermine les informations qu’il estime nécessaires pour exercer ses missions. Cela suppose également, que l’audit interne avec professionnalisme et indépendance, détermine les informations qu’il estime nécessaire de porter à la connaissance du comité d’audit.
La mise en phase de ces deux approches est une des clés d’un fonctionnement efficace de la relation entre l’audit interne et le comité d’audit et permet de ne pas se laisser entraîner par l’une ou l’autre des deux tentations évoquées ci-dessus !