La gestion des risques et les contrôles internes sont les piliers de toute bonne gestion d'entreprise. Les nouvelles exigences légales ont également sensibilisé davantage les directions aux risques et à leur maîtrise. De plus en plus, des unités organisationnelles se chargent d'évaluer et d'apprécier les risques et contrôles majeurs alors que cette tâche incombait jadis à l'audit interne. Ce transfert de compétences oblige les auditeurs internes à revoir leur rôle

PricewaterhouseCoopers a demandé à des spécialistes «d'inventorier» les éléments qui influenceront l'audit interne ces cinq prochaines années. Les résultats sont présentés dans l'étude Internal Audit 2012 et sur cette base, PricewaterhouseCoopers a identifié cinq grandes tendances qui se traduiront par des changements de rôle de l'audit interne.

Les marchés en forte expansion et la recherche perpétuelle de possibilités d'optimisation des coûts renforceront encore le phénomène de la mondialisation, doperont les externalisations et accentueront l'offshoring: une série de nouveaux défis pour l'audit interne.

Demain, le rôle de l'audit interne sera surtout façonné par les développements technologiques, les nouvelles réglementations, la gestion des risques, la gouvernance d'entreprise ainsi que les principes éthiques et de conformité.

Le cycle d'audit traditionnel se compose généralement d'une évaluation annuelle des risques, complétée par toute une série d'activités durant l'année. Or l'environnement des risques, sans cesse différent, nécessitera de plus en plus fréquemment une appréciation et une surveillance en temps réel.

Les responsables de l'audit interne ne sont pas certains de pouvoir gérer convenablement les risques stratégiques commerciaux ainsi que les risques liés aux technologies ou à la fraude. Bien que les auditeurs internes, à ce jour, aient d'excellentes connaissances, elles ne suffiront plus face à leurs nouveaux défis. L'audit interne aura besoin de collaborateurs capables d'analyser les mesures qui contribuent à prévenir ou à détecter les cas de fraudes dans des environnements informatiques complexes. Enfin, outre ces compétences techniques, les auditeurs internes devront être à même de communiquer avec les diverses parties prenantes.

Al'avenir, c'est la technologie qui influencera le plus le rôle de l'audit interne, car c'est dans ce domaine que résident les risques les plus importants pour les entreprises.

Afin de traiter ces risques, les auditeurs internes devront de plus en plus recourir à des auxiliaires technologiques tels que les «Computer Assisted Auditing Technologies (CAATs)» et élargir encore leurs connaissances spécialisées à l'aide, par exemple, d'un service d'audit informatique séparé.

Ces tendances ont déjà entraîné des changements pour nombre d'audits internes qui donnent désormais la priorité aux risques et basent les évaluations et contrôles sur les processus de gestion définis par le management. Le graphique illustre cette réorientation. Alors que, longtemps, il a mis l'accent sur les audits axés sur le contrôle, c'est désormais sur un plan d'audit axé sur les risques que reposent ses activités. Les nouvelles tendances montrent que les processus de gestion des risques gagnent en importance et influencent considérablement la planification et l'exécution des travaux de l'audit interne.

Cette réorientation soulève la question des mesures à prendre pour garantir l'efficacité d'un audit interne axé sur les risques.

L'audit interne doit occuper une fonction stratégique qui va bien au-delà du simple rapport présenté au conseil d'administration. L'auditeur interne doit être considéré comme un partenaire stratégique, et sa fonction faire partie intégrante de la politique de gestion de l'entreprise.

L'actualisation permanente d'un plan d'audit stratégique est toujours plus importante. Ce plan doit tenir compte des risques majeurs et des tendances à forte influence sur l'entreprise et le secteur d'activité. Pour obtenir l'orientation souhaitée, le plan doit également définir les objectifs et les mesures nécessaires à leur réalisation.

Une approche axée sur les risques implique non seulement leur vérification et celle des contrôles, mais aussi une surveillance permanente de leur environnement. De plus, le comité d'audit et la direction doivent être informés régulièrement sur l'évolution des risques ainsi que sur les résultats ayant trait aux risques et aux contrôles, obtenus dans le cadre des activités d'audit. La démarche doit également servir à établir un dialogue avec le président du comité d'audit ainsi qu'avec l'auditeur externe. Les évolutions de l'évaluation des risques doivent être intégrées rapidement dans le plan d'audit formel.

Le plan d'audit informatique doit comporter une évaluation annuelle des risques informatiques et tenir compte des risques inhérents aux processus des affaires. Il doit être documenté de manière formelle et adapté à la stratégie et aux objectifs informatiques de l'entreprise. A l'avenir, les contrôles, le traitement des résultats et le reporting se feront principalement de manière automatisée; ils ne se feront plus sur la seule base d'échantillonnages, mais prendront en compte l'intégralité des données.

Une rotation des collaborateurs entre l'audit interne et les autres départements de l'entreprise devrait s'imposer pour que l'audit interne puisse recruter des spécialistes au sein de l'entreprise et offrir des possibilités de carrière supplémentaires.

Enfin, tous les résultats de l'audit doivent être consignés dans une base de données qui devra être accessible à l'audit interne ainsi qu'au management. Un audit interne performant s'engage, en outre, à fournir une qualité dépassant les normes de l'Institute of Internal Auditors (IIA) et dès lors, les prestations de l'audit interne font régulièrement l'objet d'évaluations internes. En outre, des évaluations externes telles que les Quality Assurance Reviews (QAR) contribuent à améliorer constamment la qualité.

PricewaterhouseCoopers a constaté que de nombreux services d'audits internes ont d'ores et déjà identifié cette évolution et commencé à adapter leurs activités. Ainsi: il est constaté un abandon progressif d'une planification et d'une exécution des audits axées sur le contrôle au profit d'une approche ciblant davantage les risques. Désormais, les entreprises doivent promouvoir et renforcer le nouveau rôle de l'audit interne.