Nous avons proposé récemment nos services d’externalisation de l’audit interne à un chef d’entreprise d’une PME qui m’a regardé avec de grands yeux : comment peut-on externaliser une fonction censée être ‘interne’ ?
Voici pourquoi et comment externaliser totalement ou partiellement la fonction d’audit interne.
Rappels (définition et norme)
« L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour renforcer leur efficacité ».
Les normes d’audit interne édictées par l’Institut d’Audit Interne (The IIA) prévoient le recours à un prestataire externe pour réaliser des missions d’audit interne.
La norme 2070 – Responsabilité de l’organisation en cas de recours à un prestataire externe pour ses activités d’audit interne stipule :
« Lorsque l’audit interne est réalisé par un prestataire de service externe, ce dernier doit avertir l’organisation qu’elle reste responsable du maintien de l’efficacité de cette activité. »
Dans quels cas externaliser l’audit interne ?
Vous ne disposez pas de service audit interne
L’entreprise peut recourir à un professionnel de l’audit interne au lieu de recruter en fonction de la taille, le budget et le contexte (remplacement provisoire par exemple de l’auditeur interne). S’il s’agit d’un nouveau service, le professionnel pourra mettre les outils et prérequis en place (charte, manuel d’audit, modèles de documents…) et sensibiliser l’entreprise au rôle de l’auditeur interne. Il va dérouler ses missions comme s’il était à l’interne.
L’avantage de recourir à un professionnel en l’absence de l’existence d’un responsable d’audit est de doter rapidement la société des fonctions participant à la maîtrise des risques. En fonction de la taille de l’entreprise et des risques, il ne sera pas forcément nécessaire de recruter un auditeur interne à temps plein. L’auditeur interne externalisé interviendra suivant le plan d’audit défini au début de la mission et non de manière permanente. Vous pouvez ainsi optimiser votre budget avec un professionnel expérimenté.
Vous souhaitez un accompagnement dans la réalisation des missions d’audit interne
Il peut arriver que l’audit interne ne dispose pas d’assez de ressources pour réaliser les missions et dérouler le plan d’audit (voir notre article sur les pièges à éviter lors de l’élaboration du plan d’audit). Dans ce cas, vous pouvez recruter un professionnel de l’audit interne pour accompagner vos équipes dans la réalisation de missions d’audit. Le professionnel recruté fera partie de l’équipe d’audit et se verra confier des tâches par le responsable de l’audit interne qui supervisera les travaux (ou le chef de la mission).
Le responsable de l’audit interne ou le chef de mission devra s’assurer que les travaux ont été réalisés suivant le programme de travail confié et correctement documentés. Le professionnel recruté devra respecter scrupuleusement les procédures et méthodes de travail de la société.
Vous souhaitez confier à un prestataire la réalisation d’une mission spécifique
Le responsable de l’audit interne peut faire appel à un professionnel pour la réalisation de missions d’audit spécifiques pour lesquelles il ne dispose pas de compétences particulières. Il peut s’agir de missions dans les domaines suivants :
- système de management de la sécurité de l’information ;
- conformité à des normes spécifiques (ESG…)
- risques de fraude ;
- Qualité Sécurité Environnement (QSE) ;
- continuité d’activités ;
- etc.
Les modalités d’intervention du prestataire
Termes de référence
Pour le recrutement d’un prestataire pour la réalisation de missions d’audit interne, il est impératif que l’entreprise établisse des termes de références claires précisant notamment les qualifications requises ; elles doivent contenir les atouts essentiels pour un auditeur interne : compétence technique, relationnel, communication… et une bonne connaissance de l’activité de la société serait un plus.
Lettre de mission ou contrat – rôle et responsabilités
Le prestataire recruté pour l’audit interne devra signer un contrat ou lettre de mission avec la société en s’engageant en respectant les normes et le code de déontologie de l’Institut d’Audit Interne (IIA). La lettre de mission doit décrire de manière détaillée les prestations à réaliser et les livrables (plan d’audit, planning mémo, programme de travail, rapport d’audit et de suivi des recommandations, rapport d’activités de l’audit…). Le contrat devra désigner de manière claire l’autorité responsable en charge du suivi de l’audit interne et la durée des prestations.
Le contrat devra définir les responsabilités entre le professionnel et la société en matière d’assurance qualité de l’audit interne.
Déroulement de la mission
Le prestataire d’audit déroule les missions conformément aux normes internationales d’audit et les bonnes pratiques. Suivant le périmètre d’intervention :
- en cas d’externalisation totale : il joue pleinement le rôle d’auditeur interne et suit les étapes de réalisation (plan d’audit basé sur les risques, présentation au Conseil, budget, exécution des missions, rapport et suivi des recommandations….)
- en cas de co-traitance ou sous-traitance, le prestataire travaille sous les ordres du responsable de l’audit interne à qui il rapporte ses travaux ;
L’Interlocuteur au sein de votre société
- En cas d’externalisation totale de la fonction, le prestataire rapportera à la direction générale et au Conseil d’administration (comme le ferait l’auditeur interne s’il était en place) ;
- En cas de sous-traitance ou cotraitance, le prestataire rapportera au responsable de l’audit interne de la société.
Évaluation des prestations du prestataire d’audit interne
Conformément aux normes d’assurance qualité de l’IIA, l’audit interne externalisé doit faire l’objet d’une évaluation interne et externe (tous les cinq ans). L’évaluation interne pourra être effectuée à travers une auto-évaluation ; l’évaluation externe est réalisée par un cabinet indépendant.
Cette évaluation permet de s’assurer que l’audit interne est conforme aux normes.
Conclusion
Oui, vous pouvez bien externaliser en totalité ou partiellement la fonction d’audit interne si vous ne disposez pas de service d’audit interne ou si vous souhaitez un accompagnement dans la réalisation des missions d’audit interne (en cotraitance ou en sous-traitance) par des spécialistes d’un domaine particulier (fraude, informatique…). Les normes internationales d’audit le permettent.
