Identifier le risque d'audit
L'audit, comme toute activité, n'est pas exempt de risque. L'auditeur peut se tromper, être mal préparé, ne pas détenir les compétences et les connaissances requises, ne pas respecter les impératifs déontologiques en matière d'objectivité et d'indépendance, ne pas disposer du temps nécessaire à la réalisation de ses travaux,...Le risque d'audit a des sources multiples et par nature il est incertain, avec pour conséquence la formulation par les auditeurs de conclusions et de recommandations inappropriées. Maîtriser leur métier obligent ainsi les auditeurs à s'appliquer à eux-mêmes ce qu'il recommande aux directions auditées, soit d'engager et de maintenir un système de management des risques les concernant. Cette précaution s'appuie, comme pour toute fonction de l'organisation, sur l'identification des évènements générateurs de risque. Pour réaliser cet exercice, les auditeurs analyseront les processus les conduisant d'un constat à une conclusion et le cas échéant à une recommandation. Cependant, afin de mieux cerner encore le risque d'audit, une démarche complémentaire peut être engagée. Celle-ci consiste à identifier les points générateurs de risque à partir des composantes structurant le métier d'audit : le diagnostic et le traitement.
Les sources du risque d'audit en matière de diagnostic
Auditer, c'est évaluer, donc diagnostiquer. Pour toute évaluation, le risque est d'apprécier un objet, une situation, une organisation, de façon décalée avec la réalité. Le diagnostic peut conduire un auditeur à dire ce qui n'est pas et ainsi conclure de manière inadéquate, ceci principalement pour les raisons suivantes :
- déficit de connaissances et de compétences chez les auditeurs au regard de la complexité et de la technicité du sujet audité ;
- absence de référentiel, donc de repère, pour porter une appréciation sur base des constats faits ;
- imperfection des méthodes employées pour la collecte d'éléments factuels en vue de réaliser un « état des lieux », notamment en l'absence de confirmation des informations recensées auprès des personnes concernées ;
- insuffisance du temps imparti pour cerner la totalité du sujet audité, ou à tout le moins l'essentiel ;
- altération de l'objectivité de l'auditeur compte tenu du parti pris qu'il exprime vis à vis de la structure auditée ou à l'égard d'un ou plusieurs collaborateurs.
Les sources du risque d'audit en matière de traitement
Un bon diagnostic ne garantit pas un traitement approprié. L'auditeur peut en effet proposer un plan d'action qui ne réduit pas les causes des défauts relevés alors même que les dysfonctionnements ont été correctement constatés. Cette discordance entre le diagnostic et le traitement s'explique par des erreurs méthodologiques de l'auditeur dont les principales manifestations sont les suivantes :
- recommandation traitant la conséquence et non la cause du l'insuffisance relevée, ceci traduisant un manque de projection de la part de l'auditeur qui résout une situation donnée à un moment donné au lieu de proposer un ajustement des dispositifs existant pour prévenir les erreurs et autres anomalies ;
- non prise en compte des projets décidés par la structure auditée rendant caduc le traitement recommandé une fois les évolutions anticipées devenues effectives, comme par exemple la cas où l'auditeur préconise des modifications opérationnelles d'importance concernant un outil, lequel est voué à disparaître prochainement suite à une migration informatique engagée ;
- manque d'objectivité de l'auditeur qui disproportionne le plan d'action au regard des enjeux ou des moyens en présence pour nuire au métier audité, en lui recommandant sciemment e qu'il n'est pas en mesure de réaliser ;
- inflexibilité de l'auditeur qui s'appuyant sur un référentiel fait totalement abstraction du contexte et de l'environnement concernant l'entité auditée, lorsqu'il est recommandé par exemple une séparation des fonctions comme préconisée par le COSO alors que le métier audité emploie une seule personne...
Une fois identifiés les éléments générateurs de risque tant pour la diagnostic que pour le traitement, il convient pour l'audit de les cartographier, de les mesurer, de déterminer les dispositifs à mettre en place pour leur couverture. En somme, de s'appliquer à soi-même ce que l'on demande aux autres !
A découvrir également :
Laissez un commentaire ou contactez-moi pour toute question ou renseignement sur les formations à distance :