Auteur/autrice Moore Sénégal

Introduction

Les nouvelles normes d’audit (publiées en janvier 2024) rappellent la possibilité de recourir à un prestataire externe indépendant de services d’audit interne avec plusieurs formes : l’externalisation totale (sous-traitance) ou partielle (co-sourcing). L’externalisation peut se justifier en cas d’insuffisance des ressources humaines ou de déficit de compétences pour l’audit de sujets complexes ; de même lorsque l’objectivité de l’audit interne est menacée.

Dans quels cas externaliser l’audit interne ?

  • Vous ne disposez pas de service audit interne

En fonction de la taille, du budget et du contexte (remplacement provisoire par exemple de l’auditeur interne), l’entreprise peut recourir à un professionnel de l’audit interne au lieu de recruter. S’il s’agit d’un nouveau service, le professionnel pourra mettre les outils et prérequis en place (charte, manuel d’audit, modèles de documents…) et sensibiliser l’entreprise au rôle de l’auditeur interne. Il va dérouler ses missions comme s’il était en interne.
L’avantage de recourir à un professionnel en l’absence de l’existence d’un responsable d’audit est de doter rapidement la société des fonctions participant à la maîtrise des risques. En fonction de la taille de l’entreprise et des risques, il ne sera pas forcément nécessaire de recruter un auditeur interne à temps plein. L’auditeur interne externalisé interviendra suivant le plan d’audit défini au début de la mission et non de manière permanente. Vous pouvez ainsi optimiser votre budget avec un professionnel expérimenté.

  • Vous souhaitez un accompagnent dans la réalisation des missions d’audit interne

Il peut arriver que l’audit interne ne dispose pas d’assez de ressources pour réaliser les missions et dérouler le plan d’audit (voir notre article sur les pièges à éviter lors de l’élaboration du plan d’audit). Dans ce cas, vous pouvez recruter un professionnel de l’audit interne pour accompagner vos équipes dans la réalisation de missions d’audit. Le professionnel recruté fera partie de l’équipe d’audit et se verra confier des tâches par le responsable de l’audit interne qui supervisera les travaux (ou le chef de la mission).
Le responsable de l’audit interne ou le chef de mission devra s’assurer que les travaux ont été réalisés suivant le programme de travail confié et correctement documentés. Le professionnel recruté devra respecter scrupuleusement les procédures et méthodes de travail de la société.

  • Vous souhaitez confier à un prestataire la réalisation d’une mission spécifique

Le responsable de l’audit interne peut faire appel à un professionnel pour la réalisation de missions d’audit spécifiques pour lesquelles il ne dispose pas de compétences particulières. Il peut s’agir de missions dans les domaines suivants :

  1. Audit du système de management de la sécurité de l’information ;
  2. Audit de conformité à des normes spécifiques (ESG…)
  3. Audit des risques de fraude ;
  4. Audit Qualité Sécurité Environnement (QSE) ;
  5. Audit de la continuité d’activités ;
  6. etc.
  • Lorsque l’objectivité de l’audit interne est menacée

La nouvelle norme 2.3 Signalement des atteintes à l’objectivité stipule que ‘lorsque l’auditeur interne a connaissance d’une situation susceptible d’affecter leur objectivité, il doit en faire part à la hiérarchie.
« Si une atteinte à l’objectivité ne peut être évitée, l’audit interne peut envisager l’externalisation de l’exécution de la mission ou sa supervision »

Quelles sont les modalités d’intervention du prestataire

  • Établir des termes de référence

Pour le recrutement d’un prestataire pour la réalisation de missions d’audit interne, il est impératif que l’entreprise établisse des termes de référence clairs précisant notamment les qualifications requises. Ces qualifications renvoient aux critères essentiels pour un auditeur interne : compétence technique, relationnel, communication… et une bonne connaissance de l’activité de la société serait un plus.

  • Signer un contrat – rôle et responsabilités

Le prestataire recruté pour l’audit interne devra signer un contrat ou lettre de mission avec la société en s’engageant à respecter les normes et le code de déontologie de l’Institut d’Audit Interne (IIA). La lettre de mission doit décrire de manière détaillée les prestations à réaliser et les livrables (plan d’audit, planning mémo, programme de travail, rapport d’audit et de suivi des recommandations, rapport d’activités de l’audit…). Le contrat devra désigner de manière claire l’autorité responsable en charge du suivi de l’audit interne et la durée des prestations.
Le contrat devra définir les responsabilités entre le professionnel et la société en matière d’assurance qualité de l’audit interne.

  • Suivre le déroulement de la mission d’audit

Le prestataire d’audit déroule les missions conformément aux normes internationales d’audit et les bonnes pratiques.

  1. En cas d’externalisation totale, il joue pleinement le rôle d’auditeur interne et suit les étapes de réalisation (plan d’audit basé sur les risques, présentation au Conseil, budget, exécution des missions, rapport et suivi des recommandations…).
  2. En cas de co-traitance ou sous-traitance, le prestataire travaille sous les ordres du responsable de l’audit interne à qui il rapporte ses travaux.
  • Désigner un interlocuteur au sein de votre société

En cas d’externalisation totale de la fonction, le prestataire rapportera à la direction générale et au Conseil d’administration (comme le ferait l’auditeur interne s’il était en place).
En cas de sous-traitance ou co-traitance, le prestataire rapportera au responsable de l’audit interne de la société.

  • Évaluer les prestations du prestataire d’audit interne

Conformément aux normes d’assurance qualité de l’IIA, l’audit interne externalisé doit faire l’objet d’une évaluation interne et externe (tous les cinq ans). L’évaluation interne pourra être effectuée à travers une auto-évaluation alors que l’évaluation externe est réalisée par un cabinet indépendant.
Cette évaluation permet de s’assurer que l’audit interne est conforme aux normes.

En résumé, il est bien possible d’externaliser en totalité ou partiellement la fonction d’audit interne si vous ne disposez pas de service d’audit interne ou si vous souhaitez un accompagnement dans la réalisation des missions d’audit interne (en co-traitance ou en sous-traitance) par des spécialistes d’un domaine particulier (fraude, cybersécurité…). Les normes internationales d’audit le permettent et dans certains contextes même, il peut s’avérer salutaire pour la société dans la perspective d’une meilleure prise en charge de la fonction.

A propos de Moore Sénégal
Moore Sénégal accompagne depuis 15 ans les services d’audit interne de grandes et moyennes entreprises en mettant à disposition les compétences acquises auprès de grands groupes et des outils performants pour la conduite des missions d’audit, respectant l’approche par les risques (charte, manuel d’audit, outils de travail…)