P R I S E D E P O S I T I O N

La gouvernancede l’audit interneau sein des servicesde l’Etat

2

1 Documents sources : prises de position de l’IFACI sur le gouvernement d’entreprise (juillet 2002) et sur le rôle de l’audit interne dansle gouvernement d’entreprise (mai 2009, en partenariat avec l’IFA – Institut Français des Administrateurs).

2 Transposition des normes professionnelles de l’audit interne et bonnes pratiques- Edition spéciale administrations de l’Etat – juillet2011.

P R I S E D E P O S I T I O N

La gouvernancede l’audit interneau sein des servicesde l’Etat 1

Fruits de l’expérience, le code de déontologie et les normes profes-sionnelles internationales de l’audit interne (Les Normes) proposéespar l’IIA (The Institute of Internal Auditors), capitalisent les bonnes

pratiques, exprimées au regard d’une définition précise de l’activité d’auditinterne. Ces exigences visent les organisations, et leurs membres, qui adhè-rent à une telle démarche.

Les travaux du groupe professionnel « administrations de l’Etat » ont concluà l’adéquation des Normes au contexte de l’Etat à quelques aménagementsprès, imposés notamment par la spécificité de ses modalités de gouver-nance comparées à celles du secteur privé. Le document publié en 20112,qui concrétise le résultat de ces travaux, fait l’objet de mises à jour régulièresau fil des évolutions émanant de l’IIA. La récente publication du comitéd’harmonisation d’audit interne (CHAI) qui a dans ses missions de définirle cadre de référence de l’audit interne pour l’administration de l’Etat abou-tit à des résultats similaires.

Conformément à l’article 2 du décret n°2011-775 du 28 juin 2011 relatifà l’audit interne dans l’administration, un comité d’harmonisation del’audit interne (CHAI) a été créé auprès du ministre chargé de laréforme de l’Etat. Il réunit les responsables de l’audit interne danschaque ministère, un représentant du directeur général des financespubliques, un représentant du directeur du budget ainsi que despersonnalités qualifiées désignées par arrêté du Premier ministre.

Le comité d’harmonisation de l’audit interne est chargé d’élabo-rer le cadre de référence de l’audit interne dans l’administrationde l’Etat et de s’assurer de son application. Il harmonise la métho-dologie de travail des ministères en matière d’audit et diffuse en leursein les bonnes pratiques. Le comité d’harmonisation de l’audit internedéveloppe également la méthodologie des audits internes portant surles fonctions transverses.

Il examine chaque année la politique d’audit des départements minis-tériels et formule des recommandations. Il définit et programme lesaudits portant sur les projets et rapports annuels de performance asso-ciés aux programmes ministériels.

3

3 Le terme « inspection » désignera indifféremment dans la suite du document les services d’inspection, d’inspection générale, de contrôlegénéral et de conseil général.

En application du décret n° 2011-775 du 28 juin 2011 relatif à l’audit interne dansl’administration et de la circulaire du Premier ministre n°5540/SG du 30 juin 2011,la mise en place des missions ministérielles d’audit interne (MMAI) et des comités

ministériels d’audit (CMAI) s’achève. La mise en œuvre de cette réforme impacte direc-tement les fonctionnements internes des services d’audit, d’inspection et de contrôlequel qu’en soit le niveau d’intervention (interministériel, ministériel ou infra-ministériel).

La présente prise de position de l’IFACI vise à contribuer aux réflexions en cours au seindes administrations de l’Etat en :

• apportant aux autorités des ministères, au premier chef les ministres et leurs cabinets,aux secrétaires généraux, aux responsables de services d’audit interne et d’inspection3

et à leurs membres, aux membres des CMAI et des MMAI, aux responsables desdirections générales et directions d’administration centrale, des éléments de mise enperspective des modalités souhaitables d’exercice de leurs responsabilités en matièred’audit interne ;

• précisant les rôles possibles de chacun des intervenants à la démarche d’audit internetelle qu’elle peut être mise en œuvre dans les administrations de l’Etat et en les sensi-bilisant à la nature de leurs relations réciproques dans le respect des Normes recon-nues en matière d’audit interne.

1- LE POSITIONNEMENT RESPECTIF DE LA MISSION MINISTÉRIELLED’AUDIT INTERNE ET DU RESPONSABLE DE L’AUDIT INTERNE

La mise en œuvre de l’audit interne relevant des prérogatives de chaque ministre, le posi-tionnement de la MMAI peut différer entre ministères, du fait de la structuration desdispositifs d’inspection et d’audit préexistants et de la volonté, ou non, de distinguer lapratique de l’audit interne du reste des missions relevant des inspections.

Adaptée aux enjeux propres de chaque ministère, en application de la circulaire duPremier ministre précédemment citée, la MMAI peut donc être confiée à :

• « un service préexistant et exerçant d’autres attributions par ailleurs (par exemple un serviced’inspection ou d’inspection générale) ;

• une composante d’un service existant spécialisée dans les fonctions d’audit interne (par exem-ple une cellule d’audit interne au sein d’un service d’inspection ou d’inspection générale) ;

• un service nouveau spécialement créé à cet effet avec un redéploiement de moyens ;

• une structure de coordination regroupant les différents services compétents en matière d’auditinterne ».

La réalité des administrations et de leurs dispositifs de contrôle est un héritage de l’his-toire. Elle est donc diverse et peut tout aussi bien, ici, répondre depuis des années à laplupart des exigences de l’audit, et là, avoir une plus grande marge de progrès. Le décretde juin 2011 laisse avec sagesse à chaque administration le choix du chemin à emprunterpour progresser dans cette voie. Il y manque cependant un élément.

4

En effet, les Normes font porter au responsable de l’audit interne (RAI), la responsabilitégénérale de l’exercice de l’audit interne dans sa structure. Conformément aux exigencesnormatives, il a l’obligation de maintenir les opérations d’audit interne à un niveau quali-tatif satisfaisant et d’appliquer une démarche de progrès continu. La fonction de RAIétant incontournable dans le dispositif internationalement reconnu, la crédibilité externedu système d’audit interne de l’Etat français est suspendue aux conditions d’exercice decette fonction et à leur efficacité. Alors que la liberté d’organisation laissée aux ministèreset les différents modèles qui en ont résulté montrent que les responsabilités en matièred’audit interne peuvent être réparties ou concentrées, la responsabilité de cette fonctionen tant que RAI ministériel doit être identifiée sans ambigüité, quel qu’en soit le ou lesporteurs au sein de chaque ministère.

Selon les modalités prévues par la circulaire pour le positionnement de la MMAI :

• lorsque la MMAI est un service d’inspection ayant une compétence ministérielle, leresponsable de cette mission, qui est de fait le chef du service d’inspection, disposeen général de l’ensemble des compétences exercées par un RAI. La fonction de RAIest dans ce cas concentrée ;

• il en est de même si la MMAI est une composante d’un service d’inspection, oulorsque c’est un nouveau service dédié, qui dispose de l’ensemble des moyens néces-saires pour l’exercice de sa mission ;

• en revanche, les responsabilités sont partagées lorsque la MMAI dispose de moyenslimités ou est uniquement une structure de coordination et doit faire appel à desservices d’inspection ou d’audit pour réaliser les missions d’audit interne. Les chefsd’inspection ou d’audit gardent alors toute latitude dans l’organisation de l’exécutiondes missions relevant de leur périmètre de compétence (lancement des missions, dési-gnation et formation des auditeurs, éventuellement supervision…). A leur côté, laMMAI assure au minimum et de façon distincte la coordination des travaux d'auditinterne ainsi que la définition du plan d'audit ministériel sur la base de son analysefondée sur les risques et la diffusion de bonnes pratiques. Cela ne fait pas du respon-sable de la MMAI un RAI à part entière.

Dans ce contexte, l’IFACI recommande :

• que, la responsabilité de la fonction du RAI étant soit concentrée soit répartie, la fonc-tion de RAI soit explicitement identifiée en tenant compte notamment des respon-sabilités respectives du ou des chefs de service d’inspection et d’audit et duresponsable de la MMAI. A cet égard, la norme 2000 relative à la gestion de l'auditinterne indique que : « le responsable de l’audit interne doit gérer efficacement cette activitéde façon à garantir qu’elle apporte une valeur ajoutée à l’organisation.

Interprétation :L’activité d’audit interne est gérée efficacement quand :- les résultats des travaux de l’audit interne répondent aux objectifs etresponsabilités définis dans la charte d’audit interne ;

- l’audit interne est exercé conformément à la définition de l’audit interne etaux Normes ;

- les membres de l’équipe d’audit agissent en respectant le Code de Déonto-logie et les Normes.

5

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsiqu’à ses parties prenantes) lorsqu’il fournit une assurance objective et perti-nente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus degouvernement d’entreprise, de management des risques et de contrôleinterne ».

Ainsi, la planification des missions, la gestion des compétences, l’organisation et lasupervision des missions, la diffusion des résultats, le suivi des recommandations, ledéveloppement d’une démarche qualité sont autant d’indicateurs possibles duportage de la responsabilité de l’audit interne.

• que le RAI entretienne avec le CMAI des relations transparentes et suivies dansun souci de maîtrise des risques d’atteinte à l’indépendance nécessaire à l’efficacitédu service d’audit interne ;

• que, dans sa mission de participation à la gouvernance, le RAI apporte la compé-tence de l’audit interne à la fois dans une relation directe aux autorités hiérarchiques,notamment les ministres et leurs cabinets, le secrétaire général et les directeurs, etdans une relation indirecte, via le CMAI, faisant état de ses constats et défendant sespropositions aussi bien auprès de ceux qui sont en capacité de les exploiter immé-diatement qu’auprès du CMAI, instance de conseil stratégique en matière de maîtrisedes risques ;

• que la supervision s’exerce dès l’attribution et tout au long de la mission d’auditinterne, selon des modalités tenant compte de l’existant, de l’organisation et de l’ex-périence du personnel ;

• que la coordination de l’audit interne avec l’audit externe ou tout organe decontrôle venant exercer ses missions sur le périmètre ministériel, ou avec les presta-taires externes de services d’assurance et de conseil, soit confiée à un responsableclairement identifié ;

• que les principes ci-dessus puissent être déclinés au niveau infra ministériellorsque des services d’audit interne sont mis en place à ce niveau. Une coordi-nation devra alors être établie par la MMAI entre ces différents services. Eneffet, l’amplitude des champs d’action de certaines directions générales justifie leurbesoin d’avoir leur propre service d’inspection et/ou d’audit, et donc la possibilité dedécliner à leur niveau l’organisation prévue par le décret de juin 2011. Cependant leministre doit pouvoir optimiser l’emploi de sa capacité d’audit ; la recherche d’effica-cité opérationnelle comme celle du progrès technique dans la démarche d’auditsupposent donc un pilotage commun et donc cette coordination.

2- LE RÔLE DU COMITÉ MINISTÉRIEL D’AUDIT INTERNE

La circulaire du Premier ministre, déjà citée, explicite les modalités de mise en œuvre desdispositifs de maîtrise des risques fondés sur le contrôle et l’audit internes dans chaqueministère : « Garant de l’indépendance, du professionnalisme et de l’objectivité des auditeursinternes dans l’exercice de leurs missions d’assurance et de conseil, le comité d’audit interne apour mission de définir la politique d’audit du ministère, de s’assurer de la qualité du dispositifde contrôle interne et de maîtrise des risques, d’approuver le programme des audits ministérielset d’assurer le suivi des actions décidées à l’issue de ces audits ».

Le CMAI a donc vocation à s’assurer, pour le ministre, de l’adaptation au besoin et de laqualité des travaux d’audit interne au profit de l’amélioration de la maîtrise des risques,au service de la gouvernance.

Le comité bénéficie via les missions d’audit interne, d’une évaluation indépendante dudispositif de contrôle interne et de gestion des risques. Le CMAI se prononce sur leniveau de risque acceptable.

Le CMAI doit s’intéresser de façon étendue à l’organisation et à la gestion de la fonctiond’audit interne, au respect des Normes, notamment en ce qui concerne la pertinence duplan annuel d’audit et la vérification de la bonne prise en compte des préconisations. Ilpermet à l’audit interne d’assurer pleinement son rôle de troisième ligne de maîtrise4 del’organisation. Ce faisant, il se place clairement au-delà d’un rôle purement formel quiviserait à valider périodiquement sans examen au fond les activités d’audit interne.

Par ailleurs, la recherche d’efficience de l’organisation peut parfois conduire à trouverdes synergies dans le rapprochement du comité d’audit interne et du comité de maîtrisedes risques, voire dans la constitution d’un comité unique « audit interne et risques ».Toutefois ces évolutions ne doivent pas entraver l’indépendance de la fonction d’auditinterne.

L’IFACI recommande :

• que le CMAI comprenne des membres ayant une véritable indépendance par rapportaux services opérationnels et disposant de compétences reconnues dans le domainede l’audit et dans les champs d’action du ministère et leur environnement ;

• que des comités d’audit interne puissent être créés à des niveaux infra-ministérielssous réserve que de telles instances améliorent significativement l’efficacité del’audit interne dans son ensemble et qu’ils répondent aux mêmes exigences que leCMAI. Une coordination devra alors être établie d’une part entre les Comités desdifférents niveaux, d’autre part, entre les différents services d’audit interne et la MMAI.

• que le comité fonctionne sur la base d’une charte ou d’un règlement intérieurproposé par ses membres et approuvé par les instances dirigeantes de plus hautniveau, précisant de manière claire son rôle et ses modalités de fonctionnement. Ilconviendrait notamment :

- que les critères d’indépendance et de qualification des membres soient forma-lisés ;

- qu’il travaille collégialement au profit du ministre dans une démarche d’amélio-ration de la gouvernance générale du ministère ;

- qu’il s’applique lui-même ce principe en inscrivant ses travaux dans une démarchede progrès fondée sur la revue périodique de ses travaux ;

- qu’il soit vigilant sur l’adéquation de son calendrier avec ceux du ou des comitésen charge des questions relatives à la certification des comptes, de la constructiondu budget, et des risques ;

4 Prise de position IFACI / AMRAE « Trois lignes de maîtrise pour une meilleure performance – Fiabiliser la stratégie par une gestionorganisée des risques ». La première ligne de maîtrise des activités est constituée par les managers opérationnels, responsables de l’éva-luation et de la diminution des risques, notamment par la mise en œuvre d’un dispositif de contrôle adéquat, portant sur les processusdont ils ont la charge. La deuxième ligne de maîtrise est constituée des services fonctionnels responsables de domaines d’expertise etdes fonctions dédiées à l’animation du dispositif global de maîtrise des risques. En tant que troisième ligne de maîtrise des activités,une fonction d’audit interne indépendante et rattachée au plus haut niveau de l’organisation fournit, à travers une approche fondéesur le risque, une assurance globale aux instances de surveillance et à la direction générale de l’organisation. Pour en savoir plus

6

- qu’il assure le suivi de l’efficacité des dispositifs de contrôle interne ;

- qu’il s’assure de l’efficacité des dispositions prises pour maîtriser les risques, enliaison avec le ou les comités des risques ;

- que le comité dispose des informations nécessaires à l’exercice de sa missionconcernant les dispositifs de contrôle interne, notamment s’agissant de leurconception et de leur efficacité ;

- que le comité communique ses propres avis au plus haut niveau de l’organisationet en assure le suivi.

• que dans sa relation avec le ou les RAI, le comité soit attentif à l’efficience du dispo-sitif en :

- garantissant l’indépendance de l’audit interne et en s’assurant périodiquementde son bon fonctionnement, notamment en associant le ou les RAI et le respon-sable de la MMAI de façon permanente ou périodique à ses réunions ;

- s’assurant de la qualité et de la cohérence générale des travaux d’audit, du main-tien de l’indépendance des auditeurs et de l’absence de conflits d’intérêt, enfin,de la qualité de son lien avec les instances dirigeantes ;

- étant informé des questions de nomination du ou des RAI et du responsable dela MMAI, en étant associé à leur évaluation, en étant consulté dans des situationsexceptionnelles (révocation) et en explorant systématiquement les causes dedémission ;

- étant tenu informé des zones de risques non couvertes que l’AI a lui-même iden-tifiées ;

- examinant et en approuvant :- les documents formalisant l’organisation générale de l’audit interne, en parti-culier la charte de l’audit interne ;

- le plan d’audit interne adossé à l’analyse des risques, en s’assurant notam-ment qu’il couvre les risques majeurs identifiés de façon adéquate ;

- étant tenu informé de la réalisation de missions non planifiées (notammentcelles répondant aux demandes des autorités hiérarchiques) ;

- demandant au(x) RAI la réalisation de missions spécifiques, notamment concer-nant les processus de gouvernance, et en en informant les instances dirigeanteset le responsable de la MMAI lorsque celui-ci n’est pas RAI ;

- évaluant l’impact de la non réalisation de certaines missions prévues au plan d’au-dit et de l’introduction de missions non planifiées, afin de générer un effetvertueux sur l’emploi de la ressource d’audit ;

- disposant de manière régulière de l’évaluation, par l’audit interne de la démarchede cartographie des risques de l’organisation ;

- se fondant notamment sur la cartographie des risques établie et maintenue par legestionnaire des risques, pour élaborer une vision cyclique des audits, révélant lesdomaines couverts et non couverts par le plan d’audit sur plusieurs années ;

- s’assurant que l’audit interne dispose des moyens appropriés à la bonne exécu-tion de ses missions. Qu’il s’informe notamment de la composition et s’assure duprofessionnalisme du ou des service(s) d’audit interne comme de l’utilisationadéquate de ses (ou de leurs) ressources lors des missions et de leur facilité d’accèsaux informations ;

7

© IFACI – Paris – mai 2014

ISBN : 978-2-915042-62-7

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayantsdroits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction,par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.

Réalisation : Ebzone Communication (www.ebzone.fr) - Crédit photo : © vege - Fotolia.com

- facilitant le dialogue entre un service d’audit et une direction, notamment lorsquele RAI considère que la direction accepte un niveau de risque qui pourrait s’avérerinacceptable pour l’organisation ;

- recevant régulièrement des informations sur l’activité du (ou des) service(s)d’audit interne :- suivi de la réalisation du plan d’audit interne ; - information sur la nature des missions (assurance, conseil) ; - principales conclusions des missions, sous la forme des rapports de synthèsedes missions d’audit interne ou d’une synthèse périodique de ces rapports et,à sa demande, le rapport lui-même ;

- suivi de la mise en œuvre des actions correctives en exécution des préconisa-tions des missions d’audit interne ;

- indications de non-conformités ou de conformité vis-à-vis des Normes…

- s’assurant que les préconisations prioritaires, a fortiori d’intérêt stratégique, résul-tant de l’audit interne, ont bien été prises en compte par les autorités hiérar-chiques ;

- s’assurant de l’efficacité de la coordination et de l’interaction entre l’audit interneet l’audit externe, notamment quant au calendrier du certificateur des comptes del’Etat.

• que, à l’occasion des exercices périodiques d’évaluation de l’audit interne, le comité :

- soit associé à l’examen de la pertinence de la méthode d’évaluation de l’auditinterne, plusieurs types d’évaluation pouvant être mis en œuvre : l’auto-évalua-tion, la revue réciproque par des pairs, l’auto-évaluation suivie d’une validationindépendante, l’évaluation externe indépendante et la certification externe par unorgane indépendant ;

- reçoive communication des résultats de ces évaluations et les commentairesappropriés ;

- apprécie le degré d’assurance sur la qualité du ou des services d’audit interneafin de déterminer avec les instances dirigeantes et le RAI les suites à donner auxévaluations.

• que le CMAI soit régulièrement informé des décisions du CHAI, par le représentantministériel membre du CHAI, des évaluations des politiques d’audit ministériellesspécifiquement conduites ou commanditées par ce dernier, des travaux que mènentses différents groupes de travail et, le cas échéant, des points saillants relevés dansles comités d’audit interne des autres ministères sur les sujets qui le concernent.

Remerciements :L’IFACI tient à remercier les membres du groupe professionnel « Administrations del’Etat » qui ont initié et activement participé à la rédaction de cette prise de position ainsique le Comité de lecture pour ses avis éclairés.

8