Accéder au contenu principal

L'audit interne public

 Article publié en 2014 dans le numéro 148 de la revue française d'administration publique et disponible sur le site cairns 

 

Résumé : Le 29 janvier 2013, un colloque à la Cour des comptes a fait le point sur  la mise en place de l’audit interne dans l’administration dans un contexte marqué par la mise en œuvre de la mission d’assistance au Parlement de la Cour des comptes dans l’évaluation des politiques publiques. Le décret du 28 juin 2011 consacre la professionnalisation de la démarche d’audit interne public (par les normes, la formation, le recrutement, l’évaluation externe). Elle doit être complétée par une collaboration étroite entre audit interne, audit externe et comité d’audit grâce à des outils spécifiques et à l’échange des documents de travail.

 

*

*   *

 

Cet article fait suite au colloque organisé par le club comptable des juridictions financières sur l’audit interne dans le secteur public qui s’est tenu le 29 janvier 2013 à la Cour des comptes.

Ouvert par Didier Migaud, Premier président de la Cour des comptes et conclu par Gilles Johanet, Procureur général, ce colloque a réuni 220 participants, parmi lesquels les auditeurs internes du secteur public.

Dans une première partie du colloque animée par Louis Vaurs, président d’honneur de l’Institut Français de l’Audit et du Contrôle Internes (IFACI), les conditions du succès de l’audit interne dans le secteur public ont été présentées par les représentants des ministères et organismes publics qui l’ont mis en place : le général de Villiers (major général des armées), Jean-François Monteils et Hervé Toro (représentants la fonction d’audit interne au ministère de l’écologie, du développement durable, des transports et du logement), Michel Bilis (Directeur de l’inspection et de l’audit à l’Assistance Publique - Hôpitaux de Paris),  Philip Dane (Inspecteur général des finances et Vice-Président du comité d’harmonisation de l’audit interne de l’Etat), Jérôme FILIPPINI (Secrétaire Général pour la Modernisation de l’Action publique) et Sylvette TOCHE (Directrice de l’audit interne d’Aéroports de Paris).

Au cours de la deuxième partie du colloque animée par François-Roger Cazala, conseiller maître à la Cour des comptes, la qualité du dialogue entre auditeurs internes et auditeurs externes dans le secteur public et le secteur privé a été présentée par William NAHUM (Président de l'Académie des sciences et techniques comptables et financières), Catherine PERIN (conseiller-maître à la Cour des comptes), Raymond Marfaing (Directeur Adjoint de la Direction de l’Audit et des Risques de la SNCF), René-Marc Viala (Contrôleur général, Service du Contrôle général économique et financier) et Dominique Pannier, (conseiller-maître à la Cour des comptes, directeur de l’audit interne et de l’évaluation de l’OCDE).

 

I  -  Le contexte de l’audit interne dans le secteur public

La définition de l’audit interne applicable dans l’administration

Pour le secteur privé, la définition qui fait référence est celle fixée par l’IIA (The institue of Internal Auditors) en juin 1999 : « L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer son efficacité ».

 

Les autres définitions plus récentes de l’audit interne que l’on peut trouver sont notamment celle de l’Autorité des marchés financiers (AMF) inspirées largement des définitions de la Banque des règlements internationaux (BRI), dans son document “Cadre pour les systèmes de contrôle interne dans les organisations bancaires“ et du COSO (Committee Of Sponsoring Organizations of the Treadway Commission) ou, dans le monde public, celle de l’Union européenne arrêtée dans l'avis de la Cour européenne des Comptes sur le "Contrôle unique[1]. Ces définitions confirment les traits saillants de la définition de l’IIA :

-          La recherche d’indépendance et d’objectivité ;

-          Le rôle de supervision et d’évaluation du contrôle interne (à savoir la structure organisationnelle, les méthodes et les procédures) et de la maîtrise des risques ;

-          Le rôle de proposition et de conseils aux dirigeants ;

-          La différence avec l’audit externe placé en dehors de l’organisation.

L’article 1 du décret du 28 juin 2011 unifiant et généralisant la fonction d’audit interne dans l’Etat reprend ces caractéristiques : « Dans chaque ministère, un dispositif de contrôle et d'audit internes, adapté aux missions et à la structure des services et visant à assurer la maîtrise des risques liés à la gestion des politiques publiques dont ces services ont la charge, est mis en œuvre.

Le contrôle interne est l'ensemble des dispositifs formalisés et permanents décidés par chaque ministre, mis en œuvre par les responsables de tous les niveaux, sous la coordination du secrétaire général du département ministériel, qui visent à maîtriser les risques liés à la réalisation des objectifs de chaque ministère…

L'audit interne est une activité exercée de manière indépendante et objective qui donne à chaque ministre une assurance sur le degré de maîtrise de ses opérations et lui apporte ses conseils pour l'améliorer. L'audit interne s'assure ainsi que les dispositifs de contrôle interne sont efficaces ».

 

Le poids des normes internationales d’audit interne

Depuis plusieurs décennies, les entreprises privées mettent en place et renforcent leurs structures d’audit interne en s’appuyant sur les normes internationales d’audit interne de l’IIA.

Ces normes sont publiées en langue française par l’IFACI (Institut français de l’audit et du contrôle internes) et se divisent en cinq parties : le code déontologie, les normes de qualification (série 1000), les normes de fonctionnement (série 2000), les normes de mise en œuvre (série 1000 ou 2000) et les modalités pratiques d’application ou MPA (Renard, 2011, 92). Elles sont compilées par ailleurs par l’IFACI dans un manuel d’audit interne comprenant des études de cas.

Ces normes ont fait l’objet d’un travail de transposition et d’adaptation aux spécificités des administrations de l’Etat par un groupe de travail de l’IFACI. Ce document de référence[2], réalisé par des praticiens de l’audit dans le cadre de l’Etat, a pour ambition de faire connaître les bonnes pratiques de professionnalisation de l’audit interne public et de les adapter aux particularités des administrations de l’Etat (vocabulaire, gouvernance).

 

La LOLF

Dans les organismes publics, la démarche de performance, particulièrement en France, est encore récente et la réflexion n’a véritablement démarré qu’avec la loi organique relative aux lois de finances (LOLF), promulguée le 1er août 2001 et appliquée pour la première fois au budget de l’Etat de l’exercice 2006.

La loi organique est une adaptation aux spécificités françaises des réformes intervenues dans la plupart des autres pays de l’OCDE, théorisées par l’Ecole de « la nouvelle gestion publique »(Ferlie, 1996, 143) et consistant à favoriser la responsabilisation des manageurs (accountability).

La loi organique entendait, selon son exposé des motifs, doter les dirigeants publics «  de nouveaux outils de gestion » … « en vue d’améliorer les résultats de la gestion publique, en termes d’efficience, d’efficacité et de qualité de service rendu au citoyen ».

L’audit interne, dont le mot ne figure pas en tant que tel dans la LOLF, faisait partie implicitement de ces nouveaux outils de gestion qui devait améliorer la gestion publique.

 

La réduction des dépenses publiques

L’entreprise de maîtrise des dépenses publiques qui s’amplifie, avec l’engagement de la France auprès de l’Union européenne d'un retour à l'équilibre structurel en 2017, soit l'effort budgétaire le plus important réalisé depuis 30 ans, comme l’exigence croissante de nos concitoyens quant à la performance de l’action publique, devront conduire les administrations à rechercher toujours davantage de gains d’efficience et à améliorer la qualité de leur action. Cet effort suppose le regard d’un auditeur externe, celui de la Cour des comptes - évaluateur des politiques publiques – en application des dispositions constitutionnelles. Cela suppose également que les administrations soient elles-mêmes en mesure d’identifier les gains de productivité qu’elles peuvent réaliser en s’appuyant sur des outils d’objectivisation de leurs besoins en ressources. Les cellules de contrôle de gestion, qui fournissent les tableaux de bord, notamment ceux permettant de comparer les indicateurs de performance et les coûts dans les différents services déconcentrés de l’Etat, jouent évidemment un rôle central.

L’audit interne, qui complète l’analyse des résultats du contrôle de gestion par une analyse des risques est également un outil complémentaire dans la démarche d’amélioration de l’efficacité, de l’efficience et de la qualité de l’action publique.

Un des enseignements tirés de la révision générale des politiques publiques (RGPP) qui a abouti à une réduction de 15 milliards d’euros de dépenses sur la période 2009-2013 et une réduction des emplois de 5,4%, est la nécessité d’impliquer davantage les ministères dans ces réorganisations, notamment via leurs auditeurs internes[3]. Leur implication ira croissante dans la modernisation de l’Etat qui se concrétise désormais par des programmes ministériels de modernisation et de simplification (PMMS) commandés par une circulaire du Premier ministre du 7 janvier 2013 et devant couvrir la période 2013-2015.

Le développement de l’audit interne s’inscrit par ailleurs dans le cadre d’une évolution des modes de contrôle dans les administrations : la disparition progressive des contrôles ex ante au profit des contrôles et évaluations ex poste.

La mise en place de l’audit interne dans le secteur public est très récente et s’effectue de manière plus ou moins rapide et plus ou moins formalisée. Avant 2011, l’expérience d’une pratique structurée de l’audit interne n’existait que dans des domaines spécifiques, notamment les politiques communautaires (PAC et fonds structurels), la certification des comptes publiques prévue par la LOLF et certaines structures publiques, en particulier de grande taille et de gestion complexe, telles qu’Aéroports de Paris ou l’Assistance publique – Hôpitaux de Paris. Dans l’Etat à proprement parler, d’autres initiatives existaient et se présentaient sous des formes juridiques variées, s’appuyant à des degrés divers sur les inspections ministérielles ou interministérielles compétentes.

Toutefois, c’est bien l’audit interne comptable qui constitue à ce jour l’avancée la plus significative de mise en place de l’audit interne dans l’Etat. Cette introduction de l’audit interne s’est réalisée dans le sillage du passage de l’Etat en comptabilité générale en droits constatés introduite par l’article 30 de la LOLF en complément de sa comptabilité budgétaire séculaire. Cette mutation comptable, qui devait être établie et contrôlée selon des normes comptables applicables aux entreprises, sous réserve des spécificités liées à l’action publique, avait besoin pour aboutir d’un audit interne et d’un audit externe renforcés.

Cet encadrement était d’autant plus nécessaire que le seul référentiel comptable public existant au niveau international, celui des normes l’International Public Sector Accouting Standards (IPSAS) Board dépendant de l’International Federation of Accoutants (IFAC), présente des lacunes majeures qui ne lui permet pas d’être un référentiel adapté aux objectifs et aux utilisateurs des états financiers du secteur public non marchand.

C’est pourquoi, l’édifice de contrôle interne et de cartographie des risques des comptes, promu, sur un plan méthodologique et technique par la mission doctrine comptable et contrôle interne comptable (MDCCIC) de la direction générale des finances publiques (Caels, 2013, 39), est couronné par la Cour des comptes qui exerce, par la certification annuelle des comptes de l’Etat, la mission d’auditeur externe.

Depuis l’origine des travaux de certification, la Cour des comptes, en sa qualité de certificateur, a assorti son opinion sur les comptes de l’Etat d’une réserve « substantielle » sur les insuffisances du contrôle interne dans les administrations d’Etat, et notamment à ce titre l’inexistence ou l’existence lacunaire de dispositifs d’audit interne à la fois dans les administrations d’État et dans celles du régime général de sécurité sociale. Le nombre des services d’audit interne dont la Cour est en mesure d’utiliser les travaux, conformément aux dispositions de la norme internationale d’audit ISA 610, reste encore limité. L’approche par les risques et l’utilisation de l’audit interne constitueront aussi une des composantes-clefs de la qualité comptable pour les prochaines missions de certification dans les établissements hospitaliers puis, si les expérimentations sont concluantes, dans les collectivités locales.

L’audit interne s’est donc introduit dans les préoccupations des administrations publiques, non par nécessité d’optimiser les fonctions métier, mais pour s’adapter à la certification des comptes de l’Etat par la Cour. Or, les normes internationales indiquent clairement que le champ d’investigation de l’audit interne ne peut se réduire à la qualité comptable. Par ailleurs, sans minimiser l’intérêt de l’audit comptable et financier, c’est dans les domaines des risques métiers, notamment les problématiques de stratégie, d’organisation, et de fonctions support, que se situent aujourd’hui les plus grands enjeux de politique publique.

 

Le décret du 28 juin 2011

Le décret du 28 juin 2011 relatif à l’audit interne, précisé par une circulaire du Premier ministre du 30 juin 2011, marque une rupture par rapport aux initiatives antérieures d’audit interne métiers dans l’administration. Il crée un dispositif unifié et harmonisé en cinq volets :

a/ 11 missions ministérielles d’audit interne (MMAI) compétentes pour l’ensemble des métiers et fonctions. Elles doivent donner à leur ministre l’assurance que les dispositifs de contrôle interne sont efficaces, c’est-à-dire qu’ils contribuent à maîtriser les risques dans la gestion des politiques publiques, et lui apporter des conseils pour améliorer ces dispositifs.

b/ Les responsables d’audit interne (RAI), conformément aux normes professionnelles, doivent mettre en place un programme d’assurance et d’amélioration qualité.

c/ Un comité ministériel d’audit interne (CMAI), présidé par le ministre. Le décret du 28 juin 2011 structure la fonction d’audit interne de l’État en faisant ainsi le choix d’une organisation par ministère, dans laquelle le dispositif est fait par les ministres et pour les ministres, en vue d’assurer la maîtrise des risques liés à la gestion des politiques publiques dont ils ont la charge.

d/ Un comité d’harmonisation de l’audit interne (CHAI), mis en place en avril 2012, chargé de structurer et coordonner les acteurs ministériels de première et de deuxième ligne que sont les RAI, les MMAI et les CMAI. Le CHAI rassemble les représentants des MMAI, ceux de la direction du Budget et de la direction générale des finances publiques, et 3 personnalités qualifiées, le président étant le ministre chargé de la réforme de l’État. Grâce à des auditeurs mis à disposition par les ministères, le CHAI doit définir et faire vivre le cadre de référence, notamment dans les domaines d’intérêt commun, comme les fonctions transverses ou les missions menées conjointement par plusieurs ministères (formes d’organisation, enjeux d’indépendance et de positionnement, méthodologie et doctrine harmonisée, site Extranet interministériel), animer la communauté des auditeurs en organisant des groupes de travail et examiner « chaque année la politique d’audit des départements ministériels et formule(r) des recommandations ». A ce titre, un corpus de normes et de règles interministérielles applicables en matière d’audit a été adopté lors de la réunion du CHAI du 27 juin 2013.

e/ Un comité d’audit interne et une mission d’audit interne auprès du Premier ministre, afin que la fonction soit rattachée au plus haut niveau de l’Etat (arrêté du 9 mai 2012).

Les comités ministériels d’audit interne et les missions ministérielles d’audit interne ont été fondés réglementairement et sont mis en place au cours de 2012 et 2013.

 

 

II  -  Les conditions de succès d’une professionnalisation de l’audit interne dans le secteur public

La maîtrise des techniques d’audit interne, c’est-à-dire la professionnalisation de la démarche, s’avère de plus en plus nécessaire au fur et à mesure que le champ de compétence de l’audit interne s’étend au-delà de la sphère comptable et a donc vocation à concerner tous les agents publics, soit comme auditeurs soit comme audités. Maîtriser certains risques dès le démarrage de la démarche, s’appuyer sur les institutions existantes et se soumettre à des évaluations externes sont les conditions du succès.

 

 

Les risques lors de la mise en œuvre de l’audit interne dans le secteur public

 

Les décideurs publics ont à cœur de profiter de la mise en place tardive de l’audit interne dans les administrations pour conjurer certains travers de cette fonction qui peuvent apparaître si on ne met pas en place les garde-fous nécessaires.

a) Le risque de l’exploitation des résultats

La spécificité de l’audit dans le secteur public se manifeste moins par les techniques utilisées que par les particularités propres aux administrations et établissements publics (Visscher, 2002, 73). Même si l’action politique consiste par nature à maîtriser les risques (75% des réunions au niveau des cabinets ministériels sont des réunions d’analyse des risques), l’un des principaux défis de l’audit interne dans la sphère publique est l’exploitation des résultats. L’urgence de l’action politique, en prise avec l’actualité médiatique, fait peser un risque sur l’indisponibilité des décideurs publics à exploiter sur le long terme les résultats des audits. Avant tout instrument du management, l’audit interne doit d’abord disposer d’un soutien hiérarchique sans faille  pour se faire accepter par les équipes métiers.

L’exemple donné par le centre d’audit des armées (C2A), créé en 2011, est éclairant à cet égard. Cet opérateur d’une quarantaine de personnes au service du chef d’Etat-major des Armées a été confronté à une transformation d’ampleur inédite depuis 50 ans (54 000 emplois supprimés entre 2008 et 2015) dans  un contexte de forte sollicitation opérationnelle des Armées au niveau national mais surtout international, en Libye, en Afghanistan, en Côte d’Ivoire, ou plus récemment au Mali. La cartographie des risques désigne, sur plus de 300 risques répertoriés (équipements, ressources humaines, maintien en condition opérationnelle, etc.) ceux qui sont susceptibles d’empêcher la réalisation des objectifs stratégiques des armées.Dans ce contexte, l’audit interne est utilisé comme un outil opérationnel de management facilitant la prise de décision. L’audit interne permet en permanence aux chefs d’état-major de vérifier l’application et la pertinence de leurs directives et de contrôler l’aptitude opérationnelle humaine au combat (moral, discipline …).

 

b) Le risque de l’excès de contrôle

La loi fédérale américaine de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs dite loi SarbanES-Oxley, dont est inspirée en France la loi de sécurité financière[4], a montré l’ampleur des coûts que peut engendrer la mise en place d’un nouveau dispositif de maîtrise des risques.

C’est pourquoi, les missions d’audit doivent être  définies et programmées de manière à être proportionnées aux enjeux et ciblées sur les vraies zones de risques. Il s’agit d’éviter le contrôle excessif ou « surcontrôle » qui ajouterait une couche de plus dans le « mille-feuilles » déjà épais des contrôles administratifs.

L’objectif de la mise en place de l’audit interne est l’accès à une nouvelle culture de maîtrise du risque, qui permet de réagir plus vite, de prévenir plutôt que de guérir, pas de susciter une culture de peur du risque qui conduit à la paralysie. C’est dans cet esprit que le CHAI a été placé sous la présidence du ministre de la réforme de l’État, comme un outil contribuant à la modernisation et à la dynamisation de l’action publique.

 

c) Le risque technocratique

Le risque du nombrilisme technocratique se manifeste lorsque l’audit fonctionne trop « en interne », et pour les initiés. Il y a une tendance naturelle des nouveaux auditeurs à se focaliser sur les apprentissages qu’ils ont à faire, et sur les exigences des organismes extérieurs qui viendront les évaluer. Avec le nouvel essor de l’audit interne dans l’administration, il y a un risque de perdre de vue l’objectif majeur poursuivi, l’amélioration de la gestion publique, et de s’égarer dans un formalisme excessif et stérile.

Les travaux doivent être parlants, non seulement pour les auditeurs et pour leurs évaluateurs externes, mais aussi pour les audités responsables opérationnels qui font fonctionner l’administration.

C’est pourquoi, les missions d’audit interne doivent disposer de personnels formés au métier d’auditeur mais également des collaborateurs maîtrisant l’ensemble des processus métiers. C’est tout l’enjeu de construire un audit professionnel, sans avoir pour autant des auditeurs de carrière. Les administrations recherchent donc une diversité des profils recrutés, des expériences, des légitimités métiers et opérationnelles. Cette mixité suppose une politique de recrutement, de formation et de gestion des carrières adaptée.

Pour garantir la compétence de ces équipes mixtes, certains ministères, comme la Défense, misent sur la spécialisation temporaire, pour une durée variable, notamment en fonction de la technicité du sujet (plus longue pour l’audit comptable) et sur l’alternance des fonctions d’audit et des fonctions opérationnelles. L’audit doit constituer une étape valorisante dans un parcours d’excellence dans le cadre d’un suivi des hauts potentiels.

La préoccupation métiers peut prendre d’autres formes comme dans les hôpitaux publics, qui se sont engagés sur la voie de l’audit interne en commençant par les fonctions métiers à travers la procédure de certification des établissements, pilotée par la Haute Autorité de Santé (HAS).

 

A la suite de cet exercice, l’Assistance Publique-Hôpitaux de Paris (AP-HP) s’est structurée autour d’une direction de l’inspection et de l’audit interne (rattachée à la Direction générale) composée de professionnels (directeurs d’hôpitaux, cadre de soins, médecins) formés à l’audit, d’un comité d’audit et d’un programme annuel d’audits qui portent sur l’organisation des soins, les procédures de gestion administratives, logistiques et techniques (l’organisation des services d’urgences, les procédures d’achats, les dispositifs de gestion des risques, les pratiques associatives, etc….). Ce n’est que dans un deuxième temps que l’audit interne se prépare à la certification des comptes (comptes 2014 examinés en 2015).

 

d) Le risque individualiste

Du fait de la nature de leur activité, les auditeurs internes sont des experts indépendants et « tournent », souvent en binôme mais aussi parfois seuls, la plupart du temps sur le terrain. Le risque est la constitution d’une culture très individualiste, avec des conceptions et des habitudes de travail que l’on pourrait comparer à celles d’un artisan, au sens le plus noble du terme, mais aussi avec ses conséquences, chacun faisant un peu à sa manière, chacun étant d’ailleurs persuadé d’appliquer de manière rigoureuse les normes de la profession. Leur coordination et leur rattachement aux objectifs de l’organisation doivent sans cesse être maintenus.

 

 

Le choix des inspections d’Etat pour mettre en place l’audit interne dans les services publics

 

En matière d’audit, l’Etat fait preuve d’un certain pragmatisme en confiant la mission à des institutions existantes. L’audit interne a ainsi été confié aux inspections ministérielles selon les conditions fixées par la circulaire du 30 juin 2011 précitée.

Un parallèle peut être fait avec la Cour des comptes, lorsque l’article L. 111-3-1-1 du code des juridictions financières lui a attribué une mission qui n’existait pas précédemment dans l’Etat, celle relative à la qualité des comptes publics de l’Etat et du régime général de la sécurité sociale. Plutôt que de créer une nouvelle structure, le législateur a préféré confier cette mission à une institution ancienne afin de pouvoir s’appuyer et capitaliser sur une expérience.

De nombreuses raisons ont conduit pareillement l’Etat à créer les missions d’audit interne au sein des inspections ministérielles. D’abord, ces inspections comme l’audit sont des activités de contrôle exercées par des agents de haut niveau qui n’exercent pas de fonction opérationnelle. Ensuite, les membres des corps d’inspection évoluent depuis toujours dans un corpus de textes, de traditions et de déontologie, déjà imprégnés, comme les normes internationales d’audit, de règles d’intégrité, d’indépendance et d’objectivité dans les comportements et de rigueur et de compétence dans les travaux garantissant la crédibilité des productions : constats et recommandations. Enfin, le positionnement ministériel et hiérarchique des corps ou services de contrôle est un atout pour la mise en place de l’audit interne. Il vaut mieux avoir des acteurs visibles pour un changement culturel.

Ces atouts des corps d’inspection ne les exonèrent pas, pour faire monter en puissance l’audit interne, d’un effort de professionnalisation. L’écueil à éviter serait de penser que les corps d’inspection peuvent s’en affranchir, en raison d’un recrutement majoritaire en fin de carrière ou en raison d’une tradition de fonctionnement s’appuyant largement sur l’expérience et l’intuition (le flair). La condition d’appartenance au corps n’est pas une garantie suffisante de compétence en matière d’audit interne.

Contrairement à leurs autres missions, un corps d’inspection ou de contrôle ne peut exercer une activité réelle d’audit interne qu’en professionnalisant son personnel et en appliquant une méthodologie internationalement reconnue par des normes.

En ce qui concerne la formation, les normes prévoient que les auditeurs, pour se voir confier des missions d’audit interne doivent non seulement justifier des formations initiales ad hoc leur conférant cette qualification, mais aussi d'assurer le maintien de cette compétence par des compléments réguliers ou expériences s’ils sont certifiés. Ce parcours d’excellence constitue un investissement de ressources humaines lourd dans le contexte actuel de réduction du personnel (ex : une centaine de professionnels ont été formés en 2011 et 2012 à l’audit interne par l’AP-HP).

En ce qui concerne les normes, l’Etat a fait le choix d’adapter, à ses spécificités, sous la responsabilité du CHAI, les normes internationales et celles de l’IFACI : objectifs, cartographie des risques, préparation de la mission, déroulé, documentation des recommandations (preuve des constats), restitution, contradiction, plan d’action et suivi des recommandations. Les services d’inspection ou de contrôle se sont donc dotés, ou sont en train de se doter de corpus de règles spécifiques à l’audit interne, qui complètent leurs corpus de réglementation. A un troisième niveau, ces services peuvent ajouter des dispositions mieux disantes par rapport aux normes. Ainsi, le CGEDD[5] fournit à ses auditeurs des guides méthodologiques spécialisés et une charte de l’audit interne plus exigeante que les normes d’audit (déclaration individuelle d’intérêt détaillée, valeur limite des cadeaux ou rétributions de toute nature).

Les normes d’audit de l’Etat se présentent ainsi sous la forme d’un ensemble de poupées russes, qui emboitent :

- les règles générales sur l’ensemble des missions d’inspection et de contrôle du service (contrôle, inspection, audit, évaluation, conseil…) ;

- les normes d’audit interne (charte, méthodologie…), qui font référence le plus souvent aux bonnes pratiques internationales ;

- puis, enfin, telle ou telle procédure, charte ou guide par catégorie d’audit.

Si les exigences de formation et de respect des normes sont respectées sans écart majeur, une inspection d’État peut sans difficulté exercer l’audit interne. Si elles ne le sont pas ou seulement partiellement, avec des écarts majeurs, ces audits ainsi réalisés ne pourront être qualifiés formellement d’audit d’interne.

 

L’évaluation externe périodique de l’audit interne comme vecteur primordial de diffusion des bonnes pratiques

Se soumettre périodiquement à un regard extérieur, d’expert neutre, à la fois exigeant et bienveillant, qui jauge la conformité des pratiques, sous la forme d’un audit externe certifiant le respect du référentiel international d’audit interne permet de s’assurer que l’ensemble du dispositif fonctionne de manière efficiente, aide à progresser et donne un haut  niveau de confiance à l’audit interne.

Ces vérifications qualifiantes, très rigoureuses et parfois même lourdes et rigides, jouent un rôle majeur dans la structuration et la professionnalisation de l’audit interne. Elles créent une pression qui oblige à avancer à un certain rythme dans la réalisation des travaux, avec des échéances incontournables qui sont celles, annuelles, de la venue du certificateur. Dès les audits à blanc réalisés avant l’audit de certification, les auditeurs s’interrogent collectivement, pour corriger les faiblesses constatées dans les procédures du référentiel, pour échanger de l’information et capitaliser les expériences.

La démarche de certification conduit les personnels de l’audit interne à s’inscrire dans un processus de remise à niveau et d’actualisation de leurs connaissances des normes et des bonnes pratiques de la profession : revisiter leurs pratiques, participer à des colloques et séminaires et s’engager dans des démarches individuelles de certification (CIA, DPAI, DUAP)[6].

Pour l’audit interne d’aéroports de Paris, la démarche de certification, a permis une modification de l’organisation du travail (homogénéisation dans la conduite des missions et dans la production des rapports, cohérence de l’audit, du contrôle interne et de la gestion des risques créés en parallèle) et la mise en place d’une cellule méthodes et qualité, gardien du référentiel d’audit, et d’un système d’information partagés d’aide des auditeurs et des directions métiers, pour la mise en œuvre des recommandations.

Depuis le décret de 2011, chaque ministère est invité à déterminer lui-même les conditions d’évaluation externes, selon les différentes modalités envisageables :

- auto-évaluation interne, avec validation indépendante ;

- par revue des pairs ;

- évaluation entièrement externalisée : au CGEDD, l'évaluation externe de l'audit interne fait l’objet d’un contrôle annuel précis de la Cour des comptes, dans le cadre d’un protocole portant sur le périmètre des audits comptables et financiers.

- ou par certification par un prestataire spécialisé, comme l’IFACI. Le Centre d’Audit des Armées a fait ce choix en mai 2012, qui leur a permis d’être le premier organisme public de l’administration d’État à avoir été certifié.

 

 

III  -  La qualité du dialogue entre auditeurs internes et auditeurs externes

La structuration de l’audit interne est une évolution favorable à l’auditeur externe qui peut ainsi s’appuyer sur les travaux de qualité des auditeurs internes pour réaliser ses propres évaluations, en particulier sur l’effectivité du contrôle interne. Les deux formes d’audit ont vocation à se renforcer l’une l’autre. La Cour des comptes estime ainsi qu’un audit interne public performant accroitra sa propre efficacité et constituera un effet de levier de son action.

La collaboration entre les deux types d’audit prend plusieurs formes.

La normalisation.

Préoccupés au premier chef de régularité, les agents publics ont avant tout une culture d’imprégnation juridique et réglementaire. Le respect de la légalité est largement prioritaire par rapport à la recherche de la performance (Castagnos, 1987, 141). C’est pourquoi, les normes, très orientées vers l’efficacité voire la profitabilité, structurent encore assez peu leur savoir et leur expertise. La seule exception concerne les cas où le droit positif rencontre des principes déontologiques proches des normes professionnelles. Ainsi en est-il du cadre statutaire, comme par exemple le principe de la neutralité (loi du 13 juillet 1983, loi n° 2005-270 du 24 mars 2005 portant statut général des militaires…) très voisin de celui d’objectivité dans les normes d’audit interne.

Les pratiques de l’audit interne dans les administrations de l’Etat évoluent néanmoins rapidement et se rapprochent des Normes professionnelles internationales de l’IIA/IFACI qui sont déjà mises en œuvre en tout ou partie sans modification. Le respect des normes d’audit interne est contrôlé par la Cour des comptes pour les audits comptables et financiers et par le CHAI pour les audits métiers.

La normalisation est un processus global, qui dépasse le seul champ des normes de l’audit interne et concerne aussi les auditeurs externes. La Cour des comptes, dans sa mission de certification, a ainsi fait le choix d’adopter les normes internationales d’audit, les normes ISA, sous réserve de leurs compatibilités ou de leur adaptation avec le cadre législatif et réglementaire français. Pour leurs autres missions, les juridictions financières souhaitent poursuivre l’adaptation des référentiels internationaux d’audit externe lorsqu’ils existent, en les acclimatant à leurs propres instructions et guides méthodologiques élaborés au cours des ans.

Ce chantier est crucial pour la qualité du dialogue entre auditeur externe, auditeur interne et services audités. L’objectif est de rationaliser les pratiques et les rendre plus accessibles et plus transparentes, les normes ayant vocation à être publiées.

Les procédures et les pratiques propres à chaque système peuvent également se rapprocher avec, par exemple, des standards et des critères communs. Ainsi, la norme ISA 610 traite spécifiquement de l’utilisation par l’auditeur externe des travaux de l’auditeur interne. Cette norme a été adaptée au secteur public par la norme ISSAI 1610 publiée par l’Organisation internationale des institutions supérieures de contrôle des finances publiques (INTOSAI). Au niveau européen, l’avis précité n°2/2004 de la Cour des comptes européenne sur le contrôle unique affirme l’étroite liaison entre audit interne et audit externe.

Les relations entre auditeurs internes, auditeurs externes et comité d’audit ont également été fortement développées ces dernières années avec la loi de sécurité financière de 2003 renforçant les dispositions légales en matière de gouvernance d'entreprise, l’ordonnance n° 2008-1278 du 8 décembre 2008 transposant en droit français la huitième directive sur le contrôle légal des comptes (Directive 2006/43/CE) et le cadre de référence de l’autorité des marchés financiers.

 

La collaboration au sein du comité d’audit et la question de l’indépendance

L’audit interne se distingue de l’audit externe principalement par son positionnement et le degré d’indépendance des auditeurs. Plus délicate est l’indépendance des missions et responsables ministériels, pourtant garantie par le rattachement à un haut niveau hiérarchique, l’identification précise des responsabilités et par l’application des normes.

Le recours des auditeurs internes aux comités d’audit, dont l’indépendance est assurée par la composition de leurs membres, peut s’avérer nécessaire, notamment pour les cas de dysfonctionnements les plus graves (ex : fraude, notamment à la suite d’agissements de hauts responsables au sein de l’entité elle-même). Le comité d’audit peut collégialiser le problème et rompre la solitude de l’auditeur. L’auditeur externe, quant à lui, peut servir de courroie de transmission parce qu’il est plus libre de s’exprimer.

 

Programmation commune et échange de documents

La collaboration étroite entre audit interne et audit externe peut se manifester de nombreuses manières : programmations sinon coordonnées, du moins faisant l’objet d’une information réciproque (pour éviter le surcontrôle), des échanges sur la cartographie des risques et la communication, si possible systématique, des documents de l’audit interne aux auditeurs externes depuis le programme de travail jusqu’au suivi des recommandations. Ces modalités de collaboration peuvent être précisées par la signature d’un protocole commun (ex : protocoles signés entre la Cour des comptes sur la certification et différents services conduisant des missions d’audit interne) ou se nouer au sein des travaux du comité d’audit. Deux exemples sont illustratifs à cet égard.

En premier lieu, la collaboration entre la Cour des comptes européenne et les auditeurs internes de la Commission est rendue nécessaire par le caractère complexe et multiforme du contrôle de l’exécution du Budget européen. Les 1 000 Mds €, dépensés par la Commission, les 28 Etats membres et les pays partenaires sont audités par la Cour des comptes européenne, auditeur externe, les services d’audit interne (IAC) de chaque direction générale, le service d’audit interne relevant du Président de la Commission et les Etats membres, bénéficiaires de délégations d’audit consenties aux échelons territoriaux ou fonctionnels. Le Comité de suivi des audits rapporte au Collège des 27 commissaires qui adopte un rapport de synthèse (symbole d’une responsabilité collective de la Commission pour la mise en œuvre des politiques communautaires). Des outils ont été mis en place pour faciliter la collaboration au sein de cet ensemble : charte des relations, base informatique commune « Audinet » qui rassemble tous les rapports pour éviter les superpositions de contrôle, formation commune, programmation concertée)..

A la SNCF, l’audit externe et l’audit interne participent ensemble à toutes les séances du comité d’audit du Conseil d’Administration (5 à 6 séances par an). L’audit interne élabore un programme d’audit annuel sur la base de la cartographie des risques réalisé avec les commissaires aux comptes, auditeur externe. Cette discussion sur les risques éclaire sur l’opportunité des missions d’audit et permet une meilleure utilisation des ressources et une limitation des doublons. Les commissaires aux comptes ont accès (en consultation seulement) à tous les rapports dont ils souhaitent avoir communication. Ils transmettent tous leurs rapports à l’audit interne ainsi que leur programme de travail. Ils échangent à chaque étape de l’analyse du contrôle interne : processus, zones de risques, points de contrôle, questionnaire d’auto-évaluation.

 

*

*   *

 

 

La professionnalisation des auditeurs internes publics et le partenariat entre gestionnaires, comité d’audit, auditeurs internes et auditeurs externes sont les clefs qui permettront à la fonction d’audit de jouer son rôle à l’égard du principal défi à relever pour le secteur public français dans les prochaines années : une meilleure maîtrise de la dépense publique sans affecter la qualité du service public due aux citoyens.

 


 

Bibliographie

 

Ouvrages

REDING Kurt (dir.) Manuel d’audit interne « améliorer l’efficacité de la gouvernance, du contrôle interne et du management des risques » (2011) traduit de « Internal auditing : assurance & consulting services, 2nd éd. ». The instute of Internal Auditors Research Foundation.

 

RENARD Jacques (2011), Théorie et pratique de l’Audit Interne. Paris Eyrolles, éditions d’organisation

 

E. Ferlie, L. Ashburner, A. Pettigrew, L. Fitzgerald, The New Public Management in Action, Oxford University Press, 1996

 

Périodiques

CAELS Anne (2013) « Contrôle interne, audit interne : des démarches nouvelles », Gestion &Finances publiques, p. 39-42

 

Castagnos J.C « Performance et gestion publique : un pari impossible ? » Economie et Société n°12, 1987, p141-173

 

Christian De Visscher et Laurent Petit, « l’audit interne dans l’administration publique : un état des lieux dans les ministères fédéraux », Pyramides, 5 / 2002, 73-100.

 

Documents officiels

AVIS No 2/2004 de la Cour des comptes des Communautés européennes sur le modèle de contrôle unique (single audit) (et proposition relative à un cadre de contrôle interne communautaire) (2004/C 107/01)

 

COUR DES COMPTES (Novembre 2011) La mise en œuvre de la loi organique relative aux lois de finances (LOLF) : un bilan pour de nouvelles perspectives, La Documentation française

 

Le rapport bilan de la RGPP publié le 25 septembre 2012. Voir site du Premier ministre http/WWW.gouvernement.fr/sites/default/files/fichiers_joints/2012-m-058-01_bilan_rgpp.pdf

 

Loi de sécurité financière JO no 177 du 2 août 2003 (Loi n° 2003-706 du 1er août 2003).

 

Ordonnance n° 2008-1278 du 8 décembre 2008 transposant en droit français la huitième directive sur le contrôle légal des comptes (Directive 2006/43/CE)

 

Décret n° 2011-775 du 28 juin 2011 relatif à l'audit interne dans l'administration

 

Arrêté du 9 mai 2012 portant création d'un comité d'audit interne et d'une mission d'audit interne auprès du Premier ministre

 

Circulaire no 5540/SG du 30 juin 2011 sur la mise en œuvre de l'audit interne dans l'administration



[1] AVIS No 2/2004 de la Cour des comptes des Communautés européennes sur le modèle de contrôle unique (single audit) (et proposition relative à un cadre de contrôle interne communautaire) (2004/C 107/01)

[2] IFACI (groupe professionnel administration de l’Etat), Cadre de référence internationale des pratiques professionnelles de l’audit interne – transposition dans les administrations de l’Etat et bonnes pratiques,

[3] Le rapport bilan de la RGPP publié le 25 septembre 2012. Voir site du Premier ministre http/WWW.gouvernement.fr/sites/default/files/fichiers_joints/2012-m-058-01_bilan_rgpp.pdf

[4] JO no 177 du 2 août 2003 (Loi n° 2003-706 du 1er août 2003).

 

[5] Le Conseil général de l’environnement et du développement durable (abrégé en CGEDD), créé par un décret du 9 juillet 2008, est un service du Ministère de l'Écologie, du Développement durable et de l'Énergie assurant des missions de conseil, d'expertise, d'inspection, d'audit et d'évaluation. Il résulte de la fusion du Conseil général des ponts et chaussées (CGPC) et du Service de l'inspection générale de l'environnement (SIGE).

 

[6] La Certification Professionnelle d’Auditeur Interne – CPAI est délivrée par l’IFACI. Le CIA (certified internal auditor) est délivrée par l'IIA (The Institute of Internal Auditors). Le Diplôme universitaire d’auditeur en organisation publique (DUAP) est proposé par l’Université de Paris Ouest Nanterre La Défense.

Commentaires

Posts les plus consultés de ce blog

Le diplôme d'expertise-comptable enfin accessible par les acquis de l’expérience !

Bloqué depuis 2012, l’accès au diplôme d’expert-comptable par la voie de la validation des acquis de l’expérience devient possible depuis le 11 janvier 2019, date de délivrance du premier diplôme. Cette information est de première importance pour les personnes travaillant dans le domaine de l’audit, des finances et de comptabilité : comptables, directeurs financiers, contrôleurs de gestion, professionnels du chiffre et de l’audit.  Ils vont pouvoir faire reconnaître leurs compétences et accéder aux hautes fonctions financières permises par ce diplôme sans avoir à passer les examens ni faire le stage obligatoire. Lire aussi sur le sujet les articles dans :Les Echos , Compta Online, et dans Actuel EC

Rappel sur le diplôme d’expert-comptable Ultime diplôme de la filière des études comptables, le diplôme d’expertise comptable se décroche à bac + 8 et permet d’exercer en tant qu’expert-comptable ou de se préparer au métier de commissaire aux comptes.Le DEC est de niveau I dans la classifica…

Les 4 étapes pour obtenir son diplôme d'expert-comptable en VAE

Lire aussi articles dans Les Echos et dans Témoignage sur la VAE du DEC et Article dans Actuel EC
1/ Envoyer un livret 1 conforme au modèle prévu pour le diplôme supérieur de comptabilité et de gestion (DSCG) http://intec.cnam.fr/vae-validation-des-acquis-de-l-experience-195296.kjsp
à Monsieur le Président du Jury du diplôme d’expertise-comptable Service Intercacadémique des Examens et Concours Bureau DES 4 cellule « DEC » 7 rue Ernest Renan 94749 ARCUEIL cedex 2/ Attendre la lettre de recevabilité envoyée par le service interacadémique des examens et concours (SIEC). Le temps de traitement de la demande est inférieur à deux mois puisqu’en cas de non réponse au bout de deux mois, la non-réponse vaut acceptation. En cas d’interrogation, l’interlocuteur au SIEC est Mme Séverine NICOLAS 01 49 12 24 04 candidatdcgdscg@siec.education.fr
3/ Préparer son livret 2 en prenant pour modèle également les livrets 2 du DCG et DSCG. Il existe donc des fiches O (organisation) qui décrivent les organ…

1er diplôme d'expertise-comptable en VAE en France