16 janvier 2020

Comment l’audit « positif fournit » une assurance quant à l’information publiée sur les forces et les opportunités organisationnelles

Introduction

Dans un article récent¹, j’ai indiqué que les auditeurs internes ont toujours considéré que leur rôle consistait à aider la haute direction à contrer les faiblesses et les menaces (ou « risques de détérioration ») qui pèsent sur la réalisation des objectifs organisationnels. J’ai fait valoir que ce rôle devrait évoluer et s’étendre pour fournir une assurance quant aux forces et aux opportunités organisationnelles (ou « risques d’amélioration »). J’ai donné à ce concept le nom d’audit positif.

Dans le présent article², je vais plus loin en soutenant que l’audit positif pourrait également être appliqué à la profession d’examinateur en matière de fraudes et ouvrir de nouveaux domaines de collaboration réciproque entre les auditeurs internes et les examinateurs en matière de fraudes. Une telle collaboration, fondée sur des plans d’audit élargis incluant des risques relatifs aux forces et aux opportunités, fournirait une assurance plus complète aux organisations des secteurs public et privé.

Élargissement de l’étendue des examens

Depuis leur création, les activités d’audit interne se focalisent essentiellement sur des domaines censés présenter des faiblesses importantes qui devraient nécessiter une correction. Les audits internes ont tendance à rendre compte des lacunes et des risques matériels qui pèsent sur la réalisation des objectifs organisationnels.

Dans le cadre d’analyse FFOM traditionnel (figure 1), les faiblesses et les menaces ne représentent que la moitié des éléments clés qui peuvent influencer la réalisation des objectifs stratégiques d’une organisation. Je désigne les faiblesses et les menaces comme des risques de détérioration. Je soutiens que les auditeurs internes ont accordé peu d’attention aux déterminants positifs de la réussite d’une organisation, à savoir les forces internes et les opportunités externes, que je désigne comme des risques d’amélioration.

À propos de l’auteur

Basil Orsini

Basil Orsini a pris sa retraite en 2017, après avoir travaillé plus de 35 ans au sein de grands organismes fédéraux, principalement dans le domaine de l’audit interne.

Son expérience lui permet de transmettre les leçons qu’il a apprises au plan national dans les domaines de la santé, de la formation professionnelle, de la fiscalité, des acquisitions et affaires immobilières, des programmes autochtones et du logement.

Basil a également travaillé dans un grand cabinet d’audit et occupé des postes bénévoles à l’Institut des auditeurs internes et à l’Association of Certified Fraud Examiners, pour lesquels il a publié des articles et fait des présentations lors de conférences nationales et régionales sur un éventail de sujets. Il demeure actif dans les domaines de l’audit interne et des enquêtes sur les fraudes.

Contactez l’auteur :

basil.orsini@gmail.com

Figure 1 – FFOM—Forces, faiblesses, opportunités et menaces

De même, les enquêtes sur les fraudes ont tendance à se concentrer sur les fraudes financières et les risques qui y sont associés, et portent rarement sur les risques de fraude non financière, c’est-à-dire les risques de fausse déclaration intentionnelle sur des questions importantes, ne concernant pas directement les finances, afin d’obtenir des avantages pour des personnes ou pour l’organisation. La fraude non financière fait rarement l’objet d’un examen, alors qu’elle peut en définitive entraîner des pertes financières importantes et entraver les forces internes et les opportunités externes d’une organisation.

L’audit interne et l’examen des fraudes sont deux fonctions organisationnelles importantes, bien établies et précieuses qui doivent continuer à jouer leur rôle afin de répondre aux attentes des professionnels et des parties prenantes. Néanmoins, j’estime que les deux professions pourraient en faire plus pour mieux servir leurs organisations et l’intérêt public.

Plus précisément, je pense que les auditeurs internes devraient étendre leurs examens afin d’inclure les domaines jugés positifs et essentiels à la réussite organisationnelle (risques d’amélioration). Il faudrait recourir aux services d’examinateurs en matière de fraudes lorsque l’audit positif portant sur les risques d’amélioration révèle des indicateurs de fausse déclaration non financière intentionnelle sur des questions essentielles à la réussite de l’organisation.

L’audit interne et l’examen des fraudes peuvent chacun aider les organisations à gérer les risques pesant sur leur réussite et leur durabilité. L’élargissement de l’étendue des examens pourrait contribuer à cet objectif tout en ouvrant de nouveaux domaines de collaboration réciproque qui apporteraient une valeur ajoutée aux investissements d’une organisation en matière de surveillance interne.

Risques et avantages de la proposition d’élargissement de l’étendue

En matière d’audit, comme dans d’autres professions, l’innovation comporte des risques dont il faut tenir compte. La proposition ne sera adoptée que si l’élargissement de l’étendue peut apporter des avantages tangibles aux organisations des secteurs public et privé sans occasionner de risques importants pour les auditeurs.

Pour les auditeurs, les principaux risques seraient de mener des missions d’audit élargies qui :

ne sont pas conformes aux priorités de la direction
ne sont pas conformes aux normes professionnelles
n’apportent pas de valeur ajoutée

Dans la suite de cet article, j’explique que l’audit positif permet d’éviter ces risques et peut constituer une approche valable pour les auditeurs comme pour la direction.

Conformité aux priorités de la direction

Dans les secteurs public et privé, les membres de la haute direction sont récompensés lorsqu’ils atteignent les buts et les objectifs organisationnels. Les buts et les objectifs consistent essentiellement à maintenir ou à améliorer les forces de l’organisation et à rechercher de nouvelles opportunités. À tous les niveaux, les dirigeants ont pour principale préoccupation de prendre des décisions tenant compte des risques d’amélioration. Ils accordent relativement moins d’attention aux faiblesses organisationnelles et aux menaces externes, bien qu’elles soient reconnues comme importantes.

De même, les organisations et leurs parties prenantes prennent continuellement des décisions qui dépendent de l’intégrité des rapports organisationnels. Les parties prenantes comprennent les contribuables et les autres organismes gouvernementaux du secteur public, ainsi que les organismes de réglementation, les actionnaires et les clients du secteur privé.

L’audit positif serait conforme aux priorités de la direction, car le fait d’élargir la surveillance aux risques d’amélioration et de renforcer l’intégrité des rapports non financiers accroît les niveaux d’assurance et de confiance sur lesquels reposent les décisions stratégiques et opérationnelles.

Voici les trois raisons principales pour lesquelles l’audit des risques d’amélioration serait utile à la direction :

Il fournirait une assurance indépendante qui validerait les forces et les opportunités organisationnelles recherchées.
Dans certains cas, l’audit positif révélerait des lacunes graves et inattendues, dont certaines peuvent avoir été délibérément cachées dans l’intérêt de l’organisation ou pour en tirer un gain personnel.
L’inclusion de certaines missions conçues pour valider et accroître les forces internes et les opportunités externes permettrait de mieux équilibrer le plan d’audit annuel.

Cela démontrerait que les auditeurs internes ont une meilleure compréhension des opérations et cela motiverait les dirigeants en prenant acte des domaines où leurs efforts donnent des résultats. Par ricochet, cela pourrait inciter les dirigeants à mettre en œuvre plus rapidement les recommandations d’amélioration.

¹ Orsini, B., « The UPSIDE of risk: Internal auditors can provide greater value by also focusing on the positive. », Internal Auditor, avril 2019 (en anglais seulement).

² Le présent article développe les arguments présentés par l’auteur lors de la conférence canadienne de l’Association of Certified Fraud Examiners (ACFE) qui s’est tenue à Montréal le 21 octobre 2019. Il est publié ici avec la permission de l’ACFE.

Conformité aux normes professionnelles

La proposition d’élargissement de l’étendue des examens est conforme aux normes professionnelles actuelles en matière d’audit interne et d’enquêtes sur les fraudes. Ces normes permettent d’examiner les risques d’amélioration ainsi que l’intégrité des rapports non financiers.

En matière d’audit interne, le Cadre de référence international des pratiques professionnelles de l’Institut des auditeurs internes (IAI) permet pleinement d’auditer les risques d’amélioration – les forces organisationnelles et les opportunités externes – qui sont essentiels à la réussite de l’organisation.

L’IAI définit le « risque » comme suit : « Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité. » Dans la pratique, les auditeurs utilisant les concepts de risque et de gestion du risque se concentrent habituellement sur les risques de détérioration – les faiblesses organisationnelles et les menaces externes pesant sur la réalisation des objectifs de l’organisation. Les risques liés aux facteurs positifs, comme les forces internes et les opportunités externes, représentent au mieux une considération secondaire.

En outre, les normes de l’IAI exigent que les auditeurs internes soient attentifs aux possibilités de comportement frauduleux. Cette obligation implique notamment d’être à l’affût des signaux d’alarme révélateurs d’une possible fausse déclaration intentionnelle visant à obtenir des avantages personnels ou organisationnels aux dépens d’autres parties prenantes. Les auditeurs internes sont tenus de signaler les signaux d’alarme révélateurs d’un possible comportement frauduleux à des enquêteurs ayant l’expertise et l’autorité requises pour un examen plus approfondi. Les situations de ce type peuvent être l’occasion d’une collaboration accrue entre les auditeurs internes et les enquêteurs sur les fraudes.

Examens apportant une valeur ajoutée

« Le danger, ce n’est pas ce qu’on ignore, c’est ce que l’on tient pour certain et qui ne l’est pas. » – Anonyme

Quand, pendant la phase de planification d’un audit d’une initiative organisationnelle clé, l’analyse des risques indique que les résultats de l’examen devraient être principalement positifs, l’organisation devrait reconnaître que le fait de poursuivre l’audit peut encore procurer des avantages réels. Ces assurances positives indépendantes sur des activités organisationnelles importantes profitent aux organisations des secteurs public et privé. La plupart du temps, les indications positives seront validées par l’audit interne, avec parfois quelques suggestions d’amélioration mineures. Toutefois, le risque de fausse déclaration sur les forces et les opportunités d’une organisation est souvent négligé. Lorsqu’elle survient, une fausse déclaration peut sérieusement compromettre la réussite d’une organisation, de diverses façons. En conséquence, il convient de ne pas ignorer ce risque.

Pour illustrer les avantages de la validation des forces et des opportunités, examinons six cas de « signaux d’alarme » inattendus dans les trois domaines d’audit interne : la gouvernance (tableau 1), la gestion des risques (tableau 2) et les contrôles internes (tableau 3). Ces actes possiblement répréhensibles seraient tous soumis aux examinateurs en matière de fraudes.

Tableau 1 – Signaux d’alarme inattendus en matière de gouvernance

	Gouvernance – Cas A – Traitement des plaintes	Gouvernance – Cas B – Intégrité de l’information positive sur la performance
Objectif de l’audit interne	S’assurer que l’organisation traite adéquatement les plaintes relatives au comportement personnel, par exemple celles concernant les diverses formes de harcèlement pouvant survenir au travail.	Garantir l’intégrité de l’information positive sur la performance étayant les rapports organisationnels de fin d’exercice.
Signaux d’alarme possibles suggérant un examen plus approfondi par un enquêteur	Le processus de traitement des plaintes fait l’objet de rapports inexacts ou trompeurs à la haute direction. Les dossiers tenus sur les plaintes jugées non fondées sont incomplets.	Il y a des écarts importants entre les réalisations positives signalées et les problèmes constatés dans le secteur d’activité examiné. Les preuves justifiant le versement des primes prévues aux dirigeants sont insuffisantes.
Considérations	La récente couverture médiatique a révélé de nombreux cas dissimulés de harcèlement d’employés dans les organismes publics et privés. Selon toute vraisemblance, bon nombre de ces cas sont restés cachés en raison de rapports internes trompeurs.	De nombreux dirigeants sont soumis à des pressions considérables pour atteindre les objectifs de performance. Lorsque les objectifs sont déraisonnables, il est probable que des dirigeants soient tentés de fournir des rapports plus favorables que ce que les faits justifient.

Gouvernance – Cas A – Traitement des plaintes

Gouvernance – Cas B – Intégrité de l’information positive sur la performance

Objectif de l’audit interne

S’assurer que l’organisation traite adéquatement les plaintes relatives au comportement personnel, par exemple celles concernant les diverses formes de harcèlement pouvant survenir au travail.

Garantir l’intégrité de l’information positive sur la performance étayant les rapports organisationnels de fin d’exercice.

Signaux d’alarme possibles suggérant un examen plus approfondi par un enquêteur

Le processus de traitement des plaintes fait l’objet de rapports inexacts ou trompeurs à la haute direction.
Les dossiers tenus sur les plaintes jugées non fondées sont incomplets.

Il y a des écarts importants entre les réalisations positives signalées et les problèmes constatés dans le secteur d’activité examiné.
Les preuves justifiant le versement des primes prévues aux dirigeants sont insuffisantes.

Considérations

La récente couverture médiatique a révélé de nombreux cas dissimulés de harcèlement d’employés dans les organismes publics et privés. Selon toute vraisemblance, bon nombre de ces cas sont restés cachés en raison de rapports internes trompeurs.

De nombreux dirigeants sont soumis à des pressions considérables pour atteindre les objectifs de performance. Lorsque les objectifs sont déraisonnables, il est probable que des dirigeants soient tentés de fournir des rapports plus favorables que ce que les faits justifient.

Il est judicieux de se demander si un audit interne de ces domaines de gouvernance aiderait à mettre au jour les problèmes en matière de traitement des plaintes et contribuerait à assurer l’intégrité des rapports, même lorsqu’il n’y a pas de signes évidents de problèmes.

Tableau 2 – Signaux d’alarme inattendus en matière de gestion des risques

	Gestion des risques – Cas A – Programme de gestion des risques	Gestion des risques – Cas B – Activités de diligence raisonnable
Objectif de l’audit interne	Garantir la robustesse des forces et des opportunités signalées dans un programme de gestion des risques.	Assurer la qualité des activités de diligence raisonnable à l’appui d’une initiative organisationnelle importante.
Signaux d’alarme possibles suggérant un examen plus approfondi par un enquêteur	Le soutien à l’égard des avantages procurés par certaines opportunités organisationnelles est insuffisant. Les risques négatifs associés aux opportunités organisationnelles sont sous-estimés.	Les informations fournies sur les effets préjudiciables possibles et leur probabilité sont insuffisantes. Les rapports sur les risques négatifs importants sont incomplets.
Considérations	La gestion des risques est devenue un élément clé de la prise de décision, tant au plan stratégique qu’opérationnel. Lorsque les décisions clés dépendent de l’analyse des risques, il est probable que l’on soit tenté de biaiser les analyses de façon inappropriée pour privilégier une ligne de conduite.	Les contrôles préalables (examens de diligence raisonnable) sont une forme importante d’évaluation des risques précédant la conclusion d’un contrat ou d’un accord important. On peut être tenté de biaiser l’évaluation en faveur de l’action souhaitée.

Il est judicieux de se demander si un audit interne de ces domaines de gestion des risques contribuerait à assurer l’intégrité des rapports sur les risques, même lorsqu’il n’y a pas de signes évidents de problèmes.

Tableau 3 – Signaux d’alarme inattendus en matière de contrôle interne

	Contrôle interne – Cas A – Qualité des normes de performance	Contrôle interne – Cas B – Efficacité des systèmes de surveillance interne
Objectif de l’audit interne	Assurer la qualité des normes de performance utilisées pour mesurer les activités opérationnelles.	Assurer l’efficacité de la surveillance interne dans des domaines tels que le contrôle financier, les ressources humaines, la technologie de l’information, la passation des marchés et la sécurité.
Signaux d’alarme possibles suggérant un examen plus approfondi par un enquêteur	Dans certains cas, l’élaboration des normes de performance manque de rigueur. Certaines normes de performance sont bien en deçà des normes sectorielles.	Les rapports internes sur les résultats des examens des marchés sont incomplets ou trompeurs. Les rapports externes sur la satisfaction de la clientèle sont incomplets ou trompeurs.
Considérations	Les normes de performance définissent les données de référence en fonction desquelles la réussite est évaluée. Par conséquent, on pourrait être tenté d’abaisser certaines normes pour les rendre plus faciles à respecter.	La haute direction établit des fonctions de surveillance interne dans des domaines complexes pour contribuer à assurer l’atteinte des objectifs opérationnels. Ces fonctions de surveillance font souvent partie intégrante de l’organisation fournissant le service interne.

Contrôle interne – Cas A – Qualité des normes de performance

Contrôle interne – Cas B – Efficacité des systèmes de surveillance interne

Objectif de l’audit interne

Assurer la qualité des normes de performance utilisées pour mesurer les activités opérationnelles.

Assurer l’efficacité de la surveillance interne dans des domaines tels que le contrôle financier, les ressources humaines, la technologie de l’information, la passation des marchés et la sécurité.

Signaux d’alarme possibles suggérant un examen plus approfondi par un enquêteur

Dans certains cas, l’élaboration des normes de performance manque de rigueur.
Certaines normes de performance sont bien en deçà des normes sectorielles.

Les rapports internes sur les résultats des examens des marchés sont incomplets ou trompeurs.
Les rapports externes sur la satisfaction de la clientèle sont incomplets ou trompeurs.

Considérations

Les normes de performance définissent les données de référence en fonction desquelles la réussite est évaluée. Par conséquent, on pourrait être tenté d’abaisser certaines normes pour les rendre plus faciles à respecter.

La haute direction établit des fonctions de surveillance interne dans des domaines complexes pour contribuer à assurer l’atteinte des objectifs opérationnels. Ces fonctions de surveillance font souvent partie intégrante de l’organisation fournissant le service interne.

Il est judicieux de se demander si un audit interne contribuerait à assurer la qualité des normes de performance et l’efficacité des systèmes de surveillance interne, même lorsqu’il n’y a pas de signes évidents de problèmes.

J’ai examiné les domaines perçus comme des forces internes et des opportunités externes dans lesquels une information non financière intentionnellement trompeuse ou inexacte peut nuire considérablement aux organisations et à l’intérêt public. Les six exemples susmentionnés montrent en quoi l’audit positif peut fournir une assurance à valeur ajoutée aux parties prenantes d’une organisation.

Conclusion

Les auditeurs internes et les enquêteurs sur les fraudes devraient innover en élargissant l’étendue de leurs services. Il est possible d’accroître la valeur des audits internes en incluant systématiquement, dans leur plan annuel, l’examen de certaines forces organisationnelles et opportunités externes essentielles. En plus de confirmer les résultats positifs de l’organisation, l’audit positif portant sur les risques d’amélioration révélera parfois des signaux d’alarme inattendus suggérant la nécessité d’un examen plus approfondi par des enquêteurs sur les fraudes.

Il est possible d’accroître la valeur des examens des fraudes en les faisant aussi porter sur les rapports non financiers frauduleux. Ceci peut aider à éviter des surprises désagréables lorsque l’information sur la performance est délibérément et indûment présentée comme étant positive, comme l’ont illustré les six cas exposés dans les tableaux ci-dessus.

Dans l’ensemble, le fait d’élargir l’étendue des examens pour inclure les risques d’amélioration apporterait une valeur ajoutée aux organisations des secteurs public et privé, conformément aux normes professionnelles et à l’appui des priorités de la direction.

AVIS : Les opinions exprimées dans cet article sont celles de l’auteure et ne reflètent pas nécessairement le point de vue de la Fondation.

Consultez les autres Sur le terrain

The Level is:

Bibliothèque d’audit et de surveillance