Sous-traitance de l'audit interne: Alternative ou nécessité

Banque & Finance n°113 Janvier/Février 2012

Les organisations financières telles que les banques sont de plus en plus exposées aux risques. L’actualité ne contredit pas cette affirmation.

Parmi les outils à disposition des organes dirigeants, l’audit interne constitue un outil précieux pour l’appréciation et la gestion de ces risques notamment à travers l’amélioration du système de contrôle interne. Le régulateur en est conscient et, de plus en plus, requiert des compétences avérées pour cette fonction. En outre, dans une période de difficultés économiques et de pression accrue sur les coûts, la recherche de modèles alternatifs d’organisation se fait sentir. Dès lors, est-ce que la sous-traitance de l’audit interne doit être considérée comme une alternative ou comme une nécessité ?

Commençons par un rappel de la fonction d’audit interne et des exigences prudentielles. Les Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA 1définissent ainsi cette fonction : « L’audit interne est une activité indépendante et objective qui donne  à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. » Dans sa Circulaire 2008/24 Surveillance et Contrôle interne – Banques, la FINMA impose l’institution d’une révision interne (cm 54 et suivants).  Le régulateur  offre le choix, lorsque l’instauration d’une révision interne propre à l’établissement n’apparaît pas appropriée,  de confier les tâches de révision interne à :

  • la révision interne de la société mère ou la révision interne d’une autre société du groupe, dans la mesure où il s’agit d’une banque, d’un négociant en valeurs mobilières ou d’un autre intermédiaire financier soumis à une surveillance étatique
  • une seconde société d’audit indépendante de celle de l’établissement, ou
  • un tiers indépendant, à condition que la société d’audit confirme sa qualification professionnelle.

Notons que le régulateur, dans l’appréciation de la qualification professionnelle du tiers indépendant et respectivement de son adéquation à la fonction d’audit interne, tend à renforcer ses exigences. Il pourrait considérer que ce principe n’est pas respecté dans le cas où le tiers en question a un seul ou un nombre très limité de mandats d’audit interne bancaire.

En termes de positionnement dans l’organisation, en Suisse, l’audit interne est habituellement subordonné directement au Conseil d’administration ou à l’un de ses comités, selon le principe consacré au cm 60 de la circulaire précitée.

Différents modèles d’organisation

Service propre d’audit interne: La question de la création d’un service propre d’audit interne ne se pose pas pour les établissements d’une certaine taille. Le ratio habituel entre auditeurs et nombre de collaborateurs est d’environ 1 % 2. Nous pouvons considérer que dès qu’un établissement dépasse la centaine de collaborateurs il est raisonnable d’imaginer une fonction assumée en interne. Cependant, pour garantir un niveau de qualité adéquat et le respect du principe des quatre yeux, une fonction d’audit interne doit être constituée de plus d’une personne.

Audit interne de la maison-mère ou d’une autre société du groupe: Dans ce modèle, les auditeurs de la maison-mère ou du groupe assurent le contrôle des filiales ou succursales en Suisse ou à l’étranger. Ce modèle offre pour la maison-mère une meilleure vision et un contrôle plus direct des affaires de ses filiales ou succursales. En revanche, les spécificités prudentielles suisses ou le mode de fonctionnement local peuvent être mal connus. Les risques peuvent donc être insuffisamment ou inadéquatement couverts.

Audit conjoint de la maison-mère et d’un audit interne propre: Dans ce cas de figure, l’audit de la maison-mère vient en appui à l’audit interne propre. Une telle situation peut pallier un manque de connaissances ou un besoin de ressources à court ou moyen terme.

Co-sourcing: Une organisation de la fonction d’audit interne en co-sourcing consiste à sous-traiter à un tiers une ou plusieurs parties bien délimitées du domaine à auditer. Contrairement à l’audit conjoint, les deux prestataires (audit propre et tiers) travaillent de manière indépendante. Ce mode d’organisation convient particulièrement bien à la couverture de domaines complexes ou techniques comme, par exemple, de l’audit informatique.

Sous-traitance de la fonction d’audit interne: Dans ce modèle, l’institut financier se repose exclusivement sur la prestation d’un tiers. L’organisation doit être consciente qu’elle reste néanmoins dans ce cas responsable du maintien d’un audit interne efficace.3 Un audit interne a comme fonction première d’identifier les faiblesses du système de contrôle interne et respectivement les risques mais surtout doit permettre à une organisation d’évoluer en lui apportant des conseils et des points de comparaison (benchmarks). Pour atteindre ces objectifs, compte tenu de la complexité croissante de toute activité économique et de la fréquence des changements, il est nécessaire de disposer de compétences étendues qui peuvent rarement être concentrées sur une ou deux personnes. La complexification constante du cadre réglementaire requiert des connaissances constamment mises à jour et un investissement important en formation et en spécialistes que ne peuvent s’offrir que des organisations d’une certaine taille. En outre, pour permettre à l’établissement d’évoluer et d’adapter au mieux ses contrôles aux risques, une comparaison avec d’autres modes de faire permet de se rapprocher d’un modèle idéal. Ceci vise aussi bien le manque que l’excès de contrôles. L’indépendance, garante de la qualité d’un audit interne, est également bien mieux garantie par un prestataire externe que par une personne qui inévitablement va perdre avec le temps ou l’habitude de la distance vis-à-vis de l’organisation. La dimension financière est également à prendre en compte. Pour un établissement de petite taille, le coût d’une sous-traitance est inférieur à celui d’une ressource interne. Cette comparaison est favorable à la sous-traitance, même sans inclure dans l’analyse, les coûts indirects d’un poste à l’interne.

Un tel modèle offre également une grande souplesse. En effet, la relation contractuelle entre la Banque et le prestataire ressort du contrat de mandat. Le maintien de la relation est assuré par la relation de confiance instaurée et par le degré de satisfaction lié aux prestations fournies. Si ces deux éléments ne sont pas acquis, le contrat reste résiliable en tous temps. 4 Il est évident néanmoins qu’un mandat d’une certaine durée offre une meilleure efficacité à l’auditeur interne. En effet, la connaissance de l’organisation de la Banque permet à l’auditeur de mieux cibler les domaines à risque de l’établissement.

En conclusion, pour des audits internes de banques ou négociants en valeurs mobilières de petite à moyenne taille, la sous-traitance, voire le co-sourcing, sont des alternatives qui offrent une excellente adéquation entre les ressources allouées et les exigences de qualité. Dans la période actuelle, l’optimisation des coûts a une importance particulière. Le rappel ou la prise de conscience par les organes dirigeants de l’existence de modèles d’organisation alternatifs pour une fonction d’audit interne prend tout son sens. En outre, la nécessité de sous-traiter la fonction d’audit interne lorsque l’auditeur interne est seul s’impose en particulier pour les instituts financiers de moins d’une centaine de personnes. Cette sous-traitance sera confiée à une société disposant de ressources et de mandats en suffisance pour offrir les spécialistes et les benchmarks attendus.

Roland Perruchoud, Senior Manager, Mazars Coresa SA

Roland.perruchoud@mazars.ch

1The Institute of Internal Auditors

2Voir à ce sujet l’Enquête effectuée par la FINMA en 2009 sur l’exercice 2008 (publication 19 avril 2010) / Etendue des travaux d’audit auprès des Banques et négociants en valeurs mobilières

3Norme IIA 2070  relative à la responsabilité de l’organisation en cas de recours à un prestataire externe

4Art. 404 CO

Documents à télécharger

Partager