Révision interne: Mesures visant à combler les lacunes
Luka Zupan
Dr oec. Luka Zupan (HSG) est associé et dirige, en tant que partenaire, le département Révision interne, gestion des risques et conformité/contrôles internes (IARCS) chez KPMG Suisse. Il est responsable de nombreux mandats de révision interne pour des entreprises industrielles suisses de petite, moyenne et grande taille, accompagne les fonctions de révision interne dans leur réorientation stratégique et opérationnelle, et assiste le conseil d’administration, le comité d’audit et la direction générale en tant qu’expert dans les domaines de la bonne gouvernance d’entreprise (Good Corporate Governance) et de l’assurance. Luka Zupan est l’auteur de nombreuses publications sur la révision interne, le système de contrôle interne, la gestion des risques et la gouvernance d’entreprise.
Mission et définition de la révision interne
La révision interne (« Internal Audit ») désigne une fonction au sein de l’entreprise mandatée par un organe de surveillance supérieur (p. ex. conseil d’administration, comité d’audit) pour mener, de manière objective et indépendante, des travaux de vérification au sein de l’organisation.
L’audit peut porter sur des unités organisationnelles (filiales), des processus transversaux (p. ex. achats, ventes, clôture et reporting) ou des systèmes (p. ex. système ERP, cybersécurité). Il peut également s’agir de vérifications avec un objectif particulier, comme des enquêtes forensiques ou des audits spéciaux en réponse à des situations ponctuelles.
En règle générale, un rapport est établi à l’issue de chaque audit. Il résume les travaux effectués, présente une opinion d’audit et recense les éventuelles faiblesses, assorties de recommandations concrètes pour y remédier. L’entité auditée (appelée également « audité ») doit, sur la base de ces constats et recommandations, définir et mettre en œuvre rapidement les mesures correctives appropriées.
L’association professionnelle internationale de la révision interne, The Institute of Internal Auditors (IIA)1, définit dans son ouvrage de référence la mission comme suit :
« La révision interne fournit des services d’audit et de conseil indépendants et objectifs visant à créer de la valeur ajoutée et à améliorer les processus de l’organisation. Elle aide celle-ci à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, l’efficacité du management des risques, du contrôle interne ainsi que des processus de gouvernance et de surveillance, et en contribuant à leur amélioration. »
Selon la définition de l’IIA, la vérification de l’efficacité de la gestion des risques (Standard 2120), des contrôles (Standard 2130) et des processus de gouvernance et de surveillance (Standard 2130.A1) fait partie des missions obligatoires de la révision interne. L’ampleur des tâches peut varier selon le secteur et l’organisation, ou être fixée par le régulateur (par ex. circulaires de la FINMA). La part des audits dans chaque catégorie dépend notamment de l’évaluation des risques et des priorités des parties prenantes, en particulier du conseil d’administration et du comité d’audit.
Il est essentiel que la révision interne distingue, dans l’élaboration de son plan annuel, les prestations d’assurance (assurance services) des prestations de conseil. Les services d’assurance renforcent la qualité, la pertinence et la fiabilité des informations de gestion. Ils permettent aux parties prenantes d’apprécier si les principaux risques de l’organisation sont correctement suivis et gérés. Ils apportent aussi au management une sécurité supplémentaire pour la prise de décisions stratégiques et leur mise en œuvre opérationnelle.
L’expérience de la pandémie de COVID-19 a montré que les composantes d’assurance et de conseil pouvaient se chevaucher. Un réviseur peut, dans le cadre de sa mission, à la fois fournir une assurance et formuler des recommandations concrètes pour éviter certaines faiblesses ou risques, ou encore pour améliorer les processus internes.
Les missions de conseil pures de la révision interne sont définies au cas par cas. Elles visent souvent à optimiser la chaîne de valeur interne (conception, efficience et efficacité des processus, systèmes informatiques et procédures organisationnelles) et à améliorer la performance de la gouvernance, de la gestion des risques ainsi que des processus de contrôle et de pilotage.
Questions de contrôle pour évaluer le rôle de la révision interne :
- Comment la stratégie de l’entreprise influence-t-elle le rôle et les missions de la révision interne (assurance vs prestations de conseil) ?
- Existe-t-il un règlement (« Audit Charter ») définissant le rattachement organisationnel, les missions et les compétences de la révision interne ?
- La révision interne est-elle intégrée au système de gouvernance interne qui supervise efficacement et efficacement les opérations de l’organisation ?
- Les missions, compétences et responsabilités (MCR) de la révision interne sont-elles conformes à l’« Audit Charter » et aux normes professionnelles de l’IIA ?
- La révision interne est-elle structurée de manière à remplir sa mission de façon efficace, efficiente et objective ?
- Son indépendance est-elle garantie en tout temps par des dispositions organisationnelles lors des travaux d’audit ?
- Le responsable de la révision interne a-t-il défini et applique-t-il de manière effective des directives et procédures pour le fonctionnement de sa fonction ?
- Les activités de la révision interne sont-elles coordonnées avec celles de départements similaires afin d’éviter les doublons ?
- Les rapports d’audit sont-ils adaptés aux attentes des parties prenantes et apportent-ils des recommandations créatrices de valeur pour l’organisation ?
Obligation de révision interne
En Suisse, seule une obligation générale de mettre en place une révision interne existe pour les entreprises soumises à l’Autorité fédérale de surveillance des marchés financiers (FINMA), comme les banques, les assurances et les négociants en valeurs mobilières.2 Le législateur suisse, tout comme certaines institutions nationales (par ex. la Bourse suisse SIX), n’imposent pas d’autres exigences formelles en matière de révision interne3.
Toutefois, la nécessité de créer une telle fonction peut découler implicitement des principes de gouvernance d’entreprise applicables aujourd’hui aux sociétés suisses.
Ainsi, le Swiss Code of Best Practice for Corporate Governance (Economiesuisse)4 recommande aux sociétés cotées ainsi qu’aux entreprises ou organisations d’importance économique nationale de mettre en place une révision interne. La recommandation, formulée au chiffre 19, précise : « La société institue une révision interne qui rend compte au comité d’audit (Audit Committee, AC) ou, le cas échéant, au président du conseil d’administration. »
En pratique, on constate que dans les entreprises disposant d’une proportion importante d’administrateurs indépendants, la pression augmente pour instaurer une révision interne comme outil au service du conseil d’administration dans sa mission de surveillance, qui est non délégable.
En résumé, dans les PME du secteur industriel, commercial ou des services, l’instauration d’une révision interne doit être justifiée par des arguments réglementaires ou économiques.
En pratique, cette fonction est généralement mise en place dans les entreprises comptant environ 500 à 1 000 collaborateurs. D’autres critères peuvent influencer la décision, comme le degré d’internationalisation (filiales à l’étranger, activité internationale), le volume de prescriptions légales à respecter (par ex. FCPA, RGPD de l’UE, législations sur les lanceurs d’alerte, ESG), la complexité du modèle d’affaires, le profil de risques ou encore la structure organisationnelle (organisation hiérarchique ou processus).
Devenir membre et lire la suite:
- Accès illimité à plus de 600 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Accès à toutes les vidéos
- Actualisation quotidienne
- Nouveaux articles et aides de travail chaque semaine
- Offres spéciales exclusives
- Services d’actualité et de mises à jour
- Bons séminaires
