Les nouvelles normes de l’audit interne accordent une large place aux notions d’éthique et de professionnalisme. Olivier Sznitkies, qui anime la nouvelle formation de l’IFACI « Comprendre et mettre en pratique les exigences d’éthique et de professionnalisme selon les normes 2024 », nous explique en quoi ce module répond notamment aux exigences d’intégrité, d’objectivité, de compétences, de conscience professionnelle et de confidentialité demandées aujourd’hui à la profession.
Pouvez-vous nous rappeler votre parcours professionnel ?
Olivier Sznitkies : Je suis ingénieur en informatique, et j’ai un master II en gestion à l’IAE de Paris. Je me suis orienté rapidement vers le conseil et l’audit des systèmes d’information, notamment au sein de KPMG. J’ai ensuite rejoint Lafarge en tant que directeur de l’audit interne pour l’Europe, le Moyen-Orient et l’Afrique, où je supervisais une équipe de 25 collaborateurs. Après mon départ du groupe en 2019, j’ai créé en 2020 mon cabinet de conseil spécialisé en audit et contrôle interne, Audiligence. Concernant mon lien avec l’IFACI, cela remonte à mes débuts chez KPMG, où j’ai notamment participé aux activités du GPSI (Groupe Professionnel Systèmes d’Informations). Durant mon passage chez Lafarge, j’ai piloté l’obtention de notre première certification IFACI et coordonné le déploiement du dispositif dans ma région. Je continue aujourd’hui de m’impliquer activement auprès de l’IFACI, que ce soit au sein de la communauté, avec IFACI Certification ou pour la formation. J’anime plusieurs modules, dont le nouveau « Comprendre et mettre en pratique les exigences d’éthique et de professionnalisme selon les normes 2024 ». Je contribue également aux réflexions menées sur les normes de l’audit et j’interviens régulièrement lors des réunions des clubs DAI et DCI.
Depuis la publication des nouvelles normes de l’audit interne, on observe justement une vraie montée en puissance de l’éthique et du professionnalisme…
O.S. : Jusqu’à présent, il existait la notion de code de déontologie des auditeurs, mais qui était un document à part des Normes. De ce fait, c’était toujours un peu compliqué de dire que ce code avait autant de portée que les Normes, avec un caractère tout autant obligatoire. Un simple engagement des auditeurs à respecter ce code de déontologie était souvent vu comme suffisant pour assurer la conformité avec ces notions.
Les nouvelles normes accordent une place beaucoup plus importante à l’éthique et au professionnalisme, puisque l’on compte 15 normes sur 52 et 5 principes sur 15 consacrés à ces questions. C’est donc une très large partie des nouveaux standards qui y est consacrée.
« La communication des auditeurs doit être honnête, courageuse, complète, sans omission »
Quelles sont les raisons qui ont poussé les rédacteurs des normes à mettre ces questions particulièrement en valeur ?
O.S. : C’est tout d’abord pour souligner l’importance que ces aspects ont pour la profession. Dans une organisation, une direction générale n’a pas beaucoup de personnes autres que les auditeurs et contrôleurs internes qui se soient engagées à être intègres, objectives, à faire preuve de conscience professionnelle et à respecter la confidentialité. D’une certaine façon, c’est un peu la raison d’être de nos métiers.
Il y a sans doute aussi le fait que plusieurs scandales financiers, plus ou moins récents, ont eu des retentissements assez importants à travers le monde. Et la réflexion que, pour certains d’entre eux, si l’audit interne avait mieux respecté les exigences d’éthique et de professionnalisme et avait été plus compétent, ces affaires auraient pu être mieux gérées.
Qu’est-ce que ces nouvelles normes impliquent pour les auditeurs internes ?
O.S. : Si l’on rentre dans le détail des normes, on constate que le premier principe, c’est de faire preuve d’intégrité. C’est-à-dire que la communication des auditeurs doit être honnête, courageuse, complète… Un auditeur ne doit pas passer sous silence des faits importants, et être capable de réagir de façon adaptée, même dans des situations où il peut être sous pression.
Est-ce que vous pouvez nous donner un exemple ?
O.S. : Je pense au cas de figure d’un jeune auditeur qui aurait trois ans d’expérience et qui conduit une interview d’un dirigeant. Évidemment, face à lui, il peut y avoir un déséquilibre de pouvoir et d’assurance amenant l’auditeur à se montrer moins critique, être impressionné et ne pas poser toutes les questions qu’il devrait. Sa capacité à faire remonter de mauvaises nouvelles peut aussi être altérée.
Quels sont les autres principes retenus par les normes ?
O.S. : Le deuxième principe, c’est maintenir son objectivité. L’auditeur doit être objectif, et sur au moins deux aspects. Tout d’abord en étant conscient des biais cognitifs que lui-même peut avoir lorsqu’il aborde un sujet.Les biais d’ancrage, les biais de disponibilité… Tout un ensemble de biais auquel peut être sujet un auditeur, même s’il se veut objectif et est professionnel. La norme concernant l’objectivité individuelle encourage à suivre des formations pour bien être conscient de ces possibles atteintes à son objectivité individuelle.
Le deuxième aspect relève de la gestion des possibles conflits d’intérêts. Lorsqu’un auditeur va, par exemple, être amené à revoir des sujets ou des domaines sur lesquels il a exercé des responsabilités auparavant. Il va donc, en quelque sorte, être en situation d’auto-révision. Idem pour des situations où il peut être amené à recevoir ce qui pourrait être assimilé à des cadeaux, avec finalement un intérêt personnel dans les conclusions de son audit.
Ce principe-là vise finalement à ce que les auditeurs soient formés, prennent conscience des risques d’atteinte à l’objectivité et sachent comment réagir.
« On s’aperçoit lors de la formation qu’il reste souvent des angles morts en matière d’objectivité »
Le troisième principe relevé par les normes est de faire preuve de compétence. Ce n’était donc pas une évidence ?
O.S. : Faire preuve de compétence, c’est un engagement à développer ses compétences professionnelles sur la durée. À vraiment être critique sur ses propres compétences à conduire un audit.C’est aussi ne pas hésiter à reconnaître qu’on n’a pas les compétences suffisantes pour aborder un sujet. Cela permet d’organiser une montée en compétences par le développement professionnel et la formation ou, éventuellement, d’organiser le recours à des experts par exemple via la sous-traitance de certaines parties d’une mission d’audit.
Ce qui nous amène au quatrième principe, celui de la conscience professionnelle. Parce qu’il faut aussi savoir utiliser ses compétences de la bonne façon, en se posant les bonnes questions, en utilisant les bons outils, en regardant les bons domaines. En faisant preuve de scepticisme, c’est-à-dire en remettant en cause les informations qui nous sont données.
Qu’en est-il du dernier principe ?
O.S. : Le dernier sujet, c’est celui de la confidentialité. Les auditeurs ont très souvent des accès étendus aux données critiques des organisations. Un accès souvent extrêmement privilégié par rapport à leur niveau hiérarchique. Ils peuvent demander à des audités des documents très sensibles, des évaluations de personnes, des informations liées à la rémunération, etc. La contrepartie, c’est qu’ils s’engagent à faire de leur mieux pour protéger la confidentialité de ces informations et à ne les utiliser que de manière légitime par rapport aux besoins de leur mission.
En tant que formateur, comment percevez-vous la prise en compte de ces exigences en termes d’éthique par les auditeurs internes ?
O.S. : Généralement, les auditeurs internes sont très conscients de l’importance de ces questions. Néanmoins, on s’aperçoit lors de la formation qu’il peut y avoir des angles morts.Je prends l’exemple de la façon dont un auditeur peut rédiger un rapport ou des conclusions. Il va pouvoir écrire : « Nous avons relevé une négligence concernant l’exécution de ce contrôle ». Le terme « négligence » n’est pas objectif. C’est déjà une interprétation. Dans la formation, nous avons donc une section qui concerne la capacité à écrire de façon objective, avec des exemples de tournures à éviter, et d’autres à privilégier.
Les auditeurs qui participent à la formation prennent aussi conscience qu’il leur manque parfois quelques éléments pour identifier les conflits d’intérêt et surtout savoir comment les gérer. La formation vise à décrire les différentes situations de conflits d’intérêt pour les auditeurs, pour les superviseurs, et les directeurs de l’audit interne. Notamment tout ce qui va concerner la politique de cadeau et d’hospitalité, qui peut varier d’une organisation à une autre.
Qu’apporte ce nouveau module de formation dans le catalogue de l’IFACI ?
O.S. : Les Normes posent des exigences de formation des auditeurs en matière d’éthique et de professionnalisme. Donc, suivre cette formation, c’est déjà répondre à une partie des exigences des Normes. C’est d’ailleurs de ce principe qu’est née cette formation : les normes de l’audit interne créent de nouvelles exigences, et l’on se devait de fournir aux adhérents de l’IFACI, ainsi qu’à tous les auditeurs internes, les opportunités d’y répondre.
Le module de formation aborde la théorie, en expliquant les exigences qui viennent des Normes. Il fournit des réflexes pratiques tout en laissant la place au partage d’expériences et à la réflexion individuelle. Si un auditeur junior ou senior se dit : « Effectivement, j’ai connu cette situation-là qui a été un peu compliquée à gérer », « je n’ai pas senti que je pouvais exprimer toute mon intégrité, mon objectivité, parce que j’avais de la pression », cela permet aux autres participants de reconnaître les situations difficiles et de savoir comment réagir.
« Le fait de mal se connaître peut finalement entacher les résultats d’un audit »
Comment se déroule la formation ?
O.S. : C’est une formation qui se déroule sur une demi-journée, à distance. Ce qui est plus facile à intégrer dans un emploi du temps souvent bien chargé. Mais elle peut aussi s’organiser en intra, à distance ou sur site. J’utilise beaucoup de QCM « à froid ». C’est-à-dire qu’avant d’aborder un sujet sur un plan technique, chaque participant est invité à répondre à des questions afin de se rendre compte par soi-même de son niveau de maîtrise.
Vous pouvez nous donner un exemple de question ?
O.S. : Par exemple : « Vous êtes invité par un fournisseur d’une entité que vous auditez à un événement sportif à l’issue duquel il y aura une distribution de cadeaux. Qu’est-ce que vous faites ? ». J’ai encore très souvent des réponses qui disent : « Je vais à l’événement sportif, mais je n’accepte pas les cadeaux. ». Sachant que là, typiquement, dans la question, on est déjà dans un contexte qui est très particulier. Le fournisseur d’une entité que j’audite m’invite. Quel est son intérêt ? Ce n’est pas mon fournisseur à moi, c’est le fournisseur de l’entité auditée. Nous sommes probablement dans le contexte d’une dépense prise en charge par un tiers uniquement pour l’intérêt de l’audité.
Ensuite, nous commentons les réponses, et cela permet de rentrer plus précisément dans le module. Cela donne lieu à des échanges collectifs où les uns et les autres expliquent leur choix. Il y a quatre ou cinq sessions de QCM dans la matinée. Et finalement, je commente les bonnes solutions, en ajoutant des anecdotes glanées au cours de ma trentaine d’années d’expérience.
Quelles sont les principales situations qu’un auditeur interne peut rencontrer qu’une éthique conforme aux nouvelles normes permet de maîtriser ?
O.S. : Ce sont par exemple les situations de pression, de conflit d’intérêt déjà évoquées. C’est aussi mieux maîtriser les notions de biais cognitifs. Le fait de mal se connaître peut finalement entacher les résultats d’un audit, parce que, même en étant professionnel et de bonne volonté, il faut être conscient de certains biais que l’on peut avoir. Je pense, par exemple, au biais de disponibilité évoqué plus tôt. Un biais de disponibilité, c’est surinterpréter un événement récent. Imaginez, vous travaillez pour une banque à l’audit interne, et la semaine d’avant votre intervention, il y a eu un hold-up dans une agence de la banque. Lorsque vous allez conduire votre audit, vous risquez de vous focaliser sur ce risque de hold-up, qui va prendre le pas sur d’autres éléments peut-être plus prioritaires. Alors que si vous regardez des éléments statistiques sur trois ans ou quatre ans, peut-être que vous vous rendrez compte que ce risque est vraiment très limité. La dernière information « disponible » prend une dimension qui peut vous conduire à ne pas être complètement objectif. Et ce sont toutes ces notions, dont nous ne sommes pas toujours conscients malgré un engagement d’objectivité de parfaite bonne foi, que cette formation permet de prendre en compte.
