À l’occasion des 60 ans de l’association, Claire de Soras, associée Finaction Consulting et auditeur certificateur, nous parle de son parcours, « intimement lié à l’IFACI », et des nouveaux défis qu’elle imagine pour les métiers du risque.
Pouvez-vous nous parler de votre parcours et de votre rôle actuel ?
Claire de Soras : Comme 80 % des fonctionnaires d’État, je suis juriste de droit public, et très rapidement, je me suis intéressée aux finances publiques, à la performance, et au contrôle de gestion. Mon premier poste était au sein du Ministère de l’Intérieur et, en 2010, j’ai été formée par l’IFACI et j’ai obtenu mon DPAI (diplôme professionnel de l’audit interne), qui n’existe plus aujourd’hui. J’ai commencé à travailler sur tout ce qui était méthodologie d’audit interne, contrôle interne… puis je suis partie à Lyon, à la préfecture du Rhône, sur des fonctions de pilotage budgétaire, contrôle de gestion et méthode Lean : de l’animation du changement. Je me suis certifiée et j’ai beaucoup aimé cette approche. J’ai ensuite été mise à disposition d’Interpol, dont le siège mondial se situe à Lyon. Il faut savoir que les deux tiers du personnel d’Interpol sont mis à disposition par les ministères de la police et de la justice du monde entier. J’ai commencé plutôt sur des fonctions de communication budgétaire, avant d’être nommée responsable de l’audit interne. J’ai passé mon CIA (Certified Internal Auditor), parce que je sentais que c’était nécessaire pour être capable de dialoguer avec tous les professionnels ayant un parcours plus classique. J’avais fait adhérer Interpol à l’IFACI et, au moment de faire l’évaluation de qualité externe, j’ai souhaité que ce soit l’association qui s’en charge. C’est à ce moment que je suis rentrée en contact avec un des consultants qui travaille pour l’IFACI Certification, et qui m’a proposé de nous associer. Je me suis mise en disponibilité de la fonction publique et j’ai plongé dans l’aventure. Assez rapidement, une partie de mon activité a été d’intervenir pour IFACI Certification. Et je suis aujourd’hui également associée et co-fondatrice du cabinet de conseil Finaction Consulting, dédié à l’audit et la gestion des risques.
J’ai participé au premier IFACI Challenge, en mai 2023, et j’ai découvert la méthode de facilitation et d’intelligence collective, qui permet de faire aboutir un groupe à des livrables précis. J’ai adoré, ça a vraiment été une très belle expérience. J’ai décidé de me certifier pour début 2026, pour devenir davantage spécialiste sur ce type de méthode, notamment de facilitation graphique, ce que j’ai pu expérimenter à l’occasion de l’IFACI challenge 2025 et bientôt à la Conférence, avec Raphaël de Vittoris. Mon parcours est donc au final intimement lié à l’IFACI.
« Le rôle de l’auditeur, c’est d’aider la gouvernance à prendre des vraies décisions »
Quels sont les grands défis des métiers de l’audit aujourd’hui ?
C.d.S. : Le principal défi de l’auditeur aujourd’hui, pour moi, c’est vraiment de ne jamais perdre de vue qu’il est là pour ajouter de la valeur à son organisation, tout en gardant son indépendance. Il y a quelques années, l’auditeur était un peu dans sa tour d’ivoire, en réalisant ses audits par rapport à ses référentiels. Aujourd’hui, les choses ont changé. Le travail est vraiment basé sur les risques. Nous devons accompagner nos organisations, qu’elles soient privées ou publiques, pour vraiment leur apporter une plus-value. Avec du conseil, bien sûr, et dans la limite justement de notre indépendance, mais aussi en s’assurant que l’organisation maîtrise au mieux tous les risques qui se présentent. Et ils sont multiples.
L’un des enjeux, je pense, pour l’auditeur interne, est de trouver sa place face à l’arrivée de l’intelligence artificielle, avec sa capacité de calcul, de synthèse, de compilation : où est-ce que l’on attend l’auditeur interne, où ajoute-t-il de la valeur ?C’est justement grâce à sa prise de recul, sa connaissance des risques liés à son environnement, sa capacité à aller chercher les risques émergents, et à coordonner les efforts qu’il peut apporter des réponses.
Il y a aussi un sujet qui, évidemment, m’est cher: la capacité à faire en sorte que la gouvernance ait vraiment les meilleures informations possibles. Évidemment, nos environnements sont de plus en plus complexes, alors que nous sommes par ailleurs soumis à de plus en plus d’exigences de transparence, de confiance. Et c’est typiquement le travail de l’auditeur de montrer que les choses sont clairement tracées, qu’elles sont faites dans les règles de l’art, que l’on dit ce que l’on fait et que l’on fait ce que l’on dit.
Comment la profession a-t-elle changé ces dernières années ?
C.d.S. : On parle toujours de risques émergents, mais ce qui me paraît intéressant, c’est de voir que cette approche est aujourd’hui vraiment basée sur les risques, sur le conseil et l’anticipation. Les nouvelles normes en ce sens sont intéressantes, parce qu’elles appuient cet aspect dans le nouveau mandat. Ce côté conseil et anticipation, insight and foresight. Et ça, tous les auditeurs n’y sont pas forcément prêts. Et puis, il y a un élargissement du périmètre, l’éthique qui prend plus de place, la RSE, la durabilité, la cybersécurité, la gouvernance…
L’évolution du métier, c’est aussi bien sûr le positionnement plus stratégique de l’audit. Ça aussi, les nouvelles normes l’évoquent, avec plus de visibilité dans les comités de direction et dans les conseils d’administration. On demande à l’auditeur d’être bien présent et entendu, alors qu’avant, tant qu’il ne criait pas très très fort, on ne l’entendait pas forcément. Or, le rôle de l’auditeur, c’est d’aider la gouvernance à prendre des vraies décisions.
« Il faut avoir une vraie capacité à la fois de communication et de pédagogie »
Quelles sont les compétences indispensables pour réussir dans votre domaine ?
C.d.S. : En tant qu’auditeur, je pense qu’il faut vraiment être capable de se poser les bonnes questions, de voir comment évoluent les compétences dans nos environnements. Donc, si l’on veut être en mesure d’aller auditer tout ce qui se passe, il n’y a par exemple plus une seule direction d’audit qui peut se passer d’auditeur IT. Il faut absolument avoir une connaissance fine de tous les systèmes d’information, et surtout des risques qui y sont liés. Du côté cybersécurité, on arrive à trouver des partenaires externes sur le sujet. Mais sur l’analyse de données, il faut être capable de savoir ce dont on a besoin, de l’obtenir et de l’analyser. On peut toujours se dire que demain, c’est l’intelligence artificielle qui le fera, mais encore faut-il être sûr de la qualité des données que l’on va obtenir. Et ça nécessite d’avoir un minimum de compétences en interne dans ce domaine.
Évidemment, il faut avoir une vraie capacité à la fois de communication et de pédagogie. Parce que l’on va aller expliquer aux audités et à nos parties prenantes, ce qu’est un risque, les sensibiliser. Et enfin, il faut avoir un regard critique sur son propre travail. Ce n’est pas évident, et c’est d’ailleurs ce que l’on demande plutôt aux directeurs qu’aux équipes. Je m’explique : bien sûr, les auditeurs doivent avoir du recul, mais le directeur d’audit doit être capable de se demander ce qui va intéresser la gouvernance. Avoir ces compétences de prise de hauteur, c’est essentiel.
Enfin, il faut avoir une vraie capacité à synthétiser. J’ai été marquée par une certification que j’ai faite il y a quelques temps, qui était dans le secteur de la tech aux États-Unis. Le mot d’ordre, c’était TLDR, « too long, don’t read ». Et donc, ils faisaient des rapports qui n’excédaient pas douze à quinze pages. Alors, quand je me retrouve face à des institutions publiques, qui peuvent encore produire des rapports de 100 pages avec des annexes, je leur dis : « Je suis désolée, nous sommes au XXIᵉ siècle, s’il n’y a pas des graphiques et une mise en page synthétique, je ne comprends pas tout ce que vous voulez dire, je ne lis pas ».
« L’audit doit avancer, s’améliorer pour devenir un spécialiste de l’analyse causale »
Quelle est, selon vous, la valeur ajoutée de votre métier pour les entreprises ?
C.d.S. : Je le ressens particulièrement dans ce que je fais aujourd’hui. Je réalise des missions d’audit interne en tant que telles, quelques missions d’accompagnement sur la gestion des risques. Mais c’est surtout quand je fais de la certification, en amenant en fait les meilleures pratiques, en challengeant les services, que l’on peut leur démontrer en quoi l’audit peut vraiment apporter de la valeur à l’organisation. J’ai eu la chance de rencontrer dans ce cadre de très belles organisations, comme l’UNICEF, le secrétariat général de l’ONU, des banques centrales européennes, la Cour pénale internationale, le Comité international de la Croix-Rouge… J’ai toujours un peu ma casquette Madame Audit International. Cela me permet de rencontrer des gens incroyables et d’avoir aussi ce sentiment que j’ai la chance d’être un peu ambassadrice quelque part de l’audit interne auprès de toutes ces organisations.
Un audit dont la principale valeur ajoutée doit donc être avant tout de permettre à la gouvernance de se poser les bonnes questions et, encore une fois, de prendre les bonnes décisions.
Quels sont les défis ou transformations que vous anticipez dans les prochaines années ?
C.d.S. : Je pense que les services d’audit vont être de plus en plus bousculés, et il va falloir trouver un équilibre entre avoir une vision à long terme d’un côté, et un peu le rôle de « pompier » de l’autre. Même si ce n’est évidemment pas le but d’intervenir en urgence. En même temps, quand il y a un sujet qui commence à poser problème, c’est aussi intéressant de se poser les questions du pourquoi.
Quand j’ai commencé dans ce métier, le référentiel professionnel de l’audit interne utilisait une certification appuyée sur l’analyse causale. Ce n’était pas trop le cas des normes de 2017. Mais les normes 2024 ont demandé spécifiquement de l’analyse causale de qualité dans les rapports.Et les parties prenantes avec lesquelles je suis en contact m’en parlent de plus en plus. Je trouve ça très intéressant, parce qu’effectivement, ça ne sert à rien d’essayer de corriger 20 fois le même problème si l’on ne s’attaque pas à ses causes. Et donc, là aussi, l’audit doit avancer, s’améliorer pour devenir un spécialiste de l’analyse causale, se poser la question de pourquoi un problème est arrivé, et de faire en sorte que cela ne se reproduise plus.
« Allez voir ailleurs, allez faire d’autres métiers, et revenez vers l’audit »
Quel conseil donneriez-vous à un professionnel qui débute dans ce secteur ?
C.d.S. : Soyez irréprochable sur l’aspect technique du métier, et libérez-vous-en. Commencez par apprendre le métier de l’organisation dans laquelle vous évoluez, soyez curieux. En fait, l’une des principales critiques des audités, c’est que les auditeurs ne comprennent pas leur métier, ne le connaissent pas.
Les jeunes qui sortent des écoles se forment souvent dans les cabinets. C’est très bien, mais ensuite, allez voir ailleurs, allez faire d’autres métiers, et revenez vers l’audit. Je pense que les meilleurs professionnels sont ceux qui ont vu beaucoup de choses.
En quoi l’IFACI vous apporte-t-il un soutien concret ?
C.d.S. : Déjà, c’est l’IFACI qui m’a formée, à travers les formations et les certifications. C’est un réseau auquel je suis assez attachée parce que c’est vraiment une forme d’unificateur des compétences, des connaissances, du socle de base. Et c’est l’IFACI qui permet à la profession de maintenir cette qualité. C’est une très belle association professionnelle, un pilier essentiel de tout auditeur interne et contrôleur interne en France.
Un message pour célébrer les 60 ans de l’IFACI ?
C.d.S. : Merci. Merci à titre personnel et professionnel. Et continuez à stimuler, à rassembler, à fédérer les auditeurs, les contrôleurs internes et les professionnels du risque.
