Le cadre de compétences de l’audit interne (competency framework) proposé par l’IIA (Institute of Internal Auditors) et traduit par l’IFACI est un outil qui permet une auto-évaluation en ligne avec les nouvelles normes. Alexandre Sokolowski, Responsable de l’audit interne d’Arundo Re, partage son retour d’expérience sur l’usage de l’outil.
Pouvez-vous vous présenter en quelques mots ?
Alexandre Sokolowski : J’ai 15 ans d’expérience en audit, avec un parcours articulé autour de trois dimensions. Une première qui est internationale : j’ai vécu sept ans à l’étranger, à New York et à Londres. Même à Paris, je continue d’évoluer dans un environnement international et multiculturel. La deuxième dimension est liée au secteur des assurances. C’est un secteur toujours en évolution et avec des attentes réglementaires fortes pour l’audit, ce qui donne de l’intérêt à mon métier. Enfin, la troisième, c’est bien sûr l’audit. Je suis diplômé d’un master en audit, expertise comptable, et j’ai essayé de développer une vision sur les différents risques auxquels une organisation peut faire face. Les risques financiers tout d’abord, auxquels j’ai été confronté en cabinet d’audit. Les risques stratégiques, opérationnels et de conformité ensuite, grâce à l’audit interne. Enfin, tout ce qui a trait aux risques technologiques, de par mes trois années d’expérience en audit cyber.
Et concernant votre entreprise, Arundo Re ?
A.S. : Arundo Re est un réassureur. La réassurance est un peu un marché de niche, que l’on appelle communément l’assurance des assureurs. Dans le sens où nos clients sont en fait des assureurs, que nous aidons à supporter les risques, les chocs extrêmes, par exemple en cas de catastrophes naturelles. Quand il y a des sinistres, l’idée est de pouvoir reconstruire le plus rapidement possible pour pouvoir continuer à vivre, en aidant à la résilience de notre économie.
Nous collectons plus de 1,3 milliard d’euros de primes d’assurance, dont 80 % à l’international. Mais en regard de cela, les sinistres sont très importants. Pour donner un exemple, sur les épisodes de grêle qui ont eu lieu en 2025 à Paris, on parle de 330 millions d’euros de dommages, de plus de 60 000 sinistres, dont 60 000 voitures ou habitations endommagées voire détruites.
C’est un secteur qui me passionne, très innovant et lié à l’économie réelle. Aujourd’hui, il y a des assurances pour tout. Même pour lancer des satellites. Dès lors qu’il y a un risque, il peut y avoir un transfert de ce risque à travers le mécanisme de l’assurance et de la réassurance.
Concernant l’équipe du département d’audit interne, nous sommes deux.
« 90 % de l’outil étaient directement applicables à mon contexte organisationnel »
Comment avez-vous eu connaissance du competency framework ?
A.S. : Je suis adhérent de l’IFACI depuis une quinzaine d’années, et depuis un an, j’ai rejoint également le club des directeurs de l’audit interne, animé par Hélène Auboyneau. C’est une excellente opportunité de rencontrer des pairs, lors des réunions animées par des experts, mais également d’obtenir des éléments de benchmark. Parce que, quels que soient les secteurs d’activité, on se rend compte que l’on partage souvent les mêmes problématiques.
Mais c’est en fait surtout sur Workvivo, le réseau social de l’IFACI qui permet d’avoir un fil d’actualité, que j’ai pris connaissance du competency framework développé par l’IIA. Et sa traduction française m’a été d’une grande aide, pour toute la partie RH notamment, car j’avais besoin d’un document en français, étant donné que l’on touche aux aspects RH, aux fiches de poste, etc.
Quelle a été votre première approche de ce competency framework ?
A.S. : Je connaissais déjà bien sûr les nouvelles normes de l’audit interne, avec une partie sur les compétences, mais là, j’ai pu découvrir avec le competency framework un véritable outil, et notamment la matrice Excel. Pour moi, le bénéfice premier, c’était vraiment de poser une base, un cadre de référence comme son nom l’indique. Sachant que je n’avais pas forcément le temps ni la volonté de réinventer un référentiel complet à partir des normes. Ce document m’a permis, en deux clics, d’avoir ce cadre, avec déjà quatre grandes compétences et 28 sous-catégories, de disposer d’une base de travail d’un très bon niveau. Faire partie de la communauté IFACI et avoir accès à ce type d’outil est vraiment un avantage.
Avez-vous pu l’utiliser tel quel ou avez-vous dû l’adapter ?
A.S. : Quand je suis rentré dans le détail, 90 % de l’outil était directement applicable à mon contexte organisationnel, vu que nous sommes sur des compétences transverses. Mais lorsque j’ai réalisé une auto-évaluation pour chaque membre de l’équipe et moi-même, je l’ai un peu adapté pour qu’il corresponde plus particulièrement à notre environnement, l’assurance, notamment dans le domaine opérationnel. J’ai gardé en revanche tout ce qui était de l’ordre de la comptabilité, des finances, la cybersécurité, les RH, etc. J’ai trouvé qu’il manquait tout de même deux compétences. La première, c’est la maîtrise de la langue anglaise. Comme c’est un cadre international, on n’y avait pas forcément pensé. Or, au sein de mon équipe, ce n’était pas forcément inné de parler anglais et c’est quand même une compétence attendue qu’il faut maîtriser.
La deuxième compétence que j’ai ajoutée, c’est l’utilisation de l’intelligence artificielle, d’un point de vue technique, de maîtrise des prompts, etc. Mais aussi sur la capacité des auditeurs à exercer un esprit critique, pour ne pas prendre pour argent comptant les résultats obtenus.
« Même en tant que responsable de l’audit, on n’est pas forcément expert sur tous les sujets. »
Utilisez-vous GAIA, le chatbot d’intelligence artificielle conçu par l’IFACI ?
A.S. : Pour mes présentations au comité d’audit, il m’arrive d’utiliser GAIA Lex, qui me permet de ne pas avoir à réétudier les 400 pages des normes. Je peux demander, par exemple : « Peux-tu me lister les normes qui évoquent les attentes du conseil d’administration ? ». Et GAIA me produit effectivement de façon structurée toutes les normes d’audit sur lesquelles reposent les attendus du Conseil. En revanche, je n’ai pas encore utilisé GAIA Writer pour rédiger…
Concernant l’auto-évaluation, quels ont été les principaux enseignements ?
A.S. : C’était assez intéressant, parce que l’on se rend compte que, même en tant que responsable de l’audit, on n’est pas forcément expert sur tous les sujets. Cela permet donc de réaliser une autocritique.
Je pense aussi que cela nous a permis de bien rappeler l’importance des compétences en matière d’éthique qui sont vraiment au cœur de notre métier. Et après avoir identifié les écarts entre la cible et les compétences actuelles, nous avons pu passer au plan d’action et voir ce que l’on pouvait mettre en place, c’est-à-dire à la fois des formations métiers destinées à monter en compétences, mais aussi des petites actions de terrain qui permettent d’avoir une meilleure connaissance sur un sujet donné.
Cette conception du plan d’action est très importante, parce que, dans nos professions, nous avons besoin de nous projeter et de savoir quelle sera l’étape suivante.
« Recenser collectivement les points où le département avait à progresser »
Un plan d’action qui a entraîné quels types de formation ?
A.S. : Pour vous donner un exemple, un membre de mon équipe s’est inscrit à l’IAP (lnternal Audit Practitioner), parce que, comme il était junior, il ne se jugeait pas forcément au niveau sur la partie méthodologie, même si c’est censé être notre quotidien. Et c’est une bonne chose, notamment avec l’arrivée des nouvelles normes.
De mon côté, sur une partie plus liée à notre métier, j’ai demandé une formation sur l’actuariat, avec de la modélisation mathématique des risques.
Mais il y a aussi une partie plus collective, au niveau de l’équipe d’audit. En fait, la consolidation des trois auto-évaluations réalisées a permis de recenser collectivement les points où le département avait à progresser.
Quel rôle joue le competency framework dans votre rapport à la gouvernance ?
A.S. : Pour l’instant, je ne l’ai pas montré à la direction générale, ni au comité d’audit. Mais c’est une matrice qui pourrait avoir pour vocation d’être présentée aux organes de gouvernance, pour montrer un peu l’« avant/après », et démontrer l’impact que peuvent avoir les formations.
En revanche, je l’utilise dans mon plan d’audit, notamment pour voir où des compétences externes, à travers de la sous-traitance à des cabinets de conseil notamment, pourraient créer de la valeur et justement combler une compétence que nous n’aurions pas.
C’est donc encore une fois un outil qui permet vraiment de cadrer, de mettre en lumière, et de justifier potentiellement les besoins auprès de la gouvernance. Le fait de matérialiser, de formaliser cette maîtrise des compétences, de faire cet exercice d’auto-évaluation, me permet en fait de répondre à toutes les exigences qui sont présentes dans les nouvelles normes de l’audit interne.
