Risk based internal auditing: from standards to practices described by chief audit executives
L'approche par les risques en audit interne: des normes aux pratiques décrites par les directeurs d'audit
Résumé
Since beginning of year 2000, internal audit decided to play a new role as an expert function in charge of evaluating risks within organization and to serve top management and the board members. The interest of this research is resulting from a paradox: whereas internal audit activity is centered on risks, their professional standards do not provide a clear definition of what a risk is, which seems to be problematic when it comes to understand how they proceed in practice to evaluate risks. The theoretical framework chosen for this research is the sociology of risk of Luhmann who define risk as a social construct. The aim of this research is to study how audit departments are constructing risks’ objects … to make risks auditable. The methodology used is based on interviews performed with Chief Audit Executives within major French listed companies. This research has three main contribution. The first one is to demonstrate that there is a gap between the universe of risk and the universe of audit whereas audit activity is supposed to be based mainly on risks. The second contribution is to describe how audit is transforming risks into auditable risks. A risk is auditable only when it can be attached to a process and to formal control mechanisms. The third contribution is to highlight the difficulties related to the respect of standards related to the position of internal audit. Audit standards recommend that audit report both to management and audit committee for a higher independence for audit. However, there is no reason to have a same risk evaluation between management and shareholders. A dual reporting line is in some way problematic as it is difficult to have a system of double observation.
Depuis le début des années 2000, l’audit interne s’est repositionné comme une fonction « experte » en charge d’évaluer les risques au service des directions générales et des instances de gouvernance pour les aider à mieux les apprécier et les gérer. L’intérêt du sujet résulte d’un paradoxe : la notion de risque n’est pas définie de façon précise dans les normes d’audit alors qu’il représente le cœur d’activité de l’audit interne. Le cadre d’analyse retenu pour cette recherche est la sociologie du risque de Luhmann qui définit le risque en tant que construit social. Notre recherche cherche à étudier comment les directions d’audit construisent leurs objets de risque … pour les rendre auditables. La méthodologie employée est fondée principalement sur des entretiens réalisés avec les directeurs de l’audit des grands groupes français. La thèse apporte trois contributions principales. La première est de démontrer qu’il existe un écart entre l’univers des risques et l’univers d’audit alors que les activités d’audit doivent selon les normes traiter en priorité des risques de l’organisation. La seconde contribution est d’expliciter les processus qui rendent auditables les risques de l’organisation. Un risque est auditable à partir du moment où il peut être rattaché à un processus et à des dispositifs de contrôle formels. La troisième contribution est de souligner la difficulté que pose l’application des normes professionnelles de l’audit interne relatives au positionnement de l’audit. Les normes préconisent de rattacher l’audit interne à la fois au management et au comité d’audit pour lui garantir une plus grande indépendance. Il n’y a pas de raison que le management et les actionnaires aient la même évaluation du risque. Le double rattachement de l’audit pose problème car il est difficile d’avoir un système de double observation.
Fichier principal
Manuscrit_CoskunCAKAR_9+Décembre+2016_Version+déposée.protected (1).pdf (5.17 Mo)
Télécharger le fichier
Loading...