L'audit interne : troisième ligne de défense et garant de la gouvernance
L'audit interne est la fonction qui évalue de manière indépendante l'efficacité du dispositif de contrôle interne et de gestion des risques. Pour les institutions financières UEMOA/CEMAC, son existence et son indépendance sont des obligations réglementaires (Instruction BCEAO n°001-04-2018, Règlement COBAC R-2016/04). L'absence d'audit interne indépendant est un constat de criticité 5/5.
Mais au-delà de la conformité, un audit interne performant est un allié précieux du Conseil d'Administration pour exercer sa mission de supervision.
Le cadre COSO 2013 : 5 composantes, 17 principes
Composante 1 — Environnement de contrôle : intégrité, valeurs éthiques, philosophie de management, structure organisationnelle, politique RH.
Composante 2 — Évaluation des risques : définition des objectifs, identification et analyse des risques, évaluation du risque de fraude.
Composante 3 — Activités de contrôle : politiques, procédures, séparation des tâches, contrôles informatiques.
Composante 4 — Information et communication : information pertinente et de qualité, communication interne et externe.
Composante 5 — Pilotage : évaluations continues et ponctuelles, communication des déficiences.
L'audit interne évalue chacune de ces composantes et émet des recommandations d'amélioration.
Les exigences BCEAO/COBAC pour l'audit interne
BCEAO (UEMOA) : l'Instruction n°001-04-2018 exige une fonction d'audit interne indépendante rattachée fonctionnellement au Conseil d'Administration, un plan d'audit annuel approuvé par le Conseil, et un rapport trimestriel au Comité d'Audit.
COBAC (CEMAC) : le Règlement R-2016/04 exige un dispositif de contrôle interne comprenant une fonction d'audit interne permanente, un rattachement hiérarchique garantissant l'indépendance, et un plan d'audit fondé sur une approche par les risques.
Points communs : indépendance, plan d'audit basé sur les risques, reporting régulier au Conseil, suivi des recommandations.
Cet article vous a plu ?
Abonnez-vous pour recevoir nos prochaines publications directement dans votre boîte mail — sans spam, désinscription en un clic.
La charte d'audit interne
La charte est le document fondateur qui définit : la mission de l'audit interne, son périmètre (toutes les activités, tous les processus), son rattachement hiérarchique (Conseil/Comité d'Audit) et fonctionnel (Direction Générale), ses droits d'accès (illimités à tous les documents, personnes et biens), ses obligations (confidentialité, compétence, objectivité), et les modalités de reporting.
La charte doit être approuvée par le Conseil d'Administration et révisée périodiquement. Son absence est un constat d'inspection systématique.
Le plan d'audit basé sur les risques
Le plan d'audit annuel ne doit pas être une liste de vérifications routinières. Il doit être fondé sur la cartographie des risques : les processus les plus risqués sont audités en priorité et plus fréquemment.
Méthodologie : (1) identifier l'univers d'audit (tous les processus audités), (2) évaluer le risque inhérent de chaque processus, (3) prioriser en fonction de la criticité, (4) allouer les ressources en conséquence, (5) soumettre au Comité d'Audit pour approbation.
Le plan doit couvrir un cycle (généralement 3 ans) à l'issue duquel tous les processus significatifs ont été audités au moins une fois.
Questions fréquentes
Réponses structurées pour investisseurs et régulateurs