Post

Le comité d’audit : un fourre-tout devenu ingérable ?

June 27, 2025

Academic AnalysisAcademic ReportageAM-NCAnalysis
Le comité d’audit : un fourre-tout devenu ingérable ?

Source: The Conversation – in French – By Julien Le Maux, Professeur titulaire, département de sciences comptables, HEC Montréal

Les tâches du comité d’audit se sont multipliées au point d’en faire un généraliste malgré lui. (Shutterstock)

Depuis plus de vingt ans, le comité d’audit accumule les responsabilités. Initialement chargé de surveiller la qualité des états financiers et l’indépendance des auditeurs, il est devenu le réceptacle de presque tous les nouveaux risques : fraude, conformité, cybersécurité, climat, facteurs ESG, intelligence artificielle. Ce qui devait être temporaire est devenu permanent. Pourquoi surcharger encore le comité d’audit en 2025 ?

Professeur titulaire en sciences comptables à HEC Montréal et directeur académique des certifications en ESG et en gouvernance d’entreprise, je mène des recherches sur la qualité de la gouvernance dans les organisations publiques et privées, ainsi que sur l’intégration des facteurs ESG dans leurs décisions stratégiques.

Déjà des milliers d’abonnés à l’infolettre de La Conversation. Et vous ? Abonnez-vous gratuitement à notre infolettre pour mieux comprendre les grands enjeux contemporains.

Une bonne idée devenue un piège

Créé dans les années 1990 pour renforcer la transparence financière dans un contexte de scandales et de perte de confiance, le comité d’audit s’est rapidement imposé. Le rapport Cadbury (1992) au Royaume-Uni, le Blue Ribbon Committee (1999) aux États-Unis, puis surtout la loi Sarbanes-Oxley (2002) ont renforcé son rôle : supervision des états financiers, liens avec les auditeurs externes, gestion des irrégularités comptables.

Concrètement, le comité d’audit avait pour mission de veiller à l’intégrité des informations financières, de superviser les mécanismes de contrôle interne, et de recommander la nomination de l’auditeur externe.

La révision des Principes de gouvernance de l’OCDE (2004) a entériné son rôle à l’échelle mondiale. À l’époque, les conseils d’administration disposaient de peu d’options en matière de comités spécialisés. Par réflexe, ils ont confié chaque nouvelle responsabilité au seul comité bien structuré : l’audit. Ce choix pragmatique s’est transformé, au fil des années, en véritable impasse.

Cybersécurité, ESG… et surcharge chronique

Chaque décennie a apporté son lot de nouveaux risques à superviser.

  • Cybersécurité : dans de nombreuses entreprises, le comité d’audit a été désigné pour superviser ces enjeux technologiques, faute de comité des risques. La Securities Exchange Commission (SEC) a officialisé cette pratique en 2024 avec ses nouvelles règles exigeant que les entreprises précisent quel comité du conseil supervise la cybersécurité. Bien souvent, c’est encore le comité d’audit qui assume ce rôle.

  • ESG et durabilité : ces questions ont également été confiées à l’audit, sous prétexte de leur « impact financier », comme le confirment les études de PwC (2023), KPMG (2024) et Deloitte (2023). Même lorsque les enjeux sont essentiellement stratégiques ou techniques, la grille comptable reste dominante.

  • Nouvelle conformité durable : les normes ISSB et la future norme IAASB (2025) recommandent que le comité d’audit supervise la qualité des informations ESG, sauf si un comité spécialisé a été mis en place.

Résultat : une surcharge ingérable et, pire encore, une dilution des expertises. Le comité d’audit est devenu un généraliste malgré lui, accumulant des responsabilités qui dépassent largement le champ financier.

Pourquoi persister ?

Trois raisons expliquent cette situation.

  • Inertie structurelle : le comité d’audit existe déjà. Créer de nouveaux comités exige du temps, des ressources et parfois même des modifications des statuts du conseil. Beaucoup préfèrent s’en tenir au statu quo.

  • Compétence perçue : de nombreux investisseurs et régulateurs continuent de croire que le comité d’audit est « polycompétent », même lorsqu’il s’agit de risques qui dépassent largement la comptabilité et la finance.

  • Limitation des moyens : nombre de petites et moyennes entreprises, d’organismes à but non lucratif ou de sociétés d’État hésitent à multiplier les comités pour limiter la complexité ou les coûts de gouvernance.

Cette combinaison d’habitudes, de perceptions erronées et de contraintes budgétaires explique pourquoi le comité d’audit continue d’absorber des responsabilités nouvelles chaque année.

Deux visions s’affrontent

Face à cette impasse, deux approches dominent.

Le camp du pragmatisme préconise d’élargir encore le mandat du comité d’audit. Il propose d’augmenter la formation des membres, de recruter des experts invités pour les questions techniques et de renforcer les ressources du comité. C’est la solution adoptée par plusieurs conseils d’administration, appuyée par de nombreux grands cabinets d’audit.

Le camp de la spécialisation plaide au contraire pour décharger le comité d’audit et créer des comités spécifiques pour l’ESG, la cybersécurité et les risques stratégiques. Cette approche se développe surtout en Europe (notamment chez les grandes entreprises soumises à la CSRD) et parmi les entreprises nord-américaines les plus avancées (OCDE 2023, NACD 2023).

Une monoculture financière devenue un frein

Critiquer le « tout-audit », ce n’est pas remettre en cause l’audit comme méthode rigoureuse de supervision. C’est dénoncer une monoculture financière dans la gouvernance des risques.

Par réflexe, nombreux sont ceux qui continuent de traiter des enjeux complexes – technologiques, environnementaux, sociaux – uniquement à travers une grille de lecture comptable. Les expertises spécialisées sont souvent négligées ou considérées comme accessoires.

Pourtant :

  • La cybersécurité ne se résume pas à des pertes financières.

  • Les facteurs ESG ne se limitent pas aux provisions comptables ou aux normes élaborées par des régulateurs financiers.

  • L’intelligence artificielle ne peut être supervisée uniquement par des experts du contrôle interne financier.

Cette approche appauvrit la capacité des conseils d’administration à anticiper et gérer des risques de plus en plus complexes et interconnectés.

Sortir de l’impasse

Il est temps de cesser de traiter le comité d’audit comme le comité des risques par défaut. Les conseils d’administration doivent :

  • Créer des comités spécialisés dès que possible, même dans les conseils de taille moyenne.

  • Former leurs membres pour distribuer les responsabilités en fonction des expertises réelles, et non par convenance administrative.

  • Adopter un modèle pluridisciplinaire, mieux adapté à la complexité des risques modernes.

Si le comité d’audit était un employé, il serait déjà en burn-out. La gouvernance ne peut plus repousser l’inévitable : il faut sortir de la logique du « tout-audit » et réinventer la supervision des risques pour le XXIe siècle.

Julien Le Maux ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d’une organisation qui pourrait tirer profit de cet article, et n’a déclaré aucune autre affiliation que son organisme de recherche.

ref. Le comité d’audit : un fourre-tout devenu ingérable ? – https://theconversation.com/le-comite-daudit-un-fourre-tout-devenu-ingerable-255679

MIL OSI – Global Reports