Vous êtes sur la page 1sur 35

Cahier de la

Recherche

Laccs et la conservation
des documents relatifs
aux missions daudit
Ralis par une Unit de Recherche

LIFACI est affili


The Institute of Internal Auditors

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

DANS

LA MME COLLECTION

La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)

Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octobre 2011)

Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011)
La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de
lIFACI (dcembre 2010)
La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010)
Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne efficient, Groupe Professionnel Banque (Avril 2010)
Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010)
Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009)
Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008)
Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dveloppement durable ?, Unit de Recherche IFACI (juin 2008)
Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche
IFACI (mai 2008)
Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novembre 2007)

Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises
dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007)
La cartographie des risques, Groupe Professionnel Assurance (juillet 2006)
Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006)
Une dmarche de management des connaissances dans une direction daudit interne, Unit de
Recherche IFACI (mai 2006)
Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005)
Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005)
tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie
et commerce (janvier 2004)
Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel
Banque (fvrier 2004)
Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA
Traduction IFACI (2001)
Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001)
Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction
IFACI (2000)

Pour plus dinformations : www.ifaci.com


IFACI Paris novembre 2012
ISBN : 978-2-915042-44-3 ISSN : 1778-7327
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

R EMERCIEMENTS

LIFACI tient tout particulirement remercier les membres de lUnit de Recherche qui ont produit ce
cahier :
Emmanuelle BORRELLY, Auditeur interne, Caisse des dpts ;
Marc CROUZET, Directeur de Cabinet du Directeur de lAudit Groupe, Socit Gnrale, Animateur de
lUnit de Recherche ;
Mathieu PONSOT, Auditeur interne, Inspection Gnrale BNP Paribas ;
Anne-Marie SCHRICKE, Responsable relations rgulateurs, Inspection Gnrale CACIB.

Relecture :
Groupe Professionnel Banque de lIFACI prsid par Frdric GEOFFROY, Responsable de
laudit interne, Banque de financement et dinvestissement de la Socit Gnrale (SGCIB).

La rvision a t assure par :


Julie FERRE, Charge de projets de la recherche, IFACI
Batrice KI-ZERBO, Directeur de la Recherche, IFACI

Philippe MOCQUARD, Dlgu Gnral, IFACI

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

S OMMAIRE
INTRODUCTION .............................................................................................................................. 5
QUELQUES CLES DE LECTURE POUR ABORDER CE CAHIER DE LA RECHERCHE . 6
1- AUTOUR DU DOSSIER DAUDIT : OBJECTIFS ET MODALITS
DE STRUCTURATION ..................................................................................................................... 7
1.1- Composition et structure du dossier daudit ....................................................................... 8
1.2- Arborescence des dossiers de mission ............................................................................... 11
2- CONSERVATION ET ARCHIVAGE DES DOSSIERS DE LAUDIT ................................. 12
2.1- Rappel des principes ............................................................................................................ 13
2.2- Processus de conservation des donnes des missions ..................................................... 13
2.2.1- Conservation des donnes lectroniques ................................................................. 13
2.2.2- Conservation des donnes papier ............................................................................. 14
2.2.3- Spcificit des missions spciales .............................................................................. 14
2.3- Processus darchivage des dossiers de missions ............................................................... 15
2.3.1- Archivage lectronique & papier ............................................................................... 15
2.3.2- Dure darchivage ....................................................................................................... 16
2.4- Destruction des dossiers archivs ....................................................................................... 17
3- ACCS AU DOSSIER DE LA MISSION ................................................................................ 18
3.1- Rappel des principes ............................................................................................................ 19
3.2- Accs au dossier de mission pendant la mission .............................................................. 21
3.2.1- Donnes lectroniques ............................................................................................... 21
3.2.2- Donnes papier ........................................................................................................... 22
3.3- Accs au dossier archiv ...................................................................................................... 22
3.3.1- Demandes intra Groupe ............................................................................................ 23
3.3.1.1- Demandes du contrle priodique .................................................................. 23
3.3.1.2- Demandes du contrle permanent ou d'autres dpartements centraux ...... 23
3.3.2- Demandes externes .................................................................................................... 24
3.3.2.1- Demandes des rgulateurs ............................................................................... 25
3.3.2.2- Demandes des commissaires aux comptes ..................................................... 26
3.3.2.3- Demandes des autorits judiciaires ................................................................. 26
CONCLUSION ................................................................................................................................ 27
ANNEXE 1 ......................................................................................................................................... 30
ANNEXE 2 - Arborescence lectronique pour une mission donne .................................... 32
BIBLIOGRAPHIE ............................................................................................................................. 35

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

I NTRODUCTION
Les quipes daudit interne (Inspection gnrale, audit gnraliste et/ou spcialis) ralisent chaque
anne, dans le cadre du plan daudit, un nombre important de missions portant sur des sujets souvent
trs diffrents dans divers environnements. Ces missions se traduisent par des entretiens, la collecte et
lanalyse de documentation et la ralisation de travaux de contrle qui gnrent une masse de documents contribuant la constitution dun dossier daudit. Ce dernier inclut galement le rapport de
mission et les recommandations, autant dinformations qui revtent un caractre confidentiel.
Les conclusions de laudit interne sont destines aux responsables des dpartements audits et leur
management mais, de plus en plus frquemment, des filires comme la filire risques, conformit ou
les acteurs du contrle permanent, peuvent souhaiter disposer de ces informations. Il en est de mme
pour les rgulateurs, les commissaires aux comptes, voire les autorits judiciaires.
Les pratiques de constitution et de conservation des donnes sont souvent trs htrognes, tout
comme les rgles devant encadrer leur accs.
Face ce constat, le bureau du groupe banque de lIFACI a dcid de missionner un groupe de travail
sur laccs et la conservation des documents relatifs aux missions daudit, dont lobjectif est, en labsence dun cadre rglementaire structurant, de recenser les bonnes pratiques et de proposer des orientations aux lecteurs.

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

POUR

Q UELQUES CLS DE LECTURE


ABORDER CE C AHIER DE LA R ECHERCHE

Mission spciale : Il sagit dune mission sensible pour ltablissement telle quune mission dinvestigation de fraude, une mission de conseil lie un projet stratgique pour ltablissement ou une
mission lie une fusion. Cette liste nest pas exhaustive, il appartient chaque tablissement de
ladapter ou de la complter.
Responsable de mission / chef de mission : Il encadre ponctuellement une quipe daudit lors dune
mission donne. Il a pour mandat de former cette quipe, de prsenter le diagnostic au superviseur,
dencadrer la ralisation des travaux, de rdiger le rapport et dassurer le suivi des recommandations.
Superviseur : Il sagit dune personne rfrent expert en audit interne qui agit de faon complmentaire
au responsable de laudit interne. Il contribue llaboration du plan daudit, encadre la mission, valide
le diagnostic, suit la ralisation de la mission et valide le rapport avant quil ne soit mis. Il peut sagir
dun responsable daudit au niveau local.

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

PARTIE 1
AUTOUR DU

DOSSIER D AUDIT

: OBJECTIFS

ET MODALITS DE STRUCTURATION

Rappelons que le CRBF 97-02 stipule dans son article 9 quun programme des missions de contrle
doit tre tabli au moins une fois par an en intgrant les objectifs annuels de l'organe excutif et de l'organe
dlibrant en matire de contrle . A ces missions programmes viennent souvent sajouter des
missions non prvues par le programme annuel (missions hors plan) et portant sur tout sujet jug
utile qui peuvent tre demandes, tout moment, par la direction gnrale, les directions centrales,
leurs dpartements, ou que le contrle priodique estime ncessaire de raliser compte tenu dun
environnement volutif.
Le dossier daudit, tel quil sera trait dans le prsent document est relatif une mission, programme ou non. Il est constitu au fil de leau sous la responsabilit du chef de mission. Les autres
documents lis la gestion dun service daudit interne (planification annuelle, gestion des
ressources humaines et matrielles, manuel de procdure, rapports annuels aux instances dirigeantes, etc.) ne sont pas intgrs dans ces travaux mais leur conservation et leur accs doivent
galement tre matriss.

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

1.1

COMPOSITION

ET STRUCTURE DU DOSSIER D AUDIT

En matire darchivage, concernant les documents de laudit interne, il ny a pas de rglementation


spcifique mais des rfrences telles que les Normes professionnelles de lAudit Interne (IIA-IFACI).
En labsence dobligations rglementaires spcifiques, le service daudit interne devra se rfrer
la politique gnrale de conservation des donnes de ltablissement et organiser les dossiers daudit pour tre efficient lors de la conduite des missions et tre en mesure de rpondre aux sollicitations ventuelles de ses
Responsable Audit Interne
Audit
Audits
parties prenantes.
Elaborer le plan
d'audit

Ordre de
mission
Conduire la runion
d'ouverture

Info

Info

Planification de la mission

Prciser les objectifs et le primtre de la mission

Analyser les processus et


leurs objectifs

Valider le rfrentiel d'audit

Rfrentiel d'audit

Slectionner les objectifs


d'audit

Valid ?

Objectifs d'audit

Ce flux constant dinformation doit tre trac et


matris travers des
dispositifs daccs et de
conservation sappuyant
sur des dossiers bien structurs durant la mission et
lors de larchivage dfinitif.

laborer le programme
de travail
Ajuster le budget et
allouer les ressources

Programme
de travail

Collecter les informations et


constituer les preuves d'audit

Points forts

Info

Documentation
des preuves

Valider les preuves

Contrle
satisfaisant?

Analyser les causes, laborer


les recommandations

Observations
valides

Accomplissement

Ce logigramme met en
vidence la production de
diffrents types de documents dont certains sont
changs au fil du droulement de la mission avec
dautres membres du
service daudit interne ou
avec des audits.

Conduire la runion de clture

Rdiger le rapport

Rapport d'audit

Plan d'action

Communication

Quelle que soit sa nature,


une mission daudit se
dcline le plus souvent
autour de 3 grandes
tapes : la planification de
la mission / laccomplissement / la communication,
schmatises ci-contre.

Processus de ralisation dune mission daudit interne1

Logigramme adapt partir des fiches mthodologiques dIFACI Formation comprenant galement des modles de documents et des fiches
outils.

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Une liste non exhaustive et non imprative des documents constitutifs de la mission daudit est
prsente en annexe 1 (page 30). Ils sont dclins selon les tapes du logigramme et 6 squences
cls dune mission : lancement, prparation, diagnostic, investigations, restitution aux audits et
rapport final.
Normes professionnelles de lAudit Interne (IIA-IFACI)
Version applicable au 1er Janvier 2013
Les documents cits en annexe 1 illustrent un certain nombre dexigences professionnelles.
Norme 2200 Planification de la mission : Les auditeurs internes doivent concevoir et documenter
un plan pour chaque mission. Ce plan de mission prcise les objectifs, le champ d'intervention, la
date et la dure de la mission, ainsi que les ressources alloues.
MPA 2200-1 : Planification de la mission
1. Lauditeur interne planifie et conduit la mission qui est supervise et approuve. Avant le
dbut de la mission, lauditeur interne prpare un programme qui :
dfinit les objectifs de la mission ;
identifie les exigences techniques, les objectifs, les risques, les processus et les transactions qui doivent tre examins ;
tablit la nature et l'tendue ncessaire des tests ;
documente les procdures utilises par l'auditeur interne pour collecter, analyser,
interprter et documenter les informations pendant la mission ;
est modifi, le cas chant, au cours de la mission avec lapprobation du responsable
de laudit interne ou de son reprsentant.
2. Le responsable de laudit interne devrait exiger un niveau de formalisme et de documentation adapt l'organisation (par exemple concernant les rsultats des runions de planification, les procdures d'valuation des risques, le niveau de dtail du programme de travail,
etc.).
Cette exigence devrait sappliquer :
lorsque le travail ralis ou les rsultats de la mission reposent sur des travaux de tiers
(par exemple, des auditeurs externes, des rgulateurs, ou le management) ;
lorsque le travail vise des aspects pouvant tre associs un litige existant ou potentiel ;
en fonction de l'exprience de lquipe daudit interne et du niveau de supervision
directe exige ;
lorsque la mission fait recours des auditeurs associs, slectionns en interne ou
des prestataires externes de services ;
en fonction de la complexit et ltendue de la mission ;
en fonction de la taille du service daudit interne ;
en fonction de la valeur des documents (par exemple, s'ils sont susceptibles dtre
utiliss dans les annes suivantes). [...]

IFACI

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Norme 2240 Programme de travail de la mission : Les auditeurs internes doivent laborer et
documenter un programme de travail permettant datteindre les objectifs de la mission.
MPA 2240-1 Programme de travail de la mission
1. Les auditeurs internes laborent des programmes de travail et en obtiennent la validation
formelle avant de commencer la mission. Le programme de travail comprend les mthodes
utilises telles que les audits informatiss et les techniques dchantillonnage.
2. Le processus de collecte, danalyse, dinterprtation et de documentation de linformation
est supervis afin dobtenir une assurance raisonnable que les objectifs daudit sont atteints
et que lobjectivit de lauditeur est maintenue.
Norme 2330 Documentation des informations : Les auditeurs internes doivent documenter les
informations pertinentes pour tayer les conclusions et les rsultats de la mission.

Il est de la responsabilit du chef de mission de sassurer de la conservation scurise et ordonne


de ces documents tout au long de la mission et den organiser larchivage lectronique et papier
afin de rpondre aux objectifs suivants :
assurer la traabilit et le caractre probant des travaux et des conclusions de la mission ;
fournir un accs rapide aux pices justificatives correspondantes en cas de demandes de
tiers (audit de la maison mre, autorits de tutelle, autorits judiciaires, etc.) ou en cas de
besoin interne ;
respecter les obligations imposes par les lois et rglements, par les autorits de tutelle et
de march, et permettre un tiers autoris (audit interne ou autre), qui n'a eu aucune relation prcdente avec l'audit ralis de comprendre la nature, le calendrier et l'tendue des
procdures d'audit excutes, les lments probants obtenus, la nature des questions
importantes qui sont survenues et les conclusions auxquelles on a abouti ;
matriser ses risques oprationnels et notamment :
- les risques lis la perte dinformations, dont les consquences sont laccroissement
du temps pass la recherche dinformation, les cots de reconstitution des
dossiers, des prjudices financiers divers dans le cas o le document nest pas
produit ou transmis temps (amendes, sanction des rgulateurs, etc.) ;
- les risques lis lutilisation frauduleuse dinformations, la divulgation non matrise ou au dtournement dinformations (rupture du secret bancaire) ;
- les risques en termes dimage, les mdias pouvant se faire lcho dun dysfonctionnement interne.
faciliter lorganisation, la planification et la ralisation de la mission ; rendre aise la supervision et la revue des travaux effectus ; permettre l'quipe de mission de rendre compte
de ses travaux ; conserver les points importants pour les audits futurs ;
permettre la mise en uvre de revues de contrle qualit de la mission.

IFACI

10

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

1.2 A RBORESCENCE

DES DOSSIERS DE MISSION

Compte tenu de la volumtrie des documents et de l'analyse de nombreuses donnes (sous format
papier ou lectronique), il convient d'tre particulirement rigoureux quant la conservation des
documents provenant des audits et de ceux mis par lquipe daudit. En outre, au terme de la
mission, la consultation dun dossier daudit doit permettre quelquun, nayant pas particip aux
travaux, de reconstituer les bases de donnes utilises, la dmarche suivie pour dterminer les
risques ainsi que la conclusion des travaux.
Les documents doivent tre classs de manire claire et comprhensible, et rfrencs afin dtre
trs facilement identifis. Pour ce faire, il est impratif trs en amont et au fil de leau de les identifier, de normer leur conservation et de dfinir les modalits daccs.
Ainsi, au fil de la mission, les documents collects, les requtes ou les revues dchantillon ralises
permettant de justifier les investigations, doivent tre rfrencs, par exemple au moyen dun code
rfrence dont le mode opratoire pourrait tre le suivant :
un code du domaine audit ;
un suivi des initiales de l'auditeur en charge de laudit du domaine ;
un suivi dun numro sincrmentant de manire chronologique au fur et mesure de la
rception/ constitution des documents.
Le code rfrence constitue le pivot permettant de rfrencer les questions daudit aux pices justificatives correspondantes.
La modification dun document lectronique existant pourra saccompagner de lextension de son
intitul comme suit NomDuDocumentVn.doc , n tant le numro de la version. Cette simple
action permet de prserver la piste daudit et ainsi de tracer les diffrentes versions jusqu la fin
de la mission et le processus darchivage.
La plupart des donnes tant conserves sous format lectronique, les membres de lunit de
recherche proposent en annexe 2 (page 32) un exemple darborescence et de classement des documents, des requtes ou travaux dchantillonnage qui peut tre cre ds le lancement de la
mission par le chef de mission et mise la disposition de lquipe. Lorsque les documents papier
ne peuvent pas tre numriss, ils devront tre tris, rfrencs et conservs dans un dossier spcifique la mission.

IFACI

11

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

PARTIE 2
CONSERVATION

ET ARCHIVAGE DES DOSSIERS DE L AUDIT

Par convention, la conservation des donnes ou archivage live couvre la priode scoulant
du lancement de la mission jusqu la diffusion du rapport dfinitif qui clture la mission daudit.
Durant ces phases, lquipe daudit collecte et met nombre de documents, dont certains seront
dtruits avant de procder larchivage durant plusieurs annes.

Pour les tablissements qui disposent de filiales ou de succursales, les normes dfinies en central
devraient tre appliques partout, sauf si des contraintes lgales ou rglementaires locales sy
opposent.

IFACI

12

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

2.1 R APPEL

DES PRINCIPES

Laudit interne ne peut, en termes darchivage, sappuyer sur les rgles encadrant par exemple la
documentation commerciale ou juridique car si les auditeurs recueillent souvent des originaux de
cette nature pour raliser leurs contrles, ils nen conservent que des copies. Par exemple, la FBF
(Fdration Bancaire Franaise) et le CFONB (Comit Franais dOrganisation et de Normalisation
Bancaires) ont publi un document La banque et les dures de conservation darchives et
pouvant servir de rfrence la dfinition des politiques de conservation du service daudit interne.
Quelques documents de rfrence existent, tels les Normes Internationales daudit interne et plus
particulirement la Norme 2330.A2 : Le responsable de laudit interne doit arrter des rgles en
matire de conservation des dossiers de la mission et ce, quel que soit le support darchivage utilis.
Ces rgles doivent tre cohrentes avec les orientations dfinies par lorganisation et avec toute
exigence rglementaire ou autre .

2.2 P ROCESSUS

DE CONSERVATION DES DONNES DES MISSIONS

Par convention, les missions daudit interne regroupent les missions du plan et les missions hors
plan dont les missions spciales (cf. cls de lecture, p.6).
Tout au long de la mission, lquipe daudit interne est garante de la scurit de la conservation des
documents (support papier ou lectronique) dans le respect des normes de confidentialit fixes
par le responsable de la mission. Pour ce faire, lquipe daudit doit bnficier de locaux et darmoires fermant clefs et despaces lectroniques scuriss. Ces rgles doivent tre strictement
appliques que lquipe se trouve dans ses locaux ou hors site. De plus, en cas dinactivit de lordinateur portable mme de trs courte dure, celui-ci doit se mettre en veille et se verrouiller automatiquement.

2.2.1 Conservation des donnes lectroniques


Ds le lancement de la mission, le responsable de la mission se sera assur quun rpertoire ddi
sa mission a t cr sur le serveur commun et quil nest accessible quaux seules personnes
habilites, notamment certains ou tous les membres de lquipe daudit et au superviseur.
Lorsque la mission se droule hors site, sans accs au serveur commun, il est dconseill de stocker
les donnes de la mission sur le serveur de lentit audite pour des raisons de scurit, de confidentialit et pour garantir lintgrit des donnes. Dans ce cas, lutilisation de cls USB ou de
disque dur externe chiffr et dont laccs est protg par un code ou une lecture dempreintes digitales, est fortement recommande. Une sauvegarde supplmentaire doit tre ralise par mesure
de sauvegarde.

IFACI

13

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Si des documents de la mission sont accessibles sur un support non scuris type cl USB non
protge, disque dur externe ou sur le disque dur de lordinateur portable, les donnes doivent tre
chiffres par un code intgrant des caractres alphanumriques et rapatries sur le serveur
commun de la mission ds que possible ou sur tout autre support mieux scuris si laccs
distance ne lautorise pas. Ce rapatriement, aprs contrle du succs de lopration, sera immdiatement suivi de la destruction des donnes sur les supports non scuriss.
Le responsable de la mission devrait, par ailleurs, sassurer quen cas de sortie des locaux, les ordinateurs portables sont a minima verrouills un point fixe et que tous les autres supports de
conservation lectronique sont placs dans les armoires mises disposition et verrouilles. Lorsque
la mission se droule hors site, en fin de journe, les auditeurs peuvent, sils le souhaitent conserver
leur ordinateur portable la condition quils puissent le conserver en toute scurit.
Afin de rduire le nombre de documents conservs, il est par ailleurs important doprer des tris
rgulirement afin dliminer les brouillons, les copies, les doublons, etc.
Le responsable de laudit interne, en tant quutilisateur, sassure auprs de la DSI de ltablissement
du niveau de scurit des serveurs utiliss par son service notamment lorsquils sont dploys avec
des technologies du Cloud computing. Il sassure galement des capacits de stockage.

2.2.2 Conservation des donnes papier


Les documents papier, sils ne peuvent pas tre numriss, doivent tre identifis par le chef de
mission et classs tout au long de la mission, dans un endroit scuris et dans un local fermant
clefs. Les membres de lquipe daudit doivent, en outre, sassurer quils ne conservent aucun document commercial, lgal, rglementaire, sous sa forme originale.
Lorsque lauditeur interne sabsente de la salle de mission, au cours de la journe ou en fin de journe il doit pralablement sassurer que les documents papier sont classs dans larmoire mise sa
disposition et quelle est ferme clefs.

2.2.3 Spcificit des missions spciales


Les travaux raliss et les informations recueillies peuvent tre particulirement sensibles voire
ultraconfidentielles. Il est de la responsabilit du chef de mission didentifier les donnes tant
papier qulectroniques, qui doivent bnficier dune conservation plus scurise que dans le cadre
des autres missions. Les documents comments de manire manuscrite et revtus de la signature
dun agent, font partie de ceux devant bnficier dun traitement de conservation trs scuris sous
leur forme originale. Des dispositifs particuliers de scurit tels que lanonymisation des donnes,
un coffre-fort, peuvent tre mis en place selon la nature des documents mis ou reus.

IFACI

14

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

2.3 P ROCESSUS D ARCHIVAGE

DES DOSSIERS DE MISSIONS

Larchivage va permettre aux quipes daudit interne de rpondre leurs obligations telles que
rappeles dans le 1.1 (Composition et structure du dossier daudit, page 8). Ainsi, le chef de
mission doit sassurer que les documents conservs refltent les choix oprs pour slectionner les
travaux raliser, lexcution du programme de travail et contiennent les pistes daudit prcises
permettant notamment de comprendre et de valider les constats raliss et les recommandations
associes. En rsum, le contenu des archives dun dossier de mission doit permettre un tiers de
comprendre les travaux mens et la pertinence de leurs conclusions. De plus, le dossier de mission
doit contenir les changes avec les audits et principalement le rapport final qui sera, en gnral, la
seule pice pouvant faire lobjet dune communication vers des tiers.
Lquipe daudit finalise le dossier de mission en appliquant strictement les rgles dfinies et en
mettant jour lindex afin de faciliter les recherches ultrieures.
La dure de conservation des dossiers relatifs des missions comportant des donnes personnelles
devra respecter la dure de conservation adopte par le service daudit interne. Ces rgles darchivage devront notamment tre conformes aux exigences relatives la protection des donnes
personnelles et au dlai de conservation qui aura t dclar par le responsable du fichier la
CNIL.

2.3.1 Archivage lectronique & papier


Le chef de mission sassure de la qualit du classement des donnes dans le rpertoire ddi la
mission sur le rpertoire commun darchivage lorsque celui-ci existe. Dans le cas contraire, il
convient de graver un cd / dvd qui est conserv avec les archives papier.
Les donnes papier sont, sauf cas spcifique des missions spciales, rduites au maximum aprs
numrisation et conserves, aprs rfrencement, dans un endroit scuris. La conservation des
dossiers daudit, hors dossiers de missions spciales, peut tre externalise chez des prestataires ou
dlocalise sur dautres sites de ltablissement. La restitution doit tre possible dans les 48 heures
afin, notamment, dtre en mesure de rpondre des sollicitations du rgulateur.
Les dossiers de missions spciales doivent faire lobjet dune conservation spcifique, tant sous
format lectronique que sous format papier, du fait du degr de sensibilit attach ce type de
mission. Lunit de recherche recommande que le support lectronique et les documents soient
protgs en lecture et criture. En ce qui concerne les documents papier, ils devront tre conservs
a minima dans une armoire forte, sinon un coffre ou auprs dun prestataire externe. Dans ce
dernier cas, il sagira de prendre en considration les rgles et obligations relatives aux prestations
de services essentielles externalises.

IFACI

15

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Enfin, pour faciliter la recherche des documents de mission, lunit de recherche recommande de
tracer les changes de documents relatifs aux missions archives pouvant notamment comprendre
les informations suivantes :
numro et nom de la mission
nom du chef de mission et du superviseur de la mission
type de support de conservation utilis
date de diffusion du rapport
et les flux ventuels :
date de demande de sortie
nom et signature du demandeur
nature des documents demands (papier ou lectronique)
nom et signature de la personne autorisant la sortie
date de retour du dossier
nom et signature de la personne accusant rception du retour
Enfin, les modalits de destruction des dossiers devront galement tre dfinies.

2.3.2 Dure darchivage


A dfaut de normes prcises sur la dure darchivage des documents daudit, lunit de recherche
recommande, selon les pratiques observes, de conserver les archives de dossiers daudit sur une
dure minimum de 6 ans.
Lorsquun tablissement dispose de filiales ou succursales ltranger, ces dures doivent sappliquer afin dharmoniser les pratiques sous rserve que des dispositions rglementaires locales ne sy
opposent pas.
En ce qui concerne les missions spciales, si aucun recours na t engag, le dossier peut galement tre dtruit au terme des 6 ans. Toutefois, les pratiques au sein mme de lunit de recherche
sont htrognes.
En cas de recours, le dossier est usuellement gr par le dpartement juridique qui dcide, sous sa
responsabilit, de la dure de conservation.

IFACI

16

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

2.4 D ESTRUCTION DES

DOSSIERS ARCHIVS

Une fois le dlai de conservation arriv son terme, la personne dsigne pour assurer la destruction des dossiers lectroniques et papier devra :
identifier les missions concernes ;
se rapprocher du responsable dsign ;
procder la destruction en rdigeant un procs verbal de destruction.
Sur un plan plus oprationnel :
Les versions papiers sont sorties des archives et dtruites selon un mode scuris.
Les versions lectroniques sont supprimes du serveur ddi laudit et rserv larchivage.
Normes professionnelles de lAudit Interne (IIA-IFACI), Janvier 2013
Norme 2330.A2 Conservation des dossiers de la mission : Le responsable de laudit interne doit
arrter des rgles de conservation des dossiers de la mission et ce, quel que soit le support darchivage utilis. Ces rgles doivent tre cohrentes avec les orientations dfinies par lorganisation et
avec toute exigence rglementaire ou autre.
MPA 2330.A2-1 : Conservation des dossiers
1. Les modalits de conservation des dossiers daudit varient en fonction des juridictions et de
lenvironnement lgal.
2. Le responsable de laudit interne rdige une politique de conservation qui rpond aux
besoins de lorganisation et aux obligations lgales des juridictions dans lesquelles il opre.
3. La procdure de conservation des dossiers devra inclure des dispositions spcifiques pour
la conservation des dossiers lis aux missions ralises par des prestataires extrieurs.

IFACI

17

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

PARTIE 3
ACCS

AU DOSSIER DE LA MISSION

Durant la mission, il est frquent que lquipe daudit change des informations avec les audits,
notamment pour valider des zones de faiblesse identifies et les recommandations mettre en
place pour en rduire limpact.
Ainsi, au fur et mesure de lavancement de la mission et jusqu lmission du rapport, le nombre
des personnes appeles avoir connaissance des travaux de laudit va voluer. Il en est de mme
lorsque le dossier daudit, tel que dfini supra, aura t archiv.

IFACI

18

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

3.1 R APPEL

DES PRINCIPES

Normes professionnelles de lAudit Interne (IIA-IFACI), Janvier 2013


Norme 2330.A1 Contrle de laccs au dossier de la mission : Le responsable de laudit interne
doit contrler laccs aux dossiers de la mission. Il doit, si ncessaire, obtenir laccord de la direction
gnrale et/ou lavis dun juriste avant de communiquer ces dossiers des parties extrieures.
MPA 2330.A1-1 : Contrle des dossiers daudit
1. Les dossiers daudit comportent, quel que soit le moyen de stockage, des rapports, des
preuves, des notes de rvision et des correspondances. Les dossiers et les papiers de travail
de la mission sont la proprit de lorganisation. Laudit interne contrle les papiers de
travail et ne les rend accessibles quau personnel autoris.
2. Les auditeurs internes peuvent sensibiliser la direction gnrale et le Conseil au sujet de
l'accs des personnes externes aux dossiers de la mission. Les rgles concernant le droit
daccs aux dossiers, les modalits de traitement des demandes d'accs, et les procdures
suivre lorsquune mission daudit est utilise en tant que preuve pendant une enqute,
devront tre revues par le Conseil.
3. Les procdures daudit interne prcise le responsable du contrle et de la scurit des
dossiers du service, les quipes internes ou externes qui peuvent avoir accs aux dossiers
daudit, ainsi que les modalits de traitement des demandes daccs ces dossiers. Ces
procdures varieront en fonction de la nature de l'organisation, des pratiques suivies dans
le secteur et des prrogatives daccs dfinies par la loi.
4. Le management et les autres membres de lorganisation peuvent demander laccs au
dossier daudit ou des papiers de travail spcifiques. Un tel accs peut tre ncessaire pour
corroborer ou expliquer les constatations et recommandations de la mission ou dautres
fins professionnelles. Le responsable de l'audit interne approuve ces demandes.
5. Le responsable de l'audit interne approuve laccs des auditeurs externes aux papiers de
travail.
6. Il y a des cas o les demandes daccs aux papiers de travail et aux rapports sont faites par
des personnes extrieures lorganisation, autres que les auditeurs externes. Avant de fournir la documentation demande, le responsable de l'audit interne obtient lapprobation de
la direction gnrale et/ou, le cas chant, du conseiller juridique.
7. Potentiellement, les dossiers daudit interne qui ne sont pas spcifiquement protgs,
peuvent tre consults dans le cadre de poursuites judiciaires. Les conditions lgales varient
de faon significative selon les juridictions. Lorsquil y a une demande spcifique de
dossiers daudit lie une procdure judiciaire, le responsable de laudit interne travaille en
troite collaboration avec le conseiller juridique pour dterminer ce qui peut tre mis
disposition.

IFACI

19

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

MPA 2330.A1-2 : Autorisation daccs aux dossiers de la mission


1. Les dossiers de la mission daudit interne incluent les rapports, les documents justificatifs,
les notes de revue et la correspondance change, quel que soit le support darchivage
utilis. On estime gnralement que le contenu de ces dossiers est confidentiel et quil peut
reposer la fois sur des faits et sur des opinions. Or, les personnes qui nont pas une parfaite
connaissance de lorganisation ou de ses processus daudit interne sont susceptibles de mal
interprter ces faits et ces opinions. Laccs aux dossiers daudit interne peut tre sollicit
par des tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les poursuites pnales, les litiges, les vrifications fiscales, les contrles des rgulateurs, lexamen
des marchs publics et les contrles effectus dans le cadre de professions habilites
sauto-rglementer. La quasi-totalit des dossiers dune organisation qui ne sont pas
couverts par le secret professionnel liant lavocat son client peuvent tre communiqus en
cas de poursuites pnales. Pour les autres procdures, la question de laccs est moins
vidente et peut diffrer en fonction du pays de lorganisation.
2. Des procdures explicites de laudit interne peuvent permettre de renforcer le contrle de
laccs aux dossiers de la mission.
3. Laudit interne peut dfinir laccs ses dossiers et le contrle de ces dossiers quel que soit
le support darchivage utilis.
4. Les rgles de laudit interne devraient porter sur les lments inclure dans les dossiers de
la mission et spcifier le contenu et le format des dossiers, ainsi que la faon dont les auditeurs internes traiteront les notes de revue valides. Ces rgles devraient galement spcifier la dure de conservation des dossiers daudit interne. Lorsque le responsable de laudit
interne spcifie la dure de conservation des dossiers de la mission, il devrait tenir compte
des besoins de lorganisation et de la lgislation.
5. Les rgles de laudit interne peuvent indiquer qui, au sein de lorganisation, est responsable
du contrle et de la scurit des dossiers de laudit interne, qui peut se voir accorder un
accs aux dossiers de la mission et comment les demandes daccs ces dossiers doivent
tre traites. Ces rgles dpendent des pratiques mises en uvre dans le secteur dactivit
ou dans le pays o opre lorganisation. Le responsable de laudit interne devrait se tenir au
courant de lvolution des pratiques dans le secteur dactivit et des jurisprudences.
Lorsquil dfinit ces rgles, le responsable de laudit interne devrait dterminer qui peut
demander accder aux dossiers de laudit interne.
6. La procdure qui accorde un accs aux dossiers de la mission peut galement dfinir des
processus permettant de :
rsoudre les problmes daccs ;
sensibiliser le personnel de laudit interne aux risques et aux problmes concernant
laccs leurs travaux ;
dterminer qui pourra demander accder ces travaux.
7. Le responsable de laudit interne peut galement sensibiliser la direction gnrale et le
Conseil aux risques daccs aux dossiers de la mission. Le Conseil peut examiner les rgles
indiquant qui peut tre autoris accder aux dossiers et comment ces demandes doivent

IFACI

20

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

tre traites. Certaines rgles dpendront de la nature de lorganisation et des droits daccs
prvus par la lgislation.
8. En gnral, lorsquil donne accs aux dossiers de la mission, le responsable de laudit
interne :
ne produit que certains documents spcifiques, conformment aux indications du
juriste ou aux procdures de laudit interne, ce qui exclut habituellement les documents couverts par le secret professionnel liant lavocat son client. Les documents
qui rvlent largumentation ou les stratgies de lavocat sont, le plus souvent,
couverts par le secret professionnel et leur communication nest pas obligatoire ;
prsente les documents sous une forme qui empche leur modification (par exemple, un scan de prfrence un fichier de traitement de texte). Concernant les documents sur papier, le responsable de laudit interne en diffuse des copies et conserve
les originaux ;
appose la mention confidentiel sur chaque document ainsi quune annotation
indiquant que toute diffusion autrui doit faire lobjet dune autorisation pralable.

3.2 ACCS

AU DOSSIER DE MISSION PENDANT LA MISSION

Les services daudit interne doivent avoir dfini des rgles daccs aux dossiers de mission qui
soient de nature scuriser la confidentialit des donnes. Un cadre plus restrictif doit tre mis en
place pour les missions spciales et si la nature des informations recueillies limpose.
Pour mmoire, durant la mission, seuls les membres de lquipe daudit et le superviseur en charge
de la mission ont un accs aux documents de travail quils soient conservs sous support lectronique ou papier. Ce sont donc les flux dinformation entre ces acteurs qui sont dclins ci-aprs.

3.2.1 Donnes lectroniques


La mise disposition, sur le serveur commun et/ou un logiciel ddi, dun rpertoire affect la
mission et accessible lquipe daudit concerne est un pralable. En effet, cela permet aux auditeurs dy poster les documents reus ou crs et ainsi de les changer de manire scurise, soit par
simple transfert, soit par le biais de la messagerie professionnelle. Lutilisation de cette dernire
permet de bnficier de lensemble des verrous de scurit mis en place par la direction informatique, laquelle ralise quotidiennement des sauvegardes ce qui permet, en cas dincident majeur, de
limiter la perte des donnes la journe en cours.

IFACI

21

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Lorsque les missions se droulent hors site, lquipe peut ne pas avoir accs au serveur commun.
Dans ce cas, les changes de documents se font par transfert via la messagerie lectronique professionnelle et sont classs sur lordinateur portable du responsable de la mission et de chaque auditeur impliqu dans lchange en respectant larborescence de la mission dfinie par le responsable
de la mission. Ainsi, en cas de perte de lun des portables, il serait plus ais de reconstituer le dossier
de travail.
Si un autre moyen dchange internet est utilis qui ne bnfice pas des verrous de scurit de la
messagerie professionnelle, il est recommand de verrouiller le fichier adress et de communiquer
le mot de passe par un autre moyen (tlphone ou sms par exemple).
En dplacement, une adresse e-mail locale peut tre demande lentit audite mais uniquement
pour y recevoir les informations adresses par les audits.
Par ailleurs, les droits daccs au serveur commun de laudit devront tre actualiss priodiquement
et en fonction des arrives ou dparts de collaborateurs de lquipe daudit.

3.2.2 Donnes papier


Les changes entre les membres de lquipe daudit sont scuriss comme nous lavons vu prcdemment. En ce qui concerne les donnes changes avec les audits, il sagit souvent de documents originaux, de dossiers de travail (dossiers de crdit, dossiers juridiques, etc.). Afin dviter
une remise en cause ventuelle des constatations de laudit interne, la cration dun document
dchange avec les audits constitue une bonne pratique. Il consiste lister les rfrences des
dossiers reus, de signer le document et de le faire contresigner par les audits au moment de leur
restitution.
De plus, chaque fois que les changes sont raliss par courrier interne ou externe, il convient de
respecter les rgles de confidentialit applicables dans ltablissement.

3.3 ACCS

AU DOSSIER ARCHIV

Il est dusage de ne jamais communiquer des personnes externes laudit interne les documents
de travail, exception faite du rgulateur local qui peut souhaiter ponctuellement pouvoir disposer
de lensemble des documents ayant, par exemple, permis daboutir aux conclusions prsentes
dans le rapport.
Ce rapport, diffus aux seules personnes concernes par la mission au terme de celle-ci, peut faire
lobjet dautres demandes de tiers aprs archivage.

IFACI

22

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Mme si les organisations internes diffrent dun tablissement lautre, les archives du contrle
priodique sont la proprit de laudit interne. Il doit dsigner les personnes pouvant en autoriser
la communication ainsi que ses modalits et les rgles dventuelle restitution. Par ailleurs, les
niveaux de confidentialit sont pris en compte dans les rgles ci-dessus nonces et ne seront identifis que ponctuellement dans la prsentation qui suit.

3.3.1 Demandes intra Groupe


3.3.1.1

Demandes du contrle priodique

Un auditeur peut avoir besoin, pour suivre la mise en place de recommandations ou avant de
commencer une mission, de prendre connaissance du dossier de travail et du rapport dune mission
conduite prcdemment sur le mme primtre. Ds lors que cette demande est justifie par le
programme le travail pour tout ou partie des documents du dossier, et sinscrit dans le cadre du
processus organis dautorisation/habilitation de laudit interne, il ny a pas de limite la consultation des donnes archives. Toutefois, sil sagit dune mission spciale ou dacquisition, il pourra
tre ncessaire dimposer laccord du responsable du contrle priodique, une consultation sur
place et dinterdire toute copie.

3.3.1.2

Demandes du contrle permanent ou d'autres dpartements centraux

Toute demande daccs au rapport dune mission classique par un dpartement ou une direction
non audit, doit tre dment justifie par la nature de la fonction (filire risques, conformit, dpartement juridique, dpartement financier, etc.). Le rapport peut tre adress sous format lectronique ou papier, sous rserve du respect des rgles de scurit et de confidentialit en la matire.
Ces dernires peuvent notamment interdire de dupliquer la copie du rapport qui a t adresse.
Lunit de recherche rappelle que si la demande daccs un rapport ne parait pas recevable lauditeur, ce dernier devra obtenir laccord du responsable de laudit interne. Le dpartement ayant
fait lobjet de la mission devra en tre pralablement inform.
De la mme manire que des rgles plus strictes doivent tre appliques durant la mission traitant
de donnes trs confidentielles, la sortie ventuelle des rapports relatifs des missions spciales,
doit tre dment autorise par le responsable de laudit interne.

IFACI

23

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

3.3.2 Demandes externes


Normes professionnelles de lAudit Interne (IIA-IFACI), Janvier 2013
2440-A2 Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable de
l'audit doit accomplir les tches suivantes avant de diffuser les rsultats des destinataires ne
faisant pas partie de l'organisation :
valuer les risques potentiels pour l'organisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diffusion en imposant des restrictions quant l'utilisation des rsultats.
MPA 2440.A2-1 : Diffusion des rsultats daudit en dehors de lorganisation.
1. La charte d'audit interne et celle du Conseil, les politiques de lorganisation ou les instructions spcifies dans la lettre de mission peuvent contenir des lignes directrices relatives
la diffusion dinformations en dehors de lorganisation. dfaut de telles directives, le
responsable de laudit interne peut faciliter ladoption de politiques appropries concernant, par exemple :
lautorisation requise pour diffuser des informations en dehors de lorganisation ;
le processus dautorisation pour la diffusion dinformations en dehors de lorganisation ;
les instructions concernant la nature des informations dont la diffusion est admise
ou non ;
les personnes extrieures autorises recevoir des informations et la nature des
informations qui peuvent leur tre communiques ;
les rgles relatives la confidentialit des donnes personnelles, les obligations
rglementaires et les aspects juridiques examiner avant toute diffusion dinformations en dehors de lorganisation ;
la nature des conclusions, des conseils, des recommandations, des opinions, des
instructions et autres informations pouvant tre diffuss en dehors de lorganisation.
2. Les demandes dinformation peuvent concerner des donnes qui existent dj, par exemple
un rapport daudit interne dj diffus, ou bien porter sur des informations qui nont pas
encore t produites ou dfinies et qui rsulteront dune future mission ou dun nouveau
rapport daudit interne. Pour les informations dj existantes, lauditeur interne examinera
si elles peuvent tre diffuses en dehors de lorganisation.
3. Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un
rapport ou des informations existant(s) pour permettre une diffusion approprie en dehors
de lorganisation.
4. Avant toute diffusion dinformations en dehors de lorganisation, il convient dexaminer les
points suivants :

IFACI

24

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

lintrt dun accord crit avec le destinataire prvu concernant les informations
diffuser et les responsabilits de lauditeur interne ;
lidentification des fournisseurs et des canaux dinformation, des signataires du
rapport, des destinataires des informations et des personnes ayant un lien avec le
rapport ou les informations diffuses ;
lidentification des objectifs, des limites et des procdures respecter pour produire
les informations concernes ;
la nature du rapport ou des autres informations communiques, notamment les
opinions, les recommandations, les rserves, les limitations et les types de certification ou de dclaration fournir ;
les droits de reproduction, lutilisation prvue des informations et les restrictions
concernant la diffusion ou le partage ultrieur des informations.
5. Si un auditeur interne dcouvre des informations censes tre communiques la direction
gnrale ou au Conseil au cours dune mission et que ces donnes sont soumises une
obligation de communication externe, le responsable de laudit interne doit tablir une
communication approprie avec le Conseil ce sujet.

3.3.2.1

Demandes des rgulateurs

Les rgulateurs locaux peuvent avoir accs toutes les informations relatives aux missions ralises
par le contrle priodique local et, comme nous lavons vu, cela concerne tant le rapport que les
documents de travail. Avant toute transmission au rgulateur local de documents concernant une
mission effectue dans lentit locale par le contrle priodique central (ou du sige), laccord pralable de celui-ci devra tre demand. Cette procdure permettra notamment de sassurer de la mise
disposition de la version dfinitive du rapport.
Pour les autres missions (missions thmatiques, lignes mtiers mondiales, etc.) qui ne concernent
pas exclusivement ou directement lentit locale, le rgulateur local transmet sa demande par lintermdiaire du rgulateur du pays de lentit ayant conduit la mission, dans le cas prsent, lACP.
Lorsque le rgulateur de la maison mre souhaite disposer des documents de travail ou du rapport
du contrle priodique local relatifs des filiales situes dans dautres pays, le contrle priodique
central (ou du Sige) pourra communiquer les documents demands.
CRBF 97-02
Article 41. Les rapports tablis la suite des contrles effectus dans le cadre des dispositifs
mentionns au b de l'article 6 sont communiqus l'organe excutif et, sur sa demande, l'organe
dlibrant et, le cas chant, au comit d'audit. Lorsque le nombre de rapport et la taille de l'tablissement le justifient, peuvent n'tre directement portes la connaissance de l'organe excutif
que les conclusions figurant dans ces rapports, qui en reprennent les rsultats principaux.

IFACI

25

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Lorsqu'une entreprise est affilie un organe central, ils sont galement communiqus celui-ci.
Ces rapports sont tenus la disposition des commissaires aux comptes et du secrtariat gnral de
la Commission bancaire.

3.3.2.2

Demandes des commissaires aux comptes

Les commissaires aux comptes peuvent, dans le cadre de leur mission, tre conduits demander
des rapports de laudit interne. La communication est strictement limite aux rapports diffuss et
les modalits diffrent souvent dun tablissement lautre.
Ainsi, certains grands groupes estiment que les rapports peuvent tre exclusivement consults sur
place et quaucune copie ne peut en tre prise, tandis que dautres acceptent den remettre une
copie soit sous format papier soit sous format lectronique.

3.3.2.3

Demandes des autorits judiciaires

Les informations demandes par les autorits judiciaires doivent leur tre communiques par le
dpartement juridique de ltablissement concern. Si un tribunal exige loriginal, laudit interne
doit en conserver une copie et apposer sur le document les mentions original & confidentiel
ainsi quune annotation prcisant que toute diffusion autrui doit faire lobjet dune autorisation
pralable. Une date de retour doit tre mentionne sur le document.

IFACI

26

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

CONCLUSION

IFACI

27

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Lunit de recherche a identifi des exigences rglementaires et lgales pour les documents de ltablissement (comptables, fiscaux, sociaux, etc.) mais a priori rien de spcifique pour les documents
relatifs aux missions daudit. Il nen reste pas moins que les rgulateurs sattendent ce que les
quipes daudit soient en mesure de transmettre sur une priode adquate les documents relatifs
une mission.
Le sujet traiter tait dautant plus important que, dans le cadre de leurs missions, les quipes du
contrle priodique peuvent accder de nombreuses informations qui doivent leur permettre de
se prononcer sur la qualit de matrise des risques de lensemble des entits quelles contrlent. Les
auditeurs internes doivent raliser leur mandat en respectant leur code dontologique et les
normes professionnelles de la fonction.
Les bonnes pratiques et recommandations runies dans ce cahier de la recherche, visent protger
linformation et prendre en compte les efforts permanents que les tablissements ralisent pour
sefforcer de maitriser leurs risques. Des quipes transversales ont ainsi vu le jour au cours des
dernires annes, dans le prolongement de Ble II notamment, comme les quipes de contrle
permanent, de suivi des risques oprationnels, de crdit, informatiques, etc. qui souhaitent pouvoir
disposer des conclusions de laudit afin de mieux cerner leur exposition aux risques.
Ce document ne rpond pas toutes les spcificits que chacun peut rencontrer mais la dmarche
suivie a pour ambition de crer des rflexes, de rappeler des bonnes pratiques et dnoncer des
propositions pour mieux encadrer la circulation de linformation.

IFACI

28

ANNEXES

IFACI

ANNEXE

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

29

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

ANNEXE 1
PERIMETRE DE L'ETUDE

Etapes du
logigramme
(cf. p.8)
PHASE DE LA
MISSION

Exemples de type documents utiliss


Lettre de mission /Ordre de mission/ lettre d'annonce prcisant
les objectifs et le primtre de la mission.

LANCEMENT

Note de cadrage.
Fiche reprenant les raisons de la programmation de la mission
dans le cadre de l'exercice du Risk Assessment / ou l'vnement
dclencheur s'il s'agit d'une mission non prvue au plan d'audit.

Planification de la mission

Documents relatifs au dpartement / entit audit permettant de


prparer la mission :
- Etudes sur les contextes rglementaire, conomique, stratgique, concurrentiel, conformit, protection de l'information,
etc.
- Informations financires, organisation, fiches mtiers, etc.
Rapports d'audit antrieurs (internes, externes, rgulateurs)
raliss sur les mmes thmes ou dpartements ou directions
centrales.
PREPARATION

Rfrentiels de matrise des risques labors par lentit et/ou le


contrle permanent.
Organigrammes, procdures internes, minutes des comits
risques oprationnels, de direction, de conformit, etc.
Liste des clients et prospects, tableaux de bord commerciaux et
reporting au management commercial.
Politique de crdit et de gestion du portefeuille, engagements
par client, liste des garanties reues, liste des provisions, etc.
Documentation financire, bilans, grands livres, note budgtaire
etc.

ANNEXE

Mthodologies utilises.

Liste des recommandations non cltures.


Documents de prsentation de la mission aux audits.
Compte rendus d'entretiens exploratoires.
Programme de travail, modle de fiche de contrle.
Matrice des risques.
DIAGNOSTIC

Planning prvisionnel des investigations et dtail de celles-ci.


Documents du superviseur l'engageant sur la validation du diagnostic.
Support de prsentation aux audits des travaux retenus.

IFACI

30

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

PERIMETRE DE L'ETUDE

Etapes du
logigramme
(cf. p.8)
PHASE DE LA
MISSION

Exemples de type documents utiliss


Fiches travaux / documents de pointage complts.
Pices justificatives des investigations classes par domaine d'investigation et tayant chaque constat d'audit.

INVESTIGATION

Echanges entre le superviseur et le chef de mission et celui-ci


avec les auditeurs sur la validation des contrles raliss.
Reporting rgulier du chef de mission au superviseur (chantiers
en cours, principales observations par chantier, etc.).
Validation par le superviseur des pices pouvant tre conserves
au dossier en cas de rgles strictes sur la confidentialit de l'information.
Eventuels documents originaux signs par des agents dans le
cadre de missions spciales.

RESTITUTION AUX
AUDITES

Echanges entre le superviseur et le chef de mission sur le


support de dbriefing.
Support de dbriefing.
Echanges entre le chef de mission, les auditeurs et le superviseur
sur les documents constitutifs du rapport.

ANNEXE

Accomplissement

E-mails d'changes d'information / de validation des constats


avec les audits.

Communication

Echanges entre le chef de mission et les audits sur les commentaires au projet de rapport et / ou sur les recommandations.
LIVRABLES
INTERNES

Projet de rapport (incluant les fiches constat et les recommandations).


Liste des recommandations de laudit et plan d'action des audits :
- Dans le rapport
- Dans les outils de suivi
Documents de validation du plan d'action des audits par le chef
de mission.
Synthse direction gnrale.

LIVRABLES DE FIN
DE MISSION

Rapport final incluant les commentaires des audits et les celles


de l'audit si ncessaire, ainsi que le dtail des recommandations
et du plan d'action.
Lettre / e-mail d'envoi du rapport final.
Tableau de diffusion du rapport.

IFACI

31

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

ANNEXE 2 - A RBORESCENCE LECTRONIQUE POUR

UNE MISSION DONNE

documentation Audit :
- rapport des CAC sur lexercice 2011
- rapport mis par laudit interne en 2009 sur ABCD incluant la direction financire
- liste des prconisations non cltures sur cette mission
- compte rendus dentretien avec le DAF et le responsable du contrle de
gestion (CDG)
- procdure Groupe de gestion Actif / Passif
documentation Mtier :
- organigramme
- plan de comptes
- procdures du dpartement
- balance au 30 septembre 2012
- liste des comptes bancaires libells en Euro
- liste des comptes bancaires libells en devises
- listes des personnes habilites faires fonctionner les comptes bancaires
- tat emplois / ressources au 30 septembre 2012
- reporting trimestriels du contrle de gestion sur lanne 2012, travaux budgtaires en cours

ANNEXE

Le dpartement daudit a lanc une mission sur la direction financire de la filiale ABCD,
laquelle recouvre une rvision comptable , les rapprochements bancaires , les travaux
raliss par le contrle de gestion ainsi que la gestion actif / passif.
La phase de prparation a t ralise et les travaux sont en cours. Sur la base des informations suivantes recueillies au fil de la mission, nous vous proposons ci-dessous denrichir larborescence type propos ci-dessous.

PREPARATION
Normes Groupe
Procdure Groupe ACTIF/PASSIF
Modalits de gestion des comptes bancaires
Prparation de la mission
Rapport CAC exercice 2011
Mission 2009
tat des prconisations ouvertes sur mission 2009

IFACI

32

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Lettre de mission
Lettre de mission et annexes

Diagnostic & Budget temps


Compte rendus dentretiens DAF et CDG
Description des processus clefs
Cartographie des risques
Budget temps sur travaux raliser
Prsentation de la mission aux audits
Support de prsentation des travaux de la mission post diagnostic

ANNEXE

Documentation reue de la filiale ABCD


Organigramme
Plan de comptes
Procdures du dpartement Finances
Balance au 30 septembre 2012
Liste des comptes bancaires en Euro
Liste des comptes bancaires en devises
Listes des personnes habilites faire les paiements sur comptes bancaires
Etat emplois / ressources au 30 septembre 2012
Reporting trimestriels du CDG sur lanne 2012
Travaux budgtaires en cours

CONTRLES
Rvision comptable
Documentation reue
Liste des critures manuelles et des justificatifs conomiques
Travaux

FT 1 Ecritures manuelles V1
FT 1 Ecritures manuelles V1 valide par le chef de mission

Rapprochements bancaires
Documentation reue
Liste des oprations ralises partir de 10 000

IFACI

33

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

Travaux

FT 2 Comptes bancaires en devises V1


FT 3 Comptes bancaires en euros V1
FT 4 Respect des limites bancaires au-del de 10 000

Contrle de gestion
Documentation reue
Travaux

FT 5 Revue budgtaire V1

Travaux

FT 6 Revue au 30 septembre 2012

RDACTION
Fiches constats
Support de lexit meeting
Rapport (prsent aux audits et intgrant les ventuels commentaires)
Fiche 97-02

ANNEXE

Gestion Actif / Passif


Documentation reue

CONTENU DE LARCHIVAGE PAPIER

IFACI

34

L A C C S E T L A C O N S E R V AT I O N D E S D O C U M E N T S R E L AT I F S A U X M I S S I O N S D A U D I T

BIBLIOGRAPHIE
Rglement n97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des
entreprises dinvestissement.
Fiches mthodologiques : mthodologie de conduite dune mission daudit interne / IFACI. 2012.
Cadre de rfrence international des pratiques professionnelles de laudit interne / IIA, IFACI trad.
2013.
La banque et les dures de conservation darchives / Fdration Bancaire Franaise, Comit
Franais dOrganisation et de Normalisation Bancaires 2009.
Vers une politique d'archivage lectronique des documents. / ouv. coll. Forum des comptences,
2009.

Ralisation :

Ebzone Communication (www.ebzone.fr)

Quels sont les dlais de conservation des documents pour les entreprises ? / Direction de l'information lgale et administrative (Premier ministre) 2012
http://vosdroits.service-public.fr/professionnels-entreprises/F10029.xhtml
Code de commerce : articles L110-1 L110-4
Code de la consommation : article L137-2
Code de la consommation : article L134-2
Code civil : articles 2225 2227
Code de commerce : article L123-22
Livre des procdures fiscales : articles L169 L189
Code civil : article 2224
Code de commerce : article L225-117
Code du travail : articles L3243-1 L3243-4
Code du travail : article L1221-26
Code de la scurit sociale : article L244-3
Code du travail : article D3171-16

IFACI

35