Vous êtes sur la page 1sur 60

1 Université Saad Dahlab de Blida Faculté des Sciences Economiques et de

Gestion Auditoire : « Master Banque et Finance » Module : « Audit et Contrôle


Bancaire et Financier » Plan du cours :

1.1. L’audit interne

1.1.1. Apparition de la fonction d’audit interne 1.1.2. Définition de l’audit interne


1.1.3. Positionnement et frontières de la fonction d’audit interne 1.1.3.1. L’audit
interne et le commissariat aux comptes 1.1.3.2. L’audit interne et le consultant
externe 1.1.3.3. L’audit interne et l’inspection 1.1.3.4. L’audit interne et le
contrôle de gestion 1.1.4. Le code de déontologie de l’auditeur interne 1.1.4.1.
L’intégrité 1.1.4.2. L’objectivité 1.1.4.3. La confidentialité 1.1.4.4. La compétence
1.1.5. Les normes internationales de l’audit interne 1.1.5.1. Indépendance et
objectivité 1.1.5.2. Compétence et conscience professionnelle 1.1.5.3. Programme
d’assurance et d’amélioration de la qualité 1.1.5.4. Gestion du service d’audit
interne 1.1.5.5. Nature du travail d’audit interne 1.1.5.6. Planification et
accomplissement de la mission d’audit et communication des résultats

1.2. Le contrôle interne : Finalité de l’audit interne

1.2.1. Définition du contrôle interne 1.2.2. Les objectifs du contrôle interne


1.2.2.1. Assurer la protection et la sauvegarde du patrimoine de l’entreprise
1.2.2.2. Assurer l’application des lois et des instructions de la direction générale
1.2.2.3. Favoriser l’amélioration des performances 1.2.2.4. Assurer la qualité de
l’information 1.2.3. Les dispositifs de contrôle interne 1.2.3.1. Les objectifs
1.2.3.2. Les moyens 1.2.3.3. Le système d’information 1.2.3.4. L’organisation
1.2.3.5. Les procédures de travail de l’entreprise

1.3. La conduite d’une mission d’audit interne


1.3.1. La phase de préparation 1.3.1.1. Le déclenchement de la mission par un
ordre de mission 1.3.1.2. La prise de connaissance de l’entité ou de l’activité
auditée - Le Questionnaire de Prise de Connaissance (QPC) - L’entretien de prise
de contact 1.3.1.3. L’identification des risques - Découper le domaine audité en
tâches élémentaires auditables
2 - Etablir le tableau d’identification des risques 1.3.1.4. La définition des
objectifs de la mission dans un rapport d’orientation 1.3.2. La phase de
réalisation 1.3.2.1. La réunion d’ouverture 1.3.2.2. Le programme d’audit 1.3.2.3.
Le Questionnaire de Contrôle Interne (QCI) 1.3.2.4. Révélation et analyse des
anomalies 1.3.3. La phase de conclusion 1.3.3.1. Rédaction du rapport
préliminaire d’audit interne 1.3.3.2. La réunion de clôture 1.3.3.3. Rédaction du
rapport d’audit interne 1.3.3.4. Suivi du rapport d’audit interne

1.4. La boîte à outils de l’auditeur interne

1.4.1. L’interview 1.4.2. Le sondage statistique 1.4.3. Le rapprochement 1.4.4.


L’observation 1.4.5. La grille d’analyse des tâches 1.4.6. Le diagramme de
circulation 1.4.7. La piste d’audit
3 Chapitre 1 : L’Audit et le Contrôle Interne 1.1. L’audit interne : Nous
abordons dans ce qui suit les points essentiels suivants : l’apparition de la
fonction, la définition de la notion d’audit interne, le positionnement de la
fonction par rapport à d’autres activités apparentées au sein de l’entreprise, le
code de déontologie de l’auditeur interne et enfin, les normes internationales de
l’audit interne. 1.1.1. Apparition de la fonction d’audit interne : L’apparition de
la fonction d’audit interne remonte à la crise économique de 1929 aux EtatUnis.
Les entreprises américaines subissaient de plein fouet l’une des récessions
économiques des plus importantes de leur histoire et cherchaient activement à
réduire leurs charges à travers le revue des comptes sociaux. La plupart des
grandes entreprises américaines faisaient appel aux services des grands cabinets
d’audit externe, qui assumaient plusieurs tâches : inventaires divers, sondages
variés, analyse des comptes…etc, pour aboutir à la certification des états
financiers. Par souci d’économie, les entreprises proposèrent que certaines tâches
dévolues aux cabinets d’audit externe, soient assumées par le personnel de
l’entreprise. Les cabinets d’audit externe donnèrent leur accord, sous condition
d’une certaine supervision. Les entreprises réussirent à alléger leurs charges.
Ainsi sont apparus les premiers auditeurs internes. Le terme « Auditeurs » est
utilisé parce que les personnes concernées effectuaient des tâches d’audit, et le
terme « internes » car ce sont des membres de l’entreprise. Ces auditeurs
internes étaient une sorte de sous-traitants des auditeurs externes. Ils
participaient aux travaux des auditeurs externes, sans avoir le droit d’établir les
synthèses et les conclusions. Une fois la crise économique passée, les entreprises
continuaient d’utiliser leurs « auditeurs internes », puisqu’ils avaient acquis le
savoir-faire et la méthodologie de travail des auditeurs externes. Notons que la
fonction d’audit interne est toujours considérée comme une fonction récente au
sein des entreprises, comparaison faite aux fonctions classiques qui ont toujours
existé (fonction de production, fonction commerciale, fonction comptable et
financière….etc). La création d’un service ou d’un département d’audit interne,
telle qu’on en trouve actuellement dans beaucoup d’entreprises, est due à
plusieurs facteurs. Nous citons à titre d’exemple, les points suivants :1
L’expansion géographique des entreprises décentralisées a incité à la création des
départements d’audit interne. Ces départements sont nécessaires aux équipes
dirigeantes pour s’assurer que les opérations sont menées conformément aux
décisions prises, et qu’elles contribuent donc aux objectifs de l’entreprise.
Ajoutons également, que les entreprises présentes sur plusieurs secteurs
d’activité, créent des départements d’audit interne, pour avoir une assurance
raisonnable que l’ensemble des activités est sous contrôle. La délégation des
pouvoirs au sein de l’entreprise, crée des responsables qui pourraient échapper
au contrôle de l’autorité centrale. L’audit interne est probablement l’un des
moyens les plus efficaces de garder la maîtrise du fonctionnement de l’entreprise.

Collins L. et Vallin G. (1999), Audit et contrôle interne, édition Dalloz, Paris.


4 Les entreprises sont naturellement les premières concernées par l’audit interne.
Cependant, cette fonction ne se limite plus aux seules entreprises. On trouve de
plus en plus dans les pays développés, des services d’audit interne dans les
collectivités locales, les administrations, les associations, les ministères, les partis
politiques, les clubs sportifs et d’autres organisations similaires. La fonction
d’audit interne est souvent assimilée à l’audit de la fonction financière de
l’entreprise. Ceci est vraisemblablement dû au fait que l’audit interne est apparu
dans les départements comptables et financiers, comme nous l’avons expliqué
précédemment. De part ses principes et sa méthodologie universelle, l’audit
interne touche toutes les fonctions de l’entreprise (fonction comptable et
financière, fonction commerciale et logistique, fonction de production, fonction
managériale…etc.). 1.1.2. Définition de l’audit interne : En Juin 1999, le conseil
d’administration de l’Institute of Internal Auditors (IIA), édita sa définition
officielle de l’audit interne, dont la traduction française2 est la suivante : «
L’Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte
ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide
cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité. ».3 Nous retenons de la définition de l’Institute of
Internal Auditors, les points essentiels suivants : L’audit interne est une activité
indépendante au sein des organisations : La fonction d’audit interne ne doit
subir ni influences, ni pressions allant à l’encontre des objectifs qui lui sont
assignés. Pour atteindre ce but, le service d’audit interne devrait être rattaché au
plus haut niveau hiérarchique. L’auditeur interne doit être indépendant des
responsables des différentes fonctions, qu’il est appelé à auditer. L’audit interne
est une fonction d’assistance au management de l’entreprise : Les responsables
se font assister par les auditeurs internes, pour résoudre les problèmes relatifs
aux dispositions mises en place pour faire fonctionner l’entreprise. L’auditeur
interne fournit des analyses, des appréciations, des recommandations, des avis et
des informations concernant les activités examinées, ceci inclut également la
promotion d’un contrôle efficace à un coût raisonnable. L’audit interne est une
activité d’appréciation du contrôle des opérations : C’est un contrôle qui a pour
fonction d’évaluer l’efficacité des autres contrôles. Son objectif est d’assister les
responsables dans le contrôle efficace des activités de l’entreprise.4 Les
dispositions (règles, procédures, organisation, système d’information…etc) que
les responsables mettent en place pour maîtriser les activités de leur entreprise,
sont communément appelées « dispositif du contrôle interne ». Donc, l’audit
interne est une fonction d’évaluation du contrôle interne. Partant de la définition
de l’Institute of Internal Auditors, Renard (2004)5 scinde l’audit interne en
deux : l’audit de régularité et l’audit d’efficacité.

23

Traduction en langue française faite par l’IFACI (Institut Français de l’Audit et


du Contrôle Internes). Renard J. (2004), Théorie et pratique de l’audit interne,
édition d’Organisation, 5ème édition, Paris, p : 62. 4 Grand B. et Verdalle B
(1999), Audit comptable et financier, édition Economica, Paris, p : 30. 5 Renard
J. (2004), Opcit, p : 40-42.
5 L’audit de régularité ou de conformité : L’audit de régularité (appelé
également audit de conformité) correspond à une démarche simple de l’auditeur,
qui consiste à vérifier la bonne application des règles, des procédures, des
descriptions de postes, de l’organigramme, des systèmes d’information...etc.
L’auditeur interne travaille par rapport à un référentiel. Il compare la règle à la
réalité au sein de l’entreprise. En d’autres termes, il relève les écarts entre ce qui
devrait être fait (la règle) à ce qui se fait (la réalité). L’audit de régularité se fait
par rapport aux règles internes de l’entreprise. L’audit de conformité s’effectue
par rapport aux dispositions légales et réglementaires. L’auditeur interne signale
aux responsables les distorsions, les non applications, les mauvaises
interprétations par rapport aux dispositions mises en œuvre au sein de
l’entreprise. Il analyse les causes et les conséquences, et formule des
recommandations quant à ce qu’il convient de faire pour que les règles soient
appliquées. L’audit d’efficacité : L’audit d’efficacité s’attaque aux règles établies
au sein de l’entreprise. Il ne suffit plus de s’assurer de la bonne application des
règles, mais également de leur qualité. L’auditeur interne se pose les questions
suivantes : Telle procédure est-elle utile ? Opportune ? Telle règle est-elle
superflue ? Incomplète ?...etc. L’auditeur interne remet en cause le référentiel
existant et recommande de nouvelles règles, sur ce qu’il considère comme devant
être la meilleure solution possible, la plus efficace et la plus productive. En
résumé, l’audit de régularité s’intéresse à l’existence et au respect des règles
établies. Tandis que l’audit d’efficacité s’intéresse à la pertinence et à
l’amélioration des règles. 1.1.3. Positionnement et frontières de la fonction
d’audit interne : Afin de cerner le rôle et les finalités de l’audit interne, il
convient de le situer par rapport aux fonctions et activités qui s’apparente à son
champ d’application. Nous abordons successivement dans ce qui suit, le
positionnement de l’audit interne par rapport : au commissariat aux comptes, au
consulting externe, à l’inspection et au contrôle de gestion. 1.1.3.1. L’audit
interne et le commissariat aux comptes : Selon l’IFACI, les différences entre
l’audit interne et le commissariat aux comptes sont les suivantes :6 Au plan du
statut : Le statut de l’audit interne est défini dans le cadre d’une charte d’audit7
approuvé par la direction générale et / ou le conseil d’administration de
l’entreprise. Celui du commissariat aux comptes est défini dans un cadre légal et
réglementaire. L’auditeur interne fait partie du personnel de l’entreprise, alors
que le commissaire aux comptes est un prestataire de services juridiquement
indépendant. La charte d’audit est généralement rédigée par le responsable de
l’audit interne et approuvée par le comité d’audit ou la direction générale et fait
l’objet d’une large diffusion. Au plan de l’indépendance : L’auditeur externe a
une indépendance juridique et statutaire, reliée à l’exercice d’une profession
libérale. L’auditeur interne a une indépendance limitée par son statut d’employé
de l’entreprise.

67

IFACI (2002), L’audit interne vers une collaboration renforcée avec ses
partenaires externes. La charte d’audit interne est un document qui définit la
mission, les pouvoirs et les responsabilités de l’audit interne. La charte doit (1)
définir la position de l’audit interne dans l’organisation, (2) autoriser l’accès aux
documents, aux biens et aux personnes nécessaires à la bonne réalisation des
missions et (3) définir le champ des activités d’audit interne.
6 Au plan de l’objectif : Le commissaire aux comptes certifie les comptes en
s’assurant de la régularité, de la sincérité et de l’image fidèle des états financiers.
A ce titre, il s’intéresse essentiellement au dispositif de contrôle interne
comptable. L’audit interne s’assure de la bonne maîtrise des activités de
l’entreprise. Il est amené à examiner l’ensemble du dispositif de contrôle interne
et à se prononcer sur la qualité de la gestion. Au plan du champ d’investigation :
Le champ d’investigation du commissariat aux comptes englobe tout ce qui
concourt à la détermination des résultats et à l’élaboration des états financiers.
Pour l’audit interne, il ne peut y avoir de fonctions échappant à ses contrôles. Le
champ d’investigation de l’audit interne est beaucoup plus vaste. Au plan de la
périodicité des interventions : L’audit interne travaille de manière permanente
au sein de son organisation. Le commissaire aux comptes travaille de façon
intermittente et à des moments choisis pour la certification des comptes (fin
d’année, fin de trimestre). Au plan du bénéficiaire : L’auditeur interne travaille
pour le compte de la direction générale de l’entreprise ou du conseil
d’administration. Le commissaire aux comptes satisfait aux besoins
d’information des actionnaires, des banquiers et de tous les tiers intéressés.8 Au
plan des sources d’information : Les sources d’information de l’auditeur interne
sont principalement d’origine interne. Le commissaire aux comptes, dispose
souvent de connaissances sur d’autres entreprises semblables. Ce qui lui permet
d’enrichir ses analyses. Au plan de la portée : Les travaux du commissaire aux
comptes sont rendus publiques et servent à appuyer les décisions
d’investissement des bailleurs de fonds, particulièrement si l’entreprise est cotée
en bourse. Les conclusions de l’auditeur interne sont d’une importance cruciale,
mais la plupart du temps limitées à l’entreprise qui l’emploie.

-
-

Mais il n’y a pas que des différences, il y a également des points communs
(interdiction de toute ingérence dans la gestion, mêmes outils et mêmes moyens
mais une méthodologie différente…). Les deux fonctions sont réciproquement
complémentaires (échange de rapports avec respect de la confidentialité,
planning conjoint des missions afin de limiter les dérangements et
inconvénients…). 1.1.3.2. L’audit interne et le consultant externe : Le consultant
externe est généralement un cabinet d’audit, composé d’une équipe
pluridisciplinaire de commissaires aux comptes, d’experts fiscalistes, de
consultants en management, …etc. Par rapport à l’audit interne, la mission du
consultant externe est limitée dans le temps. Il est appelé pour un problème
particulier et directement lié à une compétence technique spécifique. Enfin, le
consultant externe doit rendre compte à un seul responsable (celui qui l’a
mandaté). Comme pour le commissaire aux comptes, le consultant externe
dispose souvent de connaissances sur d’autres entreprises semblables. Ce qui lui
sert de référentiels pour enrichir ses analyses.

Si l’entreprise est cotée en bourse, le commissaire aux comptes répond


indirectement aux besoins d’information de la commission de surveillance des
opérations boursières.
8
7 1.1.3.3. L’audit interne et l’inspection : Nombreux sont ceux qui discernent mal
la frontière entre l’audit interne et l’inspection. Une des causes tient sans doute
au fait que l’auditeur interne et l’inspecteur, sont tous les deux des membres à
part entière du personnel de l’entreprise. Cette confusion des fonctions est
aggravée par le fait qu’on trouve des inspecteurs qui font de l’audit interne et
des auditeurs internes qui font de l’inspection. Pour distinguer l’audit interne de
l’inspection, prenons un exemple simple : considérons la découverte d’un trou de
20 000 DA laissé par le caissier d’une agence bancaire. L’inspecteur procède à
une analyse exhaustive des opérations effectuées par le caissier. Découvrant
l’erreur ou la malversation, l’inspecteur sanctionne, fait sanctionner ou donne
son avis sur la sanction du caissier. Ensuite, il mène une enquête afin de
retrouver l’argent disparu. Enfin, l’inspecteur effectue tous les redressements
nécessaires pour remettre les choses à l’état initial (concordance entre les
écritures comptables et les espèces en caisse). Notons qu’à aucun moment,
l’inspecteur ne remet en causes les règles et le dispositif de contrôle interne de la
banque. L’auditeur interne ne contrôle pas le travail de l’homme, il s’intéresse au
fonctionnement du système de contrôle interne. Il cherche parmi toutes les
dispositions mise en place pour le bon fonctionnement de la caisse (méthodes de
travail, dispositif de sécurité dont l’inspection, compétences du caissier,...etc)
quelles sont celles qui ont mal fonctionné causant une disparition de 20 000 DA.
Ensuite, il recommande les modifications à apporter au dispositif de contrôle
interne.

1.1.3.4. L’audit interne et le contrôle de gestion : « Le contrôle de gestion englobe


l’ensemble des dispositifs qui permettent à l’entreprise de s’assurer que les
ressources qui lui sont confiées sont mobilisées dans des conditions efficace,
compte tenu des orientations stratégiques et des objectifs courants retenus par la
direction ».9 Le tableau suivant résume les principales ressemblances et
différences entre l’audit interne et le contrôle de gestion.

Cohen E. (1998), Dictionnaire de gestion, édition Casbah, Alger, p : 83.


8 Tableau 1 Audit interne et contrôle de gestion : les ressemblances et les
différences Les ressemblances Les différences Les deux fonctions distinctes sont -
L’audit interne vise à mieux maîtriser l’activité par l’évaluation des procédures
récentes (relativement aux autres de contrôle interne. Le contrôle de fonctions de
l’entreprise) et toujours en gestion quant à lui, vise à mesurer les
développement ; performances à travers les réalisations, il met en garde contre
les écarts survenus Leur champ d’intervention englobe toutes ou prévisibles et
propose les actions les activités de l’entreprise ; devant rétablir la situation. Les
deux fonctions sont généralement rattachées au plus haut niveau - Le contrôle de
gestion s’intéresse plus à l’information chiffrée et chiffrable. hiérarchique de
l’entreprise ; L’audit interne va au-delà de cette dimension et intègre les
domaines de la Les deux fonctions ne sont pas sécurité, de la qualité, des
relations opérationnelles (elles recommandent et sociales…etc ; proposent).
L’auditeur interne intervient tout au long de l’année suivant un programme
préétabli. Les interventions du contrôleur de gestion dépendent largement des
résultats de l’entreprise et de la périodicité du reporting ; Les deux fonctions ont
une méthodologie de travail différente.

-
-

Source : Renard J. (2004), Théorie et pratique de l’audit interne, édition


d’Organisation, 5ème édition, Paris, p84-87.

1.1.4. Le code de déontologie de l’auditeur interne : Le code de déontologie de


l’IIA (Institut of Internal Auditors) a pour but de promouvoir une culture
d’éthique de la profession d’audit interne. Celui-ci présente des règles de bonne
conduite que tout auditeur interne devrait adopter. L’IFACI a réalisé une
traduction littérale du « Code of Ethics » de l’IIA. Cette traduction a été
approuvée par le conseil d’administration du l’IIA le 17 juin 2000. Selon ce code
de déontologie, il est attendu des auditeurs internes qu’ils respectent et
appliquent les quatre principes fondamentaux suivants :10 1.1.4.1. L’intégrité :
Selon ce code de déontologie, l’intégrité des auditeurs internes est à la base de la
confiance et de la crédibilité accordées à leur jugement. Dans ce sens, les
auditeurs internes devraient respecter les recommandations suivantes : -
Accomplir leur mission avec honnêteté, diligence et responsabilité. - Respecter la
loi et faire les révélations requises par les lois et les règles de la profession. - Ne
pas sciemment prendre part à des activités illégales ou s’engager dans des actes
déshonorants pour la profession d’audit interne ou leur organisation. - Respecter
et contribuer aux objectifs éthiques et légitimes de leur organisation.

10

IFACI (2002), Code de déontologie.


9 1.1.4.2. L’objectivité : Les auditeurs internes doivent montrer le plus haut
degré d’objectivité professionnelle en collectant, évaluant et communiquant les
informations relatives à l’activité ou au processus examiné. Les auditeurs
internes évaluent de manière équitable tous les éléments pertinents et ne se
laissent pas influencer dans leur jugement par leurs propres intérêts ou par
autrui. Dans ce sens, les auditeurs internes : - Ne doivent pas prendre part à des
activités ou établir des relations qui pourraient compromettre ou risquer de
compromettre le caractère impartial de leur jugement. - Ne doivent rien accepter
qui pourrait compromettre ou risquer de compromettre leur jugement
professionnel. - Doivent révéler tous les faits matériels dont ils ont connaissance
et qui, s’ils n’étaient pas révélés, auraient pour conséquence de fausser le rapport
sur les activités examinées. 1.1.4.3. La confidentialité : Les auditeurs internes
respectent la valeur et la propriété des informations qu’ils reçoivent. Ils ne
divulguent ces informations qu’avec les autorisations requises, à moins qu’une
obligation légale ou professionnelle ne les oblige à le faire. Dans ce sens, les
auditeurs internes devraient respecter les recommandations suivantes : - Utiliser
avec prudence et protéger les informations recueillies dans le cadre de leurs
activités. - Ne pas utiliser ces informations pour en retirer un bénéfice personnel,
ou d’une manière qui contreviendrait aux dispositions légales, ou porterait
préjudice aux objectifs éthiques et légitimes de leur organisation. 1.1.4.4. La
compétence : Les auditeurs internes utilisent et appliquent les connaissances et le
savoir-faire requis pour la réalisation de leurs travaux. Les auditeurs internes
doivent : - S’engager uniquement dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et l’expérience nécessaires. - Réaliser leurs travaux
d’audit interne dans le respect des normes internationales de l’audit interne. -
S’efforcer d’améliorer continuellement leur compétence, l’efficacité et la qualité
de leurs travaux. 1.1.5. Les normes internationales de l’audit interne : Les
normes de l’audit interne émises par l’IIA se composent des normes de
qualification, des normes de fonctionnement et des normes de mise en œuvre.
L’élaboration des normes est un processus continu, The Internal Auditing
Standards Board11 mène une large consultation à l’échelle internationale, avant
la publication des normes, des avant-projets sont soumis au plan international
pour commentaires publics. Les normes internationales de l’audit interne sont
publiées en langue française par l’IFACI. Elles se présentent comme suit :12

11

L’IASB (The Internal Auditing Standards Board) est un organe de l’IIA


(Institute of Internal Auditors) dont le travail est d’élaborer et de diffuser (après
consultation internationale) les normes internationales de l’audit interne. 12
IFACI (2004), Normes internationales pour la pratique professionnelle de l’audit
interne.
10 1.1.5.1. Indépendance et objectivité : Les auditeurs internes doivent être
indépendants des activités qu’ils auditent. Cela implique que le responsable de
l’audit interne doit relever d’un niveau hiérarchique qui lui permet d’exercer ses
responsabilités en toute indépendance.13 Les auditeurs internes doivent avoir
une attitude impartiale et dépourvue de préjugés. L’objectivité d’un auditeur
interne est présumée altérée s’il audite une activité dont il a eu la responsabilité
auparavant. Les auditeurs internes doivent faire preuve d’objectivité et
n’assumer aucune fonction de management. Si leur indépendance ou leur
objectivité sont susceptibles d’être compromises lors d’une mission de conseil, ils
doivent en informer le donneur d’ordre avant d’accepter la mission. 1.1.5.2.
Compétence et conscience professionnelle : Les auditeurs internes doivent
posséder les connaissances et le savoir-faire nécessaires à l’exercice de leurs
missions. Le responsable de l’audit interne peut faire appel à l’assistance de
personnes qualifiées, si les auditeurs internes ne possèdent pas les compétences
nécessaires pour s’acquitter de tout ou partie de leur mission. Les auditeurs
internes doivent entretenir leur compétence par la formation continue, faute de
quoi leurs connaissances deviendraient très vite obsolètes. Les auditeurs internes
doivent également posséder des compétences relationnelles. Ils doivent être
capables d’établir et de maintenir des relations efficaces avec les autres employés
de l’entreprise. Ils doivent savoir communiquer, sinon ils ne sauraient être
efficaces quelque soit leurs compétences techniques. Les auditeurs internes
doivent faire preuve de conscience professionnelle dans l’exercice de leur
fonction. Ils doivent apporter tout le soin nécessaire à la pratique de leur métier,
en prenant en compte les éléments suivants : l’étendu du travail nécessaire pour
atteindre les objectifs de la mission, la complexité de la mission, la probabilité
d’erreur et d’irrégularité, le coût de la mise en place des contrôles par rapport
aux avantages escomptés…etc. Toutefois la conscience professionnelle ne garantit
pas que les risques significatifs soient détectés. 1.1.5.3. Programme d’assurance
et d’amélioration de la qualité : Le responsable de l’audit interne doit élaborer et
tenir un programme d’assurance et d’amélioration qualité de l’audit interne. Les
principaux objectifs de ce programme sont d’une part, aider l’audit interne à
apporter une valeur ajoutée à l’entreprise et d’autre part, garantir que l’audit
interne est mené en conformité avec les normes et le code de déontologie. Ce
programme inclut également la réalisation périodique d’évaluations internes et
externes de la qualité de l’audit interne. Les évaluations internes comportent des
contrôles continus du fonctionnement de l’audit interne et des contrôles
périodiques, effectués par les auditeurs internes eux-mêmes ou par d’autres
personnes qualifiées de l’entreprise. L’IIA recommande de réaliser des
évaluations externes, au moins une fois tous les cinq ans, par des évaluateurs
extérieurs qualifiés et indépendants de l’entreprise.

13

Historiquement, le responsable de l’audit interne dépendait du directeur


financier de l’entreprise, ce qui posa un problème d’indépendance de l’audit
interne, en effet, comment l’auditeur interne peut formuler une opinion objective
sur la fonction financière de l’entreprise, alors qu’il dépend du directeur
financier ?. Par la suite, l’évolution de la réflexion en matière d’audit interne a
fait que ce dernier soit rattaché au directeur général ce qui pose également le
même problème d’indépendance. Actuellement, il est recommandé de rattacher
le responsable de l’audit interne directement au conseil d’administration.
11 1.1.5.4. Gestion du service d’audit interne : Le responsable de l’audit interne
doit gérer son activité de façon qu’elle apporte une valeur ajoutée à l’entreprise.
L’IIA recommande de suivre les indications suivantes : - Le responsable de
l’audit interne doit établir une planification des missions d’audit interne, fondée
sur l’évaluation des risques afin de définir les priorités de son service. Le plan
précise, pour chaque mission, le champ d’intervention, les objectifs, la durée de
la mission et les ressources allouées. - Le responsable de l’audit interne doit
établir un manuel des règles et des procédures, qui orientera l’activité des
auditeurs. - Le responsable de l’audit interne doit veiller à ce que les ressources
affectées soient suffisantes et mises en œuvre de manière efficace pour réaliser
l’activité d’audit interne. 1.1.5.5. Nature du travail d’audit interne : L’audit
interne doit évaluer le processus de management des risques, de contrôle et de
gouvernement d’entreprise et doit contribuer à leur amélioration. L’IIA
recommande de suivre les indications suivantes : - L’audit interne aide
l’entreprise en identifiant et en évaluant les risques afférents aux gouvernement
d’entreprise, aux opérations et aux systèmes d’information. L’évaluation des
risques devrait porter sur les aspects suivants: la fiabilité et l’intégrité de
l’information financière, l’efficacité des opérations, la protection du patrimoine
et le respect des lois et des règlements. - l’audit interne évalue le processus de
gouvernement d’entreprise et formule des recommandations pour l’améliorer. -
Les auditeurs internes évaluent les procédures de contrôle interne et surveillent
le bon fonctionnement de celui-ci. Ils doivent être attentifs à toute faiblesse
significative de contrôle interne. - Les auditeurs internes passent en revue les
opérations menées au sein de l’entreprise, afin de déterminer dans quelle mesure
les résultats suivent les objectifs préétablis. 1.1.5.6. Planification et
accomplissement de la mission d’audit et communication des résultats :
L’auditeur interne conçoit et formalise un plan d’action pour chaque mission
d’audit interne. Ce plan précise le champ d’intervention de l’auditeur interne,
les objectifs de la mission, la durée de la mission et les ressources allouées. L’IIA
conseille à l’auditeur interne de procéder à une évaluation préliminaire des
risques liés à l’activité soumise à l’audit. Ceci permet d’orienter les objectifs de
la mission d’audit en fonction des résultats de cette évaluation. L’auditeur
interne élabore un programme de travail permettant d’atteindre les objectifs de
sa mission. Ce programme définit les procédures à appliquer pour trouver,
analyser, évaluer et documenter les informations fiables et pertinentes pour
atteindre les objectifs de la mission. Une fois la mission d’audit arrivée à sa fin,
l’auditeur interne communique les résultats de la mission.14

14

Les Normes Internationales de l’Audit Interne ne précisent pas quel est le


destinataire des résultats de la mission d’audit interne.
12 1.2. Le contrôle interne : Finalité de l’audit interne La notion de contrôle
interne est très ancienne. Les Sumériens en Mésopotamie antique, faisaient du
contrôle interne en vérifiant que le nombre de sacs de grains entrés au magasin,
correspondait au nombre de sacs livrés par les fermiers au Pharaon. Les
Romains faisaient également du contrôle interne en procédant à la séparation
des tâches pour la gestion des fonds publics : l’autorisation des dépenses et le
vote des impôts étaient du ressort du Sénat ; les paiements et les collectes de
fonds étaient confiés à des questeurs indépendants (magistrat Romain chargé des
finances). 1.2.1. Définition du contrôle interne : La commission Treadway15
retient la définition suivante du contrôle interne : « Le contrôle interne est un
processus mis en œuvre par le conseil d’administration, les dirigeants et le
personnel d’une organisation, destiné à fournir une assurance raisonnable quant
à la réalisation des objectifs suivants : la réalisation et l’optimisation des
opérations, la fiabilité des informations financières ; la conformité aux lois et
réglementations en vigueur. »16 Pour l’AICPA (American Institute of Certified
Publics Accountants) : « Le contrôle interne est formé de plans d’organisation et
de toutes les méthodes et procédures adaptées à l’intérieur d’une entreprise pour
protéger ses actifs, contrôler l’exactitude des informations fournies par la
comptabilité, accroître le rendement et assurer l’application des instructions de
la direction ».17

Aux définitions précédentes nous ajoutons les quelques remarques suivantes : Le


contrôle interne peut se définir comme l’ensemble des procédures ou sécurités
(verrous) mises en place pour couvrir les risques mettant en péril l’ensemble des
objectifs de l’entreprise (qualité de l’information financière, mais aussi
développement du chiffre d’affaires, amélioration de la rentabilité, du climat
social, etc.). Le contrôle interne représente la finalité de l’audit interne.
L’objectif de l’auditeur interne est d’évaluer les procédures de contrôle interne.
L’audit interne est donc l’organe du contrôle interne qui a pour mission de
s’assurer en permanence de l’efficacité des procédures de contrôle interne. Le
contrôle interne n’est pas une fonction au sein de l’organisation. Il ne devrait pas
y avoir de « service de contrôle interne » dans l’organigramme de l’entité. S’il y a
un service chargé de l’évaluation du contrôle interne, il devrait se nommer «
service d’audit interne ». Le contrôle interne est plutôt « préventif protecteur »
que « répressif inquisiteur ». L’objet du contrôle interne n’est pas de sanctionner,
mais de créer les conditions optimales et dissuasives aux fraudes, aux gaspillages,
aux négligences, aux erreurs et aux omissions. Le contrôle interne est
l’émanation de la direction générale qui le répand aux responsables de tous les
niveaux et à toutes les structures au sein de l’entreprise. Le contrôle interne ne se
superpose pas à l’organisation de l’entreprise, il en est partie intégrante.

15

En 1980, le sénateur américain Treadway a initié une importante recherche sur


l’audit et le contrôle internes. Ainsi s’est créée aux Etats-Unis la commission
Treadway, puis a été constitué un comité internationalement connu sous le nom
de COSO (Committee of Sponsoring Organizations of the Treadway
Commission), qui réunit les compétences de quelques professionnels de l’IIA, de
quelques cabinets d’audit externe et de grandes entreprises américaines. 16
Renard J. (2004), Opcit, p : 132. 17 Siruguet J-L. et Koessler (1998), Le contrôle
comptable bancaire, tome 1, édition Banque Editeur, Paris, p. 29.
13 La traduction littérale du terme anglais « Internal Control » par « contrôle
interne » prête à confusion. En effet, « To control » signifie en anglais : conserver
la maîtrise de quelque chose. Alors qu’en français « contrôler » signifie : pouvoir
d’exercer une action de surveillance sur quelque chose pour la juger (surveiller et
vérifier).18 Le contrôle interne recouvre la notion large de « maîtrise des
activités de l’entreprise » et non pas uniquement la notion de vérification de la
conformité, qui n’en est pas moins nécessaire d’effectuer. La définition de la
commission Treadway introduit la notion importante d’« assurance raisonnable
» signifiant que le contrôle interne ne peut constituer une garantie totale. En
revanche, les procédures existantes devraient être efficaces et garantir une
couverture raisonnable des risques.

1.2.2. Les objectifs du contrôle interne : Les objectifs du contrôle interne


résultent des définitions précédemment présentées. Le contrôle interne a pour
but de : - Assurer la protection et la sauvegarde du patrimoine de l’entreprise. -
Assurer l’application des lois et des instructions de la direction générale. -
Favoriser l’amélioration des performances. - Assurer la qualité de l’information.
Ces objectifs demeurent les mêmes quelque soit la nature de l’organisation dans
laquelle le dispositif de contrôle interne est mis en place. Les objectifs du contrôle
interne conviennent : aux sociétés commerciales, aux associations à but non
lucratifs, aux partis politiques, aux administrations, aux clubs sportifs…etc. Ces
objectifs demeurent les mêmes pour les entreprises commerciales, les entreprises
industrielles, les banques, les assurances, les établissements financiers,…etc.
1.2.2.1. Assurer la protection et la sauvegarde du patrimoine de l’entreprise : Le
patrimoine de l’entreprise englobe non seulement les actifs immobilisés, les
stocks, les actifs immatériels,…etc, mais également le capital humain, l’image de
marque ainsi que les informations confidentielles de l’entreprise. Le patrimoine
peut être mis en péril du fait de l’erreur, de la négligence, de l’incompétence, du
gaspillage, des pertes, de la fraude, du vol, des dégâts naturels,…etc. Ce
patrimoine doit donc être protégé contre les actions commises par : les dirigeants
(abus de biens sociaux, incompétence, opposition d’intérêt), les employés
(erreurs, insuffisances et fautes professionnelles, malversations), les tiers
(escroquerie, cambriolage),…etc. 1.2.2.2. Assurer l’application des lois et des
instructions de la direction générale : Le dispositif de contrôle interne doit
assurer le respect des lois et des règlements. Il doit garantir également
l’application des décisions de la direction générale. La rédaction de manuels de
procédures est un moyen répondant à ces préoccupations. Les procédures écrites
à l’attention du personnel représente une première garantie de l’application des
instructions de la direction. Ajoutons également que les instructions doivent être
claires et compréhensives. 1.2.2.3. Favoriser l’amélioration des performances :
Le système de contrôle interne est un outil de gestion particulièrement efficace. Il
permet l’utilisation optimale des ressources de l’entreprise assurant ainsi, la
pérennité de celle-ci. Le contrôle interne met en évidence les insuffisances dans la
gestion de l’entreprise et dévoile les faiblesses qui constituent un terrain
favorable aux erreurs, aux négligences et à la fraude.

18

Siruguet J-L. et Koessler (1998), Opcit, p.26.


14 Le contrôle interne est souvent à l’origine d’allégement des tâches, par
exemple, l’analyse des procédures et des circuits des documents permet
d’éliminer les travaux inutiles. 19 1.2.2.4. Assurer la qualité de l’information :
Une gestion efficace de l’entreprise nécessite une diffusion d’informations de
qualité à tous les niveaux de l’entreprise. Le dispositif de contrôle interne doit
garantir la qualité de l’information et permettre une prise de décision à partir
d’informations fiables. Une information fiable est une information vérifiable,
exacte, exhaustive, pertinente et disponible.20 - Le système de contrôle interne
doit permettre la vérification de l’exactitude des informations. Pour cela, le
contrôle interne doit comporter un système de preuves donnant une assurance
suffisante de l’exactitude des informations. A titre d’exemple, nous citons le
système d’archivage et de conservation des documents, qui permet au service
comptabilité de l’entreprise de sauvegarder les pièces comptables justificatives. -
Le système de contrôle interne doit garantir l’exhaustivité des informations.
Pour cela, il doit garantir à la source, que toutes les données sont intégrées à
chaîne de traitement de l’information. - Les décideurs ont besoin d’information
pertinente. Cette dernière doit répondre aux objectifs poursuivis par l’entreprise
sinon elle devient superflue. les systèmes d’information génèrent souvent une
quantité excessive d’informations, dans laquelle on trouve des informations peu
utiles ou redondantes. - Le système de contrôle interne doit faire en sorte que les
informations n’arrivent pas trop tard à leur destinataire. Les informations
doivent être rapidement saisies et transmises aux intéressés. 1.2.3. Les dispositifs
de contrôle interne : Renard (2004)21 regroupe les dispositifs de contrôle interne
en cinq rubriques : les objectifs, les moyens, le système d’information,
l’organisation et les procédures. Selon l’auteur, les faiblesses, les insuffisances et
les erreurs relevées lors des missions d’audit trouvent leur cause dans une
défaillance de l’un des dispositifs de contrôle interne cités précédemment. Par
conséquent, le respect de ces dispositifs conférerait au contrôle interne une
qualité suffisante. 1.2.3.1. Les objectifs : Les objectifs de l’entreprise doivent être
conformes aux objectifs du contrôle interne que nous avons présentés
précédemment, à savoir : assurer la protection et la sauvegarde du patrimoine de
l’entreprise, assurer la qualité de l’information, assurer l’application des lois et
des instructions de la direction générale et enfin, favoriser l’amélioration des
performances. A partir des objectifs généraux, chaque responsable détermine ses
objectifs spécifiques, l’auditeur interne a pour tâche d’apprécier les objectifs
spécifiques de chaque responsable en fonction des critères suivants : Les objectifs
spécifiques de chaque responsable doivent converger avec la mission qui lui est
assignée par ses supérieurs hiérarchiques. Pour cela, la direction de l’entreprise
devrait construire un système pyramidal d’objectifs qui concourt à la réalisation
de l’objectif général de l’entreprise.

19 20 21

Siruguet J-L. et Koessler (1998), Opcit, p.40. Renard J. (2004), Opcit, p : 139.
Renard J. (2004), Opcit, p : 160.
15 Les objectifs spécifiques doivent être mesurables et situés dans le temps. Pour
ce faire ils doivent être exprimés en valeurs numériques telles que les ratios, les
indicateurs, les pourcentages…etc. Par exemple, le nombre de factures erronées
(erreurs de calculs, omission de déductions fiscales…etc.) ne devrait pas excéder
1% des factures établies mensuellement.

1.2.3.2. Les moyens : Il s’agit des moyens humains, financiers, matériels et


techniques mobilisés par l’entreprise pour réaliser ses objectifs. La question
essentielle que l’auditeur interne se pose est la suivante : Est ce que les moyens
mobilisés sont adaptés aux objectifs fixés ?. Cette question principale mène
l’auditeur interne à poser les questions secondaires suivantes : L’entreprise
dispose-t-elle des compétences humaines requises à la réalisation des objectifs
fixés ? Le personnel de l’entreprise bénéficie-t-il de formation permanente ? Les
budgets d’investissement et d’exploitation sont-ils à la hauteur des objectifs de
l’entreprise ? les techniques industrielles et commerciales sont-elles adaptées aux
objectifs de l’entreprise ?

Notons que les compétences humaines de l’entreprise sont au cœur de son


système de contrôle interne. En effet, un personnel incompétent ou manquant de
qualifications risque de fragiliser tous les verrous de contrôle interne mis en
place par l’entreprise. Le manque de compétences expose l’entreprise aux
risques d’erreurs, de négligences, de confusion, de fautes professionnelles…etc.
1.2.3.3. Le système d’information : « Le système d’information peut être défini
comme un ensemble construit et articulé de techniques, de procédures, de règles,
destinés à réaliser des tâches d’acquisition, de stockage, de traitement et de
diffusion des informations, dans l’objectif d’aider les individus et les groupes
d’individus dans l’entreprise, à prendre des décisions. Il correspond à un
ensemble construit et intégré de ressources humaines et informatiques
accompagnant la collecte, la mémorisation, la recherche, la communication et
l’utilisation d’informations au service d’un domaine d’activité, d’une fonction de
l’entreprise ».22 L’auditeur interne examine le système d’information de
l’entreprise en se basant, entre autres, sur les critères suivants : Le système
d’information devrait concerner toutes les fonctions de l’entreprise, souvent
cellesci se contentent d’un système d’information qui diffuse uniquement
l’information comptable et financière. L’information fournie devrait couvrir
toutes les fonctions et activités de l’entreprise, à savoir : les finances, les marchés
et les clients, la force de vente et réseau de distribution, la production, les
ressources humaines et la vie sociale, l’environnement,…etc. Le système
d’information devrait comporter à la base, l’information opérationnelle qui
permet aux responsables des niveaux hiérarchiques inférieurs de gérer leurs
activités et au sommet, l’information synthétique (indicateurs globaux) destinée
à la direction générale. L’information devrait être fiable, pour cela elle devrait
être vérifiable, le rôle de l’auditeur interne est de vérifier la qualité de
l’information en retrouvant sa source. Il éliminerait ainsi, les informations non
vérifiables, les données antérieures reconduites par erreurs, les extrapolations,
les hypothèses, les conclusions hâtives,...etc. L’information devrait être
exhaustive sans être pléthorique.

Dayan A. (2004), Manuel de gestion, édition Ellipses, volume 1, Paris, p : 977.

22
16 L’excès d’information pourrait entraîner de graves dysfonctionnements au
sein de l’entreprise, telles que : une perte de temps à la collecte, une analyse
superficielle de l’information, une lecture en ‘‘diagonale’’ de la part des cadres
qui reçoivent trop d’informations (ils survolent les informations),…etc. Il serait
judicieux, dans la mesure du possible, de choisir un seul indicateur pertinent par
objectif individuel et disponible au moment opportun.

1.2.3.4. L’organisation : Henri Mintzberg23 définit l’organisation comme un


ensemble relativement stable d’acteurs tournés vers des objectifs généraux
communs et qui, en vue de leur réalisation, a recourt à une division du travail
(une spécialisation des tâches) et à des modalités de coordination et de
contrôle.24 Une organisation repose donc sur deux éléments importants : la
division du travail et les modalités de coordination. Ces éléments permettent à
l’organisation de générer une valeur ajoutée supérieure à la somme des valeurs
créées séparément par les membres de l’organisation. La division du travail
permet aux acteurs de l’organisation de se spécialiser dans un domaine
spécifique, d’être de plus en plus performant et de capitaliser leur expérience. La
coordination permet de faire converger (mettre en harmonie) tous les actes et les
efforts vers un seul but, celui de l’entreprise. L’organisation est un dispositif de
contrôle interne particulièrement important. Sans organisation aucun contrôle
n’est possible. Le travail de l’auditeur interne consiste à analyser l’organisation
de l’entreprise, en se basant entre autres, sur les critères suivants : - Une
organisation adaptée à l’entreprise : l’organisation doit être adaptée à la taille de
l’entreprise, à la nature de son activité, à ses objectifs, à son environnement et à
sa culture. L’auditeur interne contribue par ses observations et ses
recommandations à faire adapter l’organisation de l’entreprise à l’évolution de
tous ces éléments. - La séparation des tâches incompatibles : par mesure de
sécurité certaines tâches fondamentalement incompatibles ne doivent pas être
assumées par la même personne. La règle de séparation des fonctions (ou des
tâches) garantit un bon contrôle interne en atténuant les risques de fraudes,
d’erreurs ou de négligences. Cette règle suppose l’absence de cumul des fonctions
suivantes : a. fonction de décision (décideur autorisant ou approuvant). b.
fonction de détention de valeurs ou de biens (caissier, magasinier, etc.). c.
fonction d’enregistrement (comptable). d. fonction de contrôle (ex auditeur
interne, inspecteur bancaire). Examinons le cas extrême d’une personne qui, au
sein d’une entreprise, cumule les fonctions de décision, de détention des actifs, de
comptabilisation et de contrôle. Dans ce cas, toutes les tentations malveillantes
sont envisageables : malversation, fraude, abus des biens sociaux, camouflage des
erreurs, maquillage des omissions,…etc. La séparation des tâches ne garantit pas
une sécurité totale des opérations. Ce dispositif peut être contourné par une
collusion entre deux ou plusieurs personnes. Ajoutons également, que cette
séparation est difficilement applicable dans une PME compte tenu du nombre
réduit des effectifs et de la faiblesse des volumes d’opérations. La séparation des
tâches entraînerait des charges supplémentaires importantes pour la PME. Il y a
donc un arbitrage à faire entre la séparation des tâches et le coût de cette
séparation (embaucher du personnel, allouer des budgets supplémentaires,…).

23

Auteur de plusieurs Best-seller sur l’organisation et la stratégie d’entreprise,


Henri Mintzberg a étudié à la prestigieuse Sloan School of Management (MIT).
Sa réputation est immense auprès de ceux qui étudient l’art du management et
de la planification stratégique. 24 Dayan A. (2004), Idem, p : 53.
17 1.2.3.5. Les procédures de travail de l’entreprise : Une procédure est un outil
de travail permettant à son utilisateur d’accomplir une tâche selon les normes
fixées par l’entreprise. Les organisations modernes formalisent de plus en plus
leurs procédures et ce pour diverses raisons : se soumettre à des obligations
légales, répondre à des impératifs de sécurité, répondre aux normes qualité (ISO
9000),…etc. 25 Les avantages d’une telle démarche sont nombreux. La mise par
écrit des procédures : accroît la diffusion du savoir-faire, permet un gain de
temps considérable dans la formation des nouveaux employés, améliore la
qualité des services et engendre des effets organisateurs et dynamisants pour le
personnel sous réserve d’une démarche participative. Selon Sardi (2002), pour
être efficace, un manuel de procédures doit être :26 - Clair, précis et complet
dans son contenu. - A la disposition effective des utilisateurs. - Ecrit, appliqué
rigoureusement et constamment mis à jour. Un manuel de procédures Clair,
précis et complet dans son contenu :

Le manuel de procédures est un outil de travail qui doit présenter de manière


simple et complète les tâches et les opérations de l’organisation. Il convient donc,
d’éviter de rédiger un manuel pauvre en contenu ou inversement un document
qui prendrait l’allure d’une encyclopédie. Un manuel qui se contente de décrire
de façon superficielle les procédures de travail est insuffisant et sans grand
intérêt pour ses utilisateurs. De même, un manuel qui traite dans un même
document de tous les aspects d’une tâche (juridique, technique, comptable,…
etc.) est difficile à consulter et très coûteux à mettre à jour. Un manuel de
procédures à la disposition des utilisateurs :

Pour être utile à l’entreprise, le manuel de procédures doit être diffusé au sein de
l’organisation, c’est-à-dire disponible pour ses utilisateurs. Il n’est pas nécessaire
de fournir l’intégralité du manuel pour chaque utilisateur, seule la partie traitant
des opérations dont il a la responsabilité est pertinente. Pour se faire, l’outil
informatique s’avère d’une grande utilité. L’utilisateur peut consulter aisément à
partir de son ordinateur les documents informatisés traitant de son travail. La
mise à jour des procédures se trouve aussi facilitée. - Un manuel de procédures
écrit, appliqué rigoureusement et constamment mis à jour : Une procédure ne
devrait pas être orale car elle risque d’être interprétée différemment selon les
utilisateurs et finit par perdre son caractère impératif. Un manuel est par essence
écrit, puisque ce terme signifie qu’il existe physiquement à l’intérieur de
l’entreprise, un document qui contient l’essentiel de ce qu’on doit savoir sur les
opérations et les tâches à effectuer. Les procédures ont un caractère impératif.
Cependant des exceptions peuvent être tolérées. Par exemple dans une petite
unité décentralisée, la séparation des fonctions serait très coûteuse, l’entreprise
autoriserait le cumul de quelques fonctions par une seule personne, néanmoins il
incombe à l’entreprise de trouver un verrou de contrôle interne autre que la
séparation des tâches. L’entreprise est continuellement en évolution (nouveaux
produits, réorganisation, création de nouveaux postes, changement de
réglementation,…etc.), les procédures devraient suivre voire anticiper les
changements, sinon elles risquent d’être rapidement obsolètes.

25 26

Henry A. et Monkam-Daverat I. (2001), Rédiger les procédures de l’entreprise,


édition d’Organisation, Paris, p : 6. Sardi A. (2002), Audit et contrôle interne
bancaires, édition Afges, Paris, p : 71.
18 1.3. La conduite d’une mission d’audit interne : Nous présentons ici la
méthodologie de l’auditeur interne pour mener à bien sa mission, c’està-dire, la
progression cohérente des actions de l’auditeur interne tout au long de sa
mission, pour atteindre les résultats que l’entreprise attend de l’audit interne. La
méthodologie que nous présentons a été mise au point par un groupe de
recherche 27 de l’IFACI et est recommandée par ce dernier aux auditeurs
internes. Cette méthodologie est conforme aux normes internationales de l’audit
interne et au code de déontologie de l’auditeur interne. La mission d’audit
interne se compose de trois phases essentielles : Une phase de préparation
(lancement de la mission). Une phase de réalisation (exécution de la mission).
Une phase de conclusion (achèvement de la mission)

1.3.1. La phase de préparation : La phase de préparation correspond au


lancement de la mission d’audit. L’essentiel du travail se déroule dans les
bureaux du service d’audit interne, avec quelques déplacements sur le terrain.
Les principales étapes de cette phase sont les suivantes : - Le déclenchement de la
mission par un ordre de mission. - La prise de connaissance de l’entité ou de
l’activité auditée. - L’identification des risques. - La définition des objectifs de la
mission. 1.3.1.1. Le déclenchement de la mission par un ordre de mission : «
L’ordre de mission est le mandat, donné par la Direction Générale à l’Audit
interne, qui informe les principaux responsables concernés de l’intervention
imminente des auditeurs internes ». 28 L’auditeur interne ne peut décider lui-
même de ses interventions, il n’intervient que lorsque la hiérarchie le saisit d’une
mission. Cependant, même s’il ne le décide pas officiellement, l’auditeur interne
en est souvent à l’origine. L’ordre de mission est un document 29 délivré par la
direction générale de l’organisation (ou par le comité d’audit) pour donner le «
droit d’accès » à l’auditeur interne aux services et entités concernés, et pour
informer les audités de son imminente intervention. Notons que les audités sont
souvent plus coopératifs quand ils perçoivent que la mission intervient à la
demande de l’autorité supérieure de l’entreprise. Toutefois, si le succès de la
mission nécessite une intervention inopinée, l’ordre de mission peut ne pas être
diffusé. Dans ce cas les audités ne sont pas informés de la visite de l’auditeur
interne, qui doit être néanmoins muni de son mandat. Dans certaines entreprises,
il est courant de voir la direction générale ou le comité d’audit, diffuser un
programme d’audit pour l’exercice à venir. Ce programme peut tenir lieu d’un
ordre de mission commun à toutes les interventions des auditeurs pour l’année.

La méthodologie que nous présentons a été élaborée par des praticiens de «


l’Unité de Recherche en Méthodologie et Techniques » de l’IFACI, celle-ci a été
éditée sous le titre de « La conduite d’une mission d’audit interne » (voir
bibliographie). Il s’agit d’une méthodologie général, libre à l’auditeur interne de
l’adapter à son rythme, aux objectifs spécifiques de sa mission et aux imprévus
environnementaux. Nous nous sommes également référés au livre de Jacques
RENARD (voir bibliographie), qui présente une méthodologie similaire. 28
IFACI (1995), La conduite d’une mission d’audit interne, édition Dunod, Paris, p
: 35. 29 L’ordre de mission contient en règle générale : le nom et la signature du
mandant, le nom du mandataire (l’auditeur interne), l’objet de la mission, les
destinataires (les audités) et éventuellement des explications si nécessaire
(calendrier des interventions, nombre d’intervenants, …etc).

27
19 1.3.1.2. La prise de connaissance de l’entité ou de l’activité auditée : La prise
de connaissance de l’entité ou de l’activité auditée, permet à l’auditeur interne de
se familiariser avec la structure et/ou la fonction qu’il va auditer. En effet,
l’auditeur interne ne peut mener à bien sa mission, sans un minimum de
connaissances de la structure (et de la discipline) sujet de l’audit. Il ne s’agit pas
là de connaître parfaitement le métier de l’audité, l’auditeur doit néanmoins
avoir une certaine culture du métier, pour être en mesure de poser des questions
et de comprendre les explications. Exemple : dans un audit du service crédit
d’une agence bancaire, l’auditeur interne devrait avoir un minimum de
connaissances sur la technique bancaire, la typologie des crédits, les garanties
exigées, la législation bancaire …etc. De même pour une mission d’audit dans le
service comptable de la même banque, il serait difficile pour l’auditeur de mener
à bon port sa mission, sans des connaissances préalables sur la comptabilité
bancaire, les états financiers de la banque (bilan, hors bilans et compte de
résultat),…etc. Pour ce faire, l’auditeur interne peut participer à des séminaires,
consulter des livres sur le sujet, interroger des personnes compétentes,…etc.
Selon Renard (2004), la prise de connaissance devrait s’organiser autour des six
(06) objectifs suivants : 30

- Avoir dès le départ une bonne vision d’ensemble de l’entité ou de l’activité objet
de l’audit et des contrôles internes mis en place pour la maîtriser : répartition
des tâches, organisation du travail et des hommes,…etc. Aider à identifier les
objectifs de la mission d’audit interne. Identifier les points forts et problèmes
essentiels de l’entité à auditer. Eviter d’omettre des questions importantes et qui
sont pour le management des préoccupations d’actualité. Ne pas tomber dans le
piège des considérations abstraites qui doivent être hors du champ des
préoccupations de l’auditeur. Organiser, planifier et estimer le temps et le coût de
la mission d’audit.
Afin de mener à bien sa prise de connaissance, l’IFACI préconise à l’auditeur
interne de commencer d’abord par établir un questionnaire de prise de
connaissance, pour effectuer ensuite, un entretien de prise de contact : Le
questionnaire de prise de connaissance (QPC) :

L’auditeur interne élabore un questionnaire de prise de connaissance, dans


lequel il regroupe les questions importantes 31 dont il doit chercher la réponse
pour une bonne compréhension du domaine audité. Ce questionnaire oriente
l’auditeur dans sa collecte d’informations pertinentes, dans le but de bien cerner
le champ d’investigation de sa mission et pour organiser son travail en
conséquence. De façon générale, le QPC contient des questions concernant : - Les
dispositions légales. - Les données importantes de l’environnement (concurrence,
innovation,…etc). - L’organisation et le système d’information de la structure ou
de l’activité audité. - L’organigramme, le recueil des pouvoirs, les méthodes et
procédures. - Les problèmes passés et les réformes en cours.

30 31

Renard J. (2004), Opcit, p : 214-217.

Pour Jacques Renard (voir bibliographie), ce ne sont pas des questions que l’on
pose mais des questions que l’on se pose. L’auditeur interne y répond en utilisant
des outils tels : les interviews, les documents de l’entreprise, les observations
relevés,…etc.
20 Les chiffres clés (chiffres d’affaires, total effectifs,…etc). Les ratios saillants
(variations, écarts, mesures d’évolution…etc). Ce travail de collecte
d’informations comprend de manière générale :32 La consultation des états
financiers et des documents internes de l’entreprise : données financières
(comptabilité, budget,…), information de gestion (comptabilité analytique,
contrôle de gestion, tableaux de bord,…),…etc. La consultation des rapports et
comptes rendus antérieurs, particulièrement ceux des missions d’audit effectuées
auparavant. La consultation du manuel de procédures et des méthodes de
gestion.

L’entretien de prise de contact :

L’auditeur interne procède à un entretien de prise de contact avec le responsable


(ou les responsables) de la structure ou de l’activité auditée. Cet entretien permet
d’informer ce responsable du contenu et de l’intérêt de la mission d’audit. Cette
première prise de contact est importante dans la mesure où elle est déterminante
pour le succès de la mission. En effet, souvent les audités et à leur tête leur
responsable ne coopèrent pas facilement et peuvent donc entraver le bon
déroulement de la mission (à travers des comportements tels que : la rétention de
l’information, le refus de collaborer,…etc). Dans cet entretien, l’auditeur interne
explique au responsable de la structure auditée, le rôle de l’audit interne en tant
que fonction d’assistance au management, il insiste également sur le fait, qu’il
cherche à améliorer les performances et non à enquêter pour sanctionner. A
l’issue de cette prise de connaissance, l’auditeur interne devrait disposer
d’informations conséquentes sur les risques majeurs auxquels est confrontée
l’entité ou l’activité objet de l’audit.

1.3.1.3. L’identification des risques : Dans cette étape, l’auditeur interne cherche
à identifier les « endroits où les risques les plus dommageables sont susceptible
de se produire ».33 Ces « endroits » sont communément appelés « les zones à
risques ». Il s’agit d’identifier et non d’analyser les risques. L’auditeur interne
distingue les points présentant un risque potentiel, qui doivent faire l’objet d’une
attention particulière et d’une analyse approfondie, de ceux qui ne présentent
pas de danger et qui peuvent faire l’objet d’une analyse légère, voire même
aucune analyse. Cette identification permettra à l’auditeur interne d’organiser
sa mission et de concentrer ses efforts sur « les risques significatifs ». Pour ce
faire, L’IFACI préconise de suivre la démarche suivante : Découper le domaine
audité en tâches élémentaires « auditables ». Etablir le tableau d’identification
des risques significatifs.

32 33

IFACI (1995), Opcit, p : 43. Renard J. (2004), Opcit, p : 223.


21 Découper le domaine audité en tâches élémentaires auditables :

L’auditeur interne décompose l’activité auditée en une succession ordonnée de


tâches ou d’opérations élémentaires auditables. Souvent, les auditeurs retiennent
l’ordre chronologique des opérations pour effectuer leur découpage, mais
lorsque l’activité ne présente pas de dimension temporelle évidente, l’auditeur
peut recourir à la technique de l’arborescence.34 Exemple : prenons le cas d’un
audit du cycle achat - fournisseur. L’opération d’achat se déroule généralement
selon l’ordre séquentiel suivant (tâches élémentaires auditables) : (1) expression
du besoin (2) déclenchement de la commande (3) réception des biens ou services
(4) enregistrement des achats et des dettes fournisseurs et (5) paiement des
factures. Etablir le tableau d’identification des risques :

Le tableau des risques significatifs est appelé également tableau des forces et
faiblesses apparentes (TFFA) : « il présente de manière synthétique et
argumentée les présomptions ou l’avis de l’auditeur sur chacun des thèmes
analysés. Il constitue " l’état des lieux " des forces et faiblesses réelles ou
potentielles, et permet de hiérarchiser les risques ». 35 Le tableau d’identification
des risques se présente de façon générale de la manière suivante :

Tâches indiquer les tâches ou opérations élémentaires. Objectifs indiquer les


objectifs assignés à chaque tâche. Risques significatifs indiquer les risques
encourus si les objectifs ne sont pas réalisés. Evaluation du risque indiquer
l’appréciation sommaire des risques associés à chaque tâche (risque important,
moyen ou faible). Dispositif de contrôle interne indiquer le dispositif de contrôle
interne que l’auditeur devrait trouver pour maîtriser les risques encourus.
Constat Oui / Non indiquer si le dispositif de contrôle interne préconisé par
l’auditeur existe ou non.
Source : Renard J. (2004), Théorie et pratique de l’audit interne, édition
d’Organisation, 5ème édition, Paris, p.229.

1.3.1.4. La définition des objectifs de la mission dans un rapport d’orientation : A


partir du tableau d’identification des risques, l’auditeur interne est en mesure
d’établir les objectifs de sa mission. Ces derniers sont portés dans un document
appelé « rapport d’orientation ». Celui-ci « définit et formalise les axes
d’investigations de la mission et ses limites ; il les exprime en objectifs à atteindre
par l’audit pour le demandeur et les audités ».36 Ce rapport détermine les
modalités pratiques d’intervention de l’auditeur. Celles-ci sont soumises à
l’approbation des audités lors d’une réunion d’ouverture. A partir du tableau
d’identification des risques, l’auditeur interne propose les axes d’intervention de
sa mission, en fonction des risques qu’il juge significatifs.

34

Celle-ci consiste à démarrer d’un mot / phrase clé qui décrit le domaine audité,
ensuite il faut chercher des mots ou phrases clés se rapportant au premier mot
clé. Exemple : audit du système de facturation d’une entreprise de prestation de
services. Mot clé : facturer. Facturer quoi ?: toutes les prestations. Comment
facturer ? : aux conditions tarifaire et par des moyens de paiement. Quand
facturer ?: au plus bref délai. Les nouveaux mots clés sont donc : conditions de
paiement, délai de paiement. A partir de ces derniers, il faut refaire le même
procédé jusqu’à un niveau de détail jugé satisfaisant. 35 IFACI (1995), Opcit, p :
63.

36

IFACI (1995), Opcit, p : 73.


22 En règle générale, le rapport d’orientation contient :37 les objectifs généraux
de la mission, les objectifs spécifiques et le champ d’intervention. Les objectifs
généraux de la mission : il s’agit des objectifs permanents du contrôle interne
précédemment traités, à savoir : La protection et la sauvegarde du patrimoine, la
qualité de l’information, l’application des lois et des directives de la direction et
l’amélioration des performances. Les objectifs spécifiques de la mission : il s’agit
des dispositifs de contrôle interne que l’auditeur compte tester lors de sa mission.
Ceux-ci ont été identifiés précédemment comme devant faire l’objet d’une
attention particulière et d’une analyse approfondie. Le champ d’intervention : il
s’agit des différents services et départements qui vont être audités au cours de la
mission, et la logistique de celle-ci.

1.3.2. La phase de réalisation : La phase de réalisation correspond à l’exécution


de la mission d’audit, l’essentiel du travail se déroule sur le terrain, c’est-à-dire,
dans les bureaux, services, et structures à auditer. Les principales étapes de cette
phase sont les suivantes : - La réunion d’ouverture. - Le programme d’audit. - Le
Questionnaire de Contrôle Interne (QCI). - Révélation et analyse des anomalies

. 1.3.2.1. La réunion d’ouverture : Comme son nom l’indique, cette réunion «


d’ouverture » marque le début des opérations d’audit. Celle-ci réunit auditeurs
et audités autour des points essentiels suivants : - Présenter les uns aux autres : il
s’agit d’abord de présenter les auditeurs, leurs compétences et leur expérience
professionnelle ; les audités également se présentent à leur tour. Notons que cette
réunion se déroule « chez les audités », c’est donc aux auditeurs de se présenter
en premier. - Rappeler les objectifs généraux de l’audit interne. - Examiner en
commun le rapport d’orientation : ce point constitue l’essentiel de la réunion
d’ouverture, il permet aux auditeurs d’annoncer ce qu’ils comptent entreprendre
comme travaux, et aux audités de donner leurs avis. - Etablir en commun : la
liste des personnes à rencontrer, le budget temps nécessaire, les dates des rendez-
vous et des déplacements et la logistique de la mission (hébergement, transport et
restauration des auditeurs, bureaux avec équipements nécessaires, consignes de
sécurité à respecter,…etc). Au terme de cette réunion, auditeurs et audités
décident d’un commun accord des retouches et modifications à apporter à la
mission. En cas de désaccord, la décision finale revient aux auditeurs.

1.3.2.2. Le programme d’audit : Le programme d’audit représente le plan de


réalisation de la mission d’audit, il est également appelé " Programme de
Vérification ", c’est « un document interne au service d’audit, destiné à définir,
répartir dans l’équipe, planifier et suivre les travaux des auditeurs ».38 Ce
document répond aux objectifs suivants :

37 38

Renard J. (2004), Opcit, p : 231-235. IFACI (1995), Opcit, p : 77.


23 Répartir les tâches entre les auditeurs en charge de la mission et la planifier
dans le temps (déplacements, dates des rencontres, répartition du travail selon
les compétences des auditeurs,…etc.), c’est un document dans lequel figure le
détail précis du travail à effectuer.39 Permettre au chef de la mission d’audit de
suivre le travail de son équipe : le programme d’audit sert de référentiel au chef
pour évaluer le travail effectué et apprécier les contributions individuelles des
auditeurs. Il sert également à l’équipe d’auditeurs de « ligne directrice »
indispensable pour ne pas s’écarter des objectifs de la mission, ils peuvent ainsi,
apprécier l’avancement de leur propre travail. C’est un document essentiel pour
élaborer le QCI (Questionnaire de Contrôle Interne). Il sert également de
référentiel pour les missions d’audit à venir.

1.3.2.3. Le Questionnaire de contrôle Interne (QCI) : Le Questionnaire de


Contrôle Interne est : « une grille d’analyse dont la finalité est de permettre à
l’auditeur d’apprécier le niveau et de porter un diagnostic sur le dispositif de
contrôle interne de l’entité ou de la fonction auditée. Il est composé d’une liste de
questions n’admettant en principe que les réponses ‘oui’ ou ‘non’, qui servent à
recenser les moyens en place pour atteindre les objectifs du contrôle interne ». 40
Le QCI se compose donc de toutes les questions pertinentes à se poser, pour
évaluer le dispositif de contrôle interne du domaine audité. Ces questions ne sont
pas obligatoirement fermées, libre aux auditeurs d’établir leur grille de questions
en fonction des besoins de leur mission. Exemple : prenons le cas d’un audit des
opérations de caisse et de portefeuille d’une agence bancaire, rappelons que ces
opérations portent sur les espèces, les avoirs de la clientèle et les moyens de
paiement. Les risques majeurs sont : le vol, la fraude et la malversation, les
erreurs de comptage et d’écritures comptables, les pertes de chèques, la non
détection des faux billets,…etc. Le QCI se compose entre autres des questions
pertinentes suivantes :41 - l’accès au box de manipulation est-il strictement
réservé au caissier désigné ? les valeurs (espèces, chéquiers,…etc.) sont-elles hors
de portée des clients ? existe-t-il un système d’alarme en cas d’agression ? - le
caissier est-il outillé pour le comptage des billets ? est-il équipé pour la détection
des faux billets ? - existe-t-il un manuel de procédures des opérations de caisse ?
est-il à la portée du caissier ? estil exhaustif et mis à jour périodiquement ? - Les
décaissements font-il l’objet d’un visa d’autorisation préalable ? le visa est-il
donné par une personne autre que le caissier ? - l’inventaire de la caisse est il
obligatoire ? est-il quotidien ? est-il porté sur un état spécifique ? est-il
rapproché avec la comptabilité ? associe-t-il le supérieur hiérarchique du caissier
? les écarts d’inventaire sont-ils portés sur un PV systématiquement ? sont-il
communiqué à l’inspection ? 1.3.2.4. Révélation et analyse des anomalies : Muni
de son QCI, l’auditeur interne se lance dans une enquête de terrain, à la
recherche des : anomalies, erreurs, dysfonctionnements, irrégularités, omissions,
insuffisances, lacunes, négligences, malversations,…etc.

39

Ceci n’empêche pas l’équipe d’auditeurs d’apporter des modifications et des


rectifications en cours de mission, si

celles-ci sont faites avec l’accord du chef de mission.

40 41

IFACI (1995), Opcit, p : 195. SIBF (2005), Eléments d’audit et d’audit bancaire,
support de cours du module d’Audit Bancaire, DES Banque,
Société Inter Bancaire de Formation, Alger, p : 81-85.
24 Cette investigation permet à l’auditeur interne de révéler les
dysfonctionnements du système de contrôle interne de l’entité/activité auditée,
pour cela il utilise divers outils tels que : l’observation, les interviews, les
sondages statistiques, les rapprochements et vérifications,…etc. A chaque
découverte d’anomalie, l’auditeur interne élabore une FRAP (Feuille de
Révélation et d’Analyse des Problèmes), il y a donc autant de FRAP que
d’anomalie révélée. La FRAP est un document dans lequel l’auditeur interne
transcrit : 42 l’anomalie relevée, les faits qui prouvent l’anomalie (événement,
incident, accident,…etc.), les causes de l’anomalie et ses conséquences et enfin,
les solutions préconisées par l’auditeur. Exemple : prenons l’exemple précédent
d’audit des opérations de caisse d’une agence bancaire, l’auditeur interne
effectue des observations du guichet de la caisse, et transcrit sur une FRAP les
remarques suivantes :

- Anomalie : la procédure de sécurité et de protection des actifs ne permet pas de


protéger les valeurs de la caisse (espèces en particulier).

- Faits : les employés de la banque accèdent librement au box de manipulation,


les liasses de billets de banque et la machine de comptage sont à portée de main
des clients.

- Causes : la procédure est défaillante.

- Conséquences : risque de vol.

- Recommandation : fermer à clef le box de manipulation et limiter l’accès au


seul caissier, installer une alarme, installer un comptoir d’au moins 1m30 de
hauteur (3/4 de la taille d’un homme) 80 cm de largeur (taille d’un bras
d’homme),

1.3.3. La phase de conclusion : La phase de conclusion correspond à


l’achèvement de la mission, l’essentiel du travail se déroule au bureau de
l’auditeur interne, avec quelques déplacements chez les audités, notamment pour
la réunion de clôture. Les principales étapes de cette phase sont les suivantes : -
Rédaction du rapport préliminaire d’audit interne (version préliminaire). -
Réunion de clôture. - Rédaction du rapport d’audit interne (version finale). -
Suivi du rapport d’audit interne. 1.3.3.1. Rédaction du rapport préliminaire
d’audit interne : Le rapport préliminaire d’audit interne est un document rédigé
par les auditeurs internes, dans lequel ils rassemblent les anomalies relevées
assorties des causes, conséquences et recommandations. Celui-ci est qualifié de «
préliminaire » car il ne contient pas la réponse des audités à l’égard des
recommandations. Ce rapport est mis à la disposition des audités avant la
réunion de clôture, et constitue à ce titre l’ordre du jour de celle-ci.43 Avant la
réunion de clôture, l’équipe d’auditeurs internes et leur chef de mission tiennent
une « réunion - simulation », dans laquelle ils structurent leurs réflexions,
organisent leur discours, ordonnent les idées et coordonnent les interventions de
chacun lors de la réunion de clôture.

42

Les FRAP sont validées avec les auditées, ceci évite l’effet d’une enquête secrète
et permet d’obtenir l’aide des

audités pour proposer des solutions aux anomalies relevées.

43

Renard J. (2004), Opcit, p : 281-282.


25 1.3.3.2. La réunion de clôture : La réunion de clôture répond au souhait
légitime des audités, d’être informés rapidement et les premiers, des résultats des
vérifications effectuées et des conclusions de la mission.44 Elle réunit auditeurs et
audités et répond au double objectif suivant : d’une part, permettre aux
auditeurs d’exposer les anomalies relevées, les points forts constatés et les
améliorations proposées. D’autre part, permettre aux audités de contester les
analyses, de proposer des corrections et de poser des questions. Après la réunion,
ces derniers (les audités) disposeront d’un délai pour envoyer à l’audit interne
des réponses écrites aux recommandations. 1.3.3.3. Rédaction du rapport d’audit
interne : « Le Rapport d’audit interne communique, aux principaux
responsables concernés (pour action) et à la direction (pour information), les
conclusions de l’Audit concernant la capacité de l’organisation auditée à
accomplir sa mission, en mettant l’accent sur les dysfonctionnements pour faire
développer des actions de progrès ».45 Le rapport d’audit interne est un
document d’information pour la hiérarchie, il fournit à la direction générale une
appréciation motivée du dispositif de contrôle interne de l’entité/fonction
auditée. Ce rapport sert également d’outil de travail pour les responsables
audités. C’est un « guide des opérations » pour entreprendre les actions
correctives. C’est un document « final » car il contient les réponses des audités
aux recommandations des auditeurs. Le rapport d’audit interne contient deux
parties essentielles : une partie détaillée destinée aux audités, elle est complète et
technique (elle contient les anomalies relevées, les constats, les recommandations,
les réponses aux recommandations et le plan d’action pour corriger les
anomalies) et une synthèse destinée à la direction générale, dans laquelle
apparaissent uniquement les points saillants. 1.3.3.4. Suivi du rapport d’audit
interne : Le service d’audit interne informe régulièrement la direction générale
des suites données aux recommandations formulées par l’audit, et des résultats
obtenus des actions correctives des audités. En effet, une mission d’audit sans
suivi des recommandations paraît inachevée, la mission serait inutile si aucune
mesure n’est entreprise pour corriger les anomalies. Il est de droit pour l’audit
interne d’être informé du suivi des recommandations, ceci permet de mesurer
l’efficacité de la fonction d’audit au sein de l’entreprise et d’alimenter les
dossiers pour les missions à venir. Mais l’audit interne ne doit en aucun cas
mettre en œuvre ses propres recommandations. Un auditeur interne qui met en
place les solutions qu’il propose, hypothèque sa crédibilité pour les missions à
venir. En effet, comment peut-il juger à l’avenir des dispositifs qu’il a lui-même
mis en place dans le passé, à moins d’être extrêmement honnête et d’une
intégrité hors normes.

1.4. La boîte à outils de l’auditeur interne : L’auditeur interne dispose d’une


panoplie assez importante d’outils, de procédés et de moyens pour mener à bien
sa mission, ces outils ne sont pas la propriété exclusive de l’audit interne, ils sont
empruntés à d’autres disciplines telles que le commissariat aux comptes, les
techniques statistiques, les sciences de l’organisation,…etc.

44 45

IFACI (1995), Opcit, p : 116. IFACI (1995), Opcit, p : 119.


26 La problématique qui se pose à l’auditeur interne réside dans le choix de
l’outil le plus approprié pour atteindre ses objectifs, celui-ci doit avoir une
connaissance assez vaste des divers outils pour faire un choix pertinent. Nous
exposons ici de façon succincte quelques outils des plus utilisés par les auditeurs
internes. 1.4.1. L’interview : L’interview est un outil qui paraît à première vue
banal, mais qui s’avère être très efficace pour amasser une quantité importante
d’informations en un laps de temps réduit. L’interview est un entretien que
l’auditeur effectue avec l’audité, en vue de l’interroger sur son travail, l’étendu
de son pouvoir, le déroulement des opérations, les documents utilisés, les
anomalies rencontrées,…etc. « Une interview se prépare à l’avance »,46 les
questions sont précises, mises en ordre et envoyées à l’audité avant l’entretien,
pour qu’il puisse donner des réponses mieux réfléchies et apporter les
informations nécessaires. Renard (2004), recense sept « règles d’or » d’une bonne
interview, il s’agit des règles suivantes :47 - 1ère règle "aviser la hiérarchie" :
avant de procéder à une interview, l’auditeur doit respecter la voie hiérarchique,
en informant le supérieur de son interlocuteur. Souvent la hiérarchie est
informée lors de la réunion d’ouverture de la mission d’audit. - 2ème règle
"informer l’audité": avant l’interview, l’auditeur informe son interlocuteur du
contenu de l’entrevue, de ses objectifs et des questions qu’il compte aborder avec
lui. Il ne s’agit nullement de prendre l’audité au dépourvu, ce n’est pas un «
interrogatoire surprise » encore moins des « questions pièges ». - 3ème règle
"aborder les anomalies relevées": lors de l’interview, l’auditeur présente à son
interlocuteur les anomalies relevées tout au long de ses investigations. Il discute
également des causes et des solutions éventuelles. 4ème règle "informer l’audité
avant sa hiérarchie": avant d’informer la hiérarchie, l’auditeur interne et son
interlocuteur résument ensemble les points saillants de l’interview. Il serait
incongru que l’auditeur résume seul son entrevue et la communique
confidentiellement à la hiérarchie de son interlocuteur sans son « aval ». 5ème
règle "juger les dispositifs et non les hommes": l’auditeur interne pose ses
questions en se focalisant sur les dispositifs de contrôle interne de l’entreprise. La
vocation de l’audit interne n’est pas de juger les hommes, mais d’évaluer les
procédures mises en place pour maîtriser les risques et gérer l’entreprise. 6ème
règle "savoir écouter" : l’auditeur interne doit éviter de s’accaparer la parole,
l’interview ne doit pas se transformer en un débat politique lors d’une compagne
électorale. L’auditeur laisse la parole à son interlocuteur et intervient pour
corriger les digressions. « L’écoute est la plus importante de toutes les techniques
de communication. Plus importante q’une éloquence vibrante, qu’une voix
puissante, que l’aptitude à parler plusieurs langues. Plus importante même
qu’un talent d’écriture. Une bonne écoute est véritablement le point de départ
d’un échange efficace ».48 7ème règle "traiter l’interlocuteur en égal" :
l’auditeur doit traiter son interlocuteur en égal, non pas au sens hiérarchique du
terme, mais dans la conduite de la discussion. Même si l’interlocuteur occupe un
poste hiérarchique très élevé au sein de l’entreprise, l’auditeur doit trouver le
juste milieu entre une attitude exagérément respectueuse et une familiarité
vulgaire.

46 47 48

Renard J. (2003), Audit interne : ce qui fait débat, édition Maxima, Paris, p :
170. Renard J. (2004), Opcit, p : 332-333. Carnegie D. (1994), Comment trouver
le leader en vous, édition Hachette, Paris, p : 81.
27 1.4.2. Le sondage statistique : « Les sondages permettent d’obtenir facilement
des informations sur une population très importante par l’observation d’une
partie de celle-ci, ce qui est très utile quand une population ne peut pas être
observée à l’aide d’un outil informatique. Le sondage, effectué sur une partie de
la population, permet de déterminer une caractéristique particulière qu’il est
possible d’extrapoler au niveau de la population toute entière. Cependant, il est
important d’avoir à l’esprit que l’étude d’une partie de la population n’est pas
l’étude de la population entière et que le résultat ne donne pas une certitude de
résultat mais une estimation plus ou moins précise ».49 Il est rare de voir un
auditeur interne contrôler les opérations de l’entreprise de façon exhaustive, par
manque de temps mais surtout par souci d’efficacité. Il procède donc par
sondage. Le sondage est une méthode scientifique rigoureuse et très utile pour
s’assurer de la régularité d’une procédure, de l’absence d’erreur significative,…
etc. Ce dernier consiste à : - Prélever un échantillon représentatif d’une
population donnée. - Etudier les caractéristiques de l’échantillon. - Extrapoler les
caractéristiques de l’échantillon sur la population (l’extrapolation ne donne pas
une information certaine des propriétés de la population, mais plutôt une
estimation plus ou moins précise, selon la taille de l’échantillon et le degré de
confiance retenu). Exemple : Le sondage statistique s’avère très utile pour
mesurer l’ampleur d’une anomalie rencontrée, pour illustrer cette idée, prenons
le cas d’une population de 3000 factures de vente établies par une entreprise.
L’auditeur interne s’intéresse au pourcentage de factures de vente erronées
(erreurs de calcul), ce pourcentage est inconnu car le budget de l’auditeur (limité
en argent et en temps) ne lui permet pas d’observer toutes les factures. Pour ce
faire, l’auditeur tire un échantillon aléatoire simple de 150 factures, pour estimer
le pourcentage de factures erronées dans la population. Si dans l’échantillon de
150 factures, il trouve 12 factures erronées, il peut conclure que le pourcentage
de factures erronées dans la population de 3000 factures est estimé à 8 % (soit
12/150). 1.4.3. Le rapprochement : Le rapprochement de deux sources d’une
même information (appelé également recoupement) permet de valider la véracité
de cette information. En effet, plus il y a des sources différentes de l’information,
meilleure sera l’authenticité de cette information. Le rapprochement peut se
faire entre deux sources disponible à l’intérieur de l’entreprise (stock comptable /
inventaire physique, bon de livraison du fournisseur / bon d’entrée en stock du
magasinier, bon de commande de l’entreprise / facture du fournisseur) ou par
confirmation auprès des tiers (confirmation auprès des fournisseurs, clients,
banque,…etc). Exemple : prenons le cas d’un audit des comptes d’épargne au
niveau d’une agence bancaire. L’auditeur consulte les livrets d’épargne des
clients et vérifie les soldes figurants. Ensuite, il les rapproche avec les montants
inscrits en comptabilité. S’il y a des écarts cela voudrait dire qu’il y a peut être :
des erreurs d’enregistrements, des problèmes d’actualisation ou éventuellement
des détournements de la part d’un guichetier indélicat (s’il est chargé d’inscrire
les soldes sur les livrets et de leur enregistrement comptable).

49

Maders H.P. (1994), Audit opérationnel dans les banques, édition


d’Organisation, Paris, p : 136.
28 1.4.4. L’observation : « Une observation est la constatation de la réalité
instantanée de l’existence et du fonctionnement : d’un bien, d’un processus,
d’une transaction, d’une valeur ».50 L’observation se pratique au terrain, c’est-
à-dire, dans les bureaux, les guichets, l’usine, l’entrepôt, la salle de coffre,…etc.
L’observation s’exerce sur les actifs (corporel ou incorporel), les documents et
particulièrement sur les procédures. L’auditeur ne devrait pas se contenter d’une
confirmation auprès des audités de l’existence ou du fonctionnement d’une
procédure. Il est préférable de constater de visu que telle procédure existe et
qu’elle fonctionne correctement. L’auditeur interne observe par exemple le
déroulement d’une opération d’achat de matières et fournitures, le processus
d’octroi de crédit dans une agence bancaire,…etc. L’auditeur expérimenté
observe également le comportement, l’attitude et les gestes des audités au cours
d’un entretien ou dans leur lieu de travail. Exemple : prenons le cas d’un audit
des opérations de crédit dans une agence bancaire, l’auditeur interne observe le
déroulement d’un octroi de crédit d’investissement au client X, il vérifie
l’existence et le fonctionnement de la procédure d’octroi de crédit, de la manière
suivante : - Introduction de la demande de crédit : toute demande de crédit doit
faire l’objet d’un dossier conforme à la réglementation et aux règles de la
banque. - Etude de la demande de crédit : tout crédit doit correspondre à un
besoin de financement réel. L’auditeur vérifie que l’étude technico-économique
du projet révèle un réel besoin de financement. - Autorisation du crédit :
l’autorisation doit être couverte par des garanties suffisantes. L’auditeur vérifie
que les hypothèques, cautions, nantissements et autres garanties couvrent une
éventuelle défaillance du client. Il s’assure également que l’apport personnel du
client répond aux exigences de la réglementation. - Déblocage des fonds : Tout
dépassement doit faire l’objet d’une autorisation spécifique et couvert par des
garanties supplémentaires. - Conditions de remboursement et suivi du dossier :
l’auditeur s’assure que les remboursement et les délais sont respectés, il
s’acquiert de la réalité du projet et la compare avec l’étude prévisionnelle. il
s’assure également que les impayés ont été provisionnés. 1.4.5. La grille d’analyse
des tâches : La grille d’analyse des tâches permet à l’auditeur interne, de
détecter les personnes qui assument des tâches incompatibles du point de vue du
contrôle interne. Nous avons vu précédemment que la règle de séparation des
tâches (ou des fonctions) permet de réduire les risques de fraudes, d’erreurs ou
de négligences. Au sein de la banque, cette règle suppose l’absence de cumul des
fonctions suivantes : 51 - Fonctions d’engagement : Il s’agit des personnes qui
disposent d’un pouvoir de décider et d’engager la banque, et qui sont habilitées à
effectuer des opérations sur le patrimoine (chef d’agence, responsable crédit). -
Fonctions de validation : Il s’agit des personnes chargées des tâches de
confirmation et d’acceptation dans le système d’information, et de la saisie et du
traitement de l’information (évaluateur de projet, comptable). - Fonctions de
règlement : Il s’agit des personnes chargées de verser et de recevoir des valeurs
tels les : fonds, chèques, titres, bons de caisse,…etc. (caissier). - Fonctions
surveillance des risques : Il s’agit des personnes chargées de vérifier le
déroulement correct des contrôles inhérents à chaque fonction (auditeur interne,
inspecteur bancaire).

50 51

IFACI (1995), Opcit, p : 201. Siruguet J-L. et Koessler (1998), Opcit, p. 102.
29 Exemple : prenons le cas d’un audit du cycle crédit d’investissement,
l’auditeur interne identifie les principales tâches élémentaires et décide de classer
les tâches en fonction de leur nature, en cinq groupes : exécution, engagement,
validation, règlement et surveillance.

Tâches Réception demande de crédit Etude demande de crédit Autorisation du


crédit Déblocage des fonds Recouvrement des créances Nature de la tâche
Exécution Validation Engagement Règlement Validation × × × × M. Talal
Analyste crédit M. Nassim

Guichetier

Mlle. Kahina Chargée de la clientèle ×

De cette grille d’analyse des tâches, nous remarquons que M. Talal (analyste
crédit) est chargé à la fois d’étudier la demande de crédit (fonction de validation)
et d’autoriser le crédit si son avis est favorable (fonction d’engagement). Ce
cumul des fonctions laisse entrevoir le risque d’escroquerie en connivence avec
un client demandeur de crédit. En effet, l’analyste crédit peut s’entendre avec le
client pour donner un avis favorable et autoriser le crédit. En contre partie, le
client ne rembourse pas son dû (créance irrécupérable pour la banque) et
partage l’argent du prêt avec l’analyste crédit. L’auditeur interne proposerait de
séparer les deux tâches incompatibles ou bien d’imposer un contrôle
hiérarchique des autorisations de crédit (signature du chef d’agence en guise
d’autorisation). 1.4.6. Le diagramme de circulation : « Le diagramme de
circulation (flow-chart en anglais) est un schéma que l’auditeur interne dresse
pour étudier : (1) L’organisation du traitement des documents afférents à une
chaîne ou une catégories d’opérations, (2) la validité et l’efficacité du contrôle
interne et (3) le mode d’enregistrement comptable des opérations. ».52 Le
diagramme de circulation est une technique de description des procédures. Il
présente la circulation des documents au sein de l’entreprise, depuis leur création
jusqu’à leur réception finale. Ceci permet à l’auditeur de savoir combien
d’exemplaires d’un document ont été créés ? Qui les réceptionnent ? Qu’en font-
ils ?...etc. Toutes ces questions posées permettent à leur tour d’identifier les
documents inutilisés, les absences de contrôle et les traitements redondants. Le
diagramme de circulation est une méthode qui permet de représenter
graphiquement les modes opératoires de l’entreprise. Cette méthode facilite la
compréhension des procédures de l’entreprise. Dans le flow chart, l’auditeur
représente les tâches effectuées, les documents utilisés, les intervenants et les
connexions entre les personnes et les services. 1.4.7. La piste d’audit : La piste
d’audit est un ensemble de procédures internes permettant : (1) de reconstituer
chronologiquement les évènements de gestion, (2) de justifier toute information
en remontant du document de synthèse à la source par un cheminement
ininterrompu et (3) de conserver tous les mouvements. 53 Il s’agit de remonter
les opérations en sens contraire, à partir d’un résultat pour en trouver l’origine.
Ceci implique : - que les pièces justificatives soient conservées et datées. - que des
procédures de sauvegarde informatiques soient mises en place. - que les traces
informatiques soient utilisables.

52 53

IFACI (1995), Opcit, p : 173. Renard J. (2004), Opcit, p : 363.