Vous êtes sur la page 1sur 68

Master 2 Direction Financière, Contrôle de Gestion et Audit Interne

METHODOLOGIE ET PRATIQUE DE L’AUDIT INTERNE

I.A.E Bordeaux

METHODOLOGIE DE L’AUDIT INTERNE

Comment préparer, mener et conclure les missions d’audit opérationnel

Ce séminaire reprend les concepts développés dans les ouvrages :

Memento d’Audit Interne – Dunod 2007

Audit interne et référentiels de risques Dunod 2010 2014

Guide d’audit des achats et des ventes – Eyrolls 2014

Il est en adéquation avec les Normes pour la Pratique Professionnelle de l’Audit Interne

PARTIE I – L’ENVIRONNEMENT DE L’AUDIT

CHAPITRE I – LE PERIMETRE D’INTERVENTION DE L’AUDIT

I. Le gouvernement d’entreprise.

Le Cadre de référence international des pratiques professionnelles de l’IIA donne une définition du gouvernement d’entreprise ou gouvernance :

« Dispositif comprenant les processus et les structures mis en place par le Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’organisation en vue de réaliser ses objectifs »

L’OCDE (Organisation de Cooperation et de Developpement econnomiques) quant a elle precise :

« Le gouvernement d’entreprise fait reference aux relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et aures parties prenantes. Il determine egalement la structure par laquelle sont definis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des resultats obtenus. »

II.Le management des risques

a. Le concept de risque

Il n’y a de risque que par rapport a l’atteinte d’un objectif ou plus precisement que par rapport a la consequence dommageable de ce risque quant a l’atteinte d’un objectif .

L’IIA et l’IFACI definissent le risque comme : « la possibilite que se produise un evenement susceptible d’avoir un impact sur la realisation des objectifs ».

Nous donnerons donc la definition suivante du concept de risque : « Le risque est un concept signifiant la possibite que la combinaison d’un evenement incertain et d’un mode de fonctionnement aleatoire ait pour consequence la non atteinte d’un objectif. »

Les facteurs de risque qui, combines a la survenance de ces evenements, vont ou ne vont pas entrainer de consequences dommageables, sont tous a rechercher dans l’organisation et le fonctionnement de l’entite auditee, c’est le role de l’auditeur.

Pour pallier les risques, nous allons prendre des mesures qui constituent des elements du dispositif de contrôle interne a mettre en place :

- Prevention pour eviter l’incendie : panneaux d’interdiction de manipuler des matieres inflammables a proximite de la salle, sensibilisation/formation du personnel concernee au risque incendie

- Detection pour s’apercevoir que l’incident redoutee est survenu malgre les mesures de prevention :

detecteurs de fumees et de chaleur

- Protection pour limiter les degats occasionnes par l’incendie : sprinklers et diffuseurs de gaz inertes, portes coupe-feu…A noter que s’assurer est une mesure de proterction : cela limite le cout des degats a la franchise.

: cela limite le cout des degats a la franchise. b. Le management des risques :

b. Le management des risques :

En matiere de management des risques, le modele COSO « ERM » (Committee Of Sponsoring Organizations of the Treadway Commission, « Enterprise Risk Management » dit COSO II (2005) constitue une reference inernantionale pour sa mise en œuvre.

Ce cadre de reference donne du management des risques d’une organisation, la definition suivante :

« Un processus, mis en œuvre par le Conseil d’Administration, la direction generale, le managmenet et l’ensemble des collaborateurs, pris en compte dans l’elaboration de la strategie de l’orgnaisation ainsi que dans toutes les activites et concu pour identifier les evenements potentiels pouvant affecter l’organisation et gerer les risques dans les limites de son appetence pour le risque afin de donner une assurance raisonnable quant a la realisation des objectifs de l’organisation. »

Ce modele est traditionnellement represente par un cube.

Face superieure du cube : les objectifs de l’organisation

- Objectifs strategiques : objectifs de niveau le plus eleve, lies a la strategie de l’organisation

- Objectifs operationnels : objectifs generaux concernant l’utilisation efficace et efficiente des ressources

- Objectifs de reporting : objectifs axees sur la fiabilite des informations financieres (externes et internes)

- Objectifs de conformite : objectifs visant a la conformite aux lois et reglements en vigueur.

visant a la conformite aux lois et reglements en vigueur.  Face avant du cube :

Face avant du cube : les composantes du management des risques

- Un environnement interne de contrôle qui constitue le fondement structurel du système de management des risques.

- Une indentification des évènements susceptibles d’affecter l’atteinte des objectifs de l’organisation.

-

Une evaluation des risque, c.a.d une appreciation quantitative de la probabilite d’occurrence et de l’impact de ces evenements

-

Un traitement des risques, c.a.d la decision qui doi etre prise suite a l’evaluation des risques

 

-

Des activites de contrôle : il s’agit des politiques et procedures mises en place qui permettent de s’assurer que les risques sont bien maitrises.

-

L’information

et la communication : les informations pertinentes sont identifiees, saisies et

communiquees

dans

un

format

et

dans

des

delais permettant a chacun de s’acquitter de ses

responsabilites

 

-

Le pilotage : il s’agit aussi bien des activites quotidiennes de contrôle de l’intervention des auditeurs

internes ou externes.

 

Enfin,

la

face

laterale

du

cube

(Filiale,

Unite

de

gestion,

Division,

Entreprise)

symbolise

le

caractere

multidimensionnel du management dees risques et la necessite de l’adapter a l’entite concernee.

c. Le contrôle interne :

Il est usuel de dire que le contrôle interne est un procede, mis en œuvre par les dirigeants et le personnel d’une organisation, a quelque niveau que ce soit, destine a leur donner en permanence une assurance raisonnable que :

-

Les operations sont realisees, securisees, optimisees et permettent ainsi a l’organisation d’atteindre ses objectifs de base, de performance, de rentabilite et de protection du patrimoine

-

Les informations financieres et operationnelles sont fiables, et les lois, les reglementations et les directives de l’organisation sont respectees.

d.

Le COSO I (1995):

 

Ce modele donne la definition suivante du contrôle interne :

« Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisatoin destine a fournir une assurance raisonnable quant a la realisation des objectifs suivants :

- Realisation et optimisation des operations

- Fiabilite des informations

- Respect des reglementations

Le contrôle interne est traditionnellement schematise sous la forme d’une pyramide a 5 composantes :

- Environnement de contrôle

- Evaluation des risques

- Activites de contrôle

- Information et communication

- Pilotage

Chacune de ces composantes se declinant ensuite en un certain nombre d’items.

Bien que le modele COSO I concerne le contrôle interne et le COSO II le management des risques, les 2 cadres de references sont complementaires :

- La composante « Evaluation des risques » du COSO I est declinee dans le COSO II en 4 items qui precisent cette notion (la definition des obejctifs, l’identification des evenements, l’evaluation des risques, le traitement des risques) : face avant du cube.

- Une dimension « strategie » complete les 3 objectifs traditionnels du contrôle internes enonces dans la definition : face superieure du cube.

e. Focus sur le COSO actualise 2013 Les 5 composantes de la version initiale du
e. Focus sur le COSO actualise 2013 Les 5 composantes de la version initiale du

e. Focus sur le COSO actualise 2013

Les 5 composantes de la version initiale du COSO sont ici officiellement declinees en 17 principes completees par des points d’attention et des illustrations.

Les fondamentaux du referentiel COSO I n’ont pas changé. La definition du contrôle interne, les 3 objectifs poursuivis et les 5 composantes dans lesquelles se repartissent les dispositifs de contrôle a mettre en œuvre sont conserves. La principale nouveaute reside dans ces 17 principes et les points d’attention associes.

f. Le « Referentiel AMF »

Ce modele, publie debut 2007, est issu d’un travail realise par un groupe de place reunissant les principales instances competentes en matiere de contrôle des organisations dont l’IFACI. Il est en accord avec la LSF (loi de Securite Financiere), compatible avec le COSO et en phase avec les 4 e , 7 e et 8 e directives europeennes.

Laa aussi le contrôle interne est defini a travers 5 composantes de base, elles-memes se declinant ensuite en items detailles »

- Une organisation comportant une definition claire des responsabilites, disposant des ressources et des competences adequates et s’appuyant sur des systemes d’information, sur des procedures ou modes operatoires, des outils et des pratiques appropriees

- La diffusion en interne d’informations pertinentes, fiables , dont la connaissance permet a chacun

- La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet a chacun d’exercer ses responsabilites.

- Un système visant a recenser, analyser les principaux risques identifiables au regard des objectifs de la societe et a s’assurer de l’existence de procedures de gestion de ces risques.

- Des activites de contrôle proportionnees aux enjeux propres a chaque processus, et concues pour s’assurer que les messures necessaires sont prises en vue de maitriser les risques susceptibles d’affecter la realisation des objectifs.

- Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen regulier de sont fonctionnement.

g. Le COCO

La definition du contrôle interne est breve mais a y reflechir « tout est dit » :

« Elements de l’organisation, incluant :

- Ressources

- Systemes

- Procedes

- Culture

- Structure et taaches

…qui,mis ensemble, aident a atteindre les objectifs. »

Il exprime les principes suivants :

« La personne accomplit une taache en se fondant sur la comprehension du but de cette taache (l’objectif a atteindre) et en s’appuyant sur sa capacite (informations, ressources, fournitures te competences). Pour bien executer la taache au fil du temps, la personne doit s’engager. Elle fait le suivi de sa performance et surveille l’environnement externe pour apprendre a mieux accomplir la taache et a identifier les changements requis. Cela s’applique egalement a une equipe ou a un groupe de travail. Dans toute organisation, le but, l’engagement, la capacite, le suivi et l’apprentissage sont les elements essentiels du contrôle. »

Ces quatres etapes, qui donnent une vision dynamique du contrôle interne, sont ensuite declinees en 20 criteres .

 L’essentiel :  La gouvernance (conseil, direction generale…) et ses differentes declinaisons (comites des

L’essentiel :

La gouvernance (conseil, direction generale…) et ses differentes declinaisons (comites des risques, d’audit et des comptes, des remunerations…) definissent les objectifs strategiques de l’organisation et les moyens necessaires pour les atteindre, veillent au bon deploiement de ces moyens et enfin s’assurent que les resultats obtenus sont conformes aux objectifs initiaux.

Le management des risques identifie, classe, hierarchise les evenments potentiels (plutôt d’origine externe) qui, combines a des facteurs de risques (defaillances plutôt d’origine interne), peuvent entraver l’atteinte des objectifs de l’organisation. Il a egalement en charge la definition des reponses a apporter aux situations a risques identifiees.

La mise en place de dispositifs de contrôle interne adaptés est, parmi les reponses possibles a une situation a risques, la solution la plus frequemment retenue. Le contrôle interne permet de maitriser, de facon raisonnable, les risques de non atteinte des objectifs de l’organisation.

CHAPITRE II LE POSITIONNEMENT DE L’ACTIVITE D’AUDIT

I. La definition de l’audit interne et son evolution :

Profession creatrice de la valeur ajoute, l’audit est un partenaire de la direction generale et du management notamment vis-a-vis de la maiitrise des operations de l’organisation et la gestion des risques.

La definition francaise de l’audit interne date du 21 mars 2000 et a été approuvee par le conseil d’administration de l’IFACI – Institut francais de l’audit et du contrôle internes. Il est dit :

« L’AI est une activite independante et objective qui donne a une organisation une assurance sur le degre de maiitrise de ses operations, lui apporte ses conseils pour les ameliorer, et contribue a créer de la valeur ajoutee. Il aide cette organisation a atteindre ses objectifs en evaluant, par une approche systematique et methodique, ses processus de management des risques, de contrôle, et de gouvernment d’entreprise, et en faisant des propositions pour renforcer leur efficacite. »

Il est a noter que la definition ne comporte pas les motes procedures, regles, ni controler, verifier…Dans la definition le mot « contrôle » n’est pas ce que l’audit fait mais ce qu’il evalue et améliore.

L’audit interne decele les problemes et formule des recommandations aux directions et aux auditees qui leur apportent une solution. Son role n’est pas de denoncer ou d’accuser,mais d’arbirer « les regles du jeu » du groupe et surtout de faire pratiquer les « 3R » : Rechercher, Reconnaitre et Remedier aux faiblesses de l’organisation. Il l’aide a anticiper les problemes et se place dans une demarche vertueuse d’amelioration continue.

Définitions successives de l’Audit Interne :  1960 : c’est (quelqu’un qui a) les yeux

Définitions successives de l’Audit Interne :

1960 : c’est (quelqu’un qui a) les yeux et les oreilles de la Direction (inspection).

1968 : consiste à faire ce que ferait un DG pour évaluer le fonctionnement de son unité s’il en avait le temps et s’il savait comment s’y prendre (évaluation)

1980 : doit être une association manager-auditeur pour résoudre les problèmes (conseil) :

- L’auditeur est celui qui détecte et identifie les problèmes

- L’audité est celui qui leur apporte une solution

1990 : rendre les responsables légitimement fiers (to make management look good) (motivation)

1999 : aider tous les responsables a systématiquement pratiquer « les 3 R » : Rechercher, Reconnaitre et Remédier aux faiblesses de leur organisation (améliorer son efficacité)

II. Une Profession qui s’appuie sur des normes

Le metier d’auditeur ne s’improvise pas et s’appuie sur des principes normatifs internationaux.

Le Cadre de reference international (Professional Practices Framework) sur les pratiques professionnelles de l’AI, publie au 2009 par l’IIA, est constituee, out la definition officielle de l’audit :

D’un code de deontologie qui precise aux auditeurs les valeurs a respecter dans l’accomplissement de leur activite et s’appuie sur 4 principes fondamentaux pertinents pour une pratique « ethique » de l’AI :

- L’integrite a la base de la confiance et la credibilite du jugement de l’auditeur

- L’objectivite qui permet d’evaluer equitablement tous les elements pertinents examines relatifs au domaine auditee et de ne pas se laisser influencer dans son jugement

- La confidentialite concernant les informations recues et leurs divulgation

- La competence requise pour la realisation des travaux d’audit

Des normes pour la pratique professionnelle. Ces normes qui constituent des exigences minimales sont subdivisees en « normes de qualification » (les series 1000) de l’audit et des auditeurs et des « normes de fonctionnement » (les series 2000). Elles sont les plus souvent completees de « normes de mise en œuvre » pour les missions d’assurance et celles de conseil que chaque institut national, dont l’IFACI, prodigue a ses membres

 Des modalites pratiques d’applicati ons (MPAs) qui expliquent les normes et evoluent regulierement afin

Des modalites pratiques d’applications (MPAs) qui expliquent les normes et evoluent regulierement afin de promouvoir les meilleures pratiques et tenir compte de l’actualite economique et reglementaire

De guides pratiques et prises de position : travaux de recherches, publications, seminaires, conferences…

III. Les fonctions voisines de l’Audit.

Au fur et a mesure de l’evolution des structures manageriales des organisations, diverses fonctions sont apparues avec chacune ses specificites, mais concourant toutes aux phase de planification, de mise en œuvre et de contrôle des activites d’une organisation.

Nous citerons parmis les missions connexes a l’activite d’AI :

Audit Externe : on assimle souvent l’audite externe au commissariat aux comptes (CAC). SA mission concerne la certification des etats financiers elabores par l’organisation. Dans la phase intermediaire de sa mission, dite de controles interimaires, le CAC est amene a apprecier, comme l’auditeur interne, la qualite du système de contrôle interne. Mais deux aspects distinguent fondamentalement leurs missions respectives. D’une part le CAC se preoccupe de l adimension de contrôle interne principalement et presque exclusivement au niveau du perimetre comptable et financier. Il ne se preoccupe que des processus qui impactent directement les etats financiers et n’apprehende pas les autres natures de risques. D’autre part, lors de ces controles interimaires, l’objectif du cAC est avant tou d’identifier les faiblesses du contgrole interne afin d’orienter ces travaux ulterieurs lors du contrôle final. Il n’a pas, a ce nievau, un veritable role de conseil en matire de contrôle interne. Dans sa mission premiere, il n’a pas a formuler de recommandations quant a son amelioration.

Le contrôle de gestion : la distinction ave le contorle de gestion est la plus necessaire car ces deux fonctions interviennent dans le meme domaine, la gestion de l’entreprise et son amelioraton, en fonctionnels et non en operationnels, et en toute independance. Elles se distinguent par leurs modes operatoires.

La mission de l’audit interne et celle du contrôle de gestion se completent et s’epaulent mutuellement :

- Le contrôle de gestion peut demander un arret sur image, un zoom, une vue detaillee et suure a l’audit interne.

- L’audit interne peut s’appuyer sur la connaissance du contrôle de gestion pour elaborer le plan d’audit.

Le risk management : l’audit interne et le risk management se completent parfaitement lorsque les roles respoectifs ont bien definis, compris et admis par les deux parties. Les risk managers sont les « experts » internes du risque. Ils les identifient, les classifient, les evaluent et enfin elaborent les traitements a prevoir « acceptation du risque, rcours a l’assurance, evolution du dispositif de maiitrise des risques »… Le risk managmenet se situe en amont de l’activite d’audit interne, notamment dans la contribution qu’il peut apporter a l’elaboration du programme annuel d’audit par l’etablissment d’une cartographie des Risques, comme nous le verrons ulterieurement.

La qualite : Si nous nous cantonnons plus particulieremnt au système de managmeent de la qualitee (SMQ) relatif aux normes ISO 9000, sa premiere version date de 1987. Depuis, de nombreuses actualisations sont venues ameliorer considerablement le concept qualite. L’ambiguiite ne se situe pas entre l’audit interne et la qualite mais entre l’audit interne et l’audit qualite. Si les finalites de ces deux metiers sont les meems, les modes operatoires, l’organisation des missions presentent des differences significatives.

La fonction contrôle interne : pendant des decennies la pensee dominante, en matire de contrôle interne, preconisait de ne pas créer une fonction specifique en charge de la conception et de la mise en œuvre des dispositifs appropriees de controlee interne et d’en laisser la charge aux reponsalbles operationnels et fonctionnels. Cependant depuis l’avenement de nouvelles obligations legales, notamment la loi Sarbanes-Oxley aux Etats-Unis et a un degre moindre la loi de Securite financiere en France, certaines des societes concernees se sont organisees differemment. Apres avoir fait appel a des cabinets externes lors de la phase d’implementation de ces nouvelles obligations, elles se sont dotees de vertitables services de contrôle interne dont le role principal est de veiller a la « bonne maintenance » du système et a son amelioration.

Les consultants externes « experts » du management des risques, du contrôle interne et de la gouvernance d’entreprise : depuis le debut des annees 2000 les grands cabinets d’audit externe ont developpe, parallelement a leur activite traditionnelle de commissariat aux comptes, des prestations de services dans le domaine du managmenet des risques, du contrôle interne et plus generalement de la Gouvernance d’entreprise. Au depart, la mise en œuvre en a été indeniablement le fiat declencheur. Aujourd’hui on peut considerer que bon nombre des entreprise concernees par ces nouvelles obligations legales sont « en regime etabli ».

Néanmoins ces cabinets interviennent toujours dans les organisations dans ces memes domaines. Leurs contributions se situent a plusieurs niveaux :

- Pour des organisations de taille moyenne non pourvues de service d’audit interne, ils peuvent realiser en tout ou partie de veritables missions « d’audit interne ». On parlera alors d’externalisation de l’activite d’audit interne.

- Pour des plus grandes organisations, dotees d’un service d’audit interne, la direction de l’audit peut souhaiter adjoindre a une de ses equipes d’audit un specialiste « expert d’un domaine precis » dont il ne dispose pas dans son effectif.

- Au niveau du management des risques, ils peuvent intervenir dans la realisation d’une cartographie des risques

- En fonction des evolutions legislatives et/ou reglementaires, ils peuvent etre amenes a traiter des problemes divers en matiere de gouvernance d’entreprise.

Les « experts/organisateurs » internes : dans toutes les grandes organisations, il existe des specialistes de tel ou tel domaine de gestion qui, de par l’experience acquise, detiennent un savoir-faire indiscutable. Qu’ils fassent partie d’un service ad hoc (anciennement denomme « organisation ») ou qu’ils soient attaches a des services divers et affectees ponctuellement a des missions de reorganisation, ils n’en constituent pas moins un rapport interne interessant. Lorsque les auditeurs internes ont fini leur mission et preconisee leurs recommandations, les responsables auditees peuvent trouver la une aide precieuse pour la mise en œuvre des plans d’action.

L’essentiel :

- Les attentes des parties prenantes a l’activie d’audit interne sont forts. Qu’il s’agisse des directions generales, des presidents de comites d’audit, des membres de conseils d’administration ou encore des directeurs financier, tous ces « clients » de l’audit interne souhaitent que son perimetre d’intervent integre les thematiques liees a la strategie de l’entreprise en se focalisant sur ses enjeux et risques cruciaux.

- L’audit intern doit participer a l’organisation des trois lignes de maiitrise des risques (managers et responsalbes operationnels, fonctions support, audit interne). Pour ce faire, l’audit interne doit encore plus se professionnaliser afin d’’accroiitre sa valeur ajoutee.

- La profession d’audit interne doit etre encadree par des normes. Le Cadre de Refernece International des Pratiques Professionnelles en est le garant.

CHAPITRE III – L’ORGANISATION DE L’ACTIVITE D’AUDIT

I. Le rattachement de l’Audit Interne :

L’audit interne doit « etre rattache a une personne ou instance dont l’autorite lui assure le plus large domaine d’investigations, la liberte de son opinion, et la consideration adequate de ses recommandations » (Louis Vaurs, ex-delegue general de l’IFACI)

Pour repondre a l’exigence d’independance, le service d’audit doit etre independant (cf normes 1100 1110 1111 2020)

Le rattachement hierarchique a la direction generale ou au president du conseil d’administration semble correspondre a ces specifications. Le rattachement a tout autre directeur menace l’independance de l’audit interne.

Comment sortir de ce delemme ? Par un double rattachement : quotidien a un directeur et fonctionnel a un Comite d’audit (ou ce qui en tient lieu).

II. La Charte de l’audit interne :

Pour jouer pleinement leur role et contribuer ainsi a l’amelioration de la performance d’un groupe, les equipes d’audit doivent respecter une ethique et informer l’ensemble des parties prenantes sur leurs objectifs et leurs methodes.

Les Normes 1000 et 1010 precisent que la mission, les pouvoirs et les responsabilites de l’audit interne doivent etre formellement definis dans une charte d’audit interne.

La charte doint garantir les conditions d’independance de la fonction et proteger les auditees contre tout exces

Elle couvre notamment :

La nature des missions couvertes

La programmation des missions et le role que peut avoir l’encadrement (la saisine de l’audit interne), ainsi que la competence de l’audit interne.

Le deroulement d’une mission, vu des auditees

Le processus de validation des conclusions, la diffusion des rapports, la definition (donc la limitation) du droit de reponse

Les responsabilites : les avis et recommandations de l’audit interne ne dechargent en aucune facon les personnes de l’organisation auditees des resonsabilites qui leur sont assignees

Le processus de suivi des recommandations

Les points majeurs de deontologie :

- auditeurs : independance (l’auditeur n’a ni responsabilite, actuelle ou recente, ni autorite, actuelle ou prochaine, a l’egard des activites qu’il audite), droit d’acces, devoir de reserve, evaluation des systemes et non des personnes

- auditees : devoir de commuinication, droit a la protection (validation avant diffusion, dossiers d’audit proteges)

La charge
La charge

fournit un support de communication de l’audit interne vers ses partenaires.

A.

Il n’y a que 2 types d’audit :

1.

Audit de « conformité » ou de « régularité » quand l’audit a pour finalité de contrôler l’application des lois, normes, procédures : quand le référentiel est connu et reconnu : le mot clé est alors « contrôler »

2.

Audit de « pertinence » :

« d’efficacité » quand l’audit a pour finalité d’évaluer la pertinence de l’organisation et l’efficacité du fonctionnement

« de management » quand l’audit a pour finalité d’évaluer la pertinence des objectifs et la cohérence des opérations et programmes avec les politiques et la stratégie de l’entreprise quand le référentiel est à définir ou à revoir : le mot clé est alors « évaluer »

B.

La démarche de l’audit interne :

1. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser (« référentiel de contrôle interne »)

2. Comparer el réel au référentiel

3. En cas d’écart, en rechercher les causes et conséquences puis élaborer les recommandations pour faire cesser ces causes et conséquences.

4. Rendre compte à la DG

5. Suivre la mise en œuvre des décisions prises par le management en réponse aux recommandations.

12
12
C. Vu des audités , l’auditeur est… jeune cadre du Siege, qui critique notre fonctionnement

C. Vu des audités, l’auditeur est…

jeune cadre du Siege, qui critique notre fonctionnement (organisation et comportement) et prétend le

changer, sans en assumer le poids quotidien ni avoir l’autorité pour le décréter (et son rapport remonte jusqu’à la

DG) :

un

1. Un cadre du Siege :

Un élément de la technostructure, un centralisateur

Qu’est-ce qu’il y connait ? les gens du siège…

2. Un jeune analyste bien forme :

Face à des responsables murs, pragmatiques, intuitifs

Sur le papier, peut-être…

3. La critique :

C’est pour se mettre en valeur ?

Je me croyais meilleur que cas !

Comment ma hiérarchie va-t-elle réagir ? et il y a toujours des fuites !

Maintenant que c’est dit/écrit…

4. Le changement :

Saurai-je faire ? mes subordonnes sont-ils capables ?

Ça en vaut vraiment la peine ? ça ne marchait pas si mal !

D. L’Audi Interne, médecin de l’entreprise :

L’audit interne (intervient) est mandaté par la Direction pour aller examiner…et établir :

1. Un diagnostic attestant de son plus ou moins bon fonctionnement

2. Un pronostic alertant les responsables et la Direction

3. Une thérapeutique visant :

La sécurité des actifs et la fiabilité des informations

L’efficacité des opérations et la compétitivité de l’organisation.

Attention : aucun médecin ne guérit ses patients : le médecin prescrit des remèdes et rédige une ordonnance, l’auditeur prescrit des recommandations et rédige un rapport.

E. Quel médecin ?

Le vétérinaire qui examine la bête pour le propriétaire (= les actionnaires) ? Le pédiatre qui rédige son ordonnance pour les parents (= la Direction) ?

L’Audit Interne ne s’adresse plus à l’enfant « corrige et tais-toi »

Mais à l’adulte « nous pouvons faire mieux, discutons comment » Car Taylor est mort

faire mieux, discutons comment » Car Taylor est mort  Communiquer à l’audite de manière simple

Communiquer à l’audite de manière simple et compréhensible.

CHAPITRE IV. COMPRENDRE LA NOTION DE RISQUE, LES SPECIFICITES DU METIER D’AUDITEUR INTERNE

ET SON

ROLE PAR RAPPORT AU CONTROLE INTERNE :

INTERNE ET SON ROLE PAR RAPPORT AU CONTROLE INTERNE : I. La démarche de l’audit interne

I. La démarche de l’audit interne :

1. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser (« référentiel de contrôle interne »)

2. Comparer le réel au référentiel

3. En cas d’écart en rechercher les causes et conséquences puis élaborer les recommandations pour faire cesser ces causes et conséquences

4. Rendre compte à la DG

5. Suivre la mise en œuvre des décisions prises par le management en réponse aux recommandations

II. La finalité d’une mission : « vendre » des points d’audit (améliorer l’efficacité des processus de management des risques, de contrôle et de gouvernement d’entreprise)

des risques, de contrôle et de gouvernement d’entreprise) III. La démarche d’une mission : La Phase

III. La démarche d’une mission :

La Phase d’Etude (Normes : planification 2200) pour :

Découvrir le sujet et/ou l’entité à auditer

Définir ce qu’il faudra vérifier

La Phase de Vérification (Normes : réalisation 2300) pour :

Programmer et spécifier les vérifications

Vérifier, évaluer, mesurer

Analyser, conclure, valider et prescrire

La Phase de Conclusion (Normes : communication 2400) pour :

Valider l’ensemble et informer (diffusion d’un rapport)

Obtenir des actions et dresser un bilan des progrès accomplis

A. La Phase d’Etude (Normes : planification)

Ordre de Mission + Explication

Prise de connaissance du sujet + prise de conscience de ses risques habituels (« analyse des risques ») et

bonnes pratiques (« décomposition en objets auditables ») pour ensuite discuter « intelligemment » avec les

audites

Tableau des Risques Référentiel

Installation de l’équipe

Identification des risques spécifiques à l’organisation auditée (« discernement des risques »), sur le terrain,

pour sélectionner les vérifications à mener

Choix des objectifs

B. La Phase de Vérification (Normes : réalisation)

Tableau des Risques Forces et Faiblesses Apparentes

Rapport d’Orientation : Recadrage

Détermination des vérifications à effectuer Programme de Vérifications

Estimation des charges (Budget), Affectation des auditeurs aux taches (Allocation), élaboration d’un planning

GANTT (Planning). Puis Suivi

et ajustements

BAP S

Spécification d’une tâche du PdeV, puis exécution et compte rendu (résultats et conclusion) sur ce point

Feuille de Couverture

Exploitation de ce qu’on a constaté :

- Transformation du constat en trouvaille : constats + Causes + Conséquences

- Formulation du Problème, pour communiquer avec l’audité concerné

- Elaboration de la Recommandation avec lui

FAR + Validation

C. La Phase de Conclusion (Normes : communication)

Structuration des conclusions et du futur rapport

Réorganisation des FAR en un projet de rapport puis validation

Modifications et diffusion du rapport définitif

Obtention des plans d’actions des audités en réponse aux recommandations, évaluation et surveillance des

Ossature du Rapport

Projet et Réunion de Validation

Rapport

actions prévues

Suivi

CHAPITRE V. LA CONDUITE D’UNE MISSION D’AUDIT INTERNE : PHASE D’ETUDE I. STOP ! de

CHAPITRE V. LA CONDUITE D’UNE MISSION D’AUDIT INTERNE : PHASE D’ETUDE

I.

STOP !

de quoi s’agit-il ?

Rencontrer le demandeur pour comprendre ses attentes (si elles n’ont pas été clairement décrites)

Recueillir une première idée sur l’activité à auditer : lectures + documentation + interview des Directions hiérarchiques et fonctionnelles :

Importance et organisation Finalités, objectifs, performances, frontières

Rencontrer le demandeur pour valider ses attentes

Redéfinir la mission

Téléphoner au Directeur de site / fonction

Rédiger l’Ordre de Mission, le faire signer, le diffuser

 Téléphoner au Directeur de site / fonction  Rédiger l’Ordre de Mission, le faire signer,

A. L’ordre de mission, ou big bang initial (droit d’accès):

Principe déontologique : l’AI ne décide pas lui-même

Mandat de la Direction : droit d’accès

Prévient les audités par la voie hiérarchique leur permet de s’organiser

Précise les entités concernées, sujet, raison, dates…mais pas trop !

Accrédite l’équipe (noms, n° tel…)

Ne répète pas la charte (rôle AI, place, déroulement)

Ne remplace pas l’installation (présentation, déroulement)

remplace pas l’installation (présentation, déroulement) 1. Une analyse des risques pour élaborer le programme de

1. Une analyse des risques pour élaborer le programme de vérification et le mettre en œuvre pour ensuite :

- Confirmer les Forces critiques

- Rectifier les faiblesses significatives

Reconnaissance TaRi Référentiel ~~~~~~~~~aller sur(voler) le terrain~~~~~~~~

Discernement des Risques TaRi vers TFfA Choix des Objectifs Rd’O

2. Je dois auditer l’activité A… :

- Comment vais-je m’y prendre ?

- Par où commencer ?

- Que faire ensuite ?

3. Il est naturel de se précipiter sur… :

L’activité :

- Natures et quantités + évolution sur n années

- Comment savoir si bon / pas bon ?

L’organisation :

- Organigramme (à jour ? réel ?), définitions de fonction (existent ? concrètes ? c’est bien comme ça ?)

- Etablir des diagrammes de circulation. Et ensuite ?

Les procédures :

- Les

ai-je

toutes ?

implicitement ?

Dans

leur

dernière

version ?

Version

actuelle

ou

modifiée

oralement,

voire

- Comment m’assurer que la procédure est bonne ? Puis qu’en faire ?

Des dossiers :

- Lesquels (gros/fréquents, aléatoire/orienté) et combien ?

- Suis-je capable de répéter tous les Δ/procédures ?

- Ceux qui ne respectent pas une procédure : et alors ?

- Et si tous les respectent : unité sous contrôle et efficace, ou disciplinée et sur-contrôlée ?

B. L’étape de Reconnaissance : un corset méthodologique serre !

Prise de connaissance du domaine audité

Prise de conscience des risques et opportunités d’améliorations habituelles

1. Plan d’approche :

- programme : domaines à examiner, services ou sites à visiter, interviews à réaliser, informations à recueillir, premiers points critiques a bien comprendre

- planning : date de la fin de la Phase d’Etude

2. L’étape de Reconnaissance :

prise de connaissance :

-schéma d’examen de l’activité -analyse Economique et Financière -volumes et Types de transactions

prise de conscience

Risques

Trouvez les risques ! (et les bonnes pratiques pour les maitriser)

les risques ! (et les bonnes pratiques pour les maitriser) C. Les techniques de l’auditeur :

C. Les techniques de l’auditeur :

1. Approches globales :

Analyse Economique et Financière

Volume et Types de Transactions

Diagrammes de Circulation (flow charts)

Grille de séparations des taches

2. Approches par questions :

Interviews

Questionnaires QCM-QO (à Choix Multiples Ouverts)

Questionnaires QCI (de Contrôle Interne)

3. Approches par vérifications :

Piste d’Audit (audit trail)

Observations Physiques

Rapprochements et Reconstitutions

Interrogations de Fichiers Informatiques

Sondages Statistiques

4. Approches par TIC :

ROK

D. Analyse Economique et Financière : (1/2)

1. OBJECTIFS - quantifier l’activité pour :

Situer le domaine

Comprendre son évolution

Situer son contexte

Mesurer les enjeux

Avoir des ordres de grandeur

Connaitre les chiffres significatifs

Déterminer les seuils de matérialité

Détecter :

-Certains risques globaux -Des ratios financiers dangereux -Des évolutions inquiétantes

2. IDEES DIRECTRICES :

Repérer les activités concernées : produits, marches, fonctions…

Les classer par ordre d’importance : contribution, quote-part…

Dresser l’évolution historique

Apprécier la cohérence de l’ensemble

Se faire une première opinion

E. L’analyse économique et financière: (2/2)

1. « A quoi ça sert ? » :

L’analyse économique et financière est un ensemble de travaux primaires d’analyse sur les données chiffrées (principalement monétaires) de la fonction ou entité auditée, qui permet de :

Situer l’entité auditée et comprendre son évolution et son contexte

Situer l’importance du sujet demande par le commanditaire à l’audit (enjeux et rôle stratégique pour l’organisation de tutelle)

Situer les ordres de grandeur, connaitre les chiffres significatifs, déterminer les seuils de matérialité.

Elle peut permettre de détecter certains risques globaux : ratios financiers et/ou évolutions préoccupantes.

2. « Quand l’utilise-t-on ? » :

L’analyse économique et financière est une technique utilisée en phase d’étude (initialisation de la mission et examen de l’activité et élaboration d’un référentiel de risques)

3. « Comment l’utilise-t-on ? et qui l’utilise ? » :

Pour une entité on se préoccupera plus particulièrement de :

l’analyse financière sur 3 à 5 ans

l’étude des budgets N et N+ 1

l’analyse des plans de financement et Besoins en Fonds de Roulement

le calcul du taux de rotation des stocks

l’analyse ABC des clients et des fournisseurs

l’analyse de rentabilité

Pour un processus ou une fonction :

fonction commerciale ou achats : nombre d’offres (ou de consultations) établies, et/ou ayant fait l’objet d’une commande

gestion de la production : nombre de lancements en fabrication par rapport au nombre de commandes clients, indicateurs de performance et de service

flux administratifs : volume et types de transactions

Avantages / Inconvénients (limites) de l’Outil :

L’analyse économique et financière permet d’apprécier les enjeux financiers et stratégiques des différents aspects de la thématique auditée (groupe, filiales, agences, usines, processus, …) L’auditeur peut ainsi orienter ses travaux vers les éléments les plus significatifs en accord avec les attentes du demandeur. La nature et le nombre d’indicateurs et de rations étant inépuisable, l’auditeur doit veiller à ne se préoccuper que de ceux pertinents au regard de la problématique auditée. L’exploitation de ces données est d’autant plus intéressante si elles peuvent être comparées avec les mêmes valeurs d’autres entités semblables (autres filiales du groupe, autres agences,…)

F. Volume et Types de Transactions : (1/2)

1. OBJECTIFS : quantifier l’organisation pour :

Situer les enjeux

Relativiser les masses

Comprendre l’organisation

Eclairer le fonctionnement

Détecter des anomalies

2. IDEES DIRECTRICES :

Comparer (dans l’espace et le temps)

Corréler (lien de dépendance logique)

Repérer :

- Les variations anormales

- Les différences significatives

- Les évolutions illogiques

Expliquer

G. Les volumes et types de transactions : (2/2)

1. « A quoi ça sert ? » L’approche par les Volumes et Types de Transactions permet de situer les enjeux du sujet audite par l’analyse de données statistiques (globales, non comptables, exprimées souvent par des quantités et non des valeurs monétaires) Il s’agit par exemple du nombre de : commandes fournisseurs, factures clients, articles en stock, transactions informatiques, écritures comptables…

Ou encore des ratios : nombre de commandes par personne, taille moyenne d’une commande, nombre d’avoirs par facture…

Alors que l’analyse économique et financière quantifie l’entité ou la fonction auditée, l’approche « Volumes et types de transactions » quantifie son organisation. Par exemple un même chiffre d’affaires peut être réalisé avec « beaucoup de petites commandes » ou avec « un nombre limité de grosses affaires ». Les deux

organisations concernées seront très différents (effectifs, systèmes d’informations

associes. L’audit doit évidemment tenir compte des spécificités organisationnelles du domaine audite.

),

ainsi que les risques

2. Quand l’utilise-t-on ? » Comme pour l’analyse économique et financière, l’approche « Volumes et types de transactions » est utilisée en phase d’études (initialisation de la mission et examen de l’activité et élaboration d’un référentiel de risque)

3. « Comment l’utilise-t-on ? et Qui l’utilise ? » L’auditeur peut utiliser diverses méthodes :

Les comparaisons : chronologiques (évolution d’une donnée au fil du temps), synoptiques (entre entités semblables d’une même organisation ou entre organisations d’un même secteur d’activité)

Les corrélations : étude des grandeurs observées qui ont un lien de dépendance logique.

Cette technique d’audit permet à l’auditeur de repérer :

- Des variations anormales (soudaines et de forte amplitude)

- Des différences significatives entre entités et/ou organisations comparées

- Des évolutions contraires aux tendances observées dans le domaine

Ces approches ne font que révéler le phénomène, les anomalies constatées devront être explicitées dans la suite de la mission.

4. Avantages / Inconvénients (limites) de l’Outil :

Les sources d’informations nécessaires aux comparaisons ne sont pas toujours connues et disponibles pour les auditeurs. Par ailleurs s’agissant principalement des données extra comptables, l’auditeur doit rester prudent et s’assurer de leur fiabilité. Enfin, il est nécessaire de définir des seuils de signification au-delà des quels une évolution sera qualifiée d’anormale.

II. L’approche par les Risques / Risk Based Auding :

Découper le sujet de la mission en éléments plus simples à visualiser

Pour chacun, déterminer ses Finalités (Objectifs CI) et ses risques (scenarios d’empêchement, points de contrôles, impact)

Puis les modalités de fonctionnement (bonnes pratiques du CI) requises pour maitriser ces risques et atteindre ces objectifs :

- L’auditeur pourra déterminer si les caractéristiques de fonctionnement réelles permettent d’atteindre les objectifs et d’éviter les risques, ou ne le permettent pas.

- L’audité comprendra le référentiel de l’auditeur (et l’aura souvent aidé à le compléter). Cela fournira un référentiel agrée / validé, car focalisé sur les buts, et non sur les moyens et méthodes / procédures.

un référentiel agrée / validé, car focalisé sur les buts, et non sur les moyens et
III. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser : 23
III. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser : 23

III. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser :

III. Elaborer un référentiel de risques et de bonnes pratiques pour les maitriser : 23
IV. Comparaison des bonnes pratiques aux procedures : V. Quand découpe-t-on ainsi en Objets Auditables
IV. Comparaison des bonnes pratiques aux procedures : V. Quand découpe-t-on ainsi en Objets Auditables

IV. Comparaison des bonnes pratiques aux procedures :

IV. Comparaison des bonnes pratiques aux procedures : V. Quand découpe-t-on ainsi en Objets Auditables ?

V. Quand découpe-t-on ainsi en Objets Auditables ? :

Dans un SAI établi et important, les « trois quarts » des missions sont récurrentes (le sujet est connu, l’entité peut être nouvelle) : on part du guide d’audit du sujet.

Le découpage en Objets Auditables n’est nécessaire que :

- Pour les nouvelles missions (même si elles sont confiées à une personne ayant l’expérience du sujet : un ancien professionnel de la chose)

- Pour rénover un programme de travail

Il faut alors élaborer un référentiel de risques et de bonnes pratiques pour les maitriser : plusieurs manières de faire :

1. Le TaRi s’élabore colonne par colonne :

de faire : 1. Le TaRi s’élabore colonne par colonne : 2. Le TaRi comporte des

2. Le TaRi comporte des critères de résultats :

: 2. Le TaRi comporte des critères de résultats : 3. Définir les points de contrôle

3. Définir les points de contrôle observables du stade (objet à contrôler) :

5 critères de contrôle (métrique binaire) Ex : Stade Réception des achats

Exactitude : Réceptionner la prestation ou la marchandise conformément aux termes de la commande et à la réalité

Exhaustivité (tout et sans doublon) : Réceptionner toutes les livraisons ou prestations commandées.

Autorisation (Habilitation, Preuves, Obligations légales) : Valider la réception par une personne habilitée

Délais : Réceptionner dès la mise à disposition de la marchandise ou de la réalisation de la prestation

Suivi : Ca produit l’effet attendu !

la prestation  Suivi : Ca produit l’effet attendu ! 4. Identifier les impacts correspondants :

4. Identifier les impacts correspondants :

Rechercher les conséquences induites par un critère de contrôle non satisfait : métrique quantitative ou fondamentale

Exemple : Stade Réception des achats :

Réceptionner une prestation ou une marchandise non réelle ou en non-conformité aux termes de la commande peut induire une fraude ou l’insatisfaction du client final ainsi qu’un surcoût supporté par l’entreprise

Ne pas réceptionner toutes les livraisons/prestations commandées peut induire des litiges avec les fournisseurs et une mauvaise évaluation des stocks.

Laisser valider la réception par une personne non habilitée favorise la collusion et la fraude

Réceptionner tardivement peut générer des litiges avec les fournisseurs et une comptabilité fausse (sous- estimation des charges à payer)

Quels problèmes risque-t-on de rencontrer, et qu’entraineraient-ils ?

5. Lister les Modalités de fonctionnement: Rechercher les Bonnes Pratiques (éléments constitutifs du dispositif de

5. Lister les Modalités de fonctionnement:

Rechercher les Bonnes Pratiques (éléments constitutifs du dispositif de CI) qui assurent a priori que les risques sont couverts :

Les meilleures ressources (humaines, matérielles, immatérielles) organisées au mieux

Bonnes pratiques dictées par les sachant (experts)

Bonnes pratiques observées par benchmark

Bonnes pratiques relevant des règles de « bon sens »

Ces bonnes pratiques (ressources) doivent être : Adoptées (existants) Adaptées Disponibles Performance Métrique qualitative

Exemple : Stade Réception des achats :

Risque de collusion et fraude couverts si :

- Délégation de pouvoirs (bonne pratique Adoptée, ressource existante)

- Délégation respectant le principe de séparation de fonction (Adaptée)

- Procédure de subdélégation en cas d’absence du délégué (Disponible)

- La subdélégation n’est pas « le chef en cas d’absence » (Performance)

du délégué ( Disponible ) - La subdélégation n’est pas « le chef en cas d’absence

CHAPITRE VI. DISCERNER LES RISQUES

I. Les techniques de l’auditeur : A. Approches globales : 29
I. Les techniques de l’auditeur : A. Approches globales : 29
I. Les techniques de l’auditeur : A. Approches globales : 29

I. Les techniques de l’auditeur :

A. Approches globales :

Analyse Economique et Financière

Volume et Types de Transactions

Diagramme de Circulation (flow charts)

Grille de séparations des taches

B. Approches par questions :

Interviews

Questionnaires QCM-QO (à Choix Multiples Ouverts)

Questionnaires QCI (de Contrôle Interne)

C. Approches par vérifications :

Piste d’Audit (audit trail)

Observations Physiques

Rapprochements et Reconstitutions

Interrogations de Fichiers Informatiques

Sondages Statistiques

D. Approches par TIC : ROK

II. Quelques techniques de discernement des risques :

oDiagramme de circulation (flow chart) oGrille d’Analyse des Incompatibilités (séparation des taches, ségrégation of duties) oInterviews oQuestionnaire de Contrôle Interne (QCI) oQuestionnaire à choix multiples (QCM)

Attention : « discerner » = mieux voir, pas savoir (des indices, pas des preuves)

III. Les diagrammes de circulation des documents :

preuves) III. Les diagrammes de circulation des documents : A. « A quoi ça sert ?

A.

« A quoi ça sert ? » Le diagramme de circulation des documents ou Flow Chart est une représentation graphique décrivant la suite des opérations réalisées dans le cadre d’un processus. La nature des taches et contrôles effectués, les documents et supports utilises, les outils pratiqués sont représentés par des symboles reliés les uns aux autres pour chaque acteur du processus. Le diagramme permet de visualiser de manière globale le cheminement des informations ce qui facilite l’analyse du processus étudié. Son élaboration par les auditeurs permet :

De mieux cerner la procédure dans ses détails De donner une vue complète de l’enchainement des opérations

De vérifier la cohérence, la validité et l’efficacité des dispositifs de contrôle interne D’en dégager les forces et les faiblesses

Le diagramme de circulation n’est pas seulement un outil de description mais aussi un outil de pré analyse. Le diagramme de circulation est un moyen efficace pour connaitre et comprendre l’organisation des processus étudiés ainsi que les points de contrôle existants dans le cadre des procédures en vigueur.

En matière de démarche d’audit, il permet de mettre plus particulièrement en évidence :

Des lourdeurs administratives dans le traitement de l’information (cheminement complexe des documents, double archivage ou archivage inutile) Des redondances dans les contrôles réalisés (contrôles similaires réalisés par deux services différents) Des concentrations excessives de tâches réalisées au sein d’un même service (non-respect du principe de séparation des fonctions)

B. Quand l’utilise-t-on ? » L’auditeur utilise cet outil lors de la prise de connaissance du domaine audité (phase de lancement de la mission sur site). A ce niveau de la phase d’étude, schématiser le processus sous forme de diagramme lui permet ainsi de comprendre facilement et rapidement le fonctionnement du processus concerne.

Indépendamment d’une mission d’audit interne, cet outil peut aussi être utilisé lors de la formalisation d’une procédure au sein de l’organisation (qu’il s’agisse de procédures de contrôle interne, de procédures exigées dans le cadre d’une système de management de la qualité conforme aux normes ISO 9001, ou de tout autre système documentaire.

C. « Comment l’utilise-t-on ? et Qui l’utilise ? » L’élaboration d’un diagramme de circulation est essentiellement basée sur l’interview des audités ou sur la base des procédures écrites existantes. Cet outil à la disposition de l’auditeur doit faire ressortir de manière claire et précise :

La nature des opérations réalisées et les intervenants concernés Les documents utilises (nombre d’exemplaires, destinataires respectifs). L’auditeur doit se procurer une copie de chaque document utilisé afin d’illustrer le diagramme de circulation Les modes de classement (archivage physique, support informatique,…)

D. Avantages / Inconvénients (limites) de l’Outil :

L’élaboration d’un diagramme de circulation facilite la découverte du domaine audité. Il permet également de mettre en évidence les faiblesses du contrôle interne. Il constitue par ailleurs un outil de communication pour l’auditeur lors de sa validation par les audités en lui garantissant une bonne compréhension du processus audité. Il peut enfin constituer une valeur ajoutée supplémentaire à la mission.

Cependant cette technique d’audit nécessite un minimum de formation et de pratique. Des logiciels dédiés facilitent grandement la mise en œuvre de cet outil.

Des notes complémentaires sont souvent nécessaires à l’appui d’un diagramme de circulation pour expliciter la symbolique utilisée.

d’un diagramme de circulation pour expliciter la symbolique utilisée. IV. La grille de séparation des tâches

IV. La grille de séparation des tâches

A. « A quoi ça sert ? » La grille de séparation des taches permet

A. « A quoi ça sert ? » La grille de séparation des taches permet de comprendre par rapport à la chronologie des opérations réalisées dans un processus ou une fonction, la répartition des responsabilités entre les différents acteurs à un instant donnée. L’auditeur établit cette grille (ou l’exploite si elle existe par ailleurs) afin de s’assurer du respect d’un principe de base du contrôle interne : « la séparation des fonctions ». En effet, toute organisation doit veiller à séparer les responsabilités « de détention/manipulation », « d’enregistrement » et « d’approbation/décision » sans quoi elle s’expose a un risque majeur au niveau de ses actifs si des collusions s’instaurent entre les acteurs. Grace à cette grille l’auditeur vérifie qu’il n’y a pas cumul de fonctions sur un même acteur ou un groupe restreint d’entre eux. Cet outil met aussi en évidence des éventuelles anomalies concernant la répartition de la charge de travail entre les différents intervenants.

B. « Quand l’utilise-t-on ? et Qui l’utilise ? » Une grille peut être conçue pour chaque grand processus ou fonction de l’organisation. Dans une première colonne sont listées les différentes taches du processus concerne. Une deuxième colonne indique la nature de la tache au regard des grandes catégories de responsabilités den principe inconciliables entre elles. Les colonnes suivantes indiquent les personnes en charge des différentes étapes.

L’analyse par colonnes permet de découvrir une personne qui effectue plusieurs taches et la comptabilité entre ces différentes tâches.

L’analyse par colonnes permet de découvrir une personne qui effectue plusieurs taches et la compatibilité entre ces différentes taches.

L’analyse par lignes permet de découvrir une tâche effectuée plusieurs fois ou non réalisée. La grille d’analyse des tâches peut également être utilisée par les organisateurs pour mesurer le travail de chacun.

C. Avantage / Inconvénients (limites) de l’Outil La grille d’analyse de tâches est relativement simple à élaborer (en fonction de l’importance du processus étudié et de sa complexité). Elle constitue pour l’auditeur un outil d’appréciation du principe de séparation fonctions incontournable. Dans la phase de conclusion l’auditeur peut également l’utiliser pour fonder des recommandations concernant une meilleure utilisation des moyens humains disponibles.

Indépendamment d’une mission d’audit cet outil peut être généralisé dans le cadre d’une démarche de réorganisation plus globale.

Cependant la grille d’analyse des tâches a ses limites :

- Elle reflète une situation organisationnelle à un instant donné (aspect statique de l’outil)

- Lorsqu’elle a été établie à la suite d’interviews avec les audités, il est nécessaire de vérifier sur le « terrain » qu’elle correspond effectivement à la réalité.

- Le principe de séparation des fonctions doit être appréhendé en tenant compte des contraintes liées aux effectifs disponibles dans les services concernés (notamment dans les organisations de taille modeste). Une recommandation d’audit qui conduirait à un doublement des effectifs afin de respecter scrupuleusement ce principe constituerait probablement une aberration. Dans ce cas de figure d’autres dispositifs de contrôle interne sont envisageables (exemple : renforcement de la supervision)

envisageables (exemple : renforcement de la supervision) V. Les interviews A. « A quoi ça sert

V. Les interviews

A. « A quoi ça sert ? » L’interview est plus qu’un entretien, elle permet à l’auditeur d’appréhender les différents processus de l’organisation en posant des questions aux personnes impliquées dans le domaine audité. Il peut ainsi recueillir de l’information afin de comprendre, pour chaque opération réalisée : les objectifs poursuivis, la nature des tâches exécutées, les documents utilises, les difficultés rencontrées et ainsi identifier les risques potentiels. Elle apportera une plus-value à la collecte des informations factuelles en termes d’éléments d’analyse et de jugement. L’interview pourra servir aussi dans certain cas pour délimiter le champ et les objectifs.

B. « Quand l’utilise-t-on ? » Eventuellement lors de la phase d’initialisation de la mission d’audit afin d’établir le projet d’ordre de mission : il s’agit de se faire préciser, si nécessaire, dans le cadre d’entretiens avec les commanditaires leurs attentes et préoccupations particulières.

Lors de la phase de lancement de la mission sur site afin de comprendre le domaine audite et identifier les faiblesses potentielles de contrôle interne.

C. Comment l’utilise-t-on ? et Qui l’utilise ? »

Une interview : AVANT « ça se prépare », PENDANT « ça se maitrise », APRES « ca s’exploite ». En complément du guide, on retiendra les points essentiels suivants :

AVANT : préparer sa thématique en établissant un guide ou canevas d’entretien (thèmes à aborder, documents à récupérer, points à détailler au regard des préoccupations du commanditaire de la mission…

PENDANT : maitriser le déroulement de l’entretien n’est pas chose facile. Il faut à la fois : poser des questions en gardant le fil conducteur du guide préalablement établi, noter les réponses et remarques des audites, récupérer les documents complémentaires tout en conservant l’attention de l’interviewe afin qu’il ne s’égare pas dans de futiles considérations, des discours dithyrambique ou encore ne s’épanche pas trop sur ces « états d’âmes » (éviter le cahier de doléance). Cet exercice est par ailleurs à réaliser avec un souci de l’exhaustivité et du détail des informations recueillies et dans un temps imparti. Si l’on n’a pas couvert

l’ensemble des points prévus a l’ordre du jour, on e pourra pas nécessairement reprogrammer un second rendez-vous.

APRES : exercice fastidieux et obscur mais absolument nécessaire, le compte rendu d’entretien. Même si à titre personnel l’auditeur « qui pense avoir tout dans sa tête » n’en voit pas toujours l’intérêt, c’est indispensable. Une mission d’audit est un travail d’équipe. A moins que l’équipe complète participe ensemble a tous les interviews (irréaliste compte tenu de la contrainte temps), les comptes rendus écrits servent à partager l’information au sein de l’équipe. Par « un entretien c’est bien, trois entretiens bonjour les dégâts ». Même très professionnel et expérimenté, l’enchainement de plusieurs entretiens ne permet pas de se rappeler de tout. La formalisation est une garantie de ne rien oublier.

D. Avantages / Inconvénients (limites) de l’Outil La rencontre directe avec les audites permet à l’auditeur de se forger une première opinion sur le niveau de risque. De plus, l’audité est ainsi impliqué dans la démarche d’audit, il adhèrera d’autant plus facilement aux recommandations ultérieure qu’il aura le sentiment d’en avoir été un acteur.

Cependant, le bon déroulement de l’interview est donc l’intérêt de cette technique sont basés sur le climat de confiance ou de méfiance qui s’installe entre l’auditeur et l’audité. L’interview peut éventuellement être trompe par l’interviewe ou ne disposer que d’une partie des informations qui peuvent par ailleurs ne pas être considérées comme des preuves tangibles et donc réfutables par les auditées.

VI. Questionnaires de Contrôle Interne :

A. Définition :

Une liste de questions auxquelles l’auditeur répond « oui » ou « non » (ou non applicable) afin de porter un diagnostic par simple lecture des réponses.

B. Elaboration :

Découpage en stades chronologiques

Objectifs spécifiques et risques

Moyens nécessaires dont il faudra vérifier l’existence

Formalisation en une liste de questions fermées

Développer un QCI est un gros investissement !

C. Domaine d’application :

Sauvegarde du patrimoine et de sa pérennité

Qualité de l’information

Application des instructions de la Direction

Utilisation économique et efficace des ressources

Efficacité opérationnelle

Amélioration des performances

Utilisation économique et efficace des ressources  Efficacité opérationnelle  Amélioration des performances 34
D. Questionnaires à Choix Multiple / Ouverts :  Définition : une liste de questions

D. Questionnaires à Choix Multiple / Ouverts :

Définition : une liste de questions auxquelles on répond par écrit :

- « on » = l’auditeur, après analyse de documents, procédures, diagrammes de circulation, compte rendus d’interviews…ou au cours d’une interview

- « on » = les audites (questionnaire envoyé)

Points clés :

- Les destinataires : aux interlocuteurs qui ont l’information !

- L’ordre des questions : par thème ou toute autre logique, commencer par les questions générales et faciles (évite rejet), continuer par les questions difficiles (fin = relâchement)

- Questions croisées (pour vérifier la cohérence), questions à tiroirs

- La longueur : pas trop ! avoir défini ce que l’on veut

- La formulation : dans le langage de l’audite (éventuellement technique), précises, ni biaisées ni affectivement chargées

- Ça se teste (obligatoirement si envoyé) : attention à la formulation orale, préparée par écrit

- Dépouillement en 2 temps pour les QO : recenser puis quantifier

VII. Les questionnaires

A. « A quoi ça sert ? » Un questionnaire est une liste de questions auxquelles on doit répondre par écrit. Les réponses sont généralement reportées par l’auditeur, on parle alors d’ »administration indirecte », mais il arrive que l’interroge remplisse lui-même le questionnaire, on parle dans ce cas d’ « administration directe ».

On peut classer les questionnaires en deux grandes catégories : d’une part les questionnaires à choix multiples (QCM) ou le choix des réponses est limite, d’autre part les questionnaires ouverts (QO), ou le choix des réponses est illimité.

B. « Quand l’utilise-t-on ? » Le questionnaire s’emploie de deux manières : comme un outil d’analyse uniquement ou comme un outil d’interview et d’analyse. Dans le premier cas, il est rempli par l’auditeur après l’interview à partir des notes prises par celui-ci. Dans le second cas, les réponses sont fournies directement par l’interroge. Il peut être utilisé lors de la phase d’étude comme lors de la phase de vérification pour apprécier la mise en œuvre d’une tâche définie au programme de vérifications.

C.

«Comment l’utilise-t-on ? et Qui l’utilise ? » L’organisation du questionnaire relève d’une technique et dépend de la chose que l’on cherche à connaitre, c’est-à-dire du domaine audité. Quel que soit le type de questionnaire, l’ordre des questions est un point crucial qui doit être réfléchi. Elles doivent être regroupées par thèmes et suivre un ordre logique (du plus général au lus spécifique) et doivent progresser de façon a mette en confiance l’audité. Les questions les plus spécifiques et techniques doivent être abordées au milieu du questionnaire de façon à ne pas effrayer l’audité au début et à ne pas partir de sa chute d’attention en fin d’entretien.

On doit poursuivre une démarche redondante dans les questions de façon à croiser les réponses et à s’assurer de la cohérence et de l’exhaustivité des éléments apportés par l’audité. Il peut être utile d’utiliser des questions « a tiroir » afin de s’assurer de l’épuisement du domaine traite.

Le questionnaire ne doit pas être trop long car la précision des réponses fournies par les audités diminue en fonction de présentation doit être maniable, facile à lire et facile à remplir pour éviter le rejet du questionnaire par l’audite.

Les QCM sont plus simples pour les interroges et plus aises à dépouiller pour les auditeurs. Ils conviennent particulièrement pour les audits de conformité, de régularité. A l’inverse les QO sont plus pertinents pour les audits d’efficacité, de management, ainsi que sur les sujets nouveaux.

D. Avantages / Inconvénients (limites) de l’Outil La formulation des questions est un point essentiel et risqué qui jouera sur l’interprétation des réponses (formulation subjective et suggestive) : certaines formulations induisent des réponses particulières et des mots peuvent être charges affectivement (« erreur », « faute »,…). Les questions doivent être rédigées dans le langage de l’audité et pas dans celui de l’auditeur. Il convient donc de tester le questionnaire avant de l’utiliser. Et une formulation correcte a l’écrit peut se révéler inadapté a l’oral.

Il ne faut pas se tromper d’interlocuteur, c’est-à-dire poser une question à un audité qui n’a pas l’information nécessaire pour y répondre.

Les QCM permettent une comparaison aisée mais ce n’est pas le cas des QO. L’auditeur cherche toujours à capitaliser l’expérience acquise mais l’emploi de questionnaire-types (non actualises) peut conduire à une situation ou les questions ne sont plus adaptées à la réalité de l’objet audité.

VIII. Analyse des Risques :

1. Tableau des Risques :

ne sont plus adaptées à la réalité de l’objet audité. VIII. Analyse des Risques : 1.

2.

L’analyse des Risques, plaque tournante de la mission :

L’analyse des risques sert à orienter les travaux de vérifications en fonction des Forces et Faiblesses Apparentes perçues par l’Audit :

- Confirmer les forces critiques non certaines

- Ne pas perdre de temps sur les autres forces (forces certaines, et forces probables mais non critiques)

- Etudier et résoudre les faiblesses graves

- Ne pas perdre de temps sur les autres faiblesses

A combiner avec une approche stratégique (minimax regrets) :

- Informer la Direction / sécuriser les responsables : s’assurer des FORCES pour étayer son opinion

- Aider les managers : évaluer et résoudre les faiblesses en limitant les vérifications.

Limiter les travaux sur chaque mission pour faire davantage de missions et mieux couvrir l’entreprise. Laisser les audités travailler !

IX. La Phase d’etude aboutit aux :

audités travailler ! IX. La Phase d’etude aboutit aux : X. Elaboration du Rapport d’Orientation :

X. Elaboration du Rapport d’Orientation :

Pour être pertinent :

- le Rd’O reprend conclusions retenues du Tableau des risques : FfA + préoccupations du management.

- Il est discuté avec les principaux responsables audites et le demandeur

Pour être percutant :

- le Rd’O est formule en objectifs à atteindre pour le client et rédigé en faisant abstraction des travaux d’audit qu’il implique

- il est bref : 1 à 3 pages

Pour être un contrat Audit-audites (et demandeur) : utiliser des mots-clés.

A. Les mots-clés du Rapport d’Orientation :

On commencera chaque phrase du Rd’O par :

« S’ASSURER DE » ou « VERIFIER QUE » quand on s’engage à donner une assurance qu’un point est sous contrôle : a fournier une opinion binaire (oui/non, ça marche ou ça ne marche pas)

« APPRECIER » quand on s’engage à émettre une opinion qualitative après étude, ou « REVOIR » quand on s’engage à faire l’étude mais n’émettre d’opinion que s’il y a lieu

« EVALUER » quand on s’engage à fournir une information quantitative mais a priori sans émettre d’opinion, ou « ANALYSER » quand on s’engage à faire l’étude mais pas à obtenir des résultats.

« VOIR S’IL Y A LIEU D’APPROFONDIR » quand on hésite et qu’on ne s’engage à rien !

B. Exemples Rd’O audit de la gestion des appros :

B. Exemples Rd’O audit de la gestion des appros : 38
B. Exemples Rd’O audit de la gestion des appros : 38

CHAPITRE VII. LA PHASE DE VERIFICATION

I. Les travaux de vérification sur le terrain :

A. Elaboration du Programme de Vérifications :

Liste des travaux à effectuer par l’auditeur pour répondre aux engagements du Rd’O en s’appuyant sur des faits et non sur des opinions / en acquérant une intime conviction

1 seul objectif à la fois, rappelé en haut de la page :

- Décrire les travaux pour l’atteindre (style simple et concret) : résultats à fournir, nature des travaux, sources des info (documents, interlocuteurs)

- S’assurer que ces travaux suffisent pour atteindre l’objectif

Une liste d’actions, pas une liste de sous-objectifs :

- Début + Fin

- Décomposables en « sections » chacune affectable a 1 auditeur

- + colonnes : qui, quand, références

Etre clair, concret, complet…mais pas trop détaillé (cf. Feuille de Couverture)

B. Exemple de PdeV audit de la gestion des appros, extrait :

Exemple de PdeV audit de la gestion des appros, extrait : C. Les 7 merveilles du

C. Les 7 merveilles du PDV :

Objectiver la démarche (découpage, objectifs, risques, bonnes pratiques, survol, ciblage/choix, Rd’O)

Assurer le RAI (PdeV = contrat)

Permettre au ChM de repartir les taches

Préparer le planning jusqu’au Rapport

Guider l’auditeur (# déborder et peaufiner)

Documenter le déroulement (trace) et servir de tableau synoptique (tableau d’orientation)

Capitaliser l’expérience

D. Les techniques de l’auditeur :

Approches globales :

-Analyser Economique et Financière -Volume et Types de Transactions -Diagrammes de Circulations (flow charts) -Grille de séparations des taches

Approches par questions :

-Interviews -Questionnaires QCM-QO (à Choix Multiples Ouverts) -Questionnaires QCI (de Contrôle Interne)

Approches par vérifications :

-Piste d’Audit (audit trail) -Observations Physiques -Rapprochements et Reconstitutions -Interrogations de Fichiers Informatiques -Sondages Statistiques

Approches par TIC : ROK

E. Piste d’Audit (audit trail / chemin de révision) :

Trace de toutes les opérations intermédiaires relatives à un évènement ou une opération :

- Du document / résultat final à la source

- D’un évènement ou d’une décision à son enregistrement en compta, ses résultats physiques et financiers, leur enregistrement permettant de vérifier que chacune a été correctement effectuée et que toutes l’ont été, et de justifier les résultats et document finaux

Ensemble des procédures qui permet de :

-Reconstituer les évènements de gestion dans un ordre chronologique

-Justifier toute information en remontant du document de synthèse à la source par un cheminement ininterrompu, et réciproquement

-Expliquer l’évolution des soldes d’un arrêté à l’autre par la conservation, sous une forme facilement consultable, des mouvements ayant affecté les postes

F. La Piste d’Audit :

sous une forme facilement consultable, des mouvements ayant affecté les postes F. La Piste d’Audit :
41
41
41
42
42
43
43
44
44
G. La Feuille de Couverture :  Etablie en 2 temps : - Avant :
G. La Feuille de Couverture :  Etablie en 2 temps : - Avant :

G. La Feuille de Couverture :

Etablie en 2 temps :

- Avant : le but de l’action (ex PdeV) et ses modalités Spécifier les caractéristiques du test, le contenu du questionnaire, le plan détaillé du guide d’interview…

- Apres : les résultats et conclusions (+ modifs éventuelles). Des réponses précises, concises et contrôlables

Intérêt : gains de temps :

- Permet d’alléger et donc d’accélérer PdeV et BAPS

- Réduit l’étendue du travail nécessitant concertation

- Evite d’établir les spécifs des actions devenues caduques

- Accroît la productivité car établie en « temps masque »

- Facilite la constitution du dossier synthétique et la supervision

Exemples de Feuille de Couverture :

 Exemples de Feuille de Couverture : 46
 Exemples de Feuille de Couverture : 46
 Exemples de Feuille de Couverture : 46
H. Les Papiers de Travail : I. Le Référencement : 47
H. Les Papiers de Travail : I. Le Référencement : 47
H. Les Papiers de Travail : I. Le Référencement : 47

H. Les Papiers de Travail :

H. Les Papiers de Travail : I. Le Référencement : 47

I. Le Référencement :

H. Les Papiers de Travail : I. Le Référencement : 47

J. Les dossiers du Dossier d’AI :

Le dossier synthétique :

- Auditeurs : incite à la synthèse tout au long de la mission et facilite la rédaction du Rapport

- ChM : maîtriser la qualité de la mission, pouvoir assumer sa responsabilité

- DrAI : suivre les résultats et contrôler la qualité du travail

- SAI : capitaliser le savoir faire

Les dossiers analytiques : 1 par auditeur

- La documentation du dossier synthétique : décrit le travail effectué, étayé le Rapport, permet une revue et une qualification du travail (documents épais reçus : en annexe et remplacés par un renvoi)

- FAR ouvertes puis annulées (FAR complètes dans le synthétique)

Le dossier administratif :

- L’outil de planning et contrôle de la mission

- Etats d’Avancement et points en suspens. Budget de frais. Correspondance.

- Exemplaires vierges de Rapports de Temps et de notes de frais.

K.

Le Dossier d’AI (simplifié) :

notes de frais. K. Le Dossier d’AI (simplifié) : II. La conclusion de ces travaux :

II. La conclusion de ces travaux : la FAR (Fiche d’Audit et de Recommandations)

A. L’auditeur a trouvé des anomalies : que doit-il en faire ?

Trouver la matière première, c’est bien.

1. Mais il faut ensuite la transformer :

- Exploiter les anomalies observées ou la quantification effectuée

- Etayer le fruit d’un raisonnement par des constats

- Réordonner les observations et réflexions

- Comment ?

- Faire une FAR : éclairer l’audité !

2. Pourquoi ? Communiquer avec les responsables audités pour résoudre des dysfonctionnements et non rendre compte du travail effectué.

B. Point d’audit :

B. Point d’audit : C. Du Tableau des Risques aux Fiches d’Audit et de Recommandations (FAR)

C. Du Tableau des Risques aux Fiches d’Audit et de Recommandations (FAR)

1. Guide d’elaboration de la FAR

et de Recommandations (FAR) 1. Guide d’elaboration de la FAR 2. Une FAR vierge : 3.

2. Une FAR vierge :

et de Recommandations (FAR) 1. Guide d’elaboration de la FAR 2. Une FAR vierge : 3.

3. Une FAR remplie :

et de Recommandations (FAR) 1. Guide d’elaboration de la FAR 2. Une FAR vierge : 3.

4.

Comment élaborer une FAR ?

4. Comment élaborer une FAR ? 5. L’ordre est impératif : 6. La « Trouvaille »

5. L’ordre est impératif :

4. Comment élaborer une FAR ? 5. L’ordre est impératif : 6. La « Trouvaille »

6. La « Trouvaille » :

4. Comment élaborer une FAR ? 5. L’ordre est impératif : 6. La « Trouvaille »

7.

Pour communiquer : être S.A.P :

Reformuler en un « Problème » :

- Bref et directement compréhensible : Synthétique

- Complet et donc redondant avec la trouvaille : Autonome

- Net et facile à mémoriser : Percutant

Car l’auditeur n’est pas :

- Un conteur : sujets dont je vais vous entretenir

- Un simple employé : travaux que j’ai effectues

- Mais un conseiller : problèmes à résoudre

8.

Une FAR remplie :

: problèmes à résoudre 8. Une FAR remplie : D. Valider les FAR le plus tôt

D.

Valider les FAR le plus tôt possible, mais sans hâte :

C’est reconnaitre l’autorité et la compétence du responsable : l’avertir en premier, tout de suite, lui seul à ce stade

Cela le prépare à reconnaitre le problème, à s’y faire, à l’admettre. Cela lui permet de lui donne le temps de réfléchir, de comprendre, et d’agréer, nuancer, étendre.

******************************laisser mijoter une semaine*******************************

Cela permet de bâtir ensemble une solution :

 

- Dans « l’association pour résoudre les problèmes », l’auditeur est celui qui détecte et identifie les problèmes, le manager est celui qui leur apporte une solution

- Le manager pourra en être légitimement fier

Cela évite que l’Audit se forge une opinion erronée

E.

La FAR = l’efficacité de l’Audit pour le bénéfice de tous :

l’Audit se forge une opinion erronée E. La FAR = l’efficacité de l’Audit pour le bénéfice

F. Faire approuver sa FAR par le Chef de Mission :

F. Faire approuver sa FAR par le Chef de Mission : G. La supervision d’une FAR

G. La supervision d’une FAR : comment ?

Ecouter :

- L’énoncé du Problème : immédiatement compréhensible ? facile à mémoriser ?

- Les Conséquences : sont-elles « suffisamment insupportables », motiveront-elles les audités ?

- Les Recommandations : sont-elles « vendables » ?

Ne pas écouter, car déjà supervise (supervision en 2 temps)

- Les Causes : analyses et réflexions des auditeurs

- Les Faits : simples preuves ou occurrences (on peut désirer des exemples concrets)

Critiquer, en se mettant à la place des audites :

- La formulation du Problème

- L’opportunité des Recommandations

- La séquence de la FAR : « ça roule » ?

H. Format FAR :

du Problème - L’opportunité des Recommandations - La séquence de la FAR : « ça roule
I. Et si l’on préfère réécrire, la FAR aide aussi ! LE PROBLEME attendu(s) …

I. Et si l’on préfère réécrire, la FAR aide aussi !

LE PROBLEME attendu(s)

Il existe un dysfonctionnement important qui compromet le(les) résultat(s)

LES CONSTATS

…dysfonctionnement qui se manifeste par tels incidents, telles anomalies qui ont été constatées…

LES CAUSES

…dont la (ou les) origines sont les mauvaises conditions de fonctionnement suivantes, dont certaines ont été constatées…

LES CONSEQUENCES

…et qui ont pour impact certains ou probables une sous-performance ou une perte de valeurs suffisamment importants

LA RECOMMANDATION

…pour nécessiter une action précise visant à éliminer ces conséquences en remédiant aux causes

III. Limites à l’utilisation de la FAR ?

Des limites réelles… :

- Elle privilégie les conséquences par rapport à la simple signalisation des déviations : elle n’est donc pas adaptée aux audits de conformité

- Elle favorise la collaboration avec les audités : elle n’est donc pas adaptée aux « missions spéciales »

- Elle demande courage et jugement, s’impliquer, pas seulement vérifier et raconter : trop exigeant pour les équipes d’inspecteurs techniques ou agents de maitrise comptables

…Et d’autres de l’ordre du phantasme :

- « On ne peut quand même pas envoyer à la D.G. ! » : les FAR peuvent remplacer le Rapport détaillé, pas le résumé pour la D.G.

- La rédaction traditionnelle «en bon français » est plus agréable à lire : fierté du rédacteur ou facilité du lecteur ?

Puissant et efficace, mais pas si facile que ça !

CHAPITRE VIII. LA CONDUITE D’UNE MISSION D’AUDIT INTERNE : PHASE DE CONCLUSION

D’UNE MISSION D’AUDIT INTERNE : PHASE DE CONCLUSION I. Un Rapport ? Pour qui ? Pourquoi

I. Un Rapport ? Pour qui ? Pourquoi ?

: PHASE DE CONCLUSION I. Un Rapport ? Pour qui ? Pourquoi ? II. Le Rapport

II. Le Rapport d’Audit Interne :

1 Acte de communication, pas un compte rendu de travaux à des publics aux attentes différentes, donc plusieurs documents en 1 « rapport »

En 3+ temps :

- Envoi / remise du Projet aux seuls audites

- Validation du projet avec eux

- Diffusion du Définitifs a ses publics

Et/ou de plus en plus : présentations orales

III. Pivoter :

avec eux - Diffusion du Définitifs a ses publics Et/ou de plus en plus : présentations

IV.

Exemple d’Ossature du Rapport :

IV. Exemple d’Ossature du Rapport : V. Compte Rendu Oral sur site : VI. Phases de

V. Compte Rendu Oral sur site :

d’Ossature du Rapport : V. Compte Rendu Oral sur site : VI. Phases de conclusion d’une

VI. Phases de conclusion d’une mission d’Audit Interne :

du Rapport : V. Compte Rendu Oral sur site : VI. Phases de conclusion d’une mission

VII.

Le Rapport d’Audit Interne :

VII. Le Rapport d’Audit Interne : VIII. Le Rapport d’Audit écrit : IX. Prévenir : IMPORTANT

VIII. Le Rapport d’Audit écrit :

d’Audit Interne : VIII. Le Rapport d’Audit écrit : IX. Prévenir : IMPORTANT Ce document est

IX. Prévenir :

IMPORTANT

Ce document est un rapport d’Audit Interne :

Il est recommandé de ne pas en étendre la diffusion au-delà de la liste prévue :

- Il contient des informations confidentielles

- Son style peut surprendre un lecteur non averti

Un rapport d’audit interne choque : il analyse une situation, mais, comme un devis de réparation, il met l’accent sur les dysfonctionnements pour faire développer des actions de progrès

« Au moins une page sur ce qui ne va pas, au plus une ligne sur ce qui va »

Il contient des recommandations :

Une recommandation n’est pas une critique, elle n’implique pas de faute : c’est une solution proposée au responsable habilite à mener l’action. Celui-ci est en charge de développer et mettre en place une solution au problème soulevé : celle proposée ou une meilleure.

X.

La Réunion de Validation :

Buts :

Rendre le Rapport non contestable : constats, raisonnements, conclusions, formulation

La dernière chance de convaincre et le moment pour obtenir les plans d’actions (Norme 2410 : La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d’actions)

Convenir d’un destinataire pour chaque recommandation jusque-là solution sans pilote

L’organiser : participants, rôles, diffusion, référencer

La ralentir et la solenniser :

- Valider techniquement, page par page, FAR par FAR, le corps du rapport

- Le RAI « marque » le Dr des audites

En cas de désaccord persistant :

- Maintenir son opinion : indépendance

- Mentionner dans le rapport (et insérer texte de l’audite, approuvé par hiérarchie) : objectivité

XI. La Réunion de Validation : tout le monde a peur !

par hiérarchie) : objectivité XI. La Réunion de Validation : tout le monde a peur !

XII. Les Recommandations :

par hiérarchie) : objectivité XI. La Réunion de Validation : tout le monde a peur !

XIII.

Avec qui valide-t-on ?

XIII. Avec qui valide-t-on ? XIV. Recommandations adressées ? 3 modes de tir possible : 

XIV. Recommandations adressées ? 3 modes de tir possible :

DCA : ascendant, en l’air : vers le P/DG qui décide des suites qu’il veut leur donner

- (+) à condition que la taille soit petite et le P/DG proche du terrain

Mortier : balistique : aux audités par le P/DG qui les appuie et les faits redescendre par la hiérarchie

- (-) le P/DG est amené à signer sans chercher à comprendre

- (-) les recommandations deviennent des ordres : les déresponsabilisant

- (-) maintient la sujétion de l’AI / obère son indépendance

Canon : tendu : directement vers les audités qui doivent répondre directement et agir

- (l’AI évalue les réponses (et tient le P/DG)

XV. Pour que les Recommandations « passent »

Pour qu’une recommandation soit acceptée et mise en œuvre, il faut que son décideur perçoive plus d’avantages que d’inconvénients dans la situation et le fonctionnement futurs, et dans le changement vers cette situation.

Perceptions du décideur : logique claire, simple, solide :

- Lui laisser le temps de se faire au problème

- Lui faire développer sa solution

- Resp de problème = « coupable », resp de solution = « saveur »

Avantages > inconvénients : rentabilité, sécurité (de l’entreprise, des actifs, des personnes) :

- Utilité pour les opérateurs : efficacité / agrément de leur travail

- Réputation / prestige, influence / pouvoir du décideur

Le changement : couts du changement (à déduire des / à comparer aux bénéfices) :

- Quels travaux préparatoires et qui va les faire ?

- Problème d’interface avec les autres Services ?

- Capacités des collaborateurs, risque d’échec, d’insubordination ? quels besoins de formation ?

XVI. Hiérarchiser les recommandations ?

risque d’échec, d’insubordination ? quels besoins de formation ? XVI. Hiérarchiser les recommandations ? 58

CHAPITRE IX. CONCLUSION D’UNE MISSION D’AUDIT INTERNE :

CHAPITRE IX. CONCLUSION D’UNE MISSION D’AUDIT INTERNE : A. La conclusion d’une mission d’AI : 

A. La conclusion d’une mission d’AI :

Un plan d’actions élaborés par les audités

Décidé par eux avec leur hiérarchie

Communique a l’AI pour vérification et réaction éventuelle, et dont la mise en œuvre est suivie

Critères : il doit être :

-Complet (= qui + quoi + quand) -Exhaustif (non limite aux secteurs examines) -Permanent (non réapparition des problèmes) -Auto-contrôle (indicateurs de réapparition)

problèmes) -Auto-contrôle (indicateurs de réapparition) B. Evaluation puis Suivi : --- Recommandation ---

B. Evaluation puis Suivi :

--- Recommandation --- Réponse par un Plan d’Actions --- « évaluation » --- Actions --- « suivi » --->

Evaluation par l’Audit Interne devenu provisoirement expert, pour assurer la Direction que le problème cessera quand les actions seront en place (ou l’alerter : telles actions sont insuffisantes) :

- Un outil et des critères annoncés (Plan d’Actions, pas commentaires)

- Discuter dans la discrétion : répondre a l’AI seulement

- L’AI peut aider a répondre mais pas décider-assumer.

Suivi des actions promises dans les Plans d’Action car l’audit interne est une activité organisée pour produire de la valeur ajoutée en évaluant et améliorant l’efficacité des processus de…

- Directement par l’Audit Interne tant que n’est pas entrée dans les mœurs la double équation :

audit = recommandations = action

- Probablement avec vérifications et retours sur missions

- Ensuite par la Hiérarchie, responsable naturel (ou le Contrôle de Gestion s’il suit les autres plans d’actions), qui informera l’AI sans vérifications systématiques, mais un reporting, donc sa vérification épisodique (+ sanctions en cas de tromperie)

C. Etat des Actions de Progrès d’un Rapport :

(+ sanctions en cas de tromperie) C. Etat des Actions de Progrès d’un Rapport : D.

D. Suivi Des Rapports :

(+ sanctions en cas de tromperie) C. Etat des Actions de Progrès d’un Rapport : D.
E. Conditions de succès d’une mission d’audit :  Que les responsables audites participent à
E.
Conditions de succès d’une mission d’audit :
Que les responsables audites participent à l’orientation des travaux de l’AI : à l’analyse des risques / aux TaRi
e
 pertinence
Qu’ils en valident constats et les raisonnements : la FAR
Et élaborer les recommandations avec l’AI : la FAR
 adhésion
 appropriation
Qu’ils valident le projet de rapport avant diffusion recommandation
 acceptabilité
Qu’un pilote soit désigné pour chaque recommandation :
 responsabilisation
Que les audites soient acteurs de la mission !
F.
Auditeurs – audites : qui fait quoi ? (vue thématique)
G.
Combien de documents différents ?
de la mission ! F. Auditeurs – audites : qui fait quoi ? (vue thématique) G.