Vous êtes sur la page 1sur 68

Les NF 2200 et 2210 sont complétées des normes

2201, 2201 A1 et C1, présentées page 14


2210 A1, A2, A3 présentées page 18 et plus spécifiquement pour les missions de conseil, C1 et C2. ci-
dessous
Le formateur pourra les présenter oralement.

2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus gouvernance, de management des
risques et de contrôle dans la limite convenue avec le bénéficiaire.
2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs, la stratégie et les objectifs
de l'organisation.
Plus spécifiquement pour les missions de conseil, les NF 2220 et 2220 A1 et 2240 sont complétées des
normes 2220 A2, C1 et C2, 2240 C1.
Le formateur pourra les présenter oralement.

2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités en termes de conseil,
un accord écrit devrait être conclu pour préciser les objectifs et le champ de la mission de conseil, les responsabilités et
les attentes respectives. Les résultats de la mission de conseil sont communiqués conformément aux normes
applicables à ces missions.
2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ
d'intervention permet de répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internes émettent des
réserves sur ce périmètre, ils doivent en discuter avec le bénéficiaire afin de décider s'il y a lieu de poursuivre la
mission.
2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examiner les dispositifs de contrôle relatifs
aux objectifs de la mission et être attentifs à l'existence de tout problème de contrôle significatif.
2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature
de la mission.
Cette phase consiste à préparer la mission dans ses aspects logistiques
et humains (lettre de mission, constitution de l’équipe, etc.) et à conduire
une première analyse assez générale de type « descendante» de façon à
sérier les risques principaux pesant a priori sur le domaine ou le thème
audité.
La planification de la mission d’audit comprend plusieurs étapes.
Elle conduit ainsi à la rédaction d’une lettre de mission et le cas échéant,
d’un cahier des charges (ou document de cadrage) qui peuvent être
adressés à l’audité avant la réunion d’ouverture ou remis à cette
occasion.
La phase de planification peut comprendre la réunion d’ouverture de
l’audit, en présence des audités. Cette réunion peut se faire pendant la
phase de planification, ou à son terme lors du lancement de la phase
terrain.
La lettre de mission signée par l’autorité compétente définie dans la
charte d’audit interne est adressée à l’équipe d’audit et au superviseur.
Selon des modalités fixées par chaque ministère, la lettre de mission peut
être transmise aux responsables des entités ou activités directement
concernées par l’audit.
Préparée avec ou par l’équipe d’audit, elle fixe le cadre général de
l’intervention, l’entité ou le thème audité et les délais à respecter, selon
les attentes précisées préalablement par les autorités compétentes.
Elle guide l’ensemble des travaux menés par l’équipe d’audit et peut être
complétée par un cahier des charges ou un document de cadrage, qui
précisera le cadre d’intervention, les travaux d’audit à conduire et qui sera
soumis à validation conformément à la charte d’audit interne.
Autres normes à rappeler oralement, cf. module 2 pour leur présentation détaillée
2040 – Règles et procédures
Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à
l'activité d'audit interne.
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et chercher à coordonner ses activités avec les autres
prestataires internes et externes d'assurance et de conseil.
2060 – Rapports à l’autorité hiérarchique et au comité d’audit interne
Le responsable de l'audit interne doit rendre compte périodiquement à l’autorité hiérarchique dont
il relève ainsi qu’au comité d’audit interne des missions, des pouvoirs et des responsabilités de
l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre
compte :
de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles
correspondants ;
des sujets relatifs à la gouvernance ;
 de tout autre problème répondant à un besoin ou à une demande des autorités hiérarchiques ou
du comité d’audit interne.
Cette phase renvoie à plusieurs autres normes en matière de fraude et de technologies de
l ’information, à présenter oralement ; cf. module 2

1210.A2 - Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la
façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne
dont la responsabilité première est la détection et l'investigation des fraudes.
1210.A3 - Les auditeurs internes doivent posséder des connaissances suffisantes des principaux risques et contrôles
relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre
dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder
l'expertise d'un auditeur dont la responsabilité première est l'audit informatique.
1210.C1 - Le responsable de l'audit interne doit décliner une mission de conseil ou obtenir l'avis et l'assistance de
personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire ou les autres
compétences nécessaires pour s'acquitter de tout ou partie de la mission.
Un dossier d’audit est constitué pour chaque mission ; il est structuré en
fonction des préconisations de la charte de l’audit interne ou des principes
directeurs les déclinant propres à chaque ministère.
A minima, il doit comprendre un sous-dossier pour chaque grande phase,
préparation, évaluation ou terrain, restitution. Un dossier dédié à la
supervision doit aussi être prévu.
Cf. module 3.
Cette prise de connaissance doit être formalisée et documentée (comptes
rendus de réunions et d’entretiens de prise de connaissance formalisés,
archivage dans le dossier d’audit des travaux de recherches et
d ’exploitation documentaire, statistique…)
Cette prise de connaissance doit être formalisée et documentée (comptes
rendus de réunions de prises de connaissance formalisés, archivage
dans le dossier d’audit des travaux de recherche et d ’exploitation
documentaire, statistique…)
Dans ces phases de prises de connaissance, il apparaît que très souvent
un ou plusieurs systèmes d’information font partie du périmètre audité.
La bonne appréhension, à ce stade de la préparation de la mission, des
fonctionnalités, des possibilités de restitution (dans la perspective
d’élaboration de tests notamment), des mesures de sécurité
embarquées...de ces SI sont souvent prépondérantes pour la bonne
conduite de la mission.
Les acteurs du fonctionnement du SI concerné (MOA, MOE, chefs de
projets…) devraient donc être intégrés, dès la préparation, dans les
entretiens de prise de connaissance.
Tous les entretiens préparatoires sont formalisés dans des questionnaires
de prise de connaissance (QPC), et le cas échéant validés par les
interlocuteurs rencontrés.
Il n ’y a pas de modèle standard de QPC d’autant plus qu’ils ne sont pas
toujours nécessaires. Les questions ne doivent pas être trop nombreuses
et se limiter aux éléments les plus utiles a priori.
Le périmètre d’audit interne doit comprendre tous les contrôles requis
pour donner l’assurance raisonnable que les risques sont efficacement
gérés.
A partir des résultats de l’étape précédente, les auditeurs entament une
analyse visant à identifier et documenter les risques inhérents qui ont trait
au(x) domaine(s) audité(s).
Cette analyse doit aboutir à la formalisation d’une matrice d’analyse des
risques des activités auditées. La matrice est presque toujours
nécessaire.
Cette première approche des risques n’est toutefois pas définitive. Elle
sera amendée et complétée au cours de l’audit.
La matrice d’analyse des risques finalisée et synthétisée permettra ainsi
d’étayer l’opinion que les auditeurs doivent émettre en fin de mission sur
la qualité des dispositifs de maîtrise des risques.
L’analyse de l’environnement du domaine audité et l’analyse préalable
des risques aboutissent à la rédaction d’un cahier des charges (ou
document de cadrage).
Le cahier des charges a pour but de présenter les enjeux de l’audit et la
façon dont l’équipe d’audit a circonscrit son intervention. Il est rédigé par
l’équipe d’audit à partir de la lettre de mission et de l’identification
préalable des risques.
Il peut être transmis aux autorités hiérarchiques compétentes.
Il peut également être transmis à l’entité auditée afin que celui-ci
comprenne la logique de l’audit et puisse s’organiser en conséquence.
En annexe du cahier des charges figurent a minima la lettre de mission et
la matrice provisoire des risques.
Le cahier des charges s’attachera à :
• présenter de manière précise les objectifs de la mission, la logique des
investigations et les orientations incluses dans la lettre de mission ;
• présenter le champ de l’audit en faisant référence aux missions et
activités de l’entité auditée, aux risques identifiés par l’équipe d’audit
(issus du tableau des risques), aux référentiels utilisés, aux entités au
sein desquelles l’équipe interviendra et enfin aux relations existant entre
ces différentes entités ;
• décrire le déroulement théorique de la mission en précisant
éventuellement les modalités pratiques à préparer par l’audité ;
• fixer le calendrier prévisionnel de la mission ;
• décrire la composition de l’équipe
• mentionner explicitement les éventuelles limitations volontairement
fixées ou imposées à l ’étendue de l ’audit.
Le cahier des charges s’attachera à :
• présenter de manière précise les objectifs de la mission, la logique des
investigations et les orientations incluses dans la lettre de mission ;
• présenter le champ de l’audit en faisant référence aux missions et
activités de l’entité auditée, aux risques identifiés par l’équipe d’audit
(issus du tableau des risques), aux référentiels utilisés, aux entités au
sein desquelles l’équipe interviendra et enfin aux relations existant entre
ces différentes entités ;
• décrire le déroulement théorique de la mission en précisant
éventuellement les modalités pratiques à préparer par l’audité ;
• fixer le calendrier prévisionnel de la mission ;
• décrire la composition de l’équipe
• mentionner explicitement les éventuelles limitations volontairement
fixées ou imposées à l ’étendue de l ’audit.
Au cours ou à l’issue de la phase de préparation, une réunion d’ouverture
de l’audit peut être organisée avec les audités (dont le responsable de
l’entité, dans la mesure du possible).
Cette réunion associe les auditeurs choisis pour réaliser la mission.
La réunion d’ouverture a pour objet de présenter à l‘audité les enjeux de
l’audit, ses objectifs, son cadre général et les modalités pratiques de son
déroulement (notamment son calendrier). Elle est également l’occasion
d’un premier échange direct sur les problématiques spécifiques
rencontrées par l’entité.
Elle permet aux auditeurs :
• d’identifier les acteurs concernés, les enjeux et les éléments de contexte
spécifiques,
• d’organiser les premiers entretiens à conduire au titre de la phase
d’évaluation,
• de solliciter les premiers éléments documentaires.
La réunion d’ouverture est aussi l’occasion pour l’audité de réagir sur le
contenu du cahier des charges s’il lui a été transmis en préalable.
Elle donne lieu, le cas échéant, à un compte rendu diffusé aux
participants.
Elle ouvre la phase d’accomplissement (ou phase « terrain ») de l’audit.
Réponses :

La lettre de mission est signée par les auditeurs.


=> FAUX : la lettre de mission est signée par l’autorité désignée
dans la charte d’audit.

Il faut s’assurer qu’individuellement les connaissances, les savoir faire


sont disponibles au sein de l’équipe d’audit.
=> FAUX : il faut s’assurer que les connaissances soient
collectives.

Les dispositifs de CI théoriques sont censés faire échec aux risques


inhérents.
=> VRAI

Le programme de travail peut varier, dans forme et son contenu, selon la


nature de la mission.
=> VRAI
30
31
32
Cette analyse doit conduire à une actualisation de la matrice d’analyse
des risques.
Au cours de cette phase, l’équipe d’audit doit identifier et analyser les dispositifs
de contrôle interne. Pour identifier les mesures de contrôle interne adéquates,
les auditeurs peuvent s’appuyer sur un questionnaire de contrôle interne (QCI)
qui recense les questions permettant de circonscrire dans le détail les
dispositifs de contrôle interne. Ces questionnaires sont également utiles pour
conduire des entretiens avec les responsables opérationnels et les agents
chargés des tâches d’exécution.
Tous les entretiens font l’objet d’un compte-rendu rédigé sur un papier de travail
référencé qui peut être complété par des schémas ou des logigrammes,
accompagné éventuellement de pièces justificatives (preuves d ’audit positives
ou négatives).
Les QCI sont le cas échéant soumis à la validation des audités.
Une fois que la description des dispositifs de contrôle interne est stabilisée, les
auditeurs testent leur fonctionnement. Ils peuvent le faire en réalisant deux
principaux types de tests :
• des tests de permanence : il s’agit de vérifier qu’une activité de contrôle est
bien en place ;
• des tests de cheminement : il s’agit de suivre une information et vérifier qu’elle
passe bien par tous les points de contrôle qu’elle est censée subir.
Les auditeurs ne se limitent pas au seul constat. Ils doivent identifier l’origine
des déficiences. La recherche des causes peut conduire à l’analyse exhaustive
d’un domaine ou d’un processus.
Tout test fait l’objet d’un papier de travail retraçant l’objectif du contrôle, les
résultats obtenus, la description du travail réalisé, les points relevés, les causes
détectées et les recommandations apportées.

37
Lorsqu’ils sont possibles, les tests des données produites par la structure
auditée permettent d’apprécier objectivement la portée de l’efficacité du
dispositif de contrôle interne.
Le choix de l’utilisation d’un échantillonnage statistique ou non, doit
systématiquement être posé :
· L’échantillonnage statistique permet à partir d’un échantillon prélevé
aléatoirement dans une population de référence, dont la taille ne permet
pas une analyse exhaustive, d’extrapoler à l’ensemble de la population
les observations effectuées sur l’échantillon ;
· L’échantillonnage non statistique permet à partir d’un (ou plusieurs)
échantillon(s) prélevé(s) aléatoirement (ou non) dans une population de
référence, dont la taille ne permet pas une analyse exhaustive, de
dégager un enseignement concernant la population observée.
41
S ’il est nécessaire de recommander la réparation de l’anomalie, il faut
aussi surtout comprendre pourquoi elle est survenue, et donc trouver la
recommandation plus profonde qui permettra d’éviter qu’elle ne survienne
à nouveau.
Pour présenter de manière synthétique les dysfonctionnements, la fiche
de révélation et d ’analyse de problème (FRAP) peut être utilisée.
La FRAP doit être validée par l’audité
Un exemple de FRAP figure dans le diaporama annexe « CHAI - module
4 - exemples »
Cet exemple peut être projeté aux participants

.
45
L’évaluation du contrôle interne n’est nécessaire que lorsque le risque
inhérent est élevé.
=> FAUX

Les dispositifs de contrôle interne annoncés par l’audité doivent être


effectifs et traçables.
=> VRAI

Les tests sont réalisés dans des papiers qui ne sont pas joints au dossier
d’audit.
=> FAUX

Les tests sont réalisés sur un volume représentatif de données.


=> VRAI
La norme 2410 est complétée de la norme 2410 A3 est présentée page 51, et
plus spécifiquement pour les missions de conseil de la norme 2410 C1 ci-
dessous, à présenter oralement.

2410.C1 – La communication sur l'avancement et les résultats d'une mission de


conseil variera dans sa forme et son contenu en fonction de la nature de la
mission et des besoins du bénéficiaire.
La réunion de clôture permet à l’équipe d’audit une première formalisation
de la synthèse de ses travaux. Elle constitue aussi la communication
formalisée et systématique de ses travaux aux audités. Il est souhaitable
que le chef de l’entité auditée participe à cette réunion.
Elle est l’occasion pour les audités d’avoir une vision globale des travaux
de l’audit et une prise en compte des constats et des recommandations.
Elle leur permet de :
• faire valoir d’éventuels points qui auraient été partiellement ou pas pris
en compte par les auditeurs
• exprimer des éléments d’analyse ou leur point de vue éventuellement
différent de celui des auditeurs ;
• prendre connaissance des points forts identifiés
• prendre connaissance des points motivant des recommandations et de
se prononcer sur la pertinence de ces dernières et sur leur applicabilité.
Pour préparer la réunion de clôture, les auditeurs établissent la liste des
constats et des recommandations à partir des constats relevés dans les
papiers de travail (utilisation possible des FRAP).
La réunion de clôture doit permettre de présenter aux audités et de faire
valider tous les constats et les projets de recommandations établis par les
auditeurs.
Ensuite, selon les méthodologies propres à chaque ministère :
• soit, la réunion de clôture donne lieu à compte rendu, soumis à
validation, ce qui permet aux audités de réagir par écrit au titre de la
phase contradictoire. Dans ce modèle, le rapport provisoire n’est adressé
qu’aux directions ou services des administrations centrales
« propriétaires » des processus métiers concernés ;
• soit, les audités sont destinataires directement du rapport provisoire qui
sert ainsi de support à la phase contradictoire.
Le travail de l’équipe d’audit est retracé et synthétisé dans un rapport
provisoire.
Le rapport provisoire est adressé aux responsables désignés pour mettre
en oeuvre les recommandations.
Le rapport provisoire est rédigé par les auditeurs. Il présente les constats
effectués et propose des recommandations.
Il peut être signé par chacun des membres de l’équipe d’audit et le cas
échéant par le superviseur de la mission.
Les recommandations ont vocation à être reprise dans un plan d ’action
proposé par l ’audité.
« Une recommandation d’audit fait suite à une observation qui aura identifié un
dysfonctionnement, une inefficacité ou un risque résiduel qui n’est pas jugé
acceptable dans le contexte de l’entreprise. La recommandation aura donc
vocation à susciter un ou des plans d’actions visant à réduire le niveau du
risque. Elle sera considérée comme mise en oeuvre quand l’auditeur en charge
de son suivi estimera que le niveau de risque est (re)devenu acceptable ». (DE
ARAUJO P, LECLERCQ J, REYNAUD JM, Pourquoi, comment, suivre la mise en
oeuvre des recommandations d’audit, Revue Audit N°188)
Les recommandations véhiculent lorsqu ’elles sont reprises en actions
elles-mêmes réalisées la plus value de l ’audit interne.
C ’est pourquoi leur suivi est particulièrement important.
Cf. module 3
Le contradictoire écrit a pour but d’identifier clairement ce sur quoi l’audité
s’engage en matière de mise en oeuvre des recommandations émises
par les auditeurs.
Le contradictoire écrit permet à l’audité de répondre, le cas échéant, au
compte rendu de la réunion de clôture et au rapport provisoire.
Pour chacune des recommandations du rapport provisoire, l’audité doit
indiquer son acceptation, totale ou partielle, ou bien son refus.
S’il accepte tout ou partie d’une recommandation, l’audité doit aussi
valider ou préciser l’échéance de mise en oeuvre et les modalités de sa
mise en oeuvre.
L’audité est libre, par ailleurs, de faire tous les commentaires qu’il
souhaite sur les constats et recommandations.
Le rapport définitif se construit à partir :
• de la validation, implicite ou explicite, par l’audité, des observations
formulées par les auditeurs ;
• de la réaction de l’audité aux recommandations (faisabilité,
calendrier…), ceci devant aboutir à la production du plan d’action par les
audités ou le « propriétaire » du processus.
Le superviseur, lors de la préparation du rapport définitif, s’assure
notamment de la bonne exploitation par les auditeurs de ces éléments de
réponse transmis par l’audité et, le cas échéant, de la pertinence et la
qualité des nouvelles observations des auditeurs en réponse.
Le rapport définitif intègre donc, le cas échéant, les modifications pouvant
être retenues dans le cadre de la phase contradictoire et le plan d’action
produit par les audités ou le « propriétaire » du processus.
Le rapport définitif constitue le document ultime de la mission d’audit qui
tient compte de la réponse de l’audité et des autres destinataires des
recommandations (« propriétaires de processus ») aux constats et
recommandations émis par l’équipe d’audit.
Cette dernière peut, exprimer son opinion sur le plan d’action proposé par
l’audité et les autres destinataires des recommandations (« propriétaires
de processus »).
Le plan d’action, intégré au rapport définitif, est proposé par l’audité et les
autres destinataires des recommandations (« propriétaires de processus
») qui doivent mettre en oeuvre les actions issues des recommandations
des auditeurs devenues définitives et acceptées comme telles à l’issue de
la phase contradictoire.
Le rapport définitif est transmis aux destinataires appropriés.
Cf.module 3
La réunion de clôture permet éventuellement de corriger les constats et
de tenir compte des observations des audités.
=> VRAI

Les recommandations ne sont pas toujours priorisées en fonction des


enjeux et des risques.
=> FAUX

A l’issue du contradictoire écrit les recommandations sont acceptées par


les audités.
=> FAUX

Le responsable de l’audit interne doit transmettre les résultats aux


destinataires des recommandations.
=> VRAI mais pas seulement la norme CRAI-NF 2440 utilise les
termes « destinataires appropriés ».
La supervision a pour objectif de :
- donner des instructions et des orientations durant la mission d'audit
- vérifier que le programme de travail, préalablement défini, a été respecté
- s'assurer que les constatations, aboutissant à des conclusions et des
recommandations, sont justifiées par des éléments probants
- garantir la réalisation de la commande et la qualité des travaux
- garantir la professionnalisation des auditeurs par le respect des normes
du CRAIE