Mise en Place D Une Cellule D Audit Interne Au Sein de L Entreprise Publique PDF

Institut Supérieur de Commerce et d’Administration des Entreprises
DIPLOME NATIONAL D’EXPERTISE
Mémoire pour l’obtention

du Diplôme National d’Expert Comptable
MISE EN PLACE D’UNE CELLULE

D’AUDIT INTERNE AU SEIN
DE L’ENTREPRISE PUBLIQUE
Présenté par : Moncef BELOULIED
Membres du jury
Président
M. Mohamed Khalid BEN OTMANE - Expert Comptable DPLE
Directeur de recherche
M. Adib BENBRAHIM - Expert Comptable DPLE
Suffragants
M. Mohamed BOUMESMAR - Expert Comptable DPLE
M. Aziz EL KHATTABI - Expert Comptable DPLE
Novembre 2009
MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE
Remerciements
Je tiens à remercier ma mère et mon épouse pour leur soutien moral,

ainsi que toutes les personnes qui m’ont aidé et encouragé pour la
réalisation de ce travail.
Mes remerciements vont particulièrement :
A M. Adib BENBRAHIM
Mon directeur de recherche, pour ses précieux conseils et encouragements
pour l’aboutissement de ce travail de recherche.
Aux Membres du Jury

Lesquels par leurs remarques et leurs observations m’ont permis
d’améliorer la qualité de mon travail.
A M. Rachid M’RABET,
Directeur de l’ISCAE qui veille continuellement à la qualité de la formation
assurée au sein de cet Institut, à tout le personnel et le corps enseignant
de l’ISCAE pour les efforts qu’ils déploient pour la continuité et la réussite
du cycle d’expertise comptable.
Je dédie cet humble travail à mon père que Dieu garde son âme
et lui offre sa totale bénédiction et miséricorde.
1
SOMMAIRE
Pages
INTRODUCTION………………………………………………………………………. 3
PREMIERE PARTIE: PRATIQUES ET MISE EN PLACE

DE L’AUDIT INTERNE……………………………………………………………… 8
CHAPITRE I : DEFINITION DE L’ACTIVITE DE L’AUDIT INTERNE… 9

SECTION 1 : L’évolution historique et les objectifs de l’audit interne……….9
SECTION 2 : Concept et standards de l’audit interne………………………………. 16
CHAPITRE II : LES FONCTIONS VOISINES DE L’AUDIT INTERNE…. 22

SECTION 1 : Les partenaires externes………………………………………………………. 22
SECTION 2 : Les partenaires internes…………………………………………………………28
SECTION 3 : Les partenaires publics…………………………………………………………. 34
CHAPITRE III : LES PREALABLES A LA CREATION

DE LA CELLULE D’AUDIT INTERNE………………………………………………………..39
SECTION 1 : Périmètre d’intervention de l’audit interne…………….…………… 40
SECTION 2 : Le plan d’audit et l’organisation des moyens………………………. 44
SECTION 3 : La communication et les résultats de l’audit interne…………… 48
DEUXIEME PARTIE : METHODOLOGIE DE CREATION

DE LA FONCTION ET MISE EN PLACE DES OUTILS
DE L’AUDIT INTERNE……………………………………………………………………52
CHAPITRE I : L’ORGANISATION D’UN SERVICE D’AUDIT INTERNE 53

SECTION 1 : Positionnement de l’audit interne…………………………………………. 53
SECTION 2 : Dimensionnement de l’audit interne……………………………………..57
CHAPITRE II : MISE EN PLACE D’UNE METHODE DE GESTION

ET ANALYSE DES RISQUES………………………………………………………………………75
SECTION 1 : Les différentes étapes du processus de gestion des risques. 75
SECTION 2 : Cartographie des risques et plan d’audit interne…………………88
CHAPITRE III : METHODOLOGIE DE MISSION……………………………………105

SECTION 1 : La conduite d’une mission d’audit interne…………………………… 105
SECTION 2 : Les outils d’audit interne………………………………………………………. 112
CONCLUSION………………………………………………………………………… 120
2
INTRODUCTION
3
INTRODUCTION
L’audit interne
Enjeu majeur pour une meilleure
gouvernance des entreprises publiques
Limité au départ à l’appréciation des informations comptables et financières,
l’audit interne couvre actuellement un champ de plus en plus vaste qui touche les
différents domaines de gestion de l’entreprise et les différentes activités. Il est
devenu un outil fondamental d’aide à la gestion et au pilotage des organisations.
D’une manière générale, il peut être défini comme la vérification de l’information

comptable et financière et/ou de gestion par une personne indépendante,
objective et compétente, suivant une démarche spécifique et par référence à des
normes préétablies.
La grande diversité dans la pratique de l’audit a entraîné l’extension de cette

pratique, de la grande entreprise à la petite et moyenne entreprise et du secteur
privé au secteur public.
L’extension au secteur des entreprises publiques a connu une évolution

importante. En effet, limité au départ aux activités stratégiques productives, ce
secteur s'est étendu pour englober les différentes activités économiques du pays.
Dans un environnement de plus en plus complexe et en perpétuel changement,

l’audit interne ne s’est plus limité à signaler les éventuels dysfonctionnements en
matière de contrôle interne; il joue un rôle de dynamisation au sein de
l’organisation et apporte une plus-value en s’orientant davantage vers le conseil,
le service et la prévention.
Par ailleurs, la modernisation de la gestion des entreprises publiques ne pouvait

se faire sans une remise en question du système de contrôle de ces entreprises.
Ainsi plusieurs textes, notamment la circulaire et les décisions ministérielles de

septembre 1993 sur l’organisation de la fonction d’audit, ont mis l’accent sur la
création d’un environnement favorable, à la promotion de l’audit interne et de la
bonne gouvernance au sein des entreprises publiques.
Dans cette perspective, la loi 69-00 entrée en vigueur en 2004, relative au

contrôle des entreprises publiques a retenu pour principal objectif de fournir à
ces entreprises, un dispositif de contrôle moderne, permettant une large
autonomie des organes d’administration et de direction, une transparence de la
gestion et une grande maîtrise des risques.
La loi prévoit que les organismes soumis au contrôle d’accompagnement doivent

se doter des instruments de gestion suivants :
- Un organigramme fixant les structures organisationnelles de gestion et d’audit
interne de l’établissement ainsi que leurs fonctions et attributions.
4
- Un manuel décrivant les procédures de fonctionnement des structures et de

contrôle interne de l’établissement.
Les déclarations gouvernementales soulignent l’engagement constant du

gouvernement à jeter les bases d’une administration moderne, efficiente,
responsable et citoyenne. Le secteur public a implicitement connu de profonds
changements et doit désormais concilier qualité du service délivré et exigences
en matière de performance et de transparence, alors même que les grands
enjeux de l’économie et des finances bouleversent encore son équilibre.
Les efforts déployés ont porté essentiellement sur la modernisation du contrôle

financier, la rationalisation de la gestion, la restructuration d’un certain nombre
d’entreprises et le lancement des opérations d’audit ….
Parallèlement un programme de révision des structures et des méthodes de

gestion a été entamé. Il vise un double objectif, d'une part doter les
gestionnaires de ces entreprises d’une structure d’audit interne, d'autre part,
assurer une certaine transparence de la gestion vis à vis des différents
partenaires.
Les référentiels traitant l’audit interne existent pour préparer les gestionnaires
dans l’accompagnement de la conduite des missions d’audit interne, mais le
constat demeure évident qu’il manque relativement des manuels, sur la
méthodologie de création d’une structure dédiée et d’outils de planification.
S’agissant d’un secteur complexe, régi par un dispositif légal et réglementaire

spécifique, l’élaboration de guides de la pratique d’audit interne et d’outils pour
la mise en œuvre d’une méthodologie, conforme aux pratiques internationales et
de réalisation des missions est d’une grande utilité.
Ces guides destinés aux professionnels actuels ou futurs pour les aider dans la
planification et le suivi des missions, aux entreprises pour les assister dans
l’atteinte de leurs objectifs peuvent être très incitatifs.
Le présent mémoire se propose d’apporter sa contribution à cette assistance à

travers l’énoncé de mise en place d’une cellule d’audit interne dans l’organisation
d’une entreprise publique, de définir l'audit interne, clarifier les concepts, situer
son importance, son organisation et sa mise en œuvre dans l'entreprise publique
notamment.
Ce mémoire, qui a surtout pour objectif de proposer la mise en place d’une

cellule d’audit interne au sein d’une entreprise publique s’articule autour de deux
parties.
PRATIQUES ET MISE EN PLACE DE L’AUDIT INTERNE
METHODOLOGIE DE CREATION DE LA FONCTION ET MISE EN PLACE DES
OUTILS DE L’AUDIT INTERNE
La première partie du sujet permet de situer l’entreprise publique dans son

contexte légal en désignant sa nature, ses caractéristiques et les différents
contrôles auxquels elle est soumise. Ensuite, elle traite des divergences de l’audit
interne avec les fonctions voisines, internes, externes et publiques et enfin des
5
différents préalables et étapes de conception de la fonction en se référant aux

normes de la pratique professionnelle.
L’action de l’administration publique dorénavant régie par une vigilance accrue

quant aux performances des entreprises publiques et des impératifs de résultat,
a entraîné la mise en place des systèmes de gestion et de contrôle interne, de
structure organisationnelle de gestion et d’audit interne, ainsi que l’obligation de
rendre compte et de transparence.
L’exigence de l’Etat pour la transparence de la gestion des deniers publics et

l’évolution rapide de l’environnement économique concurrentiel constituent
autant de motifs pour la recherche de l’amélioration de la gestion de ces
entreprises, par la mise en œuvre des dispositifs de contrôle et d’instruments
permettant la maîtrise de ses opérations.
Les évaluations de ces dispositifs par l’audit interne contribuent au respect et à la

conformité de la réglementation en vigueur à tous les niveaux, à l’obligation de
rendre compte, à la préservation du patrimoine public et à la garantie de la
fiabilité des informations à caractères financier et comptable.
Toute la mise à niveau à travers les pratiques énumérées est bâtie sur le modèle
devenu maintenant universel de la « gouvernance d’entreprise » qui rompt avec
les pratiques qui prévalaient dans la mesure où il réserve une place privilégiée à
l’audit du fait de la création obligatoire auprès du conseil d’administration d’un
« comité d’audit » indépendant de la direction qui diligente et suit les audits
internes et externes et qui veille à la mise en œuvre effective des
recommandations des auditeurs.
Les thèmes proposés par la seconde partie portent sur le fonctionnement et

l’organisation du service d’audit interne, sur la description de l’environnement
professionnel - en termes de ressources humaines et matérielles - marqué
surtout par les mesures et standards permettant l’amélioration de la gestion des
entreprises publiques.
Cette partie est également consacrée à l’élaboration des méthodologies,

détaillant ainsi les outils et la démarche à suivre. Elle s’attache à décrire la
démarche d’audit à mettre en place afin d’aider l’auditeur dans la conduite et le
suivi de ses missions. Les aspects pratiques sont largement abordés afin de
répondre aux principales interrogations de l’auditeur, quant à la réalisation des
travaux d’audit, à la rédaction des rapports et au suivi des recommandations.
Cette partie a aussi pour objectif de proposer une méthodologie de travail basée
sur la mise en place d’une modélisation des risques, en identifiant les risques
propres aux entreprises publiques, ainsi que ceux liés à l’environnement de
contrôle et à la culture des entreprises publiques en matière de sensibilité aux
risques. L’analyse conduira à l’élaboration d’une cartographie des risques et d’un
plan d’audit.
Les entreprises, quelle que soit leur taille, leur statut juridique, leur localisation,
ont dans ce contexte de bouleversements de l’économie mondiale perdu leurs
traditionnels repères se retrouvant de ce fait, démunis face aux nouveaux
risques auxquels elles sont confrontées.
6
Les dirigeants, conscients de la menace doivent repenser un « cadre de

contrôle » approprié, basé sur les risques et redéfinir le concept de contrôle
interne en fonction de l’expansion du champ du risque, entraînant l’audit interne
dans une prise en compte plus engagée au niveau de la gestion des risques et
l’adoption d’une démarche intégrée de gestion de ces risques, au sein de laquelle
la gestion des processus occupe une place majeure.
Les méthodes de gestion des risques classiques sont devenues insuffisantes et

inadaptées dans le cadre d’une amélioration continue des performances de
l’entreprise à long terme.
L’anticipation des risques ainsi que leur gestion sont parmi les solutions à ces
nouvelles problématiques. La maîtrise des risques par les acteurs du secteur
public est donc plus que jamais un élément essentiel à prendre en compte dans
la conduite des missions.
Cette partie incite le management des organisations publiques (directeurs

généraux, conseil, directions) à fortement se convaincre de l’intérêt de la gestion
des risques et de la nécessité de s’appuyer sur des dispositifs explicités de
contrôle interne efficaces. Cela passe par une meilleure intégration de la
cartographie dans le pilotage des risques.
Sommairement le mémoire démontre comment l’audit interne trouve sa

légitimité à travers l’objectif qu’il vise, à savoir détecter les dysfonctionnement,
ajuster les dispositifs de contrôle interne, renforcer et soutenir les centres de
responsabilités à maîtriser davantage leurs activités pour atteindre les objectifs
et permettre à l’entreprise l’adaptation aux nouvelles données.
L’autre but à atteindre est de sensibiliser les organes délibérants et conseils

d’administration, aux atouts que l'audit interne peut leur apporter dans l'exercice
de leurs responsabilités.
Mais le principal objectif assigné est le développement de l’audit interne au Maroc

à travers ce mémoire destiné pour la promotion de l’audit interne, l’aide aux
organisations dans la mise en place de structures d’audit interne spécifiques, la
promotion des règles de déontologie, d’éthique, et des normes professionnelles…
et à ainsi revenir sur les principes universels remis à l’honneur par la
gouvernance d’entreprise.
7
PREMIERE PARTIE :
PRATIQUES
&
MISE EN PLACE
DE L’AUDIT INTERNE
8
CHAPITRE I
DEFINITION DE L’ACTIVITE DE L’AUDIT
INTERNE
L’audit interne est une activité systématique et méthodologique, fondée sur des
normes, des réglementations, des documents et des outils qui constituent le
cadre de travail dans lequel évolue la fonction.
Organisé avec méthode et rigueur, agissant selon un système de pensée

ordonnée, l’audit interne constitue une méthodologie qui vérifie la conformité du
traitement des faits avec les règles, les normes et les procédures du système de
contrôle interne, menée par une personne indépendante et compétente. Le
respect par celui ci des normes professionnelles et l’application des standards
professionnels sont fortement recommandés.
Les référentiels internationaux sont utilisés pour développer une pratique

homogène de l’audit interne sur la sphère de toutes les entreprisses publiques et
privées. L’audit interne touche ainsi toutes les activités de l'entreprise, assure
une grande variété de services d'audit et de conseil, effectue ses différentes
tâches selon un planning et un échéancier précis. A sa charge aussi d'identifier
et d'évaluer les risques par le biais d'un ensemble de règles et de procédures
définies.
SECTION 1 : L’évolution historique et les objectifs

de l’audit interne
1. L’évolution historique de l’audit interne
1.1. L’évolution de la fonction
L’audit interne est une fonction relativement récente, puisque son apparition aux
Etats Unis remonte à la crise économique de 1929, caractérisée par une
information financière trompeuse, pour initialement assister les experts
comptables lors des travaux de certifications des comptes. Cette certification
n’était accordée par les experts comptables qu’après de nombreuses vérifications
aussi rigoureuses que coûteuses, qui ont nécessité d’instaurer une vérification
interne, réalisée par des salariés à plein temps, pour effectuer une analyse
approfondie des comptes avant la transmission des documents.
Au début, les auditeurs internes n’étaient que des ‘‘sous traitants’’ des auditeurs
externes et ne jouissaient pas d’un grand prestige dans les entreprises. Peu à
peu, ils se sont différenciés de leurs homologues de l’audit externe qui se sont
cantonnés dans l’examen des documents comptables officiels. Les auditeurs
internes étendirent ensuite leur domaine d’action pour progressivement
s’intéresser à toutes les opérations de gestion.
La réorientation de l’audit interne vers les domaines de gestion autres que

l’examen classique des comptes, a largement contribué à rehausser son image
9
de marque et à prendre de l’importance. Parmi les autres facteurs qui ont

favorisé la création de l’audit interne figuraient aussi la taille des entreprises et
l’éloignement ou la dispersion géographique des unités les composant.
Ainsi apparut le statut de l’auditeur interne qui a vu ses attributions progresser

de l’audit comptable et financier à l’audit de gestion. L’auditeur interne s’est
transformé en véritable consultant au service des dirigeants, pour répondre à
leurs attentes, en leur fournissant des recommandations opérationnelles visant
l’amélioration de l’efficacité et de la rentabilité de leurs entreprises.
L’intégration de l’audit interne dans la culture de l’entreprise et la vocation de

l’audit interne se sont nettement développées avec la création en 1941 aux Etats
Unis de l’Institut des Auditeurs Internes (IIA) « The Institute of Internal
Auditors». L’IIA est depuis le leader incontesté et l’autorité reconnue de la
profession à l’échelle mondiale. C’est une association professionnelle qui a pour
objet d'assurer la diffusion des idées et des techniques les plus modernes en
matière d'audit interne. Elle regroupe 246 associations affiliées dans le monde et
sert plus de 165 000 membres dans le domaine de l’audit interne, de la gestion
des risques, de la gouvernance, du contrôle interne, de l’éducation et de la
sécurité dans 165 pays. Elle définit le cadre de référence de la pratique
professionnelle de l'audit interne et reste reconnue comme la principale référence
en matière de formation, de publication, de certification, des directives
techniques et de recherche en audit interne.
La pratique va s’étendre simultanément à tous les pays. En France, la fonction

est apparue dans les années 60 et s’est développée avec la création de l’Institut
Français des Auditeurs Consultants Internes (IFACI) créé a Paris en 1965 et
rattaché à l’IIA. Cet institut a pour vocation de :
- Promouvoir l’audit interne en France et dans les pays francophones.
- Accroître la compétence professionnelle et technique de ses membres.
- Diffuser et préserver la déontologie de l’audit interne.
Au Maroc, l’introduction de l’audit a commencé avec l’implantation des grandes

multinationales, pour ensuite toucher les grandes entreprises marocaines
structurées. L’usage a contribué pour sa part à son extension pour lui imprimer
une fonction étendue à tous les organismes, ne se limitant pas au monde de la
grande entreprise, mais même aux établissements publics et aux PME. La
constitution de l’Association Marocaine des Auditeurs Consultants Internes est
significative à cet effet. «L’AMACI » créée en 1985 pour la promotion de l’audit
interne au Maroc compte aujourd’hui près de 170 adhérents. Signe d’une
évolution constante. « AMACI » est membre aujourd’hui de l'Institute of Internal
Auditors (IIA) depuis 1991, de l'Union Francophone de l'Audit Interne (UFAI)
depuis 1998 et de la Confédération Européenne des Instituts d'Audit Interne
(ECIIA) depuis 1997.
1.2. L’évolution au Maroc du contexte juridique

L’audit interne qui ne disposait d’aucune assise juridique incitative à la création
de la fonction est demeuré lié aux standards et aux recommandations
internationales. Il a fallu attendre la circulaire de septembre 1993, la loi n°17/95
relative aux sociétés anonymes et la circulaire N° 6 de Bank Al Maghrib pour
10
qu’un début de structuration voit le jour à travers notamment la constitution des

comités d’audit.
Ce contexte et l’environnement économique en général ont suscité l’intérêt de
l’audit dans les établissements publics et privés puisque de nouvelles règles ont
vu le jour :
- La lettre Royale du 19 juillet 1993 qui a force de loi a été adressée par
S.M. Le Roi au Premier Ministre, l’invitant à soumettre certaines grandes
entreprises et organismes publics à l’audit.
- La circulaire du Premier Ministre de septembre 1993, a repris les
instructions royales et décrété la soumission de tous les aspects de la
gestion des entreprises et organismes publics à l’audit interne et externe
et demandé la création des départements d’audit interne, au sein des
établissements publics à caractère industriel et commercial et institué des
Inspections Générales au sein des établissements publics à caractère
administratif.
- La décision DPE 113/70/16 du 23 Septembre 1993 organisant la fonction
d’audit des entreprises publiques, en les soumettant notamment à deux
types : L’audit financier, l’audit interne.
- La réforme du contrôle financier de l’Etat sur les entreprises publiques et
les autres organismes instituée par la loi n° 69-00, relative au contrôle
financier.
- La loi relative à l’institution de la Cour des Comptes et des Cours des
Comptes Régionales.
- La loi n°62-99 formant code des Juridictions financières, oblige tous les
départements d’audit à communiquer à la Cour des comptes leurs rapports
d’audit.
1.2.1. L’audit des entreprises et organismes publics
L’audit des entreprises et organismes publics a connu un développement certain,

suite à ces textes qui ont mis l’accent sur la création d’un environnement
favorable à la promotion de l’audit et de la bonne gouvernance au sein des
établissements publics et des ministères. Ces mesures ont permis la mise en
place effective de nombreuses cellules, dans plusieurs entreprises et organismes.
Le recours à l’audit interne ne s’est pourtant pas généralisé de façon
systématique à toutes les composantes du secteur public.
Dans certains ministères, les inspections générales ont développé de plus en plus
cette activité parallèlement à celle se rapportant à l’inspection pure. Le ministère
de l’Equipement a institué une cellule d’audit interne, rattachée au secrétaire
général qui prend en charge toutes les activités d’audit. Le département de
l’Habitat a institué un comité permanent de l’audit (CPA) dont le secrétariat est
assuré par l’Inspection générale. D’autres départements, comme l’Agriculture,
disposent de divisions d’évaluation des programmes et projets.
Au cours des années 2000 et 2001, cette dynamisation s’est concrétisée - en

plus des audits des comptes qui ont un caractère récurrent et annuel - par la
réalisation ou le lancement d’audits de performance et d’organisation, dans le
cadre de comités permanents d’audit auprès de certains départements.
1.2.2. La reforme du contrôle financier des entreprises

et organismes publics
11
C’est la réforme du contrôle financier qui a permis de franchir un saut qualitatif.

De ce fait, le contrôle financier des établissements publics qui datait du début
des années 60, figé, non évolutif, non généralisé et axé sur le contrôle de
régularité (dahir du 14 avril 1960, modifié par celui du 30 juin 1962), s’était
trouvé largement dépassé puisque l’environnement économique n’est plus le
même.
C’est ainsi que la loi n° 69-00, entrée en vigueur en 2004,qui constitue une vraie
réforme du contrôle financier de l’Etat sur les entreprises publiques et les autres
organismes a mis l’accent sur quatre modes de contrôle :
- Le contrôle préalable pour les établissements publics qui ne disposent pas
d’un système d’information et de gestion fiable : Agence Nationale de la
Conservation Foncière, du Cadastre et de la Cartographie, Caisse Nationale
de la Sécurité Sociale, Caisse Marocaine des Retraites…
- Le contrôle d’accompagnement qui s’exerce sur les sociétés anonymes où
le Trésor est directement actionnaire : Office National des Chemins de Fer,
Office National de l’Electricité, Marocaine des Jeux et des Sports…
- Le contrôle conventionnel, s’exerce, lui, sur les filiales publiques où l’État
n’est pas directement actionnaire: Société Nationale des Autoroutes du
Maroc, Al Omrane, Compagnie Nationale "Royal Air Maroc"…
- Le contrôle spécifique : Agence Nationale de Réglementation des
Télécommunications, Fondation Mohammed VI pour la Promotion des
Œuvres Sociales de l'éducation -Formation
Le nombre des entreprises publiques soumis au contrôle financier est estimé par
la loi de finance 2009 à 695 entreprises et organismes publics dont 255
établissements publics (ANCFCC, ANRT…), 94 sociétés d’Etat (Caisse de Dépôt et
de Gestion, AL OMRANE…), 120 filiales publiques (RAM, Crédit Immobilier et
Hôtelier…) et 226 sociétés mixtes (Itissalat Al Maghrib, Banque Centrale
Populaire…).
TEXTES D’APPLICATION
Concernant l’application du contrôle d’accompagnement, qui traite de l’audit

interne, la loi n° 69-00 stipule dans son article 17 « Sont soumis au contrôle
d'accompagnement en substitution au contrôle préalable, les établissements
publics justifiant de la mise en œuvre effective d'un système d'information, de
gestion et de contrôle interne, comportant, notamment, les instruments suivants,
dûment approuvés par le conseil d'administration ou l'organe délibérant :
- un statut du personnel fixant en particulier les conditions de recrutement, de
rémunération et de déroulement de carrière du personnel de l'établissement.
- un organigramme fixant les structures organisationnelles de gestion et d'audit
interne de l'établissement ainsi que leurs fonctions et attributions.
- un manuel décrivant les procédures de fonctionnement des structures et de
contrôle interne de l'établissement.
- un règlement fixant les conditions et formes de passation des marchés ainsi
que les modalités relatives à leur gestion et à leur contrôle.
12
- une comptabilité permettant l'établissement d'états de synthèse réguliers,

sincères et certifiés, sans réserves significatives, par un ou plusieurs auditeurs
externes habilités à exercer la profession de commissaire aux comptes.
- un plan pluriannuel couvrant une période d'au moins trois ans, actualisé
annuellement, devant comporter, notamment, par activité et sous forme
consolidée, les programmes physiques et les projections économiques et
financières.
- un rapport annuel de gestion établi par le directeur de l'établissement. »
Concernant les modalités d’exercice du contrôle d’accompagnement en instituant

un comite d’audit, La loi n° 69-00 stipule dans son article 14 « Les organismes
soumis au contrôle d'accompagnement doivent instituer un comité d'audit.
Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre
membres nommés par le conseil d'administration ou par l'organe délibérant
parmi les membres non-dirigeants ou de mandataires nommément désignés par
eux à cet effet.
Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la
régularité des opérations, la qualité de l'organisation, la fiabilité et la bonne
application du système d'information ainsi que les performances de l'organisme.
Il a pour mission de faire prescrire et réaliser, aux frais de l'organisme, les audits
internes et externes ainsi que les évaluations qui lui paraissent nécessaires. Il
peut, en outre, inviter tout expert indépendant à participer à ses travaux.
Le comité d'audit adresse directement au directeur de l'organisme un rapport
retraçant le résultat de chaque intervention effectuée ainsi que les
recommandations qu'il estime utiles pour l'amélioration de la gestion et la
maîtrise des risques économiques et financiers de l'organisme. Ce rapport est
soumis au conseil d'administration ou à l'organe délibérant. »
La loi 69-00 a eu des répercussions certaines sur les services d’audit interne du
secteur public. Elle a permis de renforcer l’image et la place de ce service au sein
des organisations et d’améliorer la nature des missions à conduire. L'importance
de ce rôle tend à se renforcer dans un monde où l’environnement économique de
l’entreprise bouge continuellement.
2. Les objectifs et la charte d’audit
2.1. Les objectifs
L’audit interne a pris ainsi une dimension manifeste dans les grandes entreprises
publiques, en devenant le meilleur moyen de valider la qualité du contrôle
interne, lequel demeure le mécanisme indispensable pour s'assurer que les
actions de l'entreprise sont en conformité avec ses stratégies, ses politiques et
ses principes. De ce fait l’audit interne est géré de façon à apporter de la valeur
ajoutée à l’organisation en planifiant son activité sur une base d’évaluation des
risques. Risques qui peuvent atténuer ou lui faire perdre cette valeur ajoutée. Il
évalue ainsi le système de management des risques, l’efficacité du contrôle
interne, de gouvernance d’entreprise. Une notion tout à fait intéressante, celle
des processus de transmission des objectifs et des valeurs au sein de
l’organisation.
13
L’audit interne contrôle si les projets et les opérations ont des objectifs bien
définis et conformes à ceux de l’organisation. Il vérifie s’ils sont atteints et de
quelle manière le management assure lui-même le suivi de ces objectifs. Mais
l’audit interne a ses limites. Il n’a pas la responsabilité d’assurer les équilibres à
l’intérieur de l’organisation, mais seulement de vérifier que les conditions de les
maintenir sont réunies.
La cellule d'audit interne assiste la hiérarchie dans l'exercice effectif de ses

responsabilités en effectuant des enquêtes et en fournissant des analyses, des
évaluations, des recommandations, des avis et des informations à propos des
activités ayant fait l'objet d'un audit. En effet, la direction doit disposer d’une
vision claire et périodique sur l’état des processus pour mettre en évidence ceux
qui fonctionnent de ceux qui sont améliorables.
Par rapport au contrôle interne la fonction et l’objectif de l’audit interne sont

essentiels :
- S’assurer de l’existence d’un bon système de contrôle interne qui permet
de maîtriser les risques.
- Veiller de manière permanente à l’efficacité de son fonctionnement.
- Informer régulièrement, de manière indépendante, la direction générale,
l’organe délibérant et le comite d’audit de l’état du contrôle interne.
Enfin, l’audit interne doit s’assurer lors de chacune de ses missions de :
- La réalisation des objectifs de l’organisation.
- La gestion adéquate et rationnelle des ressources humaines.
- L’efficacité et la bonne utilisation des ressources matérielles.
- L’application correcte des lois, décrets, règlements, instructions et
procédures.
- La protection et la sauvegarde du patrimoine.
- L’intégrité, la fiabilité et le caractère exhaustif des informations financières
et opérationnelles.
- L’efficacité et l’efficience du contrôle interne et de la lutte contre la fraude.
Le manque d’efficacité de la fonction est très souvent lié à une compréhension

insuffisante de définition. C’est pourquoi les objectifs peuvent constituer le cadre
qu’il convient à chaque organisation d’adapter ou de rajouter en fonction de son
environnement et de ses priorités.
2.2. La charte d’audit interne
La norme 1000 de l’IIA a la particularité de préciser et d’affiner les objectifs en

soulignant : « la mission, les pouvoirs et les responsabilités de l'audit interne
doivent être formellement définis dans une charte d’audit interne ». L’existence
d’une charte d’audit au sein de chaque organisation permet aux auditeurs
internes de se doter et respecter une éthique, informer l’ensemble des parties
prenantes sur leurs objectifs et leurs méthodes. Elle représente un support de
communication de l’audit interne destiné à tous les partenaires. Il est élaboré par
le responsable de l’audit interne, signé par le conseil d’administration et revu par
le comité d’audit.
C’est un document officiel qui constitue l’occasion de formaliser la méthodologie

que le responsable de l’audit interne souhaite mettre en œuvre et parallèlement
proposer une démarche structurée à la direction générale qui valide la charte au
14
plus haut niveau. Cette validation donne toute sa légitimité à l’audit interne et
marque le soutien des organes dirigeants à l’approche d’audit interne.
2.2.1. Rôle de la charte d’audit
La charte d’audit est le document qui spécifie le rôle, les responsabilités et le

cadre d’intervention de l’audit interne. Elle permet à la direction générale de
préciser l’étendue du champ d’investigation du département d’audit interne ainsi
que les droits d’accès aux sources d’information nécessaires à l’accomplissement
de sa mission. Elle sert à cadrer les conditions d’intervention de l’audit interne et
de les partager avec les audités.
La charte définit le périmètre d’intervention du service, les droits et devoirs des

auditeurs, en particulier les devoirs de réserve et de confidentialité. Les devoirs
des auditeurs internes en matière de confidentialité sont fixés par le code de
déontologie de l’IIA.
La diffusion de la charte d’audit interne est souvent perçue comme l’acte

fondateur du service d’audit interne. Elle offre l’occasion de communiquer sur sa
création et de légitimer son intervention. Elle permet à tous les employés et en
particulier aux futurs audités de se familiariser avec l’approche d’audit interne.
2.2.2. Contenu de la charte d’audit
La charte d’audit interne est un document interne qui reflète à la fois la culture
de l’entreprise et l’approche d’audit. Le ton de la charte diffère sensiblement d’un
organisme public et privé, d’un service ayant une fonction de conseil,
d’organisation, de supervision et d’un service ayant une fonction d’assurance, de
contrôle et de détection des insuffisances et de la fraude.
Néanmoins, les contenus des chartes d’audit comportent un certain nombre de

similitudes et les points les plus fréquemment abordés sont les suivants :
- Un rappel du cadre de référence International de la pratique
professionnelle de l’audit interne.
- Les droits et pouvoirs des auditeurs et des audités.
- Les objectifs et le champ d’intervention de l’audit interne.
- Le positionnement de la fonction au sein de l’organisation, ses attributions
ainsi que les relations avec les autres organes de contrôle.
- Le rattachement hiérarchique du responsable d’audit interne.
- La nature, la programmation, le déroulement des missions d’audit interne.
- Le processus de suivi des recommandations.
- L’autorisation d’accès aux documents, aux personnes et aux biens,
nécessaires à la réalisation des missions.
15
SECTION 2 : Concept et standards
1. Définition
L‘Institut des Auditeurs Internes qui fédère tous les instituts d’audit interne
nationaux, définit l’audit interne, comme « une activité indépendante et
objective qui donne à une organisation une assurance sur le degré de maîtrise de
ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer
de la valeur ajouté. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle et de gouvernement d‘entreprise et en
faisant des propositions pour renforcer leur efficacité ». l’IIA poursuit « Dans le
cadre des missions d’assurance, l’auditeur interne procède à une évaluation
objective en vue de formuler en toute indépendance une opinion ou des
conclusions sur un processus, un système ou tout autre sujet ». Définition
traduite par l’IFACI en version française et approuvée le 21 Mars 2000 par son
conseil d’administration.
L’audit interne est défini plus communément comme une activité indépendante,
objective, qui donne à une organisation (privée ou publique) une assurance sur
le degré de maîtrise de ses opérations, qui lui apporte ses conseils pour les
améliorer, pour créer de la valeur ajoutée et aider l’organisation à atteindre ses
objectifs.
L’auditeur exerce son activité en évaluant, par une approche méthodique,

d’abord les processus de management des risques, point de focalisation numéro
un, puis les processus de contrôle, les processus de gouvernance d’entreprise et
fait des propositions pour renforcer leur efficacité.
2. Le cadre de référence de l’audit interne

Le cadre de référence qui s’applique est très normatif, constitué d’un code
déontologique et de normes pour la pratique professionnelle. Ils présentent
l’approche, les principes et les comportements envisagés que les auditeurs
internes appliquent à leur mission. En adhérant à ces référentiels, les auditeurs
internes sont à même de fournir un service d’assurance et de consultation
efficace et indépendant à leurs entreprises.
Définies principalement par l’IIA, adoptés par tous ses adhérents et les
organismes mondiaux d’établissement de normes dans les secteurs publics et
privés, ils représentent la base et le contrôle de qualité de la profession. Ils ont
un caractère universel, présentent des principes obligatoires et se définissent
en :
- Principes fondamentaux de la pratique de l'audit interne.
- Cadre de référence pour la réalisation et la promotion d'un large champ
d’intervention d'audit interne à valeur ajoutée.
- Critères d'appréciation du fonctionnement de l'audit interne.
- Facteurs d’amélioration des processus organisationnels et des opérations.
2.1. Le code de déontologie

16
Le code de déontologie traite des principes fondamentaux de la profession ainsi

que des valeurs et des règles de conduite attendus des auditeurs internes dans
l’accomplissement de leur activité. Son but est de promouvoir une culture morale
au sein de la profession. Il fixe les principes fondamentaux à respecter par les
auditeurs, qui sont au nombre de quatre : intégrité, objectivité, confidentialité,
compétence.
2.1.1. L’intégrité
Les auditeurs internes établissent la confiance en se basant sur leur jugement et

doivent accomplir leur mission avec honnêteté, diligence et responsabilité :
• Ils doivent respecter la loi et faire les révélations requises par les
lois et les règles de la profession.
• Ils ne doivent pas sciemment prendre part à des activités illégales
ou s’engager dans des actes déshonorants pour la profession d’audit
interne ou leur organisation.
• Ils doivent respecter et contribuer aux objectifs éthiques et
légitimes de leur organisation.
2.1.2. L’objectivité
Elle permet aux auditeurs internes de recueillir, d’évaluer et de communiquer

équitablement tous les éléments pertinents examinés et ne pas se laisser
influencer dans leur jugement. Ils doivent porter un jugement impartial dans une
position où ils ne sont pas susceptibles d’être influencés :
• Ils doivent éviter les activités et les relations qui pourraient être
pressenties comme des éléments fragilisant leur objectivité. Ce
principe vaut également pour les activités ou relations d’affaires qui
pourraient entrer en conflit avec les intérêts de leur organisation.
• Ils ne doivent rien accepter qui pourrait compromettre ou risquer de
compromettre leur jugement professionnel.
• Ils doivent révéler tous les faits matériels dont ils ont connaissance
en interne de l’organisation et qui, s’ils n’étaient pas révélés,
auraient pour conséquence de fausser le (leur) rapport sur les
activités examinées.
2.1.3. La confidentialité
Les auditeurs internes respectent la valeur et la propriété de l’information qu’ils

reçoivent et ne divulguent cette information qu’avec l’autorisation du pouvoir
approprié, à moins qu’il n’existe une obligation légale ou professionnelle de la
divulguer :
• Ils doivent utiliser avec prudence et protéger l’information recueillie
dans le cadre de leurs activités.
• Ils ne doivent pas utiliser l’information à leur avantage personnel,
ou d’une manière qui contreviendrait aux dispositions légales, ou
porterait préjudice aux objectifs éthiques et légitimes de leur
organisation.
2.1.4. La compétence
17
Les auditeurs internes appliquent la connaissance, les compétences et

l’expérience nécessaires à leur rôle. Ils réalisent leur mission conformément aux
normes et s’engagent à poursuivre leur formation continue :
• Ils ne doivent s’engager que dans des travaux pour lesquels ils ont
les connaissances, le savoir faire et l’expérience nécessaires.
• Ils doivent réaliser leurs travaux d’audit interne dans le respect des
normes pour la pratique professionnelle de l’audit interne.
• Ils doivent toujours s’efforcer d’améliorer leur compétence ainsi que
l’efficacité et la qualité de leurs travaux.
2.2. Les normes pour la pratique professionnelle
Ces Normes qui constituent des exigences minimales, décrivent la nature de

l’audit interne et les caractéristiques des parties réalisant les activés d’audit
interne. Elles proposent également des critères de qualité qui permettent
d’évaluer la mission d’audit interne et sont subdivisées en « normes de
qualification- séries 1000 » et en « normes de fonctionnement- séries 2000 » :
2.2.1. Les normes de qualification
Les normes de qualification consistent à définir les missions d’un service d’audit,
les notions d’indépendance, d’objectivité, de compétence, de conscience
professionnelle et d’assurance qualité.
- Mission, pouvoirs et responsabilité :
La mission, les pouvoirs et la responsabilité de l’activité d’audit interne devraient

se définir de manière formelle dans une charte, être cohérents avec les normes
et dûment approuvés par le comité d’audit de l’entreprise.
- Indépendance et objectivité :
La fonction devrait être indépendante. Les auditeurs internes devraient être

objectifs dans l’accomplissement de leur mission :
• L’indépendance est la capacité de l’audit interne et de son
responsable à assumer, de manière impartiale, leurs
responsabilités. Afin d’atteindre un degré d’indépendance nécessaire
et suffisant à l’exercice de ses responsabilités, le responsable de
l’audit interne doit avoir un accès direct et non restreint à la
direction.
L’indépendance est recherchée par le niveau hiérarchique du
responsable de l’audit interne, qui doit être élevé, et par son
rattachement au sommet de l’organisation avec absence d’ingérence
des autres services sur son fonctionnement.
• L’objectivité est une attitude impartiale qui permet aux auditeurs
internes d’accomplir leurs missions de telle sorte qu’ils soient
certains de la qualité de leurs travaux, menés sans le moindre
compromis. L’objectivité implique que les auditeurs internes ne
subordonnent pas leur propre jugement à celui d’autres personnes.
18
L’objectivité individuelle des auditeurs découle aussi de l’abstention

d’auditer des services dont ils ont eu à titre personnel la
responsabilité dans un passé qui n’est pas lointain.
- Compétence et conscience professionnelle :
Tous les audits internes devraient être menés avec compétence et conscience
professionnelle. L’activité d’audit interne doit posséder et acquérir collectivement
les connaissances, le savoir-faire et les autres compétences nécessaires à
l'exercice de ses responsabilités :
• La compétence, signifie aussi que chaque fois que l’audit interne ne
dispose pas en son sein des personnes capables de conduire une
mission spécifique, il doit avoir recours à des compétences et une
assistance externes.
• Les auditeurs internes doivent posséder les connaissances, le
savoir-faire et les autres compétences nécessaires pour exercer
efficacement leurs responsabilités professionnelles. Ils doivent avoir
des connaissances suffisantes pour repérer les indices de fraude, et
avoir les qualités requises pour faire des diligences les qualifiant.
• Les auditeurs internes doivent apporter à leur travail la diligence et
le savoir-faire que l'on peut attendre d'un auditeur interne
raisonnablement averti et compétent.
• Les auditeurs doivent bénéficier de formations professionnelles
continues, entretenir et développer les connaissances acquises.
- Programme d’assurance et d’amélioration de la qualité :
Le directeur d’audit doit élaborer et maintenir un programme d’assurance et

d’amélioration de la qualité, incluant des évaluations internes et externes de la
qualité.
L’audit interne doit programmer sa propre évaluation en interne, de manière

continue, mais aussi veiller à ce qu’il soit procédé à des évaluations externes,
sous forme de revues d’assurance qualité de sa propre organisation et de ses
modes de fonctionnement :
• Ce programme est conçu de façon à évaluer la conformité de l’audit
interne avec sa définition et les normes et le respect du code de
déontologie par les auditeurs internes.
• Ce programme permet également de s’assurer de l’efficacité et de
l’efficience de l’activité d’audit interne et d’identifier toutes
opportunités d’amélioration.
2.2.2. Les normes de fonctionnement
L’audit interne planifie chaque mission. C'est-à-dire qu’il précise son champ, son
objet, formalise complètement son programme de travail, suit les étapes de la
réalisation, et rend compte de ses constatations dans un rapport, de façon
exacte, objective, claire, concise, et constructive. Les normes de fonctionnement
précisent les objectifs.
19
- Gestion de l’audit interne :
Les auditeurs internes doivent s’assurer que l’activité d’audit interne ajoute de la
valeur à l’organisation et suit une approche d’audit basée sur le risque :
• Les auditeurs internes doivent gérer efficacement l’audit interne en
respectant le code de déontologie et les normes.
• Les auditeurs internes doivent développer et communiquer à la
direction et au conseil d’administration un plan d’audit, fondé sur les
risques et leurs besoins pour examen et approbation.
• Le responsable de l'audit interne doit veiller à ce que les ressources
affectées à cette activité soient adéquates, suffisantes et mises en
œuvre, de manière efficace pour réaliser le plan d'audit approuvé.
- Nature du travail :
En outre, l’audit interne doit évaluer et contribuer à l’amélioration des processus

de gestion du risque, de contrôle et de gouvernance d’entreprise en utilisant une
approche systématique et disciplinée :
• Les auditeurs internes doivent s’assurer que les risques significatifs
sont identifiés et évalués.
• Les auditeurs internes doivent s’assurer que les informations
relatives aux risques sont recensées et communiquées en temps
opportun au sein de l’entreprise pour permettre aux collaborateurs,
à leur hiérarchie et au Conseil d’administration d’exercer leurs
responsabilités.
• Les auditeurs internes doivent aider l’entreprise à maintenir un
dispositif de contrôle approprié, en évaluant son efficacité et son
efficience et en encourageant son amélioration continue.
- Planification des missions :
Préalablement à tout audit, les auditeurs internes doivent élaborer un plan qui
inclut l’étendue, les objectifs, le moment opportun et les ressources :
• Les auditeurs internes doivent prendre en compte les risques
significatifs liés à l'activité, ses objectifs, les ressources mises en
œuvre et ses tâches opérationnelles, ainsi que les moyens par
lesquels l'impact potentiel du risque est maintenu à un niveau
acceptable.
• Les auditeurs internes doivent élaborer et documenter un
programme de travail permettant d'atteindre les objectifs de la
mission.
- Accomplissement des missions :
Durant leurs missions, les auditeurs internes doivent identifier, analyser, évaluer
et enregistrer suffisamment d’informations pour atteindre les objectifs du projet
d’audit interne :
• Les auditeurs internes doivent identifier les informations suffisantes,
fiables, pertinentes et utiles.
• Les auditeurs internes doivent fonder leurs conclusions et les
résultats de leur mission sur des analyses et évaluations
appropriées.
20
• Les auditeurs internes doivent documenter les informations

pertinentes pour étayer les conclusions et les résultats de la
mission.
- Communication des résultats :
A l’issue de l’audit, les résultats doivent être communiqués de manière exacte,

objective, claire, concise, constructive, complète et en temps opportun :
• La communication doit inclure les objectifs et le champ de la
mission, ainsi que les conclusions, recommandations et plans
d'actions.
• Le responsable de l'audit interne revoit et approuve le rapport
définitif avant qu’il ne soit émis, et décide à qui et de quelle manière
il sera diffusé.
- Suivi des progrès :
Suite à ces résultats, la direction doit consentir à prendre les mesures

susceptibles d’améliorer les contrôles et le directeur d’audit doit mettre en place
un processus de suivi pour surveiller et s’assurer que ces mesures prises par la
direction ont été efficacement mises en œuvre.
- Acceptation des risques par la direction :
Les auditeurs internes évaluent le niveau de risque accepté par la direction

générale. S’ils estiment que la direction générale accepte des risques élevés, ils
doivent en aviser le conseil d’administration.
21
CHAPITRE II
LES FONCTIONS VOISINES DE L’AUDIT
INTERNE
Un certain nombre de fonctions et de professions dont les missions

s’entrecroisent avec l’audit interne ou sont voisines, se sont développées à
l’intérieur et à l’extérieur de l’organisme. Ce positionnement résulte des efforts
d’acteurs faits pour prendre en compte les activités d’audit interne et de maîtrise
des risques par d’autres fonctions, notamment le contrôle de gestion, le risk-
manager et l’audit externe.
En revanche, des missions qui ne relèvent pas directement de la fonction d’audit

interne lui sont trop souvent confiées, comme la rédaction de procédures ou des
actions de formation…
SECTION 1 : Les partenaires externes
1. Relation avec l’audit externe

L’audit externe dans les entreprises publiques, soumises au contrôle préalable,
est une activité obligatoire orientée vers l'environnement de l'entreprise. Ses
modalités d’intervention, sa finalité et sa périodicité sont déterminées par des
critères légaux et réglementaires.
L’audit externe n’est pas tenu d’effectuer ses travaux selon les orientations
définies par la direction. En plus, il reste limité par sa stricte dimension
comptable et financière sans s'étendre à l'ensemble des fonctions de l'entreprise.
L’audit interne va au-delà des rapports comptables et financiers pour atteindre
une pleine compréhension des opérations effectuées et proposer des
améliorations. Il se rapproche davantage d'un audit opérationnel ou d’une
mission de conseil et s'éloigne des pratiques et des finalités de l'audit externe qui
se limite - en principe - au contrôle de la validité des informations fournies par
les systèmes existants.
Toutefois, auditeurs externes et internes ont la même finalité, celle de pouvoir

garantir la qualité des états financiers produits par les entreprises publiques. Ils
adoptent généralement des approches et des méthodologies comparables, sans
être parfaitement identiques. Par contre, la finalité commune qui est celle de la
qualité des comptes est identique mais présente des nuances.
Le rôle de l’auditeur externe est d’émettre une opinion sur les états de synthèse.
Il va donc analyser les activités qui produisent les opérations comptables, à
travers le référentiel comptable qui a été mis en place, et va conclure sur la base
d’une opinion, sur la sincérité et la régularité que traduisent ces états financiers.
Pour l’auditeur interne, ce n’est pas la même démarche. Par son intervention
récurrente, il contribue dans le temps à garantir que les dispositifs de contrôle
interne qui permettent de maîtriser les risques sont parfaitement et de manière
permanente en phase avec l’évolution de l’environnement.
22
L’audit interne aura peut-être une démarche plus espacée (pluriannuelle) que ne
le sera celle de l’auditeur externe. Mais il ira plus en profondeur sur l’organisation
des processus et des dispositifs mis en œuvre pour en assurer la fiabilité. Donc,
une finalité commune, mais des objectifs opérationnels un peu différents. Pour
l’audit interne, c’est la robustesse du contrôle interne qui garantira in fine des
états financiers de bonne qualité.
En effet, d’après la norme 4610 du nouveau référentiel des normes d’audit

marocain «L'auditeur externe doit prendre en compte les travaux de l'audit
interne ainsi que leur incidence potentielle sur les procédures d'audit externe. »
Cette norme révèle plusieurs points :
- La relation entre l’audit interne et l’auditeur externe.
- La prise de connaissance et l’évaluation préliminaire des travaux de l’audit
interne.
- La liaison et coordination avec l'audit interne.
- L’évaluation des travaux de l'audit interne.
1.1. Relation avec l'auditeur externe
La norme 4610 précise : « Le rôle de l'audit interne est défini par la direction et
ses objectifs diffèrent de ceux de l'auditeur externe qui est nommé pour émettre
un rapport indépendant sur les états de synthèse. Les objectifs de la fonction
d'audit interne varient selon les exigences de la direction, alors que la priorité
pour l'auditeur externe est de vérifier que les états de synthèse ne comportent
pas d'anomalies significatives. »
La coordination entre les services d'audit nécessite des rencontres périodiques

pour s'entretenir de questions d'intérêt commun, procéder à l'échange des
rapports d'audit et convenir de techniques, méthodes et terminologie
communes.
Les auditeurs externes ont une influence notable sur la qualité des contrôles
internes, par leurs recommandations pour son amélioration, mais ils sont seuls
responsables de leur opinion sur les états financiers.
L’auditeur externe doit s’aviser des travaux d’audit interne, avoir accès aux
rapports pertinents et être tenu informé de tout problème significatif qui pourrait
avoir une incidence sur son travail. De même, il doit informer l'auditeur interne
de tout problème important qui pourrait le concerner. La démarche inverse qui
consiste à communiquer les dossiers de travail au service d'audit interne est
exclue au motif du secret professionnel.
1.2. Prise de connaissance et évaluation

préliminaire des travaux de l'audit interne
« L'auditeur externe doit acquérir une connaissance suffisante des travaux de

l'audit interne pour identifier et évaluer le risque d'anomalies significatives au
niveau des états de synthèse et pour concevoir et mettre en œuvre des
procédures d'audit complémentaires.
L'auditeur externe doit procéder à une évaluation de la fonction d'audit interne
lorsqu'il s'avère que celle-ci peut être utile à son évaluation des risques. »
23
Cette même norme et les normes internationales précisent que les commissaires
aux comptes doivent prendre en considération les activités d’audit interne, ainsi
que leur incidence éventuelle sur leurs propres procédures d’audit. En effet
l’existence et l’efficacité d’un service d’audit interne de l’Etat garantit
normalement l’efficacité des processus et au final la qualité des comptes. Il
ressort que les auditeurs externes accordent une grande importance à la qualité
de l’audit interne dans le cadre de leurs propres travaux de certification.
C’est pourquoi l’audit interne s’est très précocement positionné en matière

d’audit comptable et financier pour justement aider les gestionnaires et les
responsables des processus comptables à se préparer à la certification des
comptes. Bien entendu, cette prise en compte de l’audit interne par les auditeurs
externes dépend de la compétence et du positionnement de l’audit interne quant
à l’objectivité et l’indépendance des conclusions des travaux réalisés par ses
services.
1.3. Liaison et coordination avec l'audit interne
« Lorsque l'auditeur externe envisage d'utiliser les travaux de l'audit interne, il

aura à prendre en compte le plan portant sur l’audit interne prévu pour la
période et à en discuter aussitôt que possible à un stade préliminaire. Lorsque
les travaux de l'audit interne jouent un rôle dans la définition de la nature, du
calendrier et de l'étendue des procédures d'audit externe, il est souhaitable de
convenir à l'avance du calendrier de ces travaux, des domaines couverts par les
procédures d'audit, des seuils de signification et des méthodes envisagées pour
la sélection des sondages, de la documentation des travaux effectués et de leur
revue, ainsi que des procédures de communication des conclusions »
L’objet de la norme 4610 rejoint la norme de l’IIA 2050 qui prescrit aussi : « Afin
d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable
de l'audit interne devrait partager des informations et coordonner les activités
avec les autres prestataires internes et externes d'assurance et de conseil. »
Une coopération étroite qui suppose l’échange permanent et réciproque permet

d’optimiser la qualité et l’efficacité des travaux réalisés par l’auditeur interne et
externe en s’appuyant chacun sur les travaux de l’autre.
1.4. Evaluation des travaux de l'audit interne
« Lorsque l'auditeur externe a l'intention d'utiliser des travaux spécifiques de

l'audit interne, il doit évaluer et examiner ces travaux pour confirmer leur
adéquation avec ses propres objectifs.
L'évaluation des travaux spécifiques de l'audit interne nécessite de revoir
l'étendue de ces travaux et les programmes de travail y relatifs et si l'évaluation
faite des travaux de l'audit interne reste valable. Cette évaluation peut impliquer
de déterminer si:
(a) les travaux ont été réalisés par des personnes disposant d'une formation
technique et d'une expérience suffisantes en tant qu'auditeurs internes et si les
travaux des collaborateurs ont été correctement supervisés, revus et
documentés ;
24
(b) des éléments probants suffisants et appropriés ont été recueillis pour fonder
des conclusions raisonnables ;
(c) les conclusions tirées des travaux sont appropriées en la circonstance et les
rapports établis sont cohérents avec les résultats de ces travaux ; et
(d) une solution satisfaisante a été apportée aux exceptions ou aux questions
inhabituelles mises en évidence par les travaux de l'audit interne. »
Ces orientations et les termes de la norme 4610 indiquent clairement que dans le
cadre de leurs missions légales, préalablement à l’émission de l’opinion sur les
états financiers, les auditeurs externes sont amenés à s’appuyer sur les travaux
effectués par l’audit interne, en matière de procédures de contrôle interne et de
gestion des risques. L’utilisation faite par l'auditeur externe s’étend au risque
d'anomalies significatives dans le domaine concerné, de son évaluation de la
fonction d'audit interne et des travaux spécifiques de celui-ci.
COMPARAISON ET DIVERGENCE
AVEC L’AUDITEUR EXTERNE
Auditeur interne Auditeur externe

Mandat - Par la direction générale pour les - Par l’assemblée générale (conseil
responsables de l’entreprise. d’administration) pour les tiers qui
- Salarié. requièrent des comptes certifiés.
- Fonction récente début des - Contractuel.
années 80. - Métier depuis le dahir de 1954.
Mission - Se réfère aux normes et surtout à - Se réfère aux lois, règlements et
la politique générale de normes professionnelles.
l’entreprise. - Emission d’une opinion sur la
- L’amélioration des systèmes et qualité des états financiers.
formulation des - Lié à la certification des comptes :
recommandations. mise en œuvre annuelle.
- Lié aux préoccupations de la - Audit de régularité et de sincérité.
direction générale : - Ne peut s’immiscer dans la gestion
déclenchement sur décision. de l’entreprise.
- Tous les types d’audit et tous les - Légale et obligatoire et engage une
sujets. responsabilité civile et pénale.
- La gestion constitue sa principale
raison d’être.
- Délégation du pouvoir de
contrôle de la direction générale
qui peut être retirée à tout
moment.
Conclusion - Constatations approfondies dès - Constatations succinctes : examen
qu’il existe un potentiel de des circuits clés et des montants
dysfonctionnements, pour supérieurs à un seuil de
identifier les causes et définir les signification pour dresser des
actions qu’il y a lieu de mener. constats de carence et informer.
- Obligation de résultats - Obligation de moyens
25
2. Relation avec le consultant externe

Le champ d'intervention de l'audit interne est particulièrement large puisqu'il
concerne toutes les fonctions, toutes les techniques et toutes les disciplines d'une
organisation. Il se doit donc de posséder et d’acquérir les connaissances, les
aptitudes et les compétences techniques nécessaires à l'exercice de ses
responsabilités.
Peu de services disposent du personnel possédant collectivement toutes les

connaissances et expériences indispensables pour mener correctement
l'ensemble des travaux.
Le recours à des prestations externes, au partenariat, à la sous-traitance de

certaines missions, à l'assistance ponctuelle de cabinets externes spécialistes de
la discipline auditée s'avère alors indispensable.
L'appui à titre de conseil d'un spécialiste dans la discipline considérée permettra

d'aller rapidement à l'essentiel, d'enrichir les travaux déjà effectués et de
conforter les conclusions émises.
Les prestataires et consultants externes sont des spécialistes et experts dans

différents domaines et disposent d’une connaissance du monde extérieur qui les
rend aussi utiles aux entreprises que les auditeurs internes.
Dans le cadre de leur mission de conseil, les consultants réalisent leurs travaux à
travers une relation client qu’ils influencent, mais sur laquelle ils n’ont pas
d’autorité. La différence majeure est que l’audit interne est impliqué dans cette
relation d’autorité, alors que le consultant externe est indépendant.
Les consultants externes doivent trouver un équilibre permanent entre leur

niveau d’intégrité et leur nécessaire objectivité, confidentialité et compétence
que celles des auditeurs internes.
26
AVEC LE CONSULTANT EXTERNE
Auditeur interne Consultant externe

Intervention - Il doit être à la fois aligné sur - Les dirigeants veulent connaître
l’organisation, les valeurs de les tendances et préoccupations
l’entreprise et se positionner en du marché et préfèrent avoir
marge pour pouvoir apporter un affaire à quelqu’un d’extérieur au
regard extérieur. système.
- Intervient pour améliorer ou - Intervient pour un problème
résoudre un problème particulier et correspondant à sa
clairement prédéfini dans le plan compétence.
d’audit. - Il doit commencer par un audit
pour détecter les faiblesses
existantes.
Compétence - Il est plutôt généraliste. Il est - Valorisé pour son haut niveau de
valorisé pour sa connaissance spécialisation.
intime et sa compréhension de - Le client attend du consultant
l’entreprise. externe les meilleures pratiques,
- La direction attend de l’auditeur mais également des prestations
interne des prestations personnalisées.
personnalisées
Objectif - Apporter de la valeur ajoutée en - Diagnostiquer l’existant, concevoir
planifiant son activité sur une et mettre en place les moyens
base d’évaluation des risques. adaptés pour réaliser un objectif
- Evalue le système de bien précis.
management des risques, de - Sa mission en général, est fixée
contrôle interne, et vise leur dans le temps.
amélioration.
Conclusion - Remet à la direction un rapport - Rend compte au manager qui a
détaillé et des constatations des sollicité son intervention, décide et
dysfonctionnements pour agit avec lui tout en restant
identifier les causes qui peuvent propriétaire de son rapport.
lui faire perdre de la valeur
ajoutée et définir les actions
qu’il y a lieu de mener.
27
SECTION 2 : Les partenaires internes
1. Relation avec le contrôle de gestion

Selon une enquête réalisée par le cabinet Ernst & Young en juin 2008 sur le
secteur public en France, la majorité des organismes publics déclarent disposer
d’une fonction audit interne, mais elle n’est pas toujours tenue par un service
dédié: le contrôle de gestion est le département le plus utilisé pour assurer la
fonction d’audit interne.
Le contrôle de gestion à l’instar de l’audit interne fait partie des moyens que
l’entreprise met en œuvre pour maîtriser ses objectifs et minimiser ses risques.
C’est un processus de pilotage qui englobe l’ensemble des moyens et méthodes

pour fournir aux dirigeants les outils leur permettant de piloter l’entreprise. Il est
conçu pour mieux maîtriser la gestion de l’entreprise et son amélioration, c'est-à-
dire prévoir, mesurer et contrôler les performances des principaux responsables,
en vue d’atteindre des objectifs fixés, en toute indépendance.
Le contrôle de gestion intervient dans le même domaine que l’audit interne, la

gestion de l’entreprise et contribue à améliorer l’efficacité à l’intérieur de l’entité
alors que l’audit interne porte un jugement sur l’efficacité du contrôle de gestion,
pour contribuer à son amélioration.
Inversement, le contrôle de gestion examine le degré de réalisation, les niveaux

des coûts et les économies produites ou générées par la mise en application des
recommandations de l’audit interne.
Donc il représente une source d’information très appréciable dans la mesure où

les outils de mesure des coûts et des performances sont indispensables à l’audit
interne pour détecter les défaillances des systèmes et pour programmer ses
interventions.
28
AVEC LE CONTROLE DE GESTION
Audit interne Contrôle de gestion

C’est quoi? - Une activité indépendante et objective. - Un processus de pilotage.
- Il investigue le passé pour trouver ce - Il analyse les écarts entre ce qui a été
qu’il y’a de mieux à faire et l’appliquer prévu et le présent pour maîtriser
à l’avenir. l’avenir.
Par qui ? Assuré par un professionnel qui est
- - Assuré par le responsable de l’unité
rattaché au plus haut niveau de l’entité. et assisté par un professionnel qui est
placé auprès du responsable.
Où et à - Il démarre au sein d’un ensemble - Il démarre dès le niveau opérationnel
quel comportant plusieurs responsables le plus fin où sont fixés des objectifs
niveau ? opérationnels, au moins deux. de résultats.
- Il va des problèmes rencontrés en - Il va des indicateurs généraux aux
pratique à leurs causes et paramètres particuliers.
conséquences. - Il s’intègre verticalement aux
- Le responsable de l’ensemble fait différents niveaux d’une chaîne de
procéder à des audits internes pour responsabilité.
analyser comment les choses se
passent dans les unités qui dépendent - Il sert donc au pilotage, non pas
de lui. seulement à l’intérieur d’une unité,
- Il se développe au plus haut niveau de mais aussi entre unités.
l’organisation, chaque niveau de
responsabilité pouvant avoir son propre
système d’audit interne.
Comment? Il
- fonctionne par des missions - Il fonctionne avec des tableaux de
temporaires et ponctuelles, effectuées à bord qui doivent être intégrables pour
la demande du responsable de l’entité pouvoir avoir un sens dans les
ou en son nom, portant soit sur différents niveaux de la chaîne de
l’assurance, soit sur l’assistance responsabilité.
(conseil). - Il planifie et suit les opérations et
- Il contrôle l’application des directives, leurs résultats. Conçoit et met en
la fiabilité des informations et place le système d’information.
l’adéquation des méthodes, les - Analyse le budget du service d’audit
processus, les conditions d’obtention interne.
des résultats. - Il fonctionne par le dialogue de
- Audite la fonction contrôle de gestion. gestion entre les niveaux de
- Il fonctionne par des analyses factuelles responsabilité.
et objectives, sur des échantillonnages - Il fonctionne par la mise en évidence
adaptés. des écarts sur objectifs, ou des
- Il respecte une procédure contradictoire risques d’écart.
qui se termine par un rapport d’audit - Il analyse les causes de ces écarts et
écrit. les mesures correctives possibles.
Quand ? - Photo périodique et détaillée. - Cinéma continu et global.
- L’auditeur interne fait un travail à - Le contrôleur de gestion fait un travail
temps plein. d’analyse et d’interprétation des
- Les interventions se déroulent selon données à temps plein.
une programmation établie, ou - Le responsable de l’entité fait une
occasionnellement. En principe, pour revue périodique des données du
une entité donnée, l’intervention est à contrôle de gestion, en fonction des
périodicité relativement faible. données objet de reporting (mensuel,
trimestriel ou annuel), avec en
général, un temps fort sur les
résultats annuels.
29
2. Relation avec l’inspection générale

La Circulaire du 1er Ministre de septembre 1993 a demandé, aux organismes
publics, la création de départements d’audit interne au sein des entreprises à
caractère industriel et commercial et la création d’inspections générales au sein
des établissements à caractère administratif.
Les objectifs de la fonction sont définis par le guide de l’inspection générale de

l’ONU : « L’inspection est une activité de contrôle d’un service conduite sur une
base ad hoc lorsqu’il existe des signes ou indications qu’un programme ou une
activité est mal géré ou que les ressources ne sont pas utilisées de façon
rationnelle.
L’inspection en tant qu’investigation à caractère proactif a pour objet d’identifier
les “zones/domaines vulnérables” où une activité à caractère frauduleux a des
chances d’advenir en vue d’évaluer les risques encourus afin de les gérer et/ou si
nécessaire de les neutraliser. ».
Contrairement à l’audit interne, l’inspection est conduite sur une base ad hoc.
Elle suppose des présomptions de dysfonctionnement et ses recommandations
sont essentiellement de nature corrective.
L’intervention de l’inspection touche les domaines technique, commercial,

financier et se matérialise généralement sous la forme d’enquête. Celle-ci est
orientée surtout vers les actions jugées nécessaires pour respecter la
réglementation et la préservation des actifs ou l’utilisation abusive ou non
réglementaire des moyens de production de l’entreprise et son patrimoine. Les
domaines d’intervention de cette fonction sont qualifiées de :
- Permanents : contrôles opérationnels comprenant des inspections des
installations, de la qualité du service et du comportement du personnel
ainsi que certains flux financiers ou de transactions commerciales.
- Ponctuels : généralement menés sur instruction de la direction générale à
la suite des lettres anonymes ou lors de la révélation d’un fait délictueux
ou de fraude.
Certains amalgames peuvent apparaître entre la fonction d’inspection et la

fonction d’audit interne. Dans certaines entreprises, il existe des confusions entre
ces deux fonctions. L’intervention de l’audit interne est moins sensible que celle
de l’inspection. En effet cette dernière crée auprès des services audités, un
certain traumatisme. Par contre l’approche préventive, facilite l’intervention de
l’audit interne dans les services.
Dans le secteur privé, le département de l’inspection et de l’audit est

généralement rattaché au directeur général. Il reçoit ses lettres de mission du
Conseil d’administration, qui est également le destinataire de ses rapports. Pour
le secteur public les inspections générales peuvent être positionnées à un niveau
supérieur, celui du ministre lui-même. Les corps d’inspection ont
traditionnellement et statutairement des situations d’indépendance garanties
parce que les carrières dépendent relativement peu du donneur d’ordre. C’est un
domaine où l’administration semble avoir de l’avance par rapport à l’entreprise
privée.
30
AVEC L’INSPECTION
Audit interne Inspection

Régularité - Contrôles basés sur un échantillon - Contrôles exhaustifs.
aléatoire. - Contrôle le respect des règles sans
- Contrôle le respect des règles et les interpréter, ni les remettre en
leur pertinence. Interprète et cause.
remet en cause les règles et
directives.
Mandat - Intervention sur mandat de la - Intervention peut être spontanée
direction générale et selon un plan et de son propre chef.
d’audit. - Assumée par des hommes
- Assuré par un professionnel d’expérience, rigoureux, ayant
compétent, intègre et objectif. autorité et talent pour s’imposer.
- Répond aux préoccupations du - Investigations approfondies.
management soucieux de - Privilégie le contrôle et donc
renforcer sa maîtrise. l’indépendance des contrôleurs.
- Privilégie le conseil et donc la
coopération avec les audités.
Méthode - Identifie les causes et définit les - S’en tient aux faits et identifie les
actions qu’il y a lieu de mener. actions nécessaires pour les
réparer.
Objectifs - Ses recommandations sont de - Ses recommandations sont de
nature préventive. nature corrective.
Evaluation - Considère que le chef de service - Détermine les responsabilités et
est toujours responsable et donc fait éventuellement sanctionner les
critique les systèmes et non les responsables.
hommes. - Evalue le comportement des
- Evalue le fonctionnement des hommes, parfois leurs
systèmes. compétences et qualités.
3. Relation avec le risk-management

Le COSO II est un acronyme abrégé de « Committee Of Sponsoring
Organizations of the Treadway Commission » organisation fondée aux Etats Unis,
définit le management des risques comme « un processus mis en œuvre par le
conseil d’administration, la direction générale, le management et l’ensemble des
collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour
identifier les événements potentiels susceptibles d’affecter l’organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il vise à
fournir une assurance raisonnable quant à l’atteinte des objectifs de
l’organisation ».
Le COSO II est basé sur une vision orientée risques de l’entreprise (Enterprise
Risk Management Framework) : processus exploité pour l’élaboration de la
stratégie et transversal à l’entreprise, destiné à :
- Identifier les événements potentiels pouvant affecter l’organisation.
31
- Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite
(appétence au risque)» de l’organisation.
- Fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.
Dans un premier temps, le responsable du risque ou risk-manager identifie et

évalue la totalité des risques inhérents à l’activité de l’entreprise. Il fournit au
final, une vision des risques majeurs de l’entreprise à la direction générale et au
management.
Le risk-manager conseille sur la meilleure façon de gérer les risques inhérents et

les incidences liées à des décisions stratégiques. Il s’agit de réduire l’impact
financier ou l’impact sur l’activité de tous les événements aléatoires qui
pourraient survenir.
Avec le COSOII apparaît un autre aspect couplé du risque-enjeu qui semble

intéressant. Le risque n’est plus seulement la face négative de la réalisation d’un
objectif, c’est aussi l’envers d’une opportunité. Par exemple on peut accepter un
petit risque dans un espoir de gain important.
L’identification des risques, également réalisée par l’audit interne, est l’une de
ses attributions dans l’accomplissement normal de ses missions. Ce qui pourrait
être considéré comme faisant double emploi. Mais la confrontation du résultat
des deux démarches complémentaires peut être une source d’enrichissement et
donner l’assurance de couvrir tous les risques significatifs.
L’institution de ce processus se réfère aux normes définies par les modalités

pratiques d’application de l’audit interne MPA 2100-4 :
« Par processus de management des risques, on entend une démarche
structurée, organisée, documentée et permanente. Lorsqu’une organisation n’a
pas mis en place de processus de management des risques, l’auditeur interne
doit attirer l’attention du management sur ce point et formuler des suggestions
en vue de la mise en place d’un tel processus.
Dans les organisations qui ne sont pas encore dotées de ce processus, les
auditeurs internes peuvent, s’ils y sont invités, jouer un rôle proactif en
participant à la mise en place initiale d’un processus de management des risques
dans l’organisation. »
L’auditeur interne, dans la majorité des cas, conduit sa propre évaluation des
risques en parallèle des évaluations réalisées par le risk-manager. S’il n’agit pas
de manière coordonnée, le manque de coordination peut conduire l’auditeur à ne
pas couvrir tous les risques inhérents. Donc les liens de l’audit interne avec le
risk-management sont de l’ordre des échanges sur l’efficacité du processus de
gestion des risques.
Le Risk-management comme les autres processus de l’entreprise, fait l’objet

d’une surveillance et d’audits réguliers. L’audit interne, sur la base de sa
connaissance et de son évaluation des activités de contrôle, apprécie le bon
fonctionnement du dispositif de management des risques et en tient compte dans
le cadre de sa démarche.
32
AVEC LE RISK-MANAGER
Auditeur interne Risk-manager
Rattache- - Nommé par la direction générale. - Relève de la direction générale, dont il est
ment - Rattaché à la direction générale. rattaché et supervisé par le conseil
- Tenu aux règles de d’administration
confidentialité. - La direction doit s’assurer que tous les
éléments de management des risques sont
en place
Mandat - Intervention sur mandat de la - Selon la taille de l’entreprise peut être seul,
direction générale et selon un peut s’appuyer sur une équipe limitée ou
plan d’audit. organiser un réseau de correspondants au
- Privilégie le conseil et donc la sein des différentes directions
coopération avec les audités. - Capacité à être le conseil ou le partenaire
- Assuré par un professionnel de la direction générale
indépendant, compétent, intègre - Formé au management des risques, ayant
et objectif. la capacité d’analyse, d’initiative et de
résoudre les problèmes.
Responsa- - Evaluation du processus de - Reporting des risques majeurs de
bilité management des risques. l’entreprise à la direction générale.
- Revue des contrôles, gestion et - Responsable en termes de directives, de
suivi de leur fonctionnement et pilotage et de suivi des risques.
formulation de recommandations - Communiquer et gérer la mise en place et
en vue de les améliorer. le maintien du management des risques de
l’organisation, conformément aux objectifs.
- Valider le management des risques dans
chaque unité opérationnelle et s’assurer
que les risques significatifs sont connus.
- Fixer avec la direction les limites
supportables des risques applicables à
l’ensemble de l’entreprise.
Activité et - Identifie les causes et définit les - Développer un modèle standardisé
méthode actions qu’il y a lieu de mener. d’information du risque et des processus
- Evalue le fonctionnement des automatisés et s’assurer qu’il est applicable
systèmes. au sein de l’organisation
- Contrôle la fiabilité des - Transmettre les connaissances et
informations, l’adéquation des informations et plus généralement
méthodes et la fonction de contribuer à un management des risques
management des risques. efficace et aider à maintenir une culture du
- Auditer les processus de gestion risque adéquate.
des risques dans l’ensemble de - Dresse une cartographie des risques et
l’organisation. établit une stratégie et un plan d’action de
- Il fonctionne par des missions traitement des risques
temporaires et ponctuelles. - Suivi de la mise en œuvre des actions
- Evaluer et consolider le reporting décidées : vérification de leur rentabilité et
des risques majeurs. mesure de l’efficacité des moyens de
prévention, détection ou protection.
Objectifs - Elaborer des recommandations en - Prend en compte tous les risques en
prenant en compte des risques fonction de l’appétence au risque et des
critiques dans le but d’éviter la objectifs définis par la direction générale
réapparition du problème. - Evaluer le coût des actions de maitrise à
mettre en place.
Evaluation - Chargé de l’évaluation du suivi - Chargé du suivi du plan d’action avec les
des recommandations réalisés par directeurs concernés.
les audités.
33
SECTION 3 : Les partenaires publics

En matière d’audit des entreprises publiques, l’amélioration des systèmes de
contrôle et d’audit passe par le renforcement du rôle des organes de contrôle que
sont l’Inspection Générale des Finances et la Cour des Comptes.
Le Maroc qui suit les recommandations internationales développe pour sa part le

Programme des Nations Unies qui stipule que dans le secteur public, le contrôle
à posteriori doit théoriquement se faire dans le cadre de la loi et des règlements,
par les inspections générales des finances ou les inspecteurs généraux des
ministères ainsi que par la Cour des Comptes. D’une autre part, le Maroc
renforce autrement les systèmes de contrôle en se conformant aux normes
prévues par les plans d’action proposés par l’Union Européenne, qui rentrent
dans la perspective de l’accord d’association. Donc ces systèmes se sont
développés par les meilleures pratiques : échange d’expériences et d’expertise
en vue d’un rapprochement progressif avec les normes et méthodologies
internationales IFACI, IIA, INTOSAI (Organisation Internationale des Institutions
Supérieures de Contrôle des Finances Publiques) ainsi qu’avec les meilleures
pratiques de l’Union Européenne en matière de contrôle et audit des recettes et
dépenses publiques.
Par ailleurs le rôle du Ministère des Finances sur les pratiques d'audit interne est
caractérisé par l’institution de l’Inspection Générale des Financière.
1. Le contrôle financier
La nouvelle réforme du contrôle financier de l’Etat sur les entreprises publiques
est régie par la loi 69-00, entrée en vigueur en 2004. Elle rejoint les normes et
standards internationaux et met l’accent, sur les recommandations visant
notamment la mise en œuvre des instruments de gestion, au sein des sociétés
d’Etat à participation directe et l’institution des comités d’audit au sein des
établissements publics. Elle a pour objet:
« - d'assurer le suivi régulier de la gestion des organismes soumis au contrôle
financier ;
- de veiller à la régularité de leurs opérations économiques et financières au
regard des dispositions légales, réglementaires et statutaires qui leur sont
applicables ;
- d'apprécier la qualité de leur gestion, leurs performances économiques et
financières ainsi que la conformité de leur gestion aux missions et aux objectifs
qui leur sont assignés ;
- d'œuvrer à l'amélioration de leurs systèmes d'information et de gestion ;
- de centraliser et analyser les informations relatives au portefeuille de l'Etat et à
ses performances économiques et financières. »
Le contrôle financier qui compte parmi ses attributs - comme l’audit interne -
l’amélioration des systèmes d’information et de gestion, sera différencié selon la
performance, la qualité d’organisation et de gestion de l’organisme public. Pour
l’entreprise ayant un contrôle interne fiable et ne présentant pas de risque
financier majeur, le contrôle sera modulé et orienté vers l’appréciation, à
posteriori, des performances et des procédures.
34
L’objectif est d’accorder une plus grande souplesse à la gestion des entreprises
et organismes publics ayant un caractère industriel et commercial. Ceci par
l’adaptation du mode de contrôle qui sera modulé selon le type d'organisme, la
qualité de son management, de son système d’information, de gestion, en
distinguant le contrôle préalable, le contrôle d’accompagnement et le contrôle
conventionnel. Parmi les obligations, un contrôle d’accompagnement est prévu,
en substitution au contrôle préalable, pour les établissements publics justifiant
un organigramme fixant les structures organisationnelles de gestion et d’audit
interne de l’établissement, ainsi que leurs fonctions et attributions.
AVEC LE CONTROLE FINANCIER
Audit interne Contrôle financier

Agents - Salariés de l’entreprise. - Fonctionnaires de l’Etat : contrôleur
exerçant - Nommés par la direction d’état et trésorier payeur.
les générale. - Nommés par le ministre chargé des
contrôles - Rattachés à la direction finances.
générale. - Rend compte au ministre chargé des
- Sont tenus aux règles de finances.
confidentialité. - Sont tenus aux règles du secret
professionnel.
Méthode - Contrôle exercé à posteriori. - Contrôle exercé à priori ou à
- Travail basé sur une démarche posteriori.
méthodique qui fait appel à un - Travail d’inspection pour le contrôle
ensemble de savoirs et de à priori, qui soumet la majorité des
techniques. actes de gestion à l’accord préalable.
Rapports - Rapport renfermant un certain - Le contrôleur d’Etat établit un
nombre de propositions, de rapport annuel. Peut refuser les
recommandations et actes soumis à son approbation. La
d’informations pour permettre à direction générale des entreprises
la direction de mieux asseoir ses publiques peut recourir dans ce cas
décisions. au ministre des finances comme
organe d’appel.
2. L’inspection générale des finances

La réalisation du contrôle de la dépense publique, doit tenir compte de l’évolution
des rôles des acteurs de la dépense publique et de l’articulation entre les
contrôles internes, au niveau des services ordonnateurs et les contrôles
externes, par les inspections générales des ministères et aussi du contrôle à
posteriori exercé par l’inspection générale des finances –IGF- et la cour des
comptes.
L’inspection générale des finances est un corps supérieur d'inspection des

finances publiques qui a été créé par le texte de loi du 14 avril 1960. Depuis,
l’IGF a opté pour une nouvelle vision stratégique de son rôle et une rénovation
de sa démarche de contrôle axée sur l’évaluation des risques, du degré de
maîtrise de la gestion et de la capacité d’optimisation de la dépense publique,
dans le sens d’une production de services collectifs priorisés, de meilleure qualité
et au moindre coût.
35
L’IGF se démarque ainsi de son rôle traditionnel d’inspection orienté davantage

vers la régularité et la conformité. L’IGF a mis en place des normes d’audit
comptable et financier conformes aux standards internationaux du secteur privé,
en tenant compte des normes d’audit de performance et un référentiel consacré
à l’efficacité et la fiabilité du système d’information mis en place, à l’appréciation
des risques inhérents au système et aux pratiques de gestion.
En matière de contrôle, d’audit et d’évaluation, le rôle de l’IGF est nettement

prépondérant :
- L’IGF est au centre du dispositif d’audit interne de la dépense publique.
Elle joue également un rôle dans le soutien, l’orientation et la coordination
de missions d’audit avec les Inspections Générales des Ministères.
- Le contrôle de l’IGF est un contrôle à posteriori sur la gestion comptable et
financière des administrations publiques, des collectivités locales et des
établissements et entreprises publics.
Les conclusions des missions de l’IGF constituent un ensemble de rapports

adressés au ministre des finances ou au ministre sollicitant l’intervention de
l’IGF, seules autorités compétentes pour donner ou non suite aux
recommandations contenues dans ces rapports.
AVEC L’IGF
Inspection générale des
Audit interne
finances
Régularité - Contrôle le respect des règles et - Contrôle le respect des règles sans
leur pertinence. Interprète et les interpréter, ni les remettre en
remet en cause les règles et cause.
directives.
Agents - Salariés de l’entreprise. - Fonctionnaires de l’Etat.
exerçant - Nommés par la direction - Nommés par le ministère de
générale. l'économie et des finances.
les
- Rattachés à la direction générale. - Placée sous l'autorité directe du
contrôles ministère de l'économie et des
finances.
Mandat - Intervention sur mandat de la - Le programme de vérification est
direction générale et selon un établi par le ministre des finances
plan d’audit. sur proposition de l’inspecteur
- Peut déclencher des missions générale et sur la base des
n’existant pas dans le plan demandes formulées par les
d’audit. différents départements
ministériels.
- Ne dispose pas de pouvoir propre
pour déclencher ses missions.
Méthode - Identifie les causes et définit les - S’en tient aux faits et identifie les
actions qu’il y a lieu de mener. actions nécessaires pour les
réparer.
Objectifs - Elabore des recommandations - Son rapport est remis au ministre
dont le but est d’éviter la des finances qui décide des suites à
réapparition du problème. lui réserver.
36
3. La cour des comptes

Les entreprises et organismes publics sont tous soumis au contrôle de la Cour
des comptes, créée en 1979 et érigée en tant qu’institution constitutionnelle en
1996. Elle est régie par la loi n°62-99 formant code des juridictions financières
qui a fixé explicitement ses attributions en matière de contrôle supérieur des
finances publiques.
Sa méthodologie de contrôle s’inspire des normes et pratiques internationales

d’audit et recourt de manière permanente aux normes de l’INTOSAI et de
l’Institut de l’Audit Interne.
L’adoption de la loi n°62-99 entrée en vigueur en janvier 2003 oblige tous les
départements de contrôle et d’audit à communiquer à la Cour des comptes ou à
la Cour régionale des comptes, selon le cas, leurs rapports d’inspection (article
109 du Code des juridictions financières).
Cette disposition permet ainsi à la Cour des comptes, en tant qu’institution

supérieure de contrôle des finances publiques, d’avoir une vision claire sur les
activités d’audit réalisées au terme de chaque année.
Le code a prévu également un contrôle intégré, qui consiste à procéder au

contrôle de la gestion ou de l’audit conjointement avec le jugement des comptes.
Cette nouvelle approche accorde une place de choix à l’audit qui permet de
mieux informer sur la gestion et la performance des services et organismes
publics, ainsi que de formuler les recommandations qui sont de nature à impulser
des réformes au niveau de l'appareil de l'Etat visant la transparence, l'efficacité
et la rationalité.
La Cour des Comptes recourt également aux travaux et rapports réalisés par
d’autres corps d’inspection et d’audit. Elle prend en considération les outputs de
toutes les missions effectuées dans les entreprises publiques, par les IGF, les
auditeurs internes et les commissaires aux comptes.
37
AVEC LA COUR DES COMPTES
Audit interne Cour des comptes

Compétence - Managériale, mise à la disposition - Juridictionnelle de droit commun
de la direction de l’entreprise (jugement des comptes, gestion
pour l’aider à mieux répondre à de fait, discipline budgétaire et
ses préoccupations de financière) et extra
management et renforcer sa juridictionnelle (contrôle de la
maîtrise. gestion ou auditing)
Régularité - Contrôle le respect des règles - Contrôle intégré, qui consiste à
- Travail basé sur une démarche procéder au contrôle de la gestion
méthodique qui fait appel à un ou de l’audit concomitamment
ensemble de savoirs et de avec le jugement des comptes.
techniques.
- Contrôle le respect des règles, la
fiabilité des informations,
l’adéquation des méthodes et la
fonction de contrôle de gestion.
Mandat - Intervention sur mandat de la - Elle rend compte au Roi de
direction générale. l’ensemble de ses activités,
- Assuré par des professionnels - Ses responsables sont nommés
compétents, intègres et objectifs. par le Roi.
Méthode - Il porte une simple appréciation - Elle vérifie et juge les comptes et
en se prononçant sur la sincérité sanctionne les manquements aux
et la régularité des comptes règles (responsabilité civile et
(aucune force d’obligation). pénale pour les entités
contrôlées), et rend des arrêts de
décharge (quitus) sinon d’avance
ou des débets.
Evaluation - Evalue le fonctionnement des - Evalue la gestion des organismes
systèmes. afin d’en apprécier la qualité et de
formuler, éventuellement, des
suggestions sur les moyens
susceptibles d’en améliorer les
méthodes et d’en accroître
l’efficacité et le rendement.
Rapports - Destinés aux dirigeants de - Destinés aux différentes autorités

l’entreprise. du pays (dont le rapport annuel,
qui est présenté au Roi, publié au
bulletin officiel et repris
largement par le grand public)
38
CHAPITRE III
LES PREALABLES A LA CREATION
DE LA CELLULE D’AUDIT INTERNE
La croissance et la complexification de l’entreprise sont les deux raisons

principalement avancées pour décider de la création d’un service d’audit interne.
Mais des événements extérieurs jouent parfois un rôle de catalyseur dans la prise
de décision, tels une évolution de la législation : la loi 69-00 pour les entreprises
publiques au Maroc, loi de sécurité financière en France, loi Sarbanes-Oxley au
Etats-Unis…
La fonction d’audit interne qui n’est pas généralisée de façon systématique à

toutes les composantes des secteurs publics au Maroc est relativement récente.
Dans certains ministères, les inspections générales, par exemple, ont développé
cette activité parallèlement à celle se rapportant à l’inspection pure. Le ministère
de l’Equipement a institué une cellule d’audit interne, rattachée au secrétaire
général qui prend en charge toutes les activités d’audit. Le département de
l’Habitat a institué un comité permanent de l’audit dont le secrétariat est assuré
par l’inspection générale. D’autres départements, tel celui de l’Agriculture,
disposent de divisions similaires dénommées d’évaluation des programmes et
projets. L’agence nationale de la conservation foncière, du cadastre et de la
cartographie (ANCFCC) a récemment mis en place un département d’audit
interne directement rattaché au directeur général.
Ainsi, un grand nombre d’entreprises publiques a décidé la création d’une cellule

d’audit interne à la suite des initiatives de 1993 des pouvoirs publics (Lettre
Royale, circulaire du Premier Ministre, décision DPE 113/70/16), et en 2004 de
l’entrée en vigueur de la loi n° 69-00 relative au contrôle financier de l’Etat sur
les entreprises publiques et les autres organismes. Cette loi a constitué le vrai
accélérateur de l’audit interne.
Sur la conception même de l’audit interne, tout se fait de manière progressive,

c’est-à-dire commencer par fiabiliser les procédures, le contrôle interne, puis
progressivement, lorsque la fiabilité des systèmes est raisonnablement assurée,
passer à un échelon supérieur, à des sujets qui touchent aux programmes et à la
bonne gestion financière.
La conception de la fonction d’audit interne repose sur plusieurs étapes :

- Identification des attentes et objectifs de la mission.
- Etablissement du plan stratégique.
- Evaluation des risques et plan d’audit.
- Etablissement des budgets à moyen termes.
- Démarrage des travaux.
- Identification des compétences.
- Développement des performances techniques.
- Etablissement d’un axe de communication.
- Mesure des résultats
39
SECTION 1 : Périmètre d’intervention de l’audit

interne
Au préalable à la création d’une cellule d’audit interne il est nécessaire que
l’entreprise définisse les attentes des parties prenantes, le périmètre
d’intervention de l’audit, le type de mission dans lequel l’audit sera engagé ainsi
que la méthodologie à adopter.
1. Identification des attentes et objectifs

de la mission
La valeur que l’activité de l’auditeur doit créer est le résultat produit par
l’entreprise pour répondre aux besoins et aux attentes des parties prenantes.
L’étude des besoins et attentes des parties intéressées est préliminaire et
essentielle à l’auditeur interne qui doit s’appuyer sur elle avant toute
planification. Cette étude qui relève de la direction générale conduit chaque
partie prenante à comparer sa propre perception des apports de la valeur de
l’entreprise avec ses besoins et ses attentes. C’est pourquoi il est nécessaire de :
- Identifier les besoins, les attentes et le niveau de satisfaction attendus de
la part des parties prenantes.
- Répondre aux besoins et attentes de façon juste et équitable.
- Evaluer le niveau de satisfaction réellement perçu.
- Apprécier le degré de la confiance des parties prenantes de l’organisation.
Il appartient de fait à chaque organisation de bâtir, en fonction de ces éléments,

le département d’audit interne le mieux à même de satisfaire ses attentes.
Parties prenantes Attentes

Direction générale - Evaluation et reporting des déficiences en matière de
et comité d’audit contrôle interne et des risques clés opérationnels.
- Recommandations sur l’amélioration des contrôles.
Direction financière - Fiabilité de l’information financière.
- Séparation des pouvoirs entre ordonnateur et
comptable.
- Garantir la sécurité des actifs.
- Couverture des risques financiers.
Les audités, compris - Efficacité et efficience des processus.
les tiers partenaires - Appréciation de la performance.
- Souplesse dans l’intervention.
- Transparence dans les conclusions.
- Réalisation régulière de contrôle de pertinence du
bon fonctionnement.
- Mieux remplir leurs responsabilités.
Les organes de - Sécurisation juridique, conformité (lois et
contrôle (Cour des règlementations).
comptes, - Fiabilité de l’information financière
commissaire aux - Garantir la sécurité des actifs.
comptes, IGF, - Couverture des risques.
contrôleur d’Etat, - Maintenir une correcte séparation des tâches et
etc.) responsabilités.
40
L’activité de l’audit interne, dans sa définition, est une activité créatrice de valeur
ajoutée qui apporte à la direction générale et au comité d’audit un éclairage sur
les risques et les systèmes de contrôle interne (mission d’assurance) et à
l’organisation une réelle contribution à la gouvernance d’entreprise (mission de
conseil).
Le véritable enjeu de l’auditeur interne s’inscrit dans la stratégie de l’entreprise,

et donc de la direction générale, pour garantir la création et la protection de
valeur et satisfaire les parties intéressées préalablement identifiées. La direction
générale attend un diagnostic précis et des recommandations pragmatiques
permettant de faire évoluer l’entreprise de manière tangible.
Création de valeur : contribution à la valeur future, amélioration des

performances opérationnelles et évaluation du futur processus de gestion des
risques. L’auditeur interne vise ainsi à accroître les performances. Il cherche à ce
que l’organisation obtienne dans le futur, des performances meilleures, plus
qu’elle n’en a dans le présent ou qu’elle n’en a eu dans le passé.
Protection de valeur : évaluation des risques actuels de l’entité. La mission est

reprise dans la Charte d’audit interne qui doit être une pratique prédominante
dans toute entreprise. Elle formalise le rôle et le fonctionnement de l’audit
interne et définit son périmètre d’audit. Cette charte est validée par les plus
hautes instances de l’entreprise et sa publication donne lieu à une
communication plus large sur la création de la cellule d’audit interne.
La charte d’audit de l’entreprise publique définit clairement sa mission et son

champ d’intervention, son autorité, son rôle, ses responsabilités et ses relations
avec la direction générale et avec les autres corps de contrôle.
L’enquête « l’audit interne en France et dans le monde » réalisée par l’IIA

en novembre 2006 se distingue par le nombre de pays concernés (91) et
le nombre de répondants (9 366 questionnaires d’auditeurs internes et de
responsables d’audit interne exploités). L’enquête menée indique que la
charte d’audit est un document assez répandu dans les services d’audit
interne, qu’il existe dans 82% des entreprises en France.
PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE
Document IIA France

Plan d’audit interne 81% 90%
Charte d’audit interne 72% 82%
Lettre de mission de l’audit interne 60% 79%
Manuel d’audit 63% 57%
41
Implications
Création de valeur
stratégiques
Contribution à la valeur future

Gains Amélioration Réduction
d’efficacité des processus de coûts
Amélioration des performances opérationnelles
Développemen Décision Nouveaux Autres

t d’applications d’investissement risques diligences
Evaluation du futur processus de gestion des risques
Protection
de valeur
Lois et Processus Principaux Processus Protection Gouvernance
règlements opérationnels contrats comptables des actifs
Evaluation des risques actuels de l’entité
Mission d’audit Interne- Source : PricewaterhouseCoopers 2008
2. Etablissement du plan stratégique

Le plan de développement stratégique propose dans le temps une méthodologie
de travail à adopter et un calendrier de mise en place de la cellule et définit enfin
le plan de communication destiné aux parties prenantes.
L’enquête mondiale menée par l’IIA en 2006 précise qu’un pourcentage de

66% des services d’audit interne ont établi un plan stratégique à long terme
contre 81% indiquée par les responsables d’audit interne en France.
DOCUMENTS RELATIFS A LA GOUVERNANCE D’ENTREPRISE
Type de documents Effectif Effectif Responsable

total total Audit
(IIA) (France) Interne
(France)
Plan stratégique à long terme 66% 68% 81%
Code d’éthique/ code de conduite 73% 68% 75%
Charte du Comité d’Audit 57% 54% 70%

Code de gouvernement
53% 37% 55%
d’entreprise
42
2.1. Les objectifs attendus de l’audit interne

dans le temps
L’objectif consiste à déterminer les types de missions et leur nombre qui seront
conduites par la fonction audit interne. Généralement l’audit interne se consacre
plus à des missions d’audit du contrôle interne (d’assurance) que celle du conseil.
Missions d’assurance
La grande proportion des missions réalisées par l’audit interne sont des missions
tournées vers l’assurance. Ces missions concernent, par ordre de priorité et
d’importance :
- L’évaluation du contrôle interne sur des processus opérationnels.
- L’évaluation du contrôle interne sur des processus financiers et comptables.
- L’audit de conformité aux lois et réglementations.
- L’évaluation des processus de management des risques.
- L’audit et fraude…
Missions de conseil
En matière d’activité de conseil, l’audit interne réalise des missions classiques
tournées principalement sur le conseil en organisation, sur la participation à des
projets à durée déterminée ou à des comités permanents et sur les actions de
formation au contrôle interne.
2.2. L’organisation de la fonction d’audit

interne dans le temps
- Sensibiliser les managers et les gestionnaires responsables à l’audit, les

former aux règles du contrôle interne et en particulier aux systèmes de
maîtrise des risques.
- Recenser et évaluer les besoins en auditeurs, identifier les profils pour
effectuer les missions définies dans le temps imparti, avec la fréquence
souhaitée.
- Convenir avec les auditeurs les objectifs de progression personnelle :
maitrise de la méthodologie, tâches formatrices, contribution aux objectifs
de service.
- Planifier les besoins dans un calendrier.
2.3. Le plan de communication aux parties

prenantes
Le plan vise l’élaboration d’un plan de communication rigoureux, mis en œuvre

par le responsable d’audit, dont l'objectif est de relayer la stratégie de
l’entreprise en matière d’audit interne, définir la fonction pour susciter l'adhésion
du personnel, créer du lien et développer une culture commune d’audit.
L'organisation a besoin de rendre régulièrement compte à ses parties prenantes

de ses politiques de gestion des risques, leur efficacité du point de vue de ses
objectifs et améliore du même coup la performance de la fonction, il la fait mieux
comprendre et mieux connaître.
43
SECTION 2 : Le plan d’audit et l’organisation

des moyens
La préparation du plan d’audit résulte de la charte d’audit interne, de l’analyse
des risques, des attentes du management et du niveau de maturité en matière
de contrôle interne. Elle prend en compte la méthodologie d’audit pour la durée
des missions et les compétences du service d’audit.
Le plan d’audit est construit en s’appuyant sur les demandes spécifiques de la

direction et du comité d’audit, sur l’évolution particulière de l'organisation, sur
les audits précédents, sur leur fréquence. Ce plan comprend les thèmes et
objectifs des missions, leur durée, les dates d’intervention, les compétences et
ressources.
La tendance actuelle est au plan pluriannuel qui n’est pas élaboré en une seule
fois, une mise à jour est nécessaire pour successivement le compléter et
l’enrichir. Le plan pluriannuel couvre tous les services susceptibles d’être audités.
Ce plan repose aussi sur l’analyse de risque qui va faire varier la fréquence des
missions d’audit interne : par exemple, tous les ans pour les services les plus
exposés, tous les deux ans pour d’autres et tous les trois ans pour les risques
acceptés.
1. Evaluation des risques et plan d’audit

L’élaboration et l’évaluation de la cartographie des risques protège le patrimoine
de l’organisation et crée de la valeur pour celle-ci et ses parties prenantes. Les
risques sont les éléments clés et les fondements du plan d’audit. L’audit interne
dispose ainsi d’un instrument de mesure, d’une technique permettant de porter
un jugement sur l’importance du risque dans la zone auditée
L’évaluation permet à l’audit interne d’identifier, mesurer les profils de risques

existant au sein de l’organisation, et de les hiérarchiser, compte tenu de chaque
entité et des différentes activités. Elle permet donc d’élaborer le plan d’audit en
fonction des zones de risques identifiées et de les inscrire en priorité dans le
champ de révision en fonction du degré plus ou moins élevé du risque déterminé.
L’autre objectif de la cartographie des risques est de déterminer la fréquence des
interventions.
2. Etablissement des budgets à moyen terme
2.1. Construction à partir des besoins
Le premier exercice budgétaire est relativement délicat dans la mesure où il est

difficile de le prévoir de façon précise. Le plan d’audit et la cartographie des
risques permettent de donner cette vision à court et moyen terme pour établir un
budget annuel ou sur deux ou trois ans, avec un plan d’action associé. Il est
élaboré sur la base des besoins exprimés par les responsables des différents
services et sur l’analyse des attentes des parties prenantes. Une fois la liste des
missions établie, les chefs de service sont à nouveau consultés avant de fixer les
44
budgets appropriés soumis à l’approbation de la direction générale, au comité

d’audit ou à la direction à laquelle est rattaché le service d’audit interne.
2.2. Prise en compte de tous les facteurs
Le budget d’un service d’audit interne comporte au préalable un nombre limité

de lignes de dépenses, mais doit prendre en compte tous les facteurs contenus
dans le plan d’audit pour son établissement. Il prend en compte principalement :
- Les effectifs et le type de profils recherchés.
- Les frais de formations et de perfectionnement.
- Les frais d’assistance et de conseil, s’il est nécessaire de faire appel à des
cabinets ou à l’intervention ponctuelle de personnes spécialistes.
- Les coûts relatifs à la logistique et à l’équipement utilisé.
Le budget nécessaire au fonctionnement du département d’audit interne, à

périmètre constant, est généralement stable et se détermine à partir du plan
d’audit pour pouvoir justifier les moyens réellement engagés.
Après la première année de mise en place de la fonction, l’audit antérieur

donnera des informations importantes qui vont aider à l’appréciation réelle de
budgets sur plusieurs exercices. Ces budgets sont définis en instaurant un
dialogue de gestion honnête et équitable avec les gestionnaires, en les rendant
aussi autonomes, libres et responsables que possible. Ne pas oublier que les
budgets ont une incidence sur la capacité de l’auditeur de s’acquitter de ses
fonctions.
2.3. Procéder à un arbitrage
La programmation des missions par rapport à l’optimisation des moyens et aux

restrictions budgétaires, les écarts et inadéquations flagrantes entre les objectifs
et les moyens pour les réaliser, ainsi que les conséquences et les risques
encourus de ces écarts peuvent susciter la préparation des arbitrages. Ces
réunions d’arbitrage au niveau des missions retenues portent sur les éléments de
performance des budgets alloués à chaque poste.
Le processus d’arbitrage permet d’intégrer les déclinaisons formulées, de fixer les

allocations définitives des ressources et de les communiquer aux acteurs
concernés.
3. Démarrage des travaux

Une fois le plan d’audit élaboré, le responsable d’audit interne doit assurer
rapidement le démarrage des travaux en établissant un planning qui traduit le
plan d’audit en emploi du temps pour chaque auditeur. Dans un premier temps
faut-il attendre de mettre tout en place avant de lancer des missions ou les
lancer sans avoir formellement défini la méthodologie.
Cette approche peut comporter un risque, car la première mission donne le ton
sur le mode de fonctionnement de l’audit et instaure en partie la crédibilité du
service, qui doit démontrer son véritable savoir-faire, une approche méthodique
et une démarche structurée. Ou plutôt prendre le temps de bien définir la
45
méthodologie, recruter et former tous les profils techniques nécessaires, sans

pouvoir démontrer la valeur ajoutée du département par la réalisation de
missions aboutissant à des recommandations pragmatiques.
Cette dernière approche est souvent préconisée. Une période de quelques mois
sera nécessaire pour définir la méthodologie d’audit avant de lancer des
missions. Les dates et les services à auditer seraient clairement prévus pour
permettre d’organiser les audits en fonction d’une méthodologie structurée. Il
faut garder en mémoire que l’audit interne s’appuie toujours sur les missions
qu’il a réalisé auparavant.
La crédibilité d’un service d’audit interne et sa justification reposent

essentiellement sur le degré de réalisation des missions et sur la pertinence des
résultats. Cependant l’auditeur interne, en privilégiant des missions ne
présentant pas de difficulté de réalisations, n’entamera pas sa crédibilité en
lançant des travaux de terrain le plus tôt possible.
4. Identification des compétences

En matière de conduite des missions, les auditeurs internes doivent faire preuve
d’excellence, aller à l’essentiel, ne pas se contenter de pointer un questionnaire
de contrôle interne, mais prendre du recul par rapport à ce qu’ils constatent, afin
d’en tirer des enseignements utiles, sources de valeur ajoutée pour toute
l’organisation.
Le responsable de l’audit interne doit bien identifier les profils nécessaires

adaptés au bon fonctionnement du département sur la base de compétences
avérées, des critères manifestes de sélection et d’auditeurs professionnels qui
connaissent un ou plusieurs métiers de l’organisation, ainsi que les techniques,
méthodologies, outils de l’audit interne et du contrôle interne. Ces auditeurs
devraient être en mesure d’affirmer leur rôle et leurs responsabilités dans la
gouvernance et démontrer par les missions qu’ils effectuent, qu’ils apportent
dans leur domaine une véritable valeur ajoutée à l’organisation.
5. Développement des performances techniques

Le service doit réunir les connaissances, les aptitudes et les compétences
techniques nécessaires à la réalisation de ses objectifs. Il est important à cet
effet que les auditeurs soient suffisamment dotés d’une méthodologie et des
moyens qui permettent d’atteindre les objectifs assignés. Une formation
spécifique aux méthodes, techniques et outils recommandés par le service
d’audit interne devra être systématiquement organisée. Parmi les références
dont doit bénéficier le service d’audit, les compétences spécialisées « à
dominante scientifique et/ou technologique» sont indispensables, dans
l’ensemble du domaine précisé, pour qualifier une mission.
Sur le plan pratique, l’assimilation des compétences repose sur une méthodologie
qui s’appuie sur:
- Des standards de travail.
- La gestion du savoir pour capitaliser sur les informations issues des audits.
46
- Un programme de formation.
- Un programme d’assurance et d’amélioration qualité.
- L’évaluation des performances des auditeurs.
Les auditeurs internes doivent disposer de tous les outils nécessaires pour offrir
des résultats fiables. Ces outils s’appliquent tout au long des travaux et
principalement dans :
- La gestion du planning.
- Le traitement massif de données et outils informatiques.
- La documentation, revue des travaux, et suivi des recommandations.
- Le partage des connaissances et capitalisation du savoir / Comparaison
aux meilleures pratiques.
A ce titre, il est nécessaire de véhiculer l'ensemble des techniques permettant,

d'identifier, d'analyser et de partager les connaissances entre les auditeurs, en
particulier les savoirs créés par l'entreprise elle-même. Le service d’audit interne
doit veiller à la structuration, la capitalisation et au partage des connaissances
pour renforcer les compétences techniques.
Il faut aussi munir les auditeurs des supports propres à chaque mission et de
documents adaptés : guide d’audit du service, les documents et procédures de
fonctionnement du service…
47
SECTION 3 : La communication et les résultats

de l’audit interne
1. Etablissement d’un axe de communication

Il appartient au service de l’audit interne de développer les compétences de son
équipe, comme il a l’obligation d’établir un plan et une stratégie de
communication destinés à toute l’organisation.
1.1. Communication de la direction

pour le lancement de la fonction
Au moment où la direction prend la décision de mettre en place la fonction

d’audit interne, elle doit communiquer cette décision et sensibiliser l’ensemble de
son personnel sur le rôle, la valeur ajoutée et la nécessité que cette fonction
apporte à l’organisation. La charte de l'audit interne peut représenter le
document central de cette information, parce qu’elle définit la mission, les
pouvoirs et les responsabilités de cette nouvelle activité.
1.2. Communication de l’audit interne

vers la direction générale
La fonction d’audit interne a pour obligation de rendre compte aux organes

délibérants de tous les actes et actions qu’elle entreprend et notamment des
missions et des dysfonctionnements relatifs au dispositif de contrôle interne
appliqué à un processus donné. Cette fonction applique une méthodologie pour
aboutir à des rapports qui regroupent des conclusions et des recommandations
qui permettent de construire positivement.
L’indispensable confiance qui doit exister entre la direction générale et l’audit

interne implique l’absence d’autocensure dans la rédaction des rapports d’audit
dont une note de synthèse est toujours communiquée à la direction. L’auditeur
interne devra être totalement transparent vis-à-vis de la direction générale, du
comité d’audit et des audités.
1.3. Communication de l’audit interne

vers les audités
La relation entre les auditeurs et les audités, doit se caractériser par une
confiance mutuelle pour être créatrice de valeur ajoutée. Elle s’inscrit dans un
esprit d’échange, de consensus et ne relève pas d’un quelconque rapport de
force.
Les rapports des missions d’audit, à l’état de projet, sont transmis à la

hiérarchie des audités qui prend connaissance de son contenu. Les réunions de
validation auxquelles participent auditeurs et audités, permettent un accord sur
le contenu des constats et des recommandations avant leur communication
finale. Cette communication satisfait à un des principes essentiels de l’audit
48
interne qui veut que tout gestionnaire audité doit pouvoir s’informer et recueillir
les conclusions de l’intervention.
2. Mesure des résultats

Pour chaque mission, l’auditeur interne précise son champ, son objet, formalise
complètement son programme de travail, fixe, suit les étapes de réalisation et
rend compte de ses constatations dans un rapport, de façon exacte, objective,
claire, concise, et constructive.
Les instruments de mesure des résultats sont des indicateurs essentiels

quantitatifs et qualitatifs qui reflètent les objectifs mesurables donnés à la
fonction :
• Degré de réalisation du plan d’audit
• Recommandations suivies
• Satisfaction des audités
• Délais d’émission des rapports
2.1. Degré de réalisation du plan d’audit
L’exécution et la performance du plan d’audit qui programme toutes les missions

dans le temps et définit les moyens et ressources assignés doivent être
mesurées pour s’assurer de la bonne exécution du plan. La mesure des résultats
du plan permet d’identifier les missions reportées, celles réalisées et celles qui
ont été engagées en dehors du plan. L’analyse de ces écarts permet de mettre
en évidence la qualité du plan. Si celui-ci a été bien conçu, il ne devrait être
modifié que de façon marginale. Il faut également s’assurer que les décisions
prises et les actions mises en œuvre dans le plan ont été relevées lors des
missions d’audit interne déjà effectuées, si celles-ci ont eu lieu.
La mesure de réalisation du plan d’audit permet d’indiquer d’autres résultats,

comme le nombre de recommandations avec leur degré de priorité ou leur
impact, le nombre de plans d’actions mis en œuvre, le respect des délais de mise
en œuvre … Elle identifie les difficultés qui ont pu avoir une influence sur le plan :
retards, blocages, surcroit de travail sur un dossier, sous estimation du travail à
effectuer…
2.2. Suivi des recommandations
L’acceptation des recommandations de l’audit interne et la mise en œuvre des

plans d’actions pour remédier aux dysfonctionnements relevés est la finalité de
toute mission d’audit. L’audit interne n’assume pas la responsabilité de la mise
en œuvre des recommandations qu’il émet dans les délais validés. Cette
responsabilité incombe aux audités. Néanmoins, et conformément aux normes
pour la pratique professionnelle de l’audit interne, l’auditeur interne peut jouer
un rôle de consultant dans ce domaine, si nécessaire.
Lorsque des déficiences de contrôle sont révélées, le service d’audit a cependant

les attributs de lancer de véritables missions de suivi qui portent sur les
déficiences identifiées précédemment.
49
Si la vocation de l’audit interne est d’impulser des changements, le suivi met en

relief le taux de mise en œuvre des recommandations déclarées (reporting) ou
vérifiées, à l’issue de la mission sous un délai de 3 mois.
2.3. Satisfaction des audités
L’auditeur interne doit être le partenaire parfait de l’audité et le rendre partie

prenante d’un audit de qualité: adopter des attitudes pour faire partager sa
vision auprès des audités et atteindre ainsi ses objectifs, créant une valeur
ajoutée par ses approches, ses conseils pratiques et par son degré de maîtrise
des opérations. Ses performances et les attitudes conciliantes face aux préjugés
de toutes sortes restent des facteurs déterminants dans la satisfaction des
audités et dans la capacité de l’auditeur à se faire apprécier. Mais c’est la
réussite totale de la fonction qui suscite l’adhésion de l’ensemble du personnel
aux objectifs de l’audit interne.
2.4. Indicateurs de mesure
Il existe plusieurs indicateurs de mesure de la valeur ajoutée apportée par l’audit

interne. Ils s’inscrivent dans une démarche qualité d’amélioration du processus
d’audit et visent à mesurer l’apport global de la mission d’audit.
Les critères de mesure sont dans l’ordre les taux de mise en œuvre des
recommandations, de réalisation du plan d’audit, d’acceptation par les audités
des recommandations émises et le délai moyen de sortie du rapport. D’autres
critères méritent d’être signalés :
- Le taux de mise en œuvre des actions correctives.
- Le support de la direction générale.
- Tableau de bord prospectif.
- Questionnaire de satisfaction annuelle.
- Enquête de satisfaction individuelle.
- Ratios de rendement, d’efficacité et de coût…
2.5. Evaluation des performances
Afin d’intéresser les auditeurs internes et les faire adhérer aux évolutions à
entreprendre pour améliorer et motiver leurs méthodes de travail, le
développement des outils de mesure des performances appropriés est
nécessaire, comme par exemple :
- Prévoir et planifier les promotions d’auditeurs junior en auditeurs senior et
éventuellement chef de mission, c’est être en mesure d’évaluer la
performance de chacun.
- Evaluer la qualité et l’efficacité des techniques et des moyens utilisés par
l’auditeur pour proposer d’éventuelles améliorations.
- Evaluer le comportement et l’image des auditeurs et les réactions que cela
suscite pour mettre en évidence des demandes de modifications et non
des jugements de valeur blessants.
Ces méthodes d’évaluation peuvent se faire, soit par le cumul d’évaluation

propre à chaque mission, soit par une évaluation annuelle réalisée en fonction
des objectifs du plan d’audit.
50
Pour mesurer la performance du service d’audit interne lui même, il faut

procéder aux analyses des principaux indicateurs de performance. Ces
indicateurs de mesures ont fait l’objet d’une enquête très élaborée de l’IFACI.
L’enquête réalisée en juin 2005 a porté sur la pratique de l’audit interne en
France, renouvelant ainsi l’enquête menée en 2002.
508 responsables de services d’audit interne ont été invités à répondre au
questionnaire qui abordait les sujets d’actualité de la profession et toutes les
préoccupations des auditeurs internes. 188 y ont répondu, ce qui donne un taux
de réponse très satisfaisant de 37% et assure une bonne crédibilité aux
conclusions tirées.
- Le taux de mise en œuvre des recommandations : « recommandations

réalisées / recommandations acceptées » permet de mesurer la qualité de
mise en œuvre des recommandations par les audités. Ce critère est jugé
pertinent pour effectuer cette mesure pour 84 % des répondants.
- Le taux d’acceptation des recommandations : « recommandations acceptées
/ total des recommandations » permet de mesurer l’efficacité de l’audit
interne et l’appréciation des recommandations par les audités. Ce critère est
jugé pertinent pour 64 %.
- Le taux de réalisation du plan d’audit : « nombre de missions réalisées/
nombre de missions programmées » permet de mesurer le rendement et le
taux de couverture des missions inscrites dans le programme annuel
d’intervention. Une explication doit être donnée concernant les missions non
réalisées. Ce critère est jugé pertinent pour 75 %.
- Le délai moyen d'émission des rapports et de tenue des réunions, permet
de mesurer la rapidité avec laquelle les différents documents ont été
communiqués. Ce critère est jugé pertinent pour 48%.
51
DEUXIEME PARTIE :
METHODOLOGIE DE CREATION
DE LA FONCTION
&
MISE EN PLACE DES OUTILS
DE L’AUDIT INTERNE
52
CHAPITRE I
L’ORGANISATION D’UN SERVICE
D’AUDIT INTERNE
La position de l’audit interne dans l’organisation doit lui permettre un large

champ d’investigation, une certaine liberté d’action et d’opinion. C’est la raison
pour laquelle son rattachement hiérarchique à la direction générale et fonctionnel
à un comité de pilotage va lui permettre de disposer de la latitude et des
caractéristiques énoncées par les normes qualifiant l’audit interne.
SECTION 1 : Positionnement de l’audit interne

Par l’importance de sa fonction dans la réalisation des différents objectifs de
l’organisation, l’audit interne est généralement situé à un niveau élevé de la
hiérarchie. La fonction contrôle de l’audit interne ne peut se concevoir sans
indépendance vis-à-vis de l’entité contrôlée. De même les recommandations de
l’audit interne ne peuvent pas être pertinentes si elles n’émanent pas d’un
organe hiérarchiquement élevé.
Les normes internationales de l’IIA -notamment la norme 1100- qui régit le

positionnement de la fonction est impératif : « L'audit interne doit être
indépendant et les auditeurs internes doivent effectuer leurs travaux avec
objectivité ». La norme 1110 précise: « Le responsable de l'audit interne doit
relever d’un niveau hiérarchique suffisant au sein de l’organisation pour
permettre au service d’audit interne d’exercer ses responsabilités». Les normes
professionnelles sont prudentes en matière de rattachement puisqu’elles ne
précisent pas, l’organe auquel la fonction audit interne doit être rattachée. En
revanche, les modalités pratiques d’application de ces normes de l’IIA
recommandent un rattachement de la fonction au comité d’audit.
Cependant l’IFACI, par exemple, considère que seul un rattachement

hiérarchique à la direction générale, doublé d’un rattachement fonctionnel au
comité d’audit, peut donner à l’audit interne efficacité et indépendance, tout en
lui facilitant un champ d’investigation assez étendu. Le double rattachement à la
Direction générale et au Comité d’audit réduit les risques d’interférence implicites
ou explicites sur le choix des missions ou la formulation des recommandations et
confère aux auditeurs internes une liberté importante, voire totale pour la
réalisation de leurs missions, même si pour 19% des répondants (35,7% pour le
secteur public) les missions sont toujours décidées par la Direction générale
(IFACI enquête 2005).
Dans le secteur public, Il existe une grande diversité d’organismes dont le degré
de complexité varie, mais il n’existe pas de modèle de rattachement unique qui
puisse convenir à tous ces organismes. Les liens hiérarchiques au sein de
l’entreprise publique ont une réelle incidence sur l’indépendance de l’auditeur et
sur l’étendue de son travail. Les auditeurs internes ne peuvent se situer
n’importe où au sein d’un organisme quelque soit sa structure, pour préserver
son indépendance. Sa position ne doit pas entraver la capacité des auditeurs
53
d’exécuter leur travail et de rendre compte des résultats obtenus de façon

objective.
Si la cellule est généralement rattachée à la direction générale et au comité

d’audit… on la trouve intégrée aussi à des directions fonctionnelles, à la direction
administrative et financière, à la direction contrôle de gestion ou à l’inspection
générale et au secrétariat général.
1. Le rattachement hiérarchique de l’audit interne

Il est difficile d’admettre qu’un auditeur, nommé et révocable par le conseil
d’administration, puisse être quand même indépendant. L’auditeur doit être en
position de faire remarquer à un directeur, même à un ministre, que leur
système est défectueux et pouvoir leur recommander des solutions qu’ils
devraient accepter. En réalité, pour atteindre cette indépendance, il convient
d’insister en premier sur la confiance qui est placée en l’auditeur et méritée par
ses compétences, et en deuxième lieu sur un statut élevé, suffisamment
prestigieux à tous les niveaux : rémunération, hiérarchique, formation, carrière…
Cependant il existe quelque inconvénient quant au rattachement. Du point de

vue opérationnel, si la direction générale dispose de peu de temps à consacrer à
l’audit, le responsable de l’audit interne doit être suffisamment autonome et
expérimenté pour gérer le service et ne faire remonter que les points critiques à
la direction générale.
Quant au rattachement à une direction financière, il peut créer de réels

problèmes. Comment traiter une anomalie comptable ou financière sérieuse due
à une insuffisance de contrôle de cette direction. En plus, ce rattachement peut
limiter l’audit à une revue des processus financiers et lui ôter la légitimité
nécessaire pour intervenir sur d’autres problématiques auprès des autres
directions : organisation commerciale, stratégie informatique,… Les autres
directions accepteraient assez mal d’être contrôlées par une direction de même
niveau hiérarchique. En cas de rivalités ou de conflits, l’accusation d’usage de
l’audit interne à des fins partisanes est alors facile. Par ailleurs, le rattachement
à une direction opérationnelle rendrait l’audit interne dépendant de celle-ci, et le
placerait en position délicate pour la juger.
Voici pourquoi le rattachement au plus haut niveau et l’autorité qui en découle ne

peuvent que faciliter la réalisation de tous les objectifs de l’audit interne.
54
Rattachement hiérarchique de l'audit interne (Enquête IFACI : France 2005 et 2009)
Tous les secteurs Tous les secteurs

(y compris le (y compris le
Organe de rattachement secteur public) secteur public)
hiérarchique 2005 2009
Direction générale 69,30% 72,00%
Direction financière 14,70% 16,00%
Président du Conseil 7,40% -
Comité d'audit 4,30% 2,00%
Direction centrale de l'audit
3,70% 11,00%
interne
2. Le rattachement fonctionnel de l’audit interne

La création d’un comité d’audit, organe de contrôle et de surveillance, qui
comprend des membres du conseil d’administration, va dans le sens d’une
autorité accrue. Le double rattachement hiérarchique à la direction générale et
fonctionnel au comité d’audit confère aux auditeurs internes l’indépendance
nécessaire et réduit les risques d’interférence implicites ou explicites sur le choix
des missions et la formulation des recommandations.
Au Maroc, la loi n° 69-00 habilite le comité d'audit à apprécier la régularité des

opérations d’audit, la qualité de l'organisation, la fiabilité et la bonne application
du système d'information ainsi que les performances de l'entreprise. Il est une
émanation du conseil d’administration, composé du contrôleur d'Etat et de deux
à quatre membres, n’ayant aucune responsabilité de gestion au sein de
l’organisme.
Malgré l’importance et l’utilité d’un comité d’audit, une certaine réticence quant à
sa mise en place persiste. Ceci est dû généralement à une mauvaise
compréhension de la mission de cette structure, souvent perçue comme une
défiance vis-à-vis des dirigeants des organisations ou même une limitation de
leurs attributions.
Rattachement fonctionnel de l'audit interne (Enquête IFACI : France 2005)
Tous les secteurs

Organe de rattachement (y compris le secteur
fonctionnel public) 2005
Comité d'audit 38,40%
Direction centrale de l'audit
33,30%
interne
Direction générale 13,30%
Direction financière 13,30%
55
RECOMMANDATIONS
Aucun auditeur, pris individuellement, ne doit avoir de conflit d’intérêt qui

pourrait nuire à son impartialité. L’audit interne est indépendant lorsque les
auditeurs sont libres d’exécuter leur travail, sans la moindre ingérence,
restriction ou pression. Il y a ingérence lorsque l’entreprise limite l’accès aux
documents, contrôle le budget ou la dotation en personnel des missions, ou a le
pouvoir d’infirmer ou de modifier les rapports des auditeurs.
Les organes délibérants doivent établir des dispositifs pour garantir aux
auditeurs internes de rendre compte de tout problème significatif, aux autorités
compétentes. La protection de l’indépendance des auditeurs est d’autant plus
importante, lorsque l’audit interne est rattaché à des personnes qui peuvent être
à l’origine de problèmes significatifs.
Le statut du responsable d’audit doit être suffisamment élevé pour lui

permettre des relations d’égal à égal avec les responsables des différentes unités
opérationnelles ou fonctionnelles. Il doit être habilité à rapporter directement,
de sa propre initiative, à la direction générale et aux membres du comité d’audit.
56
SECTION 2 : Dimensionnement de l’audit interne

Il appartient à chaque organisation de bâtir, en fonction de la mission de l’audit
interne, son mode d’organisation, les moyens mis en œuvre, la structuration du
département d’audit interne la mieux adaptée pour satisfaire ses attentes.
1. L’organisation du service d’audit interne

L’organisation dépend évidemment de la taille souhaitée, mais surtout des
objectifs et du périmètre d’intervention du service.
1.1. La structure de l’audit interne
La structure du service d’audit interne dépend de la dimension de l’entreprise.

Ainsi, dans un service de taille moyenne, la configuration adoptée est celle d’un
service centralisé. Si la taille est grande le service d’audit interne est
décentralisé. La structure mixte (moitié centralisée et moitié décentralisée) est
adaptée aux différentes tailles des organismes.
Compte tenu du caractère indépendant de la structure d’audit interne, le modèle

prédominant est celui d’une équipe directement rattachée à la direction de l’audit
interne, qu’elle soit centralisée ou décentralisée.
- Service d’audit centralisé :
Une seule unité pour toutes les institutions auditables. Le service d’audit
comporte plusieurs auditeurs itinérants chargés d’un certain nombre
d’institutions. Il permet un fonctionnement intégré et plus harmonieux de
l’équipe d’audit. Il facilite les progrès méthodologiques, entretient des liens entre
l’ensemble des auditeurs et les enrichit par des échanges d’expérience plus
divers et variés.
C’est une conception polyvalente où les tâches ne sont pas prédéterminées et le

chef service ne dispose pas d’un effectif précis et permanent. Compte tenu de
chaque mission, l’équipe est composée en fonction des disponibilités et des
capacités de chacun. A terme elle peut ne pas favoriser l’extension du champ
d’application de l’audit, mais rend plus aisée la gestion interne du personnel du
service.
Cette organisation a l’avantage de regrouper des équipes au niveau du service

central, tout en maintenant des affectations régionales aux missions, par zone
géographique. Elle permet ainsi de réduire relativement les coûts. Dans cette
organisation, l’effectif peut se caractériser par des profils spécialisés par domaine
et dans chaque équipe. Cette formule a plusieurs avantages :
- Elle permet de profiter du redéploiement du personnel de l’organisation.
Les équipes peuvent être renforcées par des spécialistes qui ont déjà
travaillé dans les domaines à auditer
- Le travail est effectué par des spécialistes et donc une meilleure efficacité.
Chaque mission regroupe les auditeurs avec une formation approfondie qui
exercent leurs activités dans un secteur spécifique. On distingue les auditeurs
57
scientifiques et techniques, les auditeurs comptables et financiers ou encore les

auditeurs en systèmes d’information.
L’intérêt d’une telle structure est de faciliter l’intégration de spécialistes au sein

de l’audit interne, lorsque l’importance de l’entreprise le justifie. Cette
spécialisation, à la différence des profils polyvalents, exige des échanges de
compétences d’une mission à l’autre, d’où une gestion plus complexe et plus
délicate du personnel et du plan de travail.
Direction Générale
Direction de
l’Audit Interne
Autres fonctions
Equipe chargée Equipe chargée Equipe chargée

du processus du processus du processus
X Y Z
- Service d’audit décentralisé :
Il existe des services d’audit interne dans chaque institution (entité) où des
auditeurs permanents (un ou plusieurs) sont mis durablement dans les services
les plus importants avec un responsable à la tête de chaque mission.
Service d’Audit Interne
Chefs de Auditeurs
missions seniors
Auditeurs
juniors
Une telle organisation, d’un point de vue géographique, est difficilement

concevable dans un service de taille restreinte. Les auditeurs seraient alors
amenés à intervenir toujours dans la même entité et sur les mêmes
problématiques, perdant le regard neuf qu’un auditeur se doit de porter sur
l’activité qu’il évalue.
58
Cette organisation consiste à avoir pour chaque ensemble ou pour un ensemble

d’entités extérieures, une équipe d’audit interne, rattachée au service central
d’audit mais décentralisée et affectée à ces services.
Cette organisation de proximité a l’avantage de rapprocher les auditeurs qui sont

en permanence près des audités et leur permet de mieux remplir leurs missions.
Cependant, cette formule requiert :
- Un nombre important d’équipes d’audit autonomes et indépendantes et
chacune centralisée dans une région.
- L’existence d’auditeurs par région maîtrisant tous les domaines d’actions.
- Un coût élevé pour la mise en œuvre d’un plan de formation des auditeurs
par entité géographique.
Direction de
l’Audit Interne
Autres fonctions
Service d’audit Service d’audit Service d’audit

décentralisé décentralisé décentralisé
Région 1 Région 2 Région (n)
- Les services mixtes d’audit interne :
Présentent une structure double : un service central et des services

décentralisés, organisés par domaines ou par zones géographiques où les
auditeurs sont répartis entre des auditeurs itinérants, chargés d’un certain
nombre d’institutions et des auditeurs permanents, mis durablement en
résidence, dans les entités les plus importantes.
Ce modèle permet l’existence d’une agence centrale unique, permettant de

regrouper facilement tous les bénéfices de la formation. Il permet l’adoption d’un
système de répartition souple et évolutif des ressources, avec la prise en compte
de l’impératif du travail d’audit en équipe.
- La structure hiérarchique du service d’audit interne :
Les services d’audit interne fonctionnent en majorité avec des ressources

localisées au même département, avec dans tous les cas, un rattachement direct
au responsable de l’audit interne. Les équipes en générale adoptent une
structure semblable à celle des cabinets d’audit, avec au moins deux niveaux et
des rotations au niveau du chef de mission.
59
Les auditeurs sont organisés, selon l’effectif, en deux ou en trois niveaux et

même quatre pour un service d’audit décentralisé avec beaucoup d’effectif.
- Le service comprenant 2 à 5 personnes est organisé en deux niveaux,
auditeurs seniors ou juniors souvent généralistes et un responsable de service,
interlocuteur de la direction générale et qui définit la méthodologie et le plan
d’audit.
- Le service comprenant 6 à 20 personnes est organisé en trois niveaux,
responsable de service, auditeurs (seniors ou juniors) et le chef de mission,
auditeur confirmé qui encadre les missions, forme les auditeurs et réalise les
tâches les plus complexes.
Les auditeurs internes n’ont pas de lien hiérarchique permanent avec leur chef de
mission sauf sur la durée de celle ci.
Selon l’enquête de L’IFACI menée en 2005 en France, le nombre moyen d’auditeurs

dans le secteur public est de 2,2 pour 1000 employés contre 2,85 dans le secteur privé
Nombre d'auditeurs internes

pour 1 000 salariés
banques, organismes financiers 8,5
Assurances 2,7
institution de retraite et de prévoyance 2,6
Secteur publique 2,2
commerce et services 0,6
industries 0,5
Le responsable de l’audit interne dans l’entreprise a en charge toutes les

missions. Il signe les rapports, supervise tous les documents et toutes les pièces.
Dans les grandes structures, le responsable est parfois assisté d’un adjoint qui
gère les tâches d’organisation courante et procède à l’élaboration et à la mise à
jour des méthodes.
Les chefs de mission sont les piliers de l’audit interne. Leur rôle est d’animer la
progression des travaux, d’assurer leur qualité et d’assumer l’interface avec les
audités. Ils sont responsables du succès de la mission, vis-à-vis du service
d’audit interne et des audités. En principe, on est auditeur ou chef de mission
selon les besoins, les spécificités et l’expérience requise.
60
1.2. Le comité d’audit
La réforme du contrôle financier sur les établissements publics au Maroc rejoint

les normes, les standards internationaux et les pratiques de gouvernance
d’entreprise. Elle met l’accent sur la volonté de renforcer le pouvoir de contrôle
des organes délibérants, en instituant des comités d’audit au sein des entreprises
publics.
Les entreprises publiques qui justifient de la mise en œuvre effective d’un

système d’information, de gestion et de contrôle interne, sont soumises au
contrôle d’accompagnement et implicitement doivent instituer un comité d’audit.
Chaque entreprise publique devrait évaluer sa structure de gouvernance pour
justifier si elle est soumise au contrôle d’accompagnement, condition préalable à
l’institution d’un comité d’audit.
Il est nécessaire que l'organe délibérant, avant de créer un tel comité, définisse
très clairement sa composition, son rôle, ses missions et ses pouvoirs dans un
document écrit.
La proportion dans l’ensemble des entreprises privées pourvues d’un comité d’audit ou d’une
instance équivalente est en progression, passant en France de 76 % en 2005 (Source : IFACI)
à 80% en 2007 (Source : IIA).
La progression est plus remarquable dans le secteur public qui a enregistré une croissance
manifeste passant de 46% en 2005 pour atteindre 71% en 2007.
EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION
Enquête France Enquête France

IIA 2007 IFACI 2005
Société cotée 91% Banque 93%
Société 67% 88.5%
privée non Industrie
cotée
Secteur 71% Secteur 46%
public public
Autres 75%
Total 80% Total 76%
1.2.1. Cadre juridique
Plusieurs textes ont mis l’accent sur la notion de comité, constitué par les
organes d’administration, avant l’avènement de la loi 69-00 relative au contrôle
financier de l’Etat sur les entreprises publiques et autres organismes, qui a défini
clairement la composition, la mission et les modalités de fonctionnement du
comité d’audit.
61
TEXTES D’APPLICATION
Sur les sociétés anonymes, la loi 17/95 précise dans son article 76 que « Les
administrateurs non dirigeants sont particulièrement chargés au sein du conseil,
du contrôle de la gestion et du suivi des audits internes et externes. Ils peuvent
constituer entre eux un comité des investissements et un comité des traitements
et rémunérations. ».
La circulaire n°6 de Bank Al Maghrib, prévoit aussi l’obligation pour l'organe

d’administration de constituer, en son sein, un comité chargé de l’assister en
matière de contrôle interne. L’article 15 précise « L’organe d’administration est
tenu de constituer un comité chargé de l’assister en matière de contrôle interne.
Ce comité procède notamment à l’évaluation de la cohérence et de
l’adéquation des dispositifs de contrôle mis en place ainsi que de la pertinence
des mesures correctrices prises ou proposées pour combler les lacunes ou
insuffisances décelées dans le système de contrôle interne. »
La loi Sarbanes-Oxley aux Etats-Unis, la loi de Sécurité Financière en France, et

l’évolution des pratiques de gouvernance consacrent aussi le rôle essentiel du
comité d’audit.
La loi 69-00, quant à elle stipule dans son article 14 que « Les organismes
soumis au contrôle d'accompagnement doivent instituer un comité d'audit. Le
comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre
membres nommés par le conseil d'administration ou par l'organe délibérant
parmi les membres non dirigeants ou de mandataires nommément désignés par
eux à cet effet.
Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la
régularité des opérations, la qualité de l'organisation, la fiabilité et la bonne
application du système d'information ainsi que les performances de l'organisme.
Il a pour mission de faire prescrire et réaliser, aux frais de l'organisme, les audits
internes et externes ainsi que les évaluations qui lui paraissent nécessaires. Il
peut, en outre, inviter tout expert indépendant à participer à ses travaux.
Le comité d'audit adresse directement au directeur de l'organisme un rapport
retraçant le résultat de chaque intervention effectuée ainsi que les
recommandations qu'il estime utiles pour l'amélioration de la gestion et la
maîtrise des risques économiques et financiers de l'organisme. Ce rapport est
soumis au conseil d'administration ou à l'organe délibérant. »
1.2.2. Organisation et fonctionnement
- Composition :
La composition et la nomination du comité d'audit est effectuée par l'organe

délibérant ou le conseil d’administration. Il comprend le contrôleur d’Etat et au
moins deux à quatre membres du conseil d'administration, indépendants des
membres de l'exécutif ou mandataires nommément désignés par eux.
- Mission :
62
Les principales missions que le comité d’audit réalise concernant la fonction audit
interne sont encadrées :
- Approbation de la charte d’audit.
- Examiner le programme d’audit interne.
- S’assurer que l’audit interne dispose des ressources adéquates.
- S’assurer que le rattachement hiérarchique de l’audit interne ne nuit
pas à son indépendance.
- Recevoir des rapports réguliers concernant les résultats des travaux des
auditeurs internes, notamment les anomalies ou déficiences relevées,
ainsi que les mesures correctives envisagées.
- Examiner et contrôler la prise en compte par la direction des
conclusions et des recommandations des auditeurs internes.
- Contrôler et évaluer le rôle et l’efficacité de l’audit interne.
- L’appréciation de la qualité de l’organisation et la qualité de
l’information comptable et financière communiquée aux tiers.
- L’appréciation de la qualité du contrôle interne et notamment du
système de mesure et de surveillance des risques.
- Se réunir régulièrement et rendre compte de ses travaux au conseil
d’administration ou à l’organe délibérant.
- Pouvoirs :
Constitué par les organes délibérants, le comité d’audit détient des pouvoirs très
élargis :
- L’accès à toutes les sources d'information et l’audition de toute
personne susceptible de l'éclairer.
- Proposer la nomination et la révocation du directeur de l’audit interne.
- Approuver la nomination des auditeurs internes et la résiliation de leur
mandat.
- Le pouvoir de diligenter des missions particulières.
- Disposer de conseils auprès d’experts indépendants de l’organisme.
- Le pouvoir de prendre les décisions de mise en œuvre nécessaires.
- Rôle du comité d’audit
Le comité d’audit contribue fortement au renforcement de l’indépendance, de

l’intégrité et de l’efficacité des services d'audit interne dans le secteur public, en
assurant une surveillance objective des plans et des résultats des missions
d'audit internes, en évaluant les besoins en ressources et en jouant le rôle de
médiateur entre les auditeurs, les audités et l’organisation.
Le comité d’audit s’assure également que chaque recommandation d’amélioration

ou de mesure corrective est prise en compte ou réglée.
En général, lorsqu’un comité d’audit est mis sur pied, il devrait :

- Exercer ses fonctions suivant un mandat officiel, établi de préférence
par la législation, lui conférant des pouvoirs suffisants pour s’acquitter
de ses responsabilités.
- Comprendre des membres indépendants qui, en tant que groupe,
possèdent une connaissance suffisante de l’audit, de la finance, des
risques et des contrôles.
63
- Etre dirigé par un membre qui n’est pas la personne de qui relève le
responsable de l’audit sur le plan administratif.
- Evaluer l’efficacité de la gouvernance de l’organisation, ainsi que la
conformité aux lois et à la réglementation.
- Superviser les normes d’information financière et de comptabilité de
l’organisation.
RECOMMANDATIONS
Par rapport à la structure du département d’audit interne, la mise en place
d’une équipe centrale et d’équipes locales en support sera la meilleure approche
pour appréhender les contextes spécifiques locaux tout en assurant la meilleure
prise en considération des valeurs de l’entreprise.
Il faut notamment veiller à formaliser les relations entre le responsable et

le comité d’audit interne.
Les services d’audit interne doivent être dotés d’une charte d’audit
formellement approuvée par la direction générale et par le Comité d’audit. Cette
double approbation donne de la légitimité à l’audit interne et renforce sa
crédibilité.
2. Evaluation des ressources disponibles

Le nécessaire développement de l’audit interne, implique de former et de
rassembler les compétences et d’affecter des moyens en fonction de la taille du
service, des objectifs fixés et du périmètre confié à l’audit.
Adopter une approche progressive lors de la création d’un service d’audit interne
est sans doute une démarche pragmatique. Ainsi, un service limité de personnes
pourra remplir très efficacement son rôle pendant quelques années. Par la suite,
une fois que la valeur ajoutée de l’audit interne aura été établie, la taille du
service pourrait évoluer pour accompagner la croissance de l’entreprise. Mais le
besoin en effectif dépend de la complexité de l’organisation, du niveau de risque
et du degré d’appétence pour le risque.
2.1. Les moyens humains
L’équipe d’audit interne devra comporter des cadres chevronnés, appréhendant

parfaitement un ou plusieurs métiers de l’organisation et dotés de grandes
qualités. Il existe trois niveaux de compétence : le niveau des compétences
fondamentales (au regard des normes), le niveau des compétences d’expertise
(ponctuelles en fonction du besoin et assistance externe) et le niveau des
compétences spécifiques (compétences pour couvrir les risques informatiques,
les risques industriels et les risques produits). Ces compétences, on peut les
avoir au départ, les acquérir en cours de route, et les améliorer tout au long de
la progression du service.
64
Quelque soit son secteur d’activité, tout auditeur doit posséder les compétences
fondamentales qui forment la base de l’audit interne :
- Connaître les normes de la profession.
- Répondre à des objectifs de savoir-faire en terme de méthodologie.
- Découper une activité en processus et définir les objectifs de ces
processus.
- Identifier les risques qui empêchent d’atteindre les objectifs.
- Identifier les points de contrôle qui vont permettre de maîtriser et d’avoir
une bonne vision de la maîtrise d’une activité.
Les références qualitatives sur lesquelles s’appuie la sélection des auditeurs sont
constituées par:
- Un code déontologique qui fixe les principes fondamentaux à respecter :
intégrité, objectivité, confidentialité et compétence.
- Des normes de qualification qui se définissent dans les missions d’un
service d’audit, de conscience professionnelle, d’assurance et de qualité,
d’indépendance par rapport au service audité (non influençable).
- Les compétences techniques et de qualification à fort potentiel.
Le recours à des compétences et à des prestataires externes est dû à la difficulté

de recrutement des auditeurs spécialisés, notamment en systèmes d’information
ou maîtrisant suffisamment les activités de l’entreprise. Il est rare de trouver un
auditeur opérationnel qui réunit plusieurs compétences : en audit, en
informatique, en organisation, en finances. La formation continue et la réunion
des compétences complémentaires au sein d’une équipe peut seule assurer cette
polyvalence. Pour réunir les conditions qui contribuent à atteindre le degré de
performance attendu, la cellule doit se doter :
- D’une équipe qui maîtrise les techniques, les outils, et la méthodologie de
l'audit interne, respecte la loi et les normes de la profession, au courant
des meilleures pratiques de la profession et suit les évolutions
technologiques.
- D’un responsable d'audit interne qui a le souci de l'efficacité de son équipe
et de la maîtrise de ses coûts de fonctionnement, et fait preuve de
créativité, d'ouverture au changement et de sens de la communication.
- D’un personnel qui répond aux besoins et attentes des parties prenantes.
Enfin, Les outils informatiques intégrés font partie des temps modernes, il faut
savoir les comprendre, les analyser et en tirer profit.
2.1.1. Le comportement des auditeurs internes
Dans le secteur public, les principes déontologiques qui sont des valeurs
fondamentales de l’audit interne, sont moins formalisés et moins écrits par
rapport au secteur privé, mais leur esprit s’applique. La promotion de la culture
morale et des compétences demeure un critère fondamental.
Pour assurer aux auditeurs des moyens de progression personnelle, le service

d’audit interne leur assigne des objectifs et des tâches qui vont contribuer à
améliorer leurs compétences :
- Maîtrise de la méthodologie : avoir une certaine autonomie et agir le
plus souvent de son propre chef (sans attendre les programmes de travail)
65
et avoir une capacité de rédaction, de synthèse et d’appréciation des

enjeux, au moment de l’élaboration des rapports.
- Tâches formatrices : tout au long de la mission l’auditeur, débutant ou
confirmé, se forme et se familiarise avec le secteur d’activité au fur et à
mesure de l’avancement des missions, de la révision des référentiels
d’audit, de la mise à jour des programmes de vérifications, dossier de
travail…
- Contribution aux objectifs du service : améliorer les performances et
passer en revue les opérations et les programmes afin de déterminer dans
quelle mesure les résultats suivent les buts et objectifs établis et si ces
opérations et programmes sont mis en œuvre ou réalisés comme prévu.
L’auditeur interne doit avoir une attitude prospective pour déceler les nouveaux
risques et les nouvelles techniques pour les contrer. Il doit faire preuve de
qualités techniques, mais également humaines pour se faire accepter et
respecter. Parmi ces qualités humaines, on peut citer :
- Un esprit ouvert, tolérant, qui accepte la contradiction.
- Une attitude de modestie, très souvent justifiée : fréquemment, l’audité
connaît beaucoup mieux son travail que l’auditeur.
- Une attitude amicale, bienveillante et simple.
- Un sens de la diplomatie, pour ne pas heurter inutilement, tout en étant
ferme sur les principes.
- Un sens moral rigoureux, une conscience professionnelle et un sens de la
communication.
- Le bon sens.
Les qualités professionnelles sont, bien entendu, importantes. La capacité
d’assimilation, de concentration, l’intelligence, la mémoire, l’esprit de synthèse,
la capacité à collecter des informations pertinentes, à les analyser, les évaluer,
les synthétiser et à communiquer.
Les auditeurs doivent disposer des pouvoirs adéquats qu’ils doivent tenir
directement de l’autorité suprême qui est l’organe délibérant, et la charte
d’audit. Les principaux pouvoirs sont les suivants :
- Pouvoir intervenir de sa propre initiative dans toutes les unités
opérationnelles ou fonctionnelles.
- Pouvoir de communiquer le résultat de ses investigations à toute personne
de l’entreprise et notamment aux membres de l’organe délibérant et au
comité d’audit.
- Avoir un accès permanent auprès des plus hautes autorités de
l’établissement.
Dès qu’il y a un engagement, la partialité de l’audit interne peut être soupçonnée

et son efficacité amoindrie. Les quelques attitudes ci-dessous peuvent contribuer
à cette impartialité :
- Les auditeurs provenant d’un service opérationnel devraient s’abstenir
d’effectuer des missions dans ce service durant une certaine période.
- Rotation du personnel dans la mesure du possible au sein de la fonction.
- Eviter d’intervenir dans les opérations et dans la mise en place de
procédures opérationnelles ou de contrôle. En revanche, le rôle de conseil
en matière de contrôle interne n’est pas exclu par exemple lorsqu’une
nouvelle activité doit être implantée, une nouvelle organisation ou un
nouveau système informatique mis en place.
66
2.1.2. la gestion des auditeurs internes
Gérer la carrière d’un auditeur entre son arrivée et son départ, c’est le recruter,
le former, l’évaluer, planifier son travail et préparer sa sortie. Cela rend
nécessaire une collaboration étroite avec la direction des ressources humaines.
Recrutement : dans chaque organisation il existe une politique et des

procédures de recrutement à respecter. La direction des ressources humaines
décrit les besoins prévus, évalue les dossiers des candidats, organise des
entrevues entre les candidats et les auditeurs, pour tester le niveau de
professionnalisme et s’assurer de leur bonne intégration dans l’équipe.
Formation : L’auditeur est considéré comme un agent utile et un acteur actif

dans le processus du changement et d’amélioration. Il doit en
conséquence améliorer durablement ses connaissances, aptitudes et
compétences, par un perfectionnement professionnel continu, exigé par la nature
des missions qui lui sont assignées et par l’élargissement du champ des
interventions.
Affectation - Sortie : la direction des ressources humaines s’attache aussi à

étudier les perspectives de carrière des auditeurs sortants pour identifier les
postes opportuns à leur réorientation, dans d’autres responsabilités pour
maintenir les compétences dans l’organisation.
La diversité des missions, la nécessité de s’adapter à des changements

incessants, l’organisation des sorties, des congés, des absences et des voyages,
tout cela exige une planification du travail de l’auditeur et une intervention
régulière de la direction des ressources humaines.
- Recrutement des auditeurs internes :
Le recrutement d’auditeurs extrêmement confirmés, spécialistes du métier de

l’entreprise, capables de travailler de façon indépendante sur tous les types de
mission demeure la préoccupation majeure d’une cellule d’audit. De tels profils
existent mais ils sont coûteux et souvent difficiles à attirer surtout dans le
secteur public. Un profil bien adapté est celui d’un auditeur ayant 2 à 4 ans en
audit interne ou en audit externe et désireux d’intégrer l’entreprise publique. Ce
profil déjà rodé aux techniques d’audit, est au départ autonome. Une telle
intégration nécessite une période d’adaptation.
L’autre démarche qui consiste à intégrer des collaborateurs de l’entreprise

susceptibles d’évoluer au département d’audit présente un certain nombre
d’avantages : ils connaissent les métiers de l’entreprise, ses processus et son
organisation, mais ne connaissent pas forcément le métier de l’audit. Une telle
transition nécessite une formation, tant d’un point de vue technique que
déontologique et comportemental.
Selon l’enquête mondiale Ernst & Young sur les pratiques d’audit interne,
conduite en 2007, auprès de 348 directions d’audit interne de grands groupes
internationaux, les entreprises mondiales rencontrent des difficultés à recruter
67
des auditeurs disposant de compétences spécifiques en système d’information

(53%) ou maîtrisant suffisamment leur secteur d’activité (41%) (classement
similaire pour les entreprises françaises).
françaises). Parallèlement, 72% des entreprises
(près de 9 sur 10 en France) ont recours à des prestataires externes en
complément de leurs ressources internes.
- Formation continue des auditeurs internes :
La formation continue des auditeurs est fondamentale par par les transferts de
compétences d’auditeurs seniors ou spécialisés vers les auditeurs juniors et
moins expérimentés. La norme 1230 sur la formation professionnelle continue
est explicite : « Les auditeurs internes doivent améliorer leurs connaissances,
savoir-faire
faire et autres compétences par une formation professionnelle continue »
Pour avoir des auditeurs internes performants aux compétences appropriées, il

est souhaitable de les professionnaliser par une formation continue appropriée
auprès d’organismes spécialisés en audit interne. Il appartient donc au
responsable du service d’audit interne d’évaluer les besoins de formation en
prenant en compte :
- Les compétences des auditeurs et leur niveau d’expertise.
d’expertise
- Le talent des auditeurs pour la communication, tant orale qu’écrite.
- Le plan d’audit : certaines missions très techniques nécessitent une formation
spécifique.
- Le plan d’audit pluriannuel qui prévoit année par année les nouveaux besoins
en charge de travail et en auditeurs.
Les besoins de formation peuvent

peuvent être abordés lors des entretiens d’évaluation
des auditeurs internes et pour, en même temps, recueillir leurs propres souhaits
en la matière.
Nombre de jours de formation

par auditeur et par an
De 1 à 5 jours
De 6 à 10 jours
De 11 à 15 jours
De 16 jours et plus
Source IFACI : Enquête 2005
68
Les réponses aux besoins en formation se manifestent aussi au sein de

l’organisation par le transfert d’expérience qui se réalise par :
- L’initiation aux pratiques et méthodes spécifiques de l’organisation.
- Les réunions préalables aux missions où sont abordées les questions
techniques quant au déroulement de la mission.
- La revue des travaux de l’auditeur par le chef de mission et la revue des
travaux de ce dernier par le responsable de l’audit.
- L’affectation des auditeurs à une mission dans un domaine nouveau pour eux.
2.1.3. La sous-traitance
La sous-traitance consiste à confier, d’une manière permanente ou ponctuelle, à

un cabinet externe, l’audit partiel ou total d’un ou plusieurs établissements,
d’une ou plusieurs fonctions ou d’une activité spécifique. Le cabinet externe agit
toujours sous l’autorité du responsable de l’audit interne qui définit le
programme d’intervention et rapporte aux organes délibérants, les principales
conclusions des missions sous-traitées.
Le recours à la sous-traitance permet de bénéficier de la méthodologie d’un

cabinet spécialisé et de ce fait d’obtenir des résultats rapides après la création du
service. Il s’avère bénéfique lorsqu’une mission requiert une expertise spécifique
dont l’équipe ne dispose pas.
Les inconvénients sont essentiellement liés au manque de connaissance de

l’entreprise par les sous-traitants tant en termes d’organisation, d’objectifs
stratégiques, de processus que de système. Dans ce cas, le responsable de
l’audit interne, pour garantir la qualité de la mission et son efficacité, doit mettre
en place un dispositif de pilotage de la mission sous-traitée.
Le recours à la sous-traitance s’impose aussi pour :

- Accompagner la mise en œuvre de la méthodologie d’audit et assurer un
démarrage plus rapide de ses activités.
- Fournir des ressources complémentaires et apporter un renfort ponctuel de
contractuels en raison d’une surcharge momentanée de travail ou du
personnel spécialisé.
- Mobiliser des compétences techniques : du fait que peu de services disposent
du personnel possédant collectivement toutes les connaissances et
expériences indispensables (ingénieurs, informaticiens, mathématiciens,
économètres…).
- Maitriser la sensibilité et la confidentialité du dossier.
Des sociétés se sont spécialisées dans le marché de la sous-traitance afin de

proposer un cadre structurant et propre au service d’audit, couvrant ainsi la
totalité du processus dont :
- La préparation du plan d’audit annuel par la cartographie des risques.
- La planification des missions (équipe, budget temps et budget financier).
- La réalisation des missions (élaboration, programme de travail, référentiel de
contrôle interne, référencement des pièces justificatives, automatisation des
rapports,…).
- Le suivi de la mise en place des plans d’action par intranet ou internet.
69
RECOMMANDATIONS
Le recrutement d’auditeurs confirmés conjointement à la conversion de
hauts fonctionnaires issus du contrôle et capables d’appliquer de nouveaux
principes, est la bonne approche en matière de recrutement et de carrière. C’est
l’assurance de disposer de cadres à la fois qualifiés, d’horizons variés et aussi
empreints de la culture de l’organisation.
En parallèle, il faut constituer un noyau stable d’auditeurs internes basé

sur deux critères : la compétence dans certains domaines hautement spécialisés,
et la capacité d’encadrer et de former les nouveaux.
Il est essentiel de recruter et retenir les auditeurs disposant d’expertises

techniques principalement dans le domaine des systèmes d’information, de faire
appel à des prestataires de service externes pour compenser les manques
d’expertises ou fournir des efforts de formation.
Pour retenir dans une cellule d’audit les talents, la stratégie repose
essentiellement sur le niveau de rémunération, la diversité des missions, la
reconnaissance de la performance et par les opportunités offertes dans
l’entreprise.
Pour ne pas mettre à mal leur impartialité ou leur sens de la discrétion, les
normes internationales pour la pratique professionnelle de l’audit interne
recommandent de ne pas leur faire auditer, pendant un délai d’au moins un an,
les processus ou départements dont ils avaient précédemment la responsabilité.
S’assurer au départ du comportement et de l’attitude de la part des

auditeurs internes dès les premières missions.
Il est nécessaire de formaliser la sous-traitance en mettant en exergue les

rôles et responsabilités des parties prenantes et les notions de confidentialité
pour garder la maitrise du plan d’audit.
2.2. Les moyens matériels
Les activités d’audit nécessitent l’acquisition de moyens matériels qu’il faut

évaluer et améliorer constamment. Les outils informatiques dédiés à l’audit
interne restent assez répandus et constituent le principal support de l’activité.
2.2.1. Outils informatiques
Dans un univers de plus en plus informatisé, la technique informatique a

particulièrement intégré les compétences de chaque auditeur interne qui doit
pouvoir s’appuyer sur des processus informatiques, clairement définis, afin de
pouvoir obtenir, de manière structurée, indicateurs statistiques, mesures de
performances et différents types de rapports permettant de documenter ses
conclusions ou recommandations.
70
Effectivement la connaissance des outils informatiques apporte à l’auditeur une

très grande richesse de techniques d’investigation autant du point de vue de la
régularité que de celui de la performance. En tant qu’auditeur, il est
indispensable d’avoir une compétence informatique qui puisse aller au cœur du
système d’information, découvrir, au profit du contrôleur, une cartographie
applicative, localiser les fichiers intéressants, savoir comment les extraire.
Le processus d’audit étant totalement informatisé, l’auditeur interne doit

s’adapter à la mise en place d’un projet informatique dans les différentes phases
de sa mission. Ainsi, il pourra utiliser des logiciels de gestion, de la phase de
l’élaboration du plan d’audit jusqu’aux suivis de ses recommandations.
Parmi les outils informatiques de base que l’auditeur doit maîtriser figurent :
traitement de texte, logiciel de présentations graphiques, d’interrogation de
fichiers, de diagrammes de circulation… Ces programmes développés pour la
gestion interne du service d’audit sont des outils standards :
- Tableur pour le plan d’audit, le planning, le tableau de bord, l’exploitation des
données, pour la réalisation des programmes de travail, des diagrammes de
flux, le suivi des recommandations ainsi que la cartographie et la matrice des
risques.
- Présentation pour les supports des réunions de restitution des travaux.
- Visio-conférence pour réaliser des diagrammes de flux.
- Base de données pour des analyses poussées, pour le traitement d’un grand
nombre d’enregistrements ou pour la détection de la fraude.
Grâce à ces outils, prise de notes, rédaction de F.R.A.P, feuilles de travail, dessin
de flow-charts, projets de rapports et rapports définitifs sont produits
directement sur support informatique.
2.2.2. Supports et dossiers de travail
Une activité telle que l’audit interne a besoin de supports propres à chaque
mission. Ces supports sont consultés par les auditeurs en fonction de leurs
besoins.
Les supports doivent être conservés pour constituer un élément important

d’appréciation du contrôle interne, de la qualité et l’étendue des travaux
effectués et tenus à la disposition des éventuels contrôles externes.
- Manuel d’audit
Le manuel d’audit est un support d’informations permettant à l’auditeur interne

de refléter l’organisation et le cadre de travail du service d’audit interne. Il
permet de s’assurer de la conformité des pratiques et actes de gestion courante
par rapport aux référentiels de procédures, de normes et réglementations en
vigueur. C’est le principal référentiel pour l’auditeur parce qu'il comporte toutes
les données théoriques de base que doit maîtriser un auditeur interne en matière
de méthodologie, de techniques et d'outils d'audit interne. Il représente le guide
d’audit interne, l’outil et le cadre qui orientera les travaux des auditeurs internes
sur le terrain.
71
Ce cadre d’activité est formalisé par la norme 2040 de l’IIA qui précise : « II
incombe au responsable de l'audit interne d’établir des règles et procédures
fournissant un cadre à l’activité d’audit interne. ». La forme et le contenu des
règles et procédures dépendent de la taille, de la manière dont est structuré
l’audit interne et de la complexité de ses travaux.
Le manuel est un document destiné à l’usage interne du service - tout comme la

documentation à la disposition des auditeurs - destiné à enrichir constamment
chaque mission d’audit. Il doit remplir 3 objectifs :
- Définir le cadre de travail : Il présente l’organigramme du service avec
son rattachement. Il comporte l’indicateur des pouvoirs et latitudes
dévolus aux différents membres du service. Il mentionne aussi les
conditions générales de travail (horaires, dispositions relatives aux
déplacements et aux remboursements de frais, installation matérielle…)
- Aider à la formation de l’auditeur débutant : le premier contact de
celui-ci avec le service d’audit doit être le manuel dont on lui remet un
exemplaire. C’est à la lecture de ce document qu’il va découvrir les
objectifs et spécificités de fonctionnement du service. Ce sont les
procédures de travail de l’audit interne.
- Servir de référentiel : il comporte un rappel des normes de l’IIA et
indique les normes spécifiques au service d’audit de l’entreprise, et plus
précisément :
- Le rappel des règles d’engagements et de gestions des auditeurs
(exigences requises en compétence et règles suivies pour la
formation professionnelle).
- Les règles appliquées pour les voyages et les déplacements : les
déplacements des auditeurs sont nombreux. L’auditeur doit
s’appliquer à lui-même la transparence qu’il exige des autres.
- L’élaboration et la révision du plan : décrire la méthode retenue par
le service pour élaborer le plan d’audit et l’usage qui en est fait.
- La méthodologie : les règles précisées porteront sur l’ordre de
mission, l’analyse des risques, la définition des objectifs, la réalisation
des observations et bien évidement les normes à retenir pour la
présentation, la diffusion des rapports d’audit et le suivi des
recommandations.
- Normes régissant les dossiers d’audit et le suivi des
recommandations.
- Procédures budgétaire et de reporting.
- Guide d’audit
Les guides d’audit sont la composante principale de la documentation interne. Ils

doivent être élaborés pour chaque mission.
Guide méthodologique qui présente le programme de travail à effectuer, le

questionnaire de contrôle interne et le tableau d’identification des zones à risque
pour chaque processus. Les guides d’audit représentent une aide appréciable
pour les auditeurs et constituent également un moyen de formation et
d’information pour les auditeurs juniors. Ces guides ne doivent pas être utilisés
comme des check-lists, et doivent à chaque fois être revus, corrigés et mis à
jour.
72
Un nouveau service d’audit se constitue sa propre bibliothèque de guide d’audit

au fur et à mesure qu’il accumule les missions.
- Dossier de la mission
Un mémoire qui réunit tous les éléments relatifs à la mission, depuis la phase de
préparation jusqu'à l’émission du rapport final. Il reste un document de
consultation et de renseignements utiles pour l’auditeur junior. Le dossier de
travail doit clairement traduire les travaux effectués et les étapes suivies.
Généralement, il est institué sous une structure normalisée et des feuilles de
travail qui retracent les opérations sélectionnées pour le sondage, les contrôles
effectués, les anomalies relevées et les conclusions.
Plus pratiquement les documents de travail ont pour principal objectif :

- De fournir la principale justification de l’opinion formulée :
- De permettre en cas d’audit récurrent de disposer d’une base d’information de
départ pour la nouvelle mission.
Par convention le contenu de ces dossiers est le suivant :

Le dossier d’analyse : doit comporter tous les travaux effectués par l’auditeur
pendant la phase de réalisation. Il doit contenir les éléments suivants :
- Programme de la mission.
- L’ordre de mission.
- Les Feuilles de couverture de test.
- Feuilles d’interviews et compte rendu des réunions.
- Les questionnaires renseignés.
- Le papier de travail matérialisant les tests effectués.
- Les FRAP.
Le dossier de synthèse : doit permettre de renseigner les auditeurs pour les
missions à venir. Il doit contenir les éléments suivants :
- Les deux derniers rapports d’audit.
- Le rapport d’orientation.
- Le tableau d’identification des zones de risques et le programme
de travail, actualisés à la fin de mission, dont une copie doit être
insérée au niveau du guide d’audit.
- Le questionnaire de prise de connaissance renseigné.
- Les correspondances (suivi et mise en œuvre des
recommandations, bordereau d’envoi des FRAP aux audités pour
la réunion de clôture ...)
73
RECOMMANDATIONS
Pour élaborer un plan d’audit pluriannuel basé sur l’analyse des risques, il
faut que l’organisation soit dotée de système d’information qui agisse en tant
que capteur permettant l’identification des zones à risques élevés. Sans
l’informatique, l’auditeur interne ne peut effectivement pas faire des sondages à
la main, même s’il a un bon modèle ou s’il assimile bien toutes les lois
statistiques.
La méthodologie doit être élaborée dans un document servant à l’auditeur

de manuel commun à toute mission.
Les documents qui peuvent lui servir de guide dans la réalisation de ses
missions dépendent du degré d’accumulation d’expérience de l’activité à auditer.
L’auditeur doit disposer des supports propres à chaque mission, ceux qui
décrivent une activité déjà auditée, ses zones de risques, son programme de
vérification et la manière dont la dernière mission a été organisée et exécutée
(Etat d’avancement). Par contre tant que l’auditeur n’a pas accumulé cette
expérience, il lui faut s’appuyer sur des manuels de référence externe (guide du
contrôle interne, guide de self-audit…).
Les documents de travail ont pour principal objectif de :

• Fournir la principale justification de l’opinion formulée.
• Apporter la preuve des affirmations contenues et remarques formulées
dans le rapport d’audit. Ces remarques doivent être étayées par des pièces
justificatives que l’auditeur accumulera tout au long de la mission.
• Aider dans la conduite et la supervision de la mission : les papiers de
travail doivent permettre aux membres de l’équipe d’audit mais aussi à toute
personne extérieure à la mission, d’avoir une bonne compréhension des
problèmes soulevés.
• Permettre en cas d’audit récurrent de disposer d’une base d’information de
départ pour la nouvelle mission.
74
CHAPITRE II
MISE EN PLACE D’UNE METHODE
DE GESTION ET ANALYSE DES RISQUES
Les objectifs d’une mission d’audit sont déterminés en fonction des résultats de
l’évaluation préliminaire des risques liés à l’activité soumise à l'audit, auquel doit
procéder l’auditeur interne. C’est l’énoncé même de la norme 2210, stipulé par
les normes internationales pour la pratique professionnelle de l’audit interne, qui
dicte que le respect des normes est essentiel pour que les auditeurs internes
puissent s'acquitter de leurs responsabilités. La manière de se conformer aux
normes permet surtout d’assurer à la mission un niveau minimum de
performances.
Les normes définissent des exigences obligatoires applicables en matière d’audit.

Les missions confiées à l’audit couvrent systématiquement le domaine très
sensible des risques, de leur identification et de leur évaluation.
C’est une vision étendue du rôle de l’audit interne qui ne doit pas simplement se
focaliser sur le contrôle interne, mais aussi sur les risques et le traitement des
déficiences.
SECTION 1 : Les différentes étapes du processus

de gestion des risques
Le risque est une donnée intrinsèque à la vie de l’entreprise. Parmi les défis les
plus complexes qui se posent pour la direction, réside la détermination du niveau
de risque acceptable ou auquel elle accepte de s’exposer, dans l’objectif
d’optimiser la création de la valeur.
Le concept de risque en audit interne se définit, dans le glossaire des normes de

L’IIA (Institute of Internal Auditors), comme la possibilité que se produise un
événement d’origine interne ou externe, susceptible d’avoir un impact
défavorable sur la réalisation des objectifs. Même les événements dont la
probabilité d’occurrence est faible sont pris en compte, s’ils ont un impact
significatif sur la réalisation d’un objectif majeur.
Dans sa démarche, l’auditeur interne, élabore d’abord un référentiel de risques et

de bonnes pratiques, évalue les risques identifiés et analyse leur maîtrise pour
obtenir une vision globale de ces risques, compte tenu des différents processus
de l’entreprise et de leurs interactions. Il élabore enfin les recommandations pour
faire cesser ces causes et leurs conséquences.
1. Pratiques d’analyse des risques

L’audit interne, le management des risques et le contrôle interne mettent bien en
évidence, le fait que les risques surviennent à tous les niveaux d’une
organisation et qu’ils sont générés par différents facteurs, liés à l’entreprise elle-
même ou liés à la qualité de l’environnement de contrôle. Au sein de ces trois
75
référentiels, l’identification du risque est considérée par rapport à l’impact

potentiel d’un risque sur l’atteinte d’un objectif.
Des lois et réglementations sont instaurées imposant aux entreprises publiques

et privées de renforcer leur gouvernance d’entreprise et d’avoir une meilleure
réactivité en matière d’analyse des risques. La loi 69-00 relative au contrôle
financier de l’Etat sur les entreprises publiques et autres organisme prévoit dans
son article 14 « le comité d’audit adresse directement au directeur de
l’organisme un rapport retraçant le résultat de chaque intervention effectuée
ainsi que les recommandations qu’il estime utiles pour l’amélioration de la
gestion et la maîtrise des risques économiques et financiers de l’organisme ».
1.1. Contrôle interne et audit interne
L’audit interne se positionne en partie prenante majeure dans l’amélioration du

contrôle interne et des processus, en donnant l’assurance raisonnable que les
opérations sont sécurisées, optimisées et permettent à l’entreprise d’atteindre
ses objectifs de base, de protection du patrimoine et un état de performance et
de rentabilité.
Le contrôle interne s’est développé par une volonté de réforme menée par des
dirigeants d’entreprises et les professionnels de l’audit, avec le soutien des
autorités publiques. La pertinence et l’efficacité du dispositif de contrôle sont
évaluées par la fonction audit interne qui a pour mission d’évaluer, par un suivi
permanent ou par des actions ponctuelles, tout ou partie du fonctionnement de
l’entreprise. Le champ et la fréquence des évaluations sont fonction des risques
initialement prévus et de l’efficience des processus de surveillance mis en œuvre.
Pour le secteur public, les missions traditionnelles, qui sont systématiquement ou

souvent menées, confiées à l’audit interne sont l’évaluation du contrôle interne et
les missions relatives aux tests d’efficacité des procédures et l’audit des
informations financières.
L’audit interne est le mieux à même d’alimenter la direction en information sur

les faiblesses du système de contrôle interne, ou sur les zones des risques
susceptibles de nuire à l’atteinte des objectifs stratégiques, opérationnels,
informationnels et de conformité. L’audit Interne reste le contrôleur du contrôle
interne mais a, dans la plupart des cas, un rôle de coordination de la fonction.
Les missions de contrôle interne représentent une bonne part des missions
effectuées par l’audit interne qui a pour finalité d’apprécier le contrôle interne
mais on trouve parfois son rôle au-delà de la conformité, il consiste à la
formation au contrôle interne, à la maintenance et mise à jour de la
documentation des processus.
1.2. Rôles de l’auditeur interne dans la gestion

des risques
Toute activité économique entraîne des risques, que les dirigeants doivent
identifier et évaluer. Les évaluations portant sur les risques et les activités de
contrôles, réalisées par les auditeurs internes, donnent au conseil
76
d’administration, une vision objective du dispositif de management des risques et

jouent un rôle clé, dans le pilotage et le fonctionnement de la direction.
Le rôle de l’audit interne est de vérifier et d’apprécier de manière indépendante

le dispositif de management des risques et l’efficacité du contrôle interne. Les
auditeurs internes contribuent à faciliter les améliorations des processus de
management des risques en fournissant une assurance sur :
- Les processus de management des risques de l’organisation, leur conception
et leur fonctionnement.
- Donner l’assurance que les risques sont correctement évalués.
- L’efficacité et l’efficience des traitements des risques et les activités de
contrôles qui y sont associées.
- Evaluer et consolider le reporting des risques principaux : donner l’assurance
que le reporting sur les risques majeur a été correctement établi.
Selon la Federation of European Risk Management Associations (FERMA)

« Le rôle de l’Audit Interne est susceptible de différer d’une organisation à
l’autre. Dans la pratique, le rôle de l’Audit Interne peut inclure tout ou partie des
points suivants:
- Centrer le travail de l’audit interne sur les risques significatifs, tels qu’identifiés
par les responsables de l’organisation.
- Auditer les processus de gestion du risque dans l’ensemble de l’organisation.
- Fournir des assurances sur la qualité de la gestion du risque.
- Soutenir et prendre une part active dans le processus de gestion des risques.
- Faciliter l’identification / l’évaluation des risques et former le personnel à la
gestion des risques et aux dispositifs internes de maîtrise.
- Coordonner le compte-rendu des risques à l’instance dirigeante et au comité
d’audit entre autres.
En déterminant le rôle le plus approprié, pour une organisation particulière,
l’Audit Interne doit s’assurer que les exigences professionnelles d’indépendance
et d’objectivité sont respectées. »
Pour pallier les risques, la mission d’auditeur interne consiste, à les rechercher, à
les démontrer, et à élaborer des solutions pour convaincre les responsables.
L’auditeur est un risquologue, il n’a pas la responsabilité de gérer les risques.
Fonction attribuée au risk-manager.
2. L’identification des risques

Dans la gestion des risques, l’action de l’audit interne repose sur l’identification
des événements potentiels, susceptibles d’avoir un impact négatif, sur la mise en
œuvre de la stratégie ou sur la réalisation des objectifs.
L’identification des risques n’est pas un exercice limité dans le temps. C’est un
exercice permanent, car les risques évoluent avec les changements de
l’environnement interne ou externe. De nouveaux risques apparaissent,
notamment lors de la création d’un nouveau produit ou d’une nouvelle activité,
un changement d’organisation ou de système, des changements économiques,
77
financiers, sociaux, législatifs et réglementaires. Les risques sont souvent

identifiés en combinant :
- Des questionnaires ouverts adressés à tous les cadres dirigeants ainsi
qu’aux collaborateurs responsables sur leur perception des risques
pouvant affecter tant l’organisation dans son ensemble, qu’un périmètre
restreint à leurs propres activités.
- Des entretiens individuels afin de développer le contenu du questionnaire
et de mieux connaitre les causes des risques et les moyens éventuels pour
y remédier ou en atténuer l’impact.
Les risques soulevés sont recensés et regroupés par famille de risques, dans un
tableau qui détermine les risques clés, dont l’impact est significatif. C’est une
évaluation plus quantitative et chiffrée de chacun des risques. L’auditeur interne
procède ensuite à l’appréciation des mesures prises par la direction à l’égard de
ces risques pour dresser une cartographie des risques et planifier ensuite les
missions d’audit.
2.1. définition du périmètre d’étude
La gestion des risques constitue un facteur de performance opérationnelle et

stratégique pour l’entreprise. L’approche opérationnelle constitue un terrain
d’étude privilégié en dotant l’auditeur interne d’éléments pertinents lui
permettant de construire une cartographie des risques.
La définition du périmètre d’intervention (opérationnelle par processus ou

stratégique par objectif) doit être réalisée par l’auditeur interne et validé par la
direction. Ce choix est capital puisqu’il tient compte de la stratégie de l’entreprise
et des attentes de l’auditeur interne.
Pour définir sur quelle méthode se baser, il est nécessaire de donner les
définitions de ces deux approches qui peuvent être adoptées dans la démarche
de l’auditeur :
- Approche par les objectifs (stratégique) : cette approche repose sur la
décomposition des objectifs stratégiques de l’entreprise en sous objectifs
ou actions précises, quantifiables et ont un horizon commun (long ou
moyen terme). Les risques majeurs de l’entreprise sont les événements
potentiels qui pourraient empêcher d’atteindre les objectifs fixés.
- Approche par processus (opérationnelle) : cette approche repose d’abord
sur l’identification méthodique des processus de l’entreprise et de leurs
interactions ; ensuite sur le management de ces processus en fonction de
leur objectif, leur pilotage, leur analyse et leur amélioration.
2.1.1. Critère de choix de la méthode
S’il est facile de définir les objectifs stratégiques d’une entreprise en général,
pour le secteur public l’objectif est difficile à énoncer, il est implicite et parfois
non chiffrable surtout dans certaines entreprises publiques. En revanche dès que
l’on passe à des niveaux de responsabilité opérationnelle, la définition d’objectifs
des entreprises publiques est beaucoup plus aisée.
Les objectifs stratégiques, qui émanent de la direction, peuvent concerner à titre

d’exemple le pourcentage de croissance, la part de marché, l’évolution de la
78
marge, la productivité, l’application d’une loi…, par contre les objectifs

opérationnels peuvent concerner le traitement d’un certain nombre de dossiers
par mois, le moyen d’éviter toute erreur ou irrégularité, la détection ou la
prévention de la fraude, la qualification du personnel, la possibilité de répondre a
toute demande…
L’entreprise publique est un secteur extrêmement diversifié, Il dispose de

plusieurs services et fonctions : l’action sociale en premier lieu ; l’action
économique ; les relations internationales et la culture, en interaction avec des
fonctions techniques, des métiers de construction. Il est clair qu’une approche
globale est assez compliquée à appliquer dans un secteur qui exerce une
multitude de métiers différents. C’est la raison pour laquelle les entreprises
publiques s’orientent vers l’analyse par processus. Quelques constats :
- Multiplicité des missions : rôle social, enseignement et recherche…
- Complexité du fonctionnement des entreprises publiques.
- Augmentation des contraintes financières.
- Environnement réglementaire.
- Gestion déléguée et augmentation de l’exigence des partenaires.
- Grande variété de métiers et multitude de compétences (sociale, achat,
technique, informatique,….).
2.1.2. Mise en application de l’approche par processus
La définition du processus selon ISO 9000-2000

« Toute activité qui transforme des éléments d’entrée en éléments de sortie
peut être considérée comme un processus. Pour qu’un organisme fonctionne
efficacement, il doit identifier et gérer de nombreux processus liés entre eux.
Les éléments de sortie d’un processus forment souvent les éléments d’entrée
du processus suivant ».
« L’identification méthodique des processus utilisés au sein d’un organisme
et de leurs interactions, ainsi que leur management,
peuvent être qualifiés d’approche processus ».
Ressources
Entrant PROCESSUS Sortant
En pratique l’analyse des flux d’un processus implique généralement la

représentation du processus sous forme de diagramme et ce, afin de mieux
comprendre les relations existantes entre les éléments entrant dans le
processus, les tâches, les résultats et les responsabilités. Une fois cartographiés,
les risques peuvent être identifiés et confrontés aux objectifs des processus.
Cette phase consiste au choix des processus (cycles) clés, définis par la direction,
à partir notamment des activités de l’entreprise publique, ensuite à décortiquer
ces processus en sous-processus (tâches).
79
Le découpage des ces activités en processus et éventuellement en sous

processus n’est pas un exercice standard, il est donc important qu’il y’ait
concertation entre la direction et l’auditeur interne pour pouvoir recenser les
risques significatifs et les activités de contrôles.
L’auditeur interne doit réaliser l’approche processus en 2 phases :

1. choix des processus significatifs. Pour définir les processus à étudier en
priorité, l’auditeur sélectionne les processus :
- Qui permettent à l’organisme d’atteindre majoritairement les objectifs
stratégiques qu’il s’est défini.
- Selon l’estimation de l’impact sur les clients en fonction de leurs exigences
et de la satisfaction perçue.
- Selon le poids financier et le coût du processus.
- Selon la gravité estimée sur le fonctionnement global, sur la qualité, la
sécurité et les risques.
2. l’analyse détaillée du processus clé pour définir les acteurs du processus et la
composition du processus :
- Déterminer quels acteurs sont «partie prenante » du processus.
- Décortiquer les processus en sous processus.
- Décrire les procédures de chaque processus ou sous processus.
- Etablir un listing des dysfonctionnements, pour chaque processus ou sous
processus, rencontrés, leurs conséquences sur l’entreprise ainsi que leurs
causes apparentes.
Exemple de processus de management des risques
Découpage du processus Ressources et tâches de chaque étape

- Stratégie globale de l’entreprise
- Stratégie en matière de gestion des risques
Elément entrant
- Périmètre de risque
- Portefeuille de risques
- Identification des risques bruts
- Identification de la maîtrise de ces risques
Suite ordonnée d’activités - Décision de gestion des risques
- Elaboration d’un plan d’action de traitement
de ces risques
- Une cartographie des risques
- Une stratégie de traitement des risques
Elément sortant
- Un plan d’actions du traitement des risques
- Un reporting sur le suivi des risques
- Fournir une vision des risques majeurs de
Ayant pour but de créer de
l’entreprise à la direction générale et au
la valeur pour un client management
80
2.2. Définir une typologie de risque
Il existe plusieurs modèles de typologie et une diversité des champs de risques

sur lesquels l’auditeur interne peut travailler (modèle ferma Fédération
Européenne de Risk Management, modèle COSO2…) comme il peut construire sa
propre typologie de risques.
La typologie des risques se construit à partir de :

- L’étude des parties intéressées (actionnaires, organisation, partenaires,
personnel…) pouvant être affectées par les stratégies, les actions, que
l’entreprise met en œuvre pour atteindre ses objectifs.
- L’étude préalable sur « le périmètre d’étude » : il couvre à la fois la
structure de l’entreprise (organisation, filiales, agences, régions…) et le
champ d’application de l’audit interne (ensemble des activités ou une
partie des activités).
La typologie des risques peut s’envisager sous plusieurs angles. Le découpage

suivant peut être utilisé :
• L’objet du risque (élément sur lequel porte le risque) :

- Les ressources humaines
- L’environnement
- La réglementation, le droit et la politique
- Les clients
- Les biens matériels ou immatériels
- Les systèmes informatiques et logistiques
- Les activités productives (processus)
- Les systèmes de synthèse et reporting
- Les finances et l’économie
• Les causes de risque (éléments à l’origine du risque) :

- Les grèves, revendication, accidents du travail
- Les événements naturels ou accidentels
- Les malveillances
- Les erreurs (internes à l’entreprise)
- Les pannes ou dysfonctionnements techniques dans les processus
- Les événements d’ordre réglementaire et juridique
• Les conséquences de risque (expression de l’impact

du risque) :
- Pertes financières directes ou indirectes
- Dommages aux personnes
- Dommages aux biens
- Sanction légale
- Perte d’image
- Fraude
Le passage en revue des différentes approches, la combinaison de l’objet, des

causes et des conséquences de risques, ainsi que l’utilisation de modèles
conduisent à définir une typologie de risques et les différents portefeuilles de
risque.
81
- Risque social :
- Risque technologique :
- Risque informatique :
- Risque financier :
- Risque partenaires :
- Risque client :
- Risques environnement :
- Risque politique :
- Risque infrastructure :
- Risque juridique
2.3. Affectation des risques
L’affectation des risques consiste à rattacher les risques identifiés à un ou

plusieurs portefeuilles de risques. Pour optimiser cette affectation, l’auditeur
interne doit revenir aux événements passés, imaginer les risques potentiels qui
pourraient survenir, pour chaque portefeuille, qualifier le risque de façon précise,
par rapport à l'activité ou à l’objectif sur lesquels il porte.
Cette affectation permet de s’assurer que tous les risques possibles ont été
couverts et s’apparentent à un portefeuille. Le défaut d’affectation peut signifier
que le risque n’est pas significatif ou que la typologie est incomplète. C’est
pourquoi le choix d’un modèle standard de grille d’analyse des risques est
particulièrement préconisé. L’affectation permet aussi de zoomer sur un
portefeuille en particulier et d’avoir une vision globale des risques concernant
seulement ce portefeuille.
Les risques recensés à partir d’un cas pratique sont affectés à un portefeuille de
risque dans « la grille d’analyse des risques ». Ensuite évalués dans « l’inventaire
des risques » pour définir la gravité et le niveau de maîtrise qui permettent
l’élaboration de la cartographie des risques.
82
Exemple de tableau proposé pour un rattachement

des risques
Grille d’analyse des risques

TYPOLOGIE (PORTEFEUILLES) DE
RISQUES
PROCESSUS
Environnement
Technologique
Infrastructure
Informatique
RISQUES RECENSES
Partenaires
(non exhaustifs)
Juridique
Financier
Politique
Social
Client
Défauts techniques ou mauvaise qualité
x x
réception
Achats et
des produits sélectionnés
Bon de commande erroné x x

Non respect des délais de réalisation de
x x x x
l’affaire
Ressources
humaines
L’âge moyen des cadres dirigeants est

supérieur à 50 ans, le savoir faire et x x
l’expertise peuvent disparaître
La crise financière limite les possibilités

Financiers et
Comptables
de faire appel aux marchés à des x x

conditions acceptables.
Les mécanismes du contrôle interne

relatifs à la clôture des comptes ne
x x x
permettent pas de se prémunir d’un
risque d’erreur matériel ou de fraude
Gestion de
la sécurité
Accès au système informatique non

x x
sécurisé (virus, piratage…)
Vols ou endommagement de
x x x x
marchandises
2.3.1. Risques inhérents à l’entreprise publique
Pour les risques inhérents liés à l’activité de l’entreprise publique qui affectent la
mise en œuvre de la stratégie et l’atteinte des objectifs, la typologie adoptée plus
haut peut être préconisée.
Dans le secteur public, le risque « humain» est plus exposé dans la mesure où il
est lié à l’usage d’une ressource doté d’une volonté propre qui peut diverger de
sa direction. En effet, plus une activité est intense en capital humain et plus les
salariés représentent un facteur de risque.
83
Voici une liste succincte des risques liés à chaque portefeuille,

leurs causes et leurs conséquences.
Typologie
RISQUES CAUSES ET CONSEQUENCES
de risques
Grève, conflits sociaux, revendications, politique de
Personnel rémunération, instabilité d’emploi, droits et liberté
de la personne, discrimination, harcèlement …
Interruption de production, erreur, disparition
Risques social Humain (décès, retraite, licenciement ou démission),
indemnisation, accident de travail…
Manque d’expérience, stabilité, habileté en
Compétences
communication ou en technologie…
Formation inadaptée du personnel, non
optimisation des outils de production, défaut
d’homogénéité dans les pratiques de gestion de la
Processus de
qualité...
production
Processus basé sur la technologie : non-protection
Risque du savoir-faire, contrefaçon, non suivi des
technologique innovations….
Les technologies en rapide évolution rendent la
Obsolescence
technologie choisie obsolète.
La technologie prévue n’est pas utilisée de façon
Innovation
adéquate.
Risque économique de nature organisationnelle
Transmission (communication non optimale), de nature logistique
d’information (stocks, approvisionnements), manque de
Risque formation des utilisateurs…
informatique Défaillance ou survenance d’erreur, réputation due
à la cybercriminalité, virus, écrasement de disque
Système
dur, erreur utilisateur, dommage aux logiciels et au
matériel,…
Placements Gestion des portefeuilles inefficace, fluctuation des
financiers et cours boursiers, volatilité des cours de change…
investissements
Règlements créances Insolvabilité et incapacité de règlement des clients
Risque clients
financier Ethique comptable et Mauvaise évaluation des provisions, détournement
activité de contrôle de fonds, signature non autorisée…
Manque de Incertitude du financement, ressources
ressources inadéquates, manque d’expertise en gestion de
ressources complexes…
Entente ou contrats inadéquats, sélection des
Formes de
partenaires inappropriée, gestion déléguée, valeurs
collaboration
et/ou éthique non compatible.
Problèmes relatifs à la communication, cultures
Processus de
différentes, inertie, dépendance, méfiance, manque
Risque collaboration
de consensus ou d’implication.
partenaires Défaillance, non approvisionnement, marchandise
Fournisseur
défectueuse.
Multiplication des Confusion dans les responsabilités; manque de
intermédiaires traçabilité
Caractéristiques Manque d’implication, difficultés de communication.
84
Risques liés à chaque portefeuille, leurs causes

et leurs conséquences
Typologie
RISQUES CAUSES ET CONSEQUENCES
de risques
Insatisfaction des usagers du service, conditions de
Commercial vente non respectées, mauvaise anticipation des
besoins des clients au service vente et marketing.
Caractéristiques des Résistance au changement, niveau d’éducation
Risque client clients inapproprié, attentes irréalistes.
Changement dans la Evénement imprévu augmentant ou diminuant la
demande demande du service.
Changement dans les Plus d’exigence en termes de qualité et de coûts
attentes des citoyens des services offerts.
Air, eau, terre, induisent un risque environnemental
Environnement
de pollution, d’inondation de séismes…
Politiques et sociaux Gêne des usagers, riverains,…
Le service est offert ailleurs ou un service substitut
Compétition
existe.
Risque Universalité ou spécialisation du service, nombre de
Envergure du projet
environnement partenaires, nombre de clients, taille du budget.
Définition et Objectifs imprécis, spécification mal définie,
structure du projet changements dans l’envergure du projet..
Support et contrôle organisationnels inadéquats,
Stratégie de gestion absence de leader, non disponibilité d’outils et de
processus de gestion.
Election de nouveaux responsables politiques,
Eléments politiques
embargo sur les produits, guerre, protectionnisme.
Objectifs conflictuels avec d’autres organismes ou
Risque
Objectifs conflictuels supportent des moyens différents pour les
politique atteindre.
Lois ou Projet affecté par des exigences légales ou
réglementations réglementaires nouvelles ou modifiées.
Incendie, inondation, attentat, vol ou dégradation
Matériel
Risque de l’outil de travail…
infrastructure Expertise Absence ou inadéquation des infrastructures et des
technologique compétences technologiques.
Hausse des impôts, adoption de nouvelles lois, non
Réglementaire
respect des obligations légales…
Risque Litige, non respect d’engagement, contrat ou
Contractuelles
juridique marché mal négocié…
Elément de Risque de mauvaise qualité ou absence
responsabilité civile d’assurance...
85
2.3.2. Risques liés à l’environnement de contrôle
L’auditeur interne évalue le degré d’efficacité des procédures internes mises en

place, pour maîtriser les risques inhérents liés aux systèmes d’information et aux
activités de contrôle.
- Activités de contrôle :
Les activités de contrôle sont définies comme l’application des normes et de

procédures pour maîtriser les risques. Ces activités peuvent différer dans leurs
modalités d’une organisation à l’autre, mais elles reposent sur des fondamentaux
(approuver, vérifier, apprécier la performance…) et des manuels de procédures
qui les formalisent.
L’auditeur interne identifie les activités de contrôle, pour s’assurer que le

traitement des risques est mis en œuvre, de façon adéquate et en temps voulu.
Il détecte les insuffisances des procédures de contrôle mises en place, afin de
diminuer le degré de risque auquel l’entreprise est exposée.
- Système d’information et de communication :
Par système d’information et de communication on entend à la fois les systèmes

informatiques de gestion, d’information comptable ainsi que les outils de
reporting.
Les systèmes d’information et de communication sont devenus des éléments

essentiels qui soutiennent l’ensemble des activités des entreprises, mais les
soumettent à des risques croissants. Ces risques peuvent être des risques
techniques, de conformité réglementaire ou que l’information ne soit pas
produite en temps voulu, inadaptée ou erronée.
Si l’information ne parvient pas aux parties prenantes, parce qu’elle est

incomplète, de mauvaise qualité, ou la communication est déficiente, il en résulte
que les intéressés n’ont pas une bonne perception de leur risques. Ils ne peuvent
espérer concevoir un dispositif de contrôle interne efficace.
- Degré d’appétence au risque :
Le facteur de risque repose sur le degré de culture de la direction en matière de

supervision et de sensibilité au risque, de reconnaissance des risques et de leur
appréciation. Ces dispositifs qui aident à l’identification et à la mesure des
risques ont une incidence sur le niveau de risques à accepter.
En effet, une entreprise qui a réussi en prenant des risques importants aura une
conception du contrôle interne différente de celle qui aurait supporté des
conséquences économiques ou légales lourdes. Le risque se matérialise comme :
- L’insuffisance dans l’identification et la reconnaissance des risques
inhérents qui peuvent conduire à la survenance d’erreurs ou d’irrégularité
dommageable.
- L’insuffisance de la supervision et le manque de prise de conscience des
risques qui se traduisent par une organisation et des procédures internes
inadaptées ou inefficaces.
86
- L’inadaptation des dispositifs mis en place pour une identification correcte

des mesures des risques.
RECOMMANDATIONS
La création d’un comité des risques représentant les principaux
responsables des directions est conseillée afin de mettre à jour les risques et
estimer leur impact et probabilité. cette méthode accroît la crédibilité de la
cartographie des risques.
L’approche par processus permet d’avoir une vision globale et transversale

de l’entreprise, structurée selon une série de processus cohérents. Cette
structuration sert à analyser les risques en fonction des processus de
l’entreprise, sur lesquels les objectifs sont déclinés. L’objectif in fine est
d’identifier les risques inhérents par processus et éventuellement par sous-
processus et analyser leur impact et leur maîtrise.
Avant l’élaboration de la cartographie des risques, il est important

d’illustrer la méthodologie de la lecture d’une cartographie des risques en
fonction des notations données à l’importance des risques et au degré de
maîtrise des contrôles mis en place.
87
SECTION 2 : Cartographie des risques

et plan d’audit interne
1. L’élaboration d’une cartographie des risques :

méthodologie
La démarche de l’auditeur interne, repose sur l’identification et l’analyse des
risques. Elle conduit à l’évaluation de l’importance du risque, la probabilité de
survenance de ce risque et des mesures qu’il convient de prendre ou qui existent
déjà.
L’analyse des risques comme l’identification constituent pour les entreprises un

processus continu et répétitif. Elle demeure un élément clé d’un système de
contrôle interne efficace. L’analyse et la représentation visuelle (cartographie)
des risques ont pour objectif de faire un état des lieux des forces et faiblesses
réelles ou potentielles de l’organisme, afin d’orienter les travaux détaillés de
l’auditeur.
1.1. L’analyse des risques
L’analyse des risques permet à l’auditeur interne de faire un état des lieux des
forces et faiblesses apparentes ou potentielles de l’entité ou de l’activité
auditées. Le degré d’une force ou d’une faiblesse combiné au degré de gravité du
risque vont guider ses travaux ultérieurs.
1.1.1. L’évaluation des risques
Les risques sont généralement évalués en fonction de deux critères majeurs :

- La probabilité de survenance du risque.
- L’impact du risque en cas de survenance.
Le croisement de ses deux critères permet d’évaluer la gravité du risque. Il est

nécessaire, avant d'estimer la gravité, que les décideurs définissent ce qu'ils
entendent par grave : une perte financière, humaine, des dégâts
environnementaux, sanitaires …
Gravité = Probabilité x Impact
L’entreprise définit son propre système d’évaluation : une note de 1 à 5

permettra d’évaluer la probabilité de survenance et une autre note de 1 à 5
évaluera l’impact potentiel du risque s’il se matérialise. Une note globale
combinant les deux précédentes mettra en évidence les risques les plus
significatifs.
Cette échelle de cotation permettra d’obtenir une première hiérarchisation des

risques qui sera ensuite soumise et validée par la direction générale, si elle n’est
pas impliquée dans la cotation.
- La probabilité de survenance du risque

88
L’auditeur interne définit au préalable des critères de cotation des niveaux de

probabilité ou de fréquence de survenance du risque. Ensuite il essaie d’adapter
ces niveaux de probabilité au contexte de l’organisation et au choix de la
méthode (par objectif / par processus). Il déterminera ensuite le nombre de
niveaux de probabilité selon le degré de précision souhaitée.
EXEMPLE DE GRILLE DES NIVEAUX DE PROBABILITE
EXEMPLE -I-
Cotation Evénement opérationnel (niveau)

1 Improbable 1 fois par an
2 Rare Tous les 3 mois
3 Peu fréquent Tous les mois
4 Occasionnel Chaque semaine
5 Fréquent Chaque jour
EXEMPLE -II-
Notation Evénement « exceptionnel » (niveau)

Improbable Evénement risquant de se produire < 10%
1 uniquement dans des cas
exceptionnels
Rare Evénement risquant de se produire 10-30%
2
à un moment donné
Peu fréquent Evénement devant se produire à un 30-50%
3
moment donné
Occasionnel Evénement probable dans la 50-90%
4
plupart des cas
Fréquent Evénement attendu dans la plupart > 90%
5
des cas
- L’évaluation de l’impact
L’auditeur interne évalue le niveau d’impact pour chaque risque identifié, par
rapport à la nature et le niveau d’affectation des objectifs. Le niveau d’impact
peut résulter d’un seul et de plusieurs impacts.
89
EXEMPLE DE GRILLE DES NIVEAUX D’IMPACTS

POUR 5 CRITERES « HABITUELS »
Critères de quantification de l’impact

Notation
Degré
Financier Environnement Réputation Réglementation d’implication de
la direction
Impact Risques pour Impact qui n’est Manquements Evénement dont

Faible
inférieur l'environnement visible qu’en mineurs de la part l’impact peut être

1 à 1% ou sur site maîtrisés interne de personnel absorbé par
nul immédiatement isolé l’activité normale
Evénement dont les
conséquences
Risques pour Absence
Mineur
peuvent être
Impact l'environnement Impact visible d’amende
absorbées mais
2 de sur site maîtrisés par le client / et d’interruption
impliquant
1 à 3% moyennant des partenaire des services
l’intervention de la
efforts soutenus programmés
direction pour en
minimiser l’impact
Risques pour
l’environnement Série d’articles Amende, mais Evénement majeur
Moyen
Impact sur site maîtrisés dans la presse absence pouvant être géré
3 de en locale / d’interruption des dans des
3 à 10% recourant à une spécialisée services circonstances
assistance du secteur programmés normales
externe
Risques pour
Couverture
l’environnement
Majeur
négative Amende et Evénement critique

Impact hors site
de grande interruption des supportable
4 de 10 maîtrisés
ampleur services moyennant une
à 25% en recourant à
par les médias programmés gestion correcte
une assistance
locaux
externe
Risques pour Couverture Interruption
Désastre
l’environnement négative importante et
Impact susceptible de
Fort
hors site se de grande prolongée des

5 supérieur à
traduisant par ampleur services
provoquer
25% l'effondrement de
des effets par les médias programmés
l'entreprise
dommageables nationaux
- L’évaluation de la gravité
L’évaluation du niveau de risque se fait en combinant la probabilité de

survenance et l’impact de la survenance.
A la suite de leur évaluation, les risques potentiels sont synthétisés dans un

tableau afin de les pondérer selon leur fréquence et leur impact, et pouvoir ainsi
mesurer leur gravité, avant de construire une cartographie des risques. Si la
probabilité de survenance d’un risque et du niveau de son impact sont cotés
selon la pondération de la grille d’analyse des risques établie précédemment, la
gravité des risques peut être catégorisée selon le schéma suivant.
90
Schéma : Gravité
4
Impact
1 2 3 4 5
Probabilité
Gravité élevée :3
Gravité Moyenne : 2
Gravité Faible :1
1.1.2. L’analyse des actions de maîtrise des risques
L’objectif de l’analyse des actions de maîtrise permet à l’auditeur de mettre au

regard le niveau de risque inhérent identifié et le niveau de maîtrise afin de
discerner le risque résiduel.
Les éléments de maîtrise sont indispensables pour garantir la maîtrise des

risques. Quand aucun élément n’existe, les risques sont tous inhérents. Seuls les
éléments de maîtrise existants, efficaces et approuvés, sont pris en compte dans
l’analyse de la maîtrise.
Pour positionner les éléments de maîtrise des risques, trois facteurs sont
retenus :la prévention (cerner les causes), la détection (déceler la
manifestation), la protection (se prémunir contre les conséquences).
91
Exemple risque incendie
- Détecteur de fumée
- Alarmes thermiques
- Rondes
- Sprinkler
- Forme - Extincteurs
- Signalétique - Assurance
- Communication
Détection
Prévention Protection
Temps 1 :
Risque inhérent
Impact
Action de
maîtrise
Temps 2 :
Risque résiduel
Probabilité de survenance
Les procédures de gestion des risques, émanant des activités de contrôle, sont
des éléments de maîtrise propres à chaque processus et conçues pour réduire les
risques - de risque brut à résiduel - susceptibles d’affecter la réalisation des
objectifs de la société. L’analyse des éléments de maîtrise est réalisée selon la
méthodologie suivante:
- Recensement des éléments de maîtrise :
Les conséquences ou l’impact de risque peuvent être la résultante de la

déficience d’un point de contrôle au niveau des ressources humaines,
matérielles et immatérielles. Pour chaque risque inhérent, les activités de
contrôle décrivent les moyens qui sont mis en œuvre, par le contrôle interne
92
pour éviter les causes des risques inhérents et donner une assurance que le
processus est maîtrisé.
Le COSO définit les activités de contrôle comme l’application des normes et
procédures destinées à assurer l’exécution des directives émises par la direction
en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs.
Il existe plusieurs types d’éléments de maîtrise à tous les niveaux de
l’organisation :
• Eléments de maîtrise : activités de contrôle
- Analyses effectuées par la direction de l’entreprise : sur les

performances réalisées afin d’évaluer dans quelle mesure les objectifs sont
atteints.
- Traitement des données : contrôles effectués afin de vérifier l’exactitude,
l’exhaustivité et l’autorisation des transactions.
- Contrôles physiques : concerne la sécurité physique et les inventaires
physiques comparés aux données figurant sur les documents comptables.
- Indicateurs de performance : l’analyse combinée de différents ensembles
de données (opérationnelles ou financières), la revue des variations de
différents indicateurs et la mise en œuvre d’opérations correctives
constituent des activités de contrôle.
- Séparation des tâches : afin de réduire les risques d’erreur et
d’irrégularité, les tâches sont reparties entre employés.
• Autres éléments de maîtrise :
- Action de sécurité / sûreté.

- Formation.
- Automatisation.
- Suivi de la stratégie (indicateurs de performance).
- Assurance…
- Cotation des éléments de maîtrise :
Pour chaque élément de maîtrise, et en fonction de sa nature, il faut évaluer le

niveau d’efficacité de cet élément, au regard du risque identifié. Il peut y avoir
plusieurs éléments de maîtrise pour chaque risque.
Il est utile d’apprécier l’efficacité conjuguée des éléments de maîtrise, par

rapport à la nature du risque, en dressant une grille d’analyse avec une synthèse
de cotation. Afin de réaliser la synthèse des éléments de maîtrise pour chaque
risque, une notation globale des actions de maîtrise devra être réalisée, compte
tenu de leurs niveaux et de leurs natures.
La cotation porte sur l’évaluation du niveau d’efficacité des éléments de maîtrise

au regard de la gravité des risques évalués précédemment. Pour chaque risque
identifié, les éléments de maîtrise peuvent se décliner selon la matrice suivante :
93
Exemple de mode de cotation

+
3 : Maîtrise forte
(efficace par rapport
au risque)
Efficacité
Absence 2 : Maîtrise moyenne

d’actions (efficacité partielle ou
de maîtrise moyenne par rapport
au risque)
1 : Maîtrise faible
(peu efficace par
rapport au risque)
-
- +
Existence
1.2. La cartographie des risques dans la démarche

de l’auditeur interne
A la création de la cellule d’audit et à défaut d’une fonction de risk manager, la

cartographie des risques peut faire partie des missions confiées à l’audit interne.
Le service d’audit interne est l’un des services qui réunit le plus d’expertise pour
mener à bien l’élaboration et la mise à jour de la cartographie des risques et, s’il
n’en a pas la responsabilité complète, il est recommandé qu’il soit largement
associé.
1.2.1. Intérêt d’élaboration d’une cartographie

des risques
La cartographie des risques, point essentiel de la mise en œuvre d’une gestion

des risques structurée et du processus de management des risques est une
représentation visuelle des résultats obtenus en amont, qui permet de repérer
rapidement et plus facilement les zones de risques à traiter en priorité. Il
constitue un outil de travail qui permet :
- D’obtenir une vision globale des risques de l’entreprise.
- De mieux apprécier et cerner les risques majeurs de l’entreprise.
- De vérifier la pertinence des risques couverts par le dispositif de maîtrise
en place et de l’ajuster en fonction des enjeux, évitant ainsi les situations
de contrôle faible ou d’insuffisance du contrôle.
- A l’entreprise de prioriser les actions à mettre en œuvre au regard de sa
stratégie et des zones de risques identifiées.
- De communiquer au comité d’audit, comité des risques et conseil
d’administration.
94
La cartographie des risques est un document qui permet de façon substantielle

de :
- Renforcer leurs processus de gestion des risques par une approche
structurée et formalisée.
- Fournir un outil et une méthode de recherche et de hiérarchisation des
risques qui facilitera notamment l’élaboration des plans d’audit annuel et
pluriannuel, la détermination des actions et missions prioritaires.
- Répondre à certaines obligations légales visant l'amélioration de la gestion
et de la maîtrise des risques (loi 69-00, loi de sécurité financière, ou
autres…).
Le but est de visualiser de façon synthétique les zones à risque pour l’entreprise,
en distinguant les risques les plus forts, dans une démarche de prévention. Il
montre les risques encourus par toute la chaîne hiérarchique, de nature à
renforcer la légitimité pratique de l’audit interne et à promouvoir ensuite la mise
en œuvre des dispositifs de contrôle.
Du point de vue de l’auditeur, l’intérêt est double. Programmer les interventions

du service selon une approche annuelle ou pluriannuelle, en fonction du niveau
de finesse retenu. Réguler l’activité du service et l’optimiser, en affectant les
bonnes compétences aux spécificités requises, par chacune des missions
programmées.
La cartographie contribue aussi à rationaliser ou à expliciter l’intervention de

l’audit qui se déroule dans un contexte serein, puisque les raisons de
l’intervention sont connues du service concerné. Elle est aussi l’occasion
d’amorcer un dialogue avec les directions opérationnelles, pour évaluer avec les
responsables les zones à risque inhérentes à leurs activités. Ce dialogue ouvert,
sensibilise les services de l’entreprise au bien-fondé du contrôle interne…et
facilite les interventions des auditeurs.
1.2.2. Finalité de la cartographie des risques en audit

interne
La cartographie des risques sert de guide pour la maîtrise des risques de chaque
processus. La catégorisation des risques obtenue, présentée sous forme
graphique, donne une vision sommaire partagée par les managers sur tous les
risques de l’entreprise. Ces risques sont synthétisés et classés par l’auditeur
interne dans trois catégories qui mettent en évidence trois situations.
95
+
Risque
critique (action)
Gravité
RD Surveillance
(Contrôle et suivi)
Optimisation
-
- Niveau de maîtrise +
• Situation de Zone de risque critique :
Les risques sont considérés comme critiques et peu ou mal maîtrisés. Ils font
l’objet d’actions prioritaires.
Elle regroupe les risques les plus sensibles en termes d’impact. Le niveau de
maîtrise de ces risques est considéré faible.
Le secteur public s’inscrit alors dans une démarche de mise en place de

dispositifs de protection en amont ou de détection en aval afin de limiter les
conséquences de ces risques.
• Situation de Zone de surveillance :
Ces risques peuvent être évalués comme ayant un impact moindre pour les
organisations. Ils sont parallèlement jugés mieux maîtrisés. Ou Ils ont une
importance jugée intermédiaire, avec un niveau de maîtrise élevé.
- Contrôle : les risques sont considérés comme critiques mais relativement

bien maîtrisés. Il conviendra de s’assurer qu’ils demeurent sous contrôle.
- Suivi : les risques sont moins importants, mais perçus comme peu
maîtrisés. Il conviendra de les suivre sans trop focaliser sur ces derniers.
• Situation de Zone d’optimisation :
Les risques sont considérés comme peu importants et correctement maîtrisés.

Elle regroupe des risques estimés à faible impact.
96
RECOMMANDATIONS
L’orientation vers l’analyse par processus se révèle plus pertinente dans la

démarche à adopter pour mettre en place une cartographie des risques.
L’approche par objectif selon la nature globale des risques (juridique, financier,
pénal, voire d’image), peut ne pas donner une garantie sur l’exhaustivité de la
démarche et s’avérer peu lisible par les services opérationnels.
La première étape consiste à segmenter les différents métiers et activités

exercés en processus, pour identifier les risques liés à chaque processus.
La seconde étape consiste à noter et évaluer les risques ainsi obtenus

pour réduire le nombre de risques résiduels et se focaliser sur les plus forts et les
plus probables. Le risque maximum étant évidemment celui à fort impact ayant
une haute probabilité de se réaliser. Cette analyse relève aussi du degré de
qualité et de fiabilité du contrôle interne au sein de l’entreprise publique.
La troisième étape consiste à hiérarchiser ces risques pour établir une

programmation des interventions d’audit interne. Seuls les risques les plus forts
sont pris en compte.
La quatrième étape consiste à représenter la cartographie des risques :

différentes formes de représentations sont possibles.
• Sous forme d’une matrice dans laquelle on va restituer les résultats
obtenus lors des évaluations des risques et des actions de maîtrise. Ces
résultats sont pressés sous forme de nuage de points, les risques
inhérents sont placés sur l’axe des ordonnées et l’efficacité des actions de
maîtrise sur l’axe des abscisses.
• Sous forme d’un graphique radar
• Sous forme d’un tableau d’évaluation des risques
L’importance des risques et le degré de maîtrise des contrôles mis en place pour
chaque processus doivent être synthétisés dans un inventaire des risques qui
sert à élaborer la cartographie.
97
Inventaire des risques
PROBABILITE
Processus
GRAVITE
IMPACT
Description des Niveau
Risques recensés
Contrôles / Eléments de
(non exhaustifs)
de Maîtrise Maîtrise
Procédure d’appel d’offre

pour les investissements.
Achat et réception
R1: Défauts techniques

Contrôle des réceptions,
ou mauvaise qualité des 1 3
Commandes par le
produits sélectionnés
responsable des achats et
le DAF
Processus d’achat :
R2: Bon de commande
2 conservation des 2
erroné
documents
R3: Non respect des
Procédure d’appel d’offre
délais de réalisation de 3 2
pour les investissements
l’affaire
Ressources
humaines
R4: L’âge moyen des Plan de succession validé

cadres dirigeants est pour tous les postes clé.
supérieur à 50 ans, le 2 Procédures de 1
savoir faire et l’expertise recrutements performants
peuvent disparaitre et bien définies
Examen mensuel, par la
Financiers et Comptables
R5: La crise financière direction, des prévisions

limite les possibilités de économiques et
faire appel aux marchés à 2 comparaison avec la 1
des conditions position financière
acceptables. prévisionnelle de
l’organisme.
R6: Les mécanismes du
contrôle interne relatifs à
la clôture des comptes ne Evaluation du contrôle
permettent pas de se 2 interne et examen 3
prémunir d’un risque semestriel des comptes
d’erreur matériel ou de
fraude
R7: Accès au système

Gestion de la
Procédure de sauvegarde
informatique non sécurisé 2 2
sécurité
du SI
(virus, piratage…)
Contrôle des réceptions
R8: Vols ou
commandées par le
endommagement de 3 1
responsable des achats et
marchandises
le DAF
98
Matrice de cartographie des risques
R8 R3
Gravité
R5 R2 R6
R4 R7 R4
R1
-
- Niveau de maîtrise +
RECOMMANDATIONS
La mise à jour de la cartographie est nécessaire au moins une fois par an,
pour prendre en compte l’évolution de l’entreprise, les nouvelles activités et la
mise en œuvre des plans d’action, auxquels pourraient être associés des risques
spécifiques, ou qui ont permis de réduire, voire éliminer le niveau de gravité des
risques précédemment identifiés.
La cartographie des risques exige un effort certain lors de sa première

élaboration. Sa mise à jour, est un exercice, normalement, moins contraignant
que sa mise en œuvre initiale.
2. L’élaboration du plan d’audit

Lorsque la cartographie des risques est établie, elle constitue l’outil de mesure
pour une évaluation réelle du risque maximum possible, en affectant à la
cotation mesurant le risque, un coefficient représentant la qualité du contrôle
interne qui va déterminer le risque résiduel. L’auditeur interne va ainsi disposer
pour chaque processus d’un niveau de risque réel à partir duquel il va définir les
fréquences d’audit souhaitables : plan d’audit.
Le plan d’audit est exigé par la norme 2010 de l’IIA : « Le responsable de l’audit
interne doit établir une planification fondée sur les risques afin de définir les
99
priorités cohérentes avec les objectifs de l’organisation ». Dans la même

perspective, la norme prescrit que le « Le plan d'audit interne doit s'appuyer sur
une évaluation des risques documentée et réalisée au moins une fois par an. Les
points de vue de la Direction Générale et du Conseil doivent être pris en compte
dans ce processus.»
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé

sur les risques. Il prend en compte le système de management des risques défini
au sein de l’organisation, tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de
l’organisation. Si ce système de management des risques n’existe pas, le
responsable de l’audit interne doit se baser sur sa propre analyse des risques
après consultation de la direction générale et du Conseil.
2.1. L’intérêt du plan d’audit
La mise en œuvre d’un plan d’audit permet d’hiérarchiser les priorités d’audit, de
le fixer en plan pluriannuel et annuel d’intervention, en parfaite adéquation avec
l’évolution de l’organisation et les principaux risques.
L’intérêt du plan d’audit permet notamment d’optimiser les profils et les

compétences des auditeurs internes et de démontrer également aux parties
prenantes, sa capacité de réponse aux préoccupations et aux attentes du
management. La mesure de la performance du service d’audit interne résulte
dans 75,3% des cas, du taux de réalisation du plan d’audit. (Enquête IFACI
2005).
Ce document permet de définir les priorités cohérentes en conformité avec les

objectifs de l’entreprise, en fonction des risques et de leur impact potentiel sur
les processus et les entités concernés. Il désigne les missions auxquels l’audit
interne procédera au cours des mois à venir. Il précise aussi toutes les activités
susceptibles d’être audités.
Le plan permet de s’assurer que toute la problématique clé soulevée lors de

l’établissement de la cartographie des risques, lors des entretiens, des enquêtes
et interviews menés auprès des principaux gestionnaires d’entreprise ont été
assimilées et les différentes missions programmées de façon pertinente. Il
reprend les risques non couverts lors des précédentes missions ou qui sont
restés encore mal appréhendés, malgré les interventions de l’audit interne.
Le plan annonce aux futurs audités et informe les intéressés qu’une mission sera
organisée dans l’année en précisant les dates préliminaires afin d’éviter tout
conflit de priorités. Un service d’audit ne pouvant répondre immédiatement à
toutes les demandes d’intervention qui lui sont faites.
Le plan permet de communiquer à la direction générale et au conseil les

éventuels changements susceptibles d’intervenir en cours d’exercice. Il est
important que le plan d’intervention soit validé par la direction générale. Il entre
aussi dans les prérogatives du comité d’audit de valider le plan d’audit interne.
100
Formalisation des missions et plan d’audit :

(Enquête IIA. 2007)
Pour assumer leur rôle et répondre aux principales attentes de l’organisation, les
auditeurs internes se fondent sur leur professionnalisme avec notamment une
approche par les risques qui se généralise.
94% des répondants formalisent les missions d’audit dans le cadre d’un plan
annuel. Dans 79% des cas, cette planification est réalisée à partir d’une
analyse de risques. Plus précisément, 94% des responsables d’audit interne
indiquent qu’un plan d’audit est réalisé au moins annuellement.
Le plan d’audit se fonde principalement sur les demandes émanant de la
direction générale (85%), les entretiens réalisés avec les responsables
opérationnels (79%) ainsi qu’une analyse des risques (79%).
Dans 32% des cas, ce plan est mis à jour plusieurs fois dans l’année pour
prendre en compte des demandes ponctuelles émanant de la direction générale,
ou bien une évolution de périmètre (changement de statut, fusion, acquisition…).
2.2. La préparation du plan d’audit
Le plan d’audit est un document à usage restreint, généralement classé comme

document confidentiel qui contient des informations sensibles sur l’évolution de
l’entreprise et sur les risques pouvant l’affecter à court ou moyen terme.
Le plan d’audit est annuel, peut être pluriannuel, mis à jour au moins une fois
par an, pour tenir compte de l’évolution des risques de l’entreprise et des
modifications demandées par la direction générale ou liées à des changements
d’orientation stratégique ou de périmètre d’intervention. La période couverte par
le plan dépend de l’environnement de l’organisme, de sa stratégie et de sa
politique de contrôle, ainsi que de la taille et de la maturité de l’équipe d’audit.
La préparation du plan d’audit est souvent un exercice renouvelable qui nécessite

de faire le point sur les missions déjà réalisées. Sa préparation commence un à
deux mois, avant sa soumission à la hiérarchie et tient compte du calendrier
budgétaire pour sa mise en œuvre.
L’élaboration du plan va porter en priorité sur les sites et problématiques

spécifiés : des interviews et contacts réguliers avec la direction de l’entreprise
permettent d’identifier les besoins et orientations stratégiques qui pourraient
avoir un impact sur le périmètre et les objectifs des missions de l’audit interne.
Pour définir le plan d’audit deux approches sont principalement retenues:
- Une approche par les processus (ou approche thématique) : lors de
chaque mission d’audit, un processus stratégique est revu sur un ou
plusieurs sites.
- Une approche par site : lors de chaque mission d’audit tous les
processus clés d’un site ou d’une agence font l’objet d’une revue
approfondie.
Une fois définie la liste des thèmes ou des sites qui devront être audités, le plan
d’audit interne se construit de la manière suivante. Il doit :
- Fixer la priorité des missions d’audits ; l’audit va disposer les missions qui
peuvent se réaliser dans le cadre d’une année calendaire, positionner les
autres sur un plan pluriannuel.
101
- Evaluer la durée des missions ainsi que les ressources humaines nécessaires à
leur exécution en matière de compétences et nombre de personnes.
- Positionner dans le temps les différentes missions en déterminant les
fréquences d’audit souhaitables : risque élevé, donc audits fréquents ; à
l’inverse risque faible signifie audits espacés.
Le plan d’audit est un document qui se veut précis, clair et facile pour en suivre
l’exécution. Il contient:
- Le nom des sites à auditer.
- Les objectifs et les thèmes des interventions.
- Leurs durées et dates approximatives.
- Les noms des auditeurs affectés à la mission.
- Le contexte et les risques (et éventuellement leur niveau) auxquels la mission
répond.
Exemple de plan d’audit interne

Durée & dates Ressources
Processus Risques identifiés Commentaires
Prévisionnelles assignées
Processus Défauts techniques ou mauvaise
Achat qualité des produits sélectionnés M.X Chef de
et 25 février-25 mars Mission
réception Bon de commande erroné M.T Auditeur
L’âge moyen des cadres M.X Chef de
Processus
dirigeants est supérieur à 50 ans, mission
Ressources 15 janvier-15 février
le savoir faire et l’expertise M.Y Auditeur
humaines peuvent disparaitre
La crise financière limite les

possibilités de faire appel aux
Processus marchés à des conditions
acceptables
Financiers
et Les mécanismes du contrôle Mme Z Chef
comptables interne relatifs à la clôture des 20 janvier-20 février de mission
comptes ne permettent pas de se M.T Auditeur
prémunir d’un risque d’erreur
matériel ou de fraude
Mission
nécessitant des
Processus Accès au système informatique Mme W déplacements
Gestion de non sécurisé (virus, piratage…) Responsable dans 5 villes
la sécurité 20 avril - 20 juin du PGS différentes
M.T Auditeur
Vols ou endommagement de
marchandises
Exemple plan d’audit pluriannuel

Audits N° de la Processus ou
Cotation du risque Budget en jours/ Homme
antérieurs mission fonctions / Risques
102
Temps d’audit
Année 2010 2011 2012 2013 2014
passé
-Processus Achat
-Risque significatif et peu X X
et réception :
1 maitrisé
- Risque 1
2 -Risque significatif et mal X X X
- Risque 2
… maitrisé
- …
-Processus
Ressources -Risque significatif et mal X X X
3 humaines : maitrisé
4 - Risque 3 -Risque moyen et non X
… - Risque 4 maitrisé
- …
-Processus
-Risque moyen et non X
financiers et
5 maitrisé
Comptables
6 -Risque significatif et peu X X
- Risque 5
… maitrisé
- Risque 6
- …
-Processus
Gestion de la
sécurité
…
2.3. Le suivi du plan d’audit
La justification des aménagements prévus dans le plan d’audit, la bonne

exécution du plan, le compte rendu à la direction générale et au comité d’audit
nécessitent en permanence un suivi et une appréciation régulière.
Le suivi permet d’identifier les missions qui ont été réalisées, celles qui ont dû
être reportées et celles à la demande, engagées en dehors du plan. Il permet de
prendre en compte les retards ou avances. L’analyse de ces écarts permet des
réajustements et met en évidence :
- La qualité du plan : si celui-ci a été bien conçu, il ne devrait être modifié
que de façon marginale.
- Les missions spécifiques engagées à la demande de la direction générale.
Le plan d’audit interne peut être suivi sous la forme d’un tableau de bord sur
lequel sont indiqués l’avancement des travaux et le taux de réalisation, les
recommandations avec leur degré de priorité ou leur impact, le nombre de plans
d’actions mis en œuvre, le respect des délais de mise en œuvre. L’essentiel dans
le suivi consiste à identifier les difficultés qui ont pu avoir une influence sur le
plan (retards, blocages, surcroît de travail sur un dossier, sous estimation du
travail à effectuer)…
RECOMMANDATIONS
103
Le responsable de l’audit interne doit d’abord planifier des missions pour

lesquelles il dispose d’une expertise certaine portant sur une problématique qui
pourrait être traitée en quelques semaines. De telles missions permettent
d’affiner la démarche d’audit, d’évaluer les compétences des auditeurs internes
et/ou de compléter leur formation.
L’auditeur interne doit garder en réserve des missions non affectées pour
lui permettre d’être réactif face à une urgence, soit parce qu’un facteur
imprévisible va se manifester, soit parce que, dans sa cartographie, il a mal
estimé le risque ou que celui-ci s’est concrétisé plus tôt que prévu.
Les plans d’audit interne doivent s’établir principalement selon les

demandes spécifiques de la direction générale et du comité d’audit et aussi sur
une analyse préalable des risques. Cette approche oblige les services d’audit
interne à aller à l’essentiel.
104
CHAPITRE III
METHODOLOGIE DE MISSION
Le service d’audit interne s’appuie sur les règles, les procédures de travail et le
référentiel des normes énoncés dans le manuel d’audit pour lancer une mission.
Le responsable de l'audit interne établit alors une planification fondée sur les
niveaux des risques afin de définir les priorités cohérentes avec les objectifs de
l’organisation. Ainsi, une évaluation préliminaire des risques liés à l’activité
soumise à l'audit s’avère nécessaire en début de chaque mission.
SECTION 1 : La conduite d’une mission

d’audit interne
1. La phase de préparation
Cette phase permettra à l’équipe des auditeurs de définir les objectifs à atteindre
et de préparer le programme de vérification qui doit être déroulé pendant la
phase de réalisation.
Les résultats de la mission sont présentés dans un rapport qui doit être validé
avec les audités pendant la dernière phase : la phase de conclusion.
La phase de préparation ouvre la mission. Elle peut se définir comme la période

au cours de laquelle vont être réalisés tous les travaux préliminaires, avant de
passer à l’action. Elle exige des auditeurs une capacité de lecture, d’attention et
d’apprentissage. Elle sollicite l’aptitude à apprendre et à comprendre. Elle exige
également une bonne connaissance de l’entreprise, car il faut savoir où trouver la
bonne information et à qui la demander. Au cours de cette phase, l’auditeur doit
faire preuve de qualités de synthèse et d’imagination. A l’issue de cette phase,
les auditeurs rédigeront une lettre de mission, un rapport d’orientation et un
programme de vérification.
1.1. l’ordre de mission
Rédigé par le responsable d’audit interne et signé par la direction générale,

l’ordre de mission ou lettre de mission est un document qui annonce que l’audit
interne a été mandaté pour réaliser une mission sur une activité spécifique.
L’objectif de l’ordre de mission est d’informer les audités de l’intervention

prochaine des auditeurs internes. Il précise le périmètre et les objectifs de la
mission et leur accorde le droit d’accès. Il est important parce qu’il permet
d’obtenir la coopération des audités, et légitimer également l’intervention des
auditeurs sur le terrain. Un préavis de 2 à 4 semaines semble adapté, pour
permettre aux audités de s’organiser.
105
1.2. Rapport d’orientation
Le rapport d’orientation ou plan de mission est un document synthétique qui

délimite le champ d’intervention fonctionnel de la mission (service, division….),
géographique (usine, région….) et ses limites. Il présente les objectifs
permanents du contrôle interne « objectifs généraux » les zones de risques
« objectifs spécifiques », que les auditeurs vont tester. Il planifie toute la
démarche : découpage, bonnes pratiques, analyse des risques, ciblage/choix des
orientations.
Le rapport d’orientation assure aussi la pertinence des travaux par la

concertation entre les principaux responsables audités et le demandeur.
1.3. Programme de vérification
Le programme de vérification ou encore « planning de réalisation » procède de

façon précise, lors de la mission d’audit, à la détermination et à la répartition des
tâches à effectuer par chaque auditeur, selon l’échéancier des travaux :
Investigations à mener, questions à poser, points à voir, procédures à
rechercher…Il permet, objectif par objectif, de décrire succinctement les travaux
nécessaires et d'atteindre les objectifs du rapport d'orientation.
Les programmes de vérification sont généralement préparés et définis par les

auditeurs expérimentés affectés à la mission. Ils documentent le déroulement,
sont mis à jour avant toute nouvelle mission et permettent au responsable de la
mission de suivre le travail des auditeurs.
Le programme doit préciser les outils d’interrogation et /ou de précision qui

seront utilisés par chaque auditeur et contenir les éléments suivants :
- Rappel des objectifs principaux de la mission.
- Liste des tâches devant être effectuées (entretiens, contrôles, tests,…).
- Nom des auditeurs responsables des tâches.
- Résultat obtenu et référencement des pièces justificatives.
Echéancier de la mission
Entité à auditer Procédures à auditer Réf :

Page :
Exercice : Fait par : Date :
(jours) Date d’exécution
Limite Prévue Réalisée
Phase de préparation
Phase de réalisation
Phase de conclusion
Observation
Le programme de travail constitue la base de la phase de réalisation.
106
2. La phase de réalisation
La phase de réalisation fait beaucoup appel aux capacités d’observation,
d’analyse, de dialogue, de communication et au sens de la déduction de
l’auditeur. L’unité d’audit met en œuvre les orientations retenues dans le rapport
d’orientation, en utilisant les techniques d’observation, de description et
d’analyse qui lui sont propres.
L’auditeur doit dérouler son programme de travail sur le terrain pour atteindre
les objectifs fixés dans le rapport d’orientation. L’auditeur peut parfois changer le
programme de travail, sous réserve de sa validation par le chef de mission. Il
procède aux observations et constats qui vont lui permettre de relever tout
dysfonctionnement ou problème rencontré.
Les travaux sont réalisés sous la forme d’entretiens avec les principaux acteurs,
ainsi que par la réalisation de tests sur pièces, orientés sur la base d’une analyse
de risques préliminaire. Les constats réalisés à l’occasion de ces interviews et
tests sont formalisés et donnent lieu à une phase de validation contradictoire
avec les audités.
2.1. Réunion d’ouverture
La réunion d’ouverture - coïncide avec le lancement de la mission et se tient sur

les lieux même où celle-ci doit se dérouler - est la première réunion de travail
entre les audités et les auditeurs. Elle permet d’exposer les objectifs de la
mission, de présenter les auditeurs, d’expliquer la méthodologie d’audit et de
définir les rôles et responsabilités de chacun. Elle permet également de mieux
cerner l’environnement et le mode de fonctionnement du processus audité.
L’ordre du jour pour la réunion d’ouverture doit être établi et envoyé avec le
rapport d’orientation à l’audité, suffisamment à l’avance (au moins une semaine)
pour l’informer de la date de la réunion sur le terrain et de son contenu. Ces
documents envoyés permettront à l’audité de connaître les objectifs de la
mission, le programme de travail qui va être déroulé pour les atteindre et les
différentes phases de la mission.
Parmi les principaux points qui peuvent être abordés lors de la réunion
d’ouverture, il y’a lieu de citer :
- Les droits et devoirs des auditeurs (accès à l’information et confidentialité).
- Présentation des auditeurs et des tâches respectives.
- Rappel des objectifs et du périmètre de la mission.
- Présentation et discussion du rapport d’orientation.
- Interlocuteurs et personnes à contacter.
- L’approche d’audit qui va être mise en œuvre lors de la mission (interviews,
tests de cheminement, tests substantifs…).
- Les modalités de communication des résultats de l’audit (points réguliers à
date, réunion de clôture, rapport, suivi de la mission…).
- Une revue de l’activité auditée (organigramme, effectifs, objets, rôles et
responsabilités…).
- Une revue des principaux risques et des processus audités.
- Les attentes spécifiques des audités.
107
2.2. Feuille de couverture
Pour chaque procédure l’auditeur doit établir un programme de travail consigné

dans la feuille de couverture. Elle met en évidence les résultats obtenus et les
conclusions qui en découlent. Elle précise et spécifie les modalités de mise en
œuvre d’une tâche, définie dans le planning de réalisation ou programme de
vérification. La feuille de couverture contient :
- Les objectifs à atteindre.
- Les tests à effectuer en commençant par le questionnaire de contrôle
interne à remplir.
- Les conclusions des tests effectués.
La feuille de couverture facilite la constitution du dossier synthétique. Les

constats soulevés par le biais du questionnaire de contrôle interne sont relatés
au niveau de la feuille de révélation et d’analyse de problème FRAP.
2.3. Feuille de révélation et d’analyse

des problèmes (FRAP)
La Feuille de révélation et d’analyse des problèmes « FRAP» constitue le papier

de travail par lequel l’auditeur présente et documente chaque risque ou
dysfonctionnement révélés. Ce document est la mise en forme rigoureuse et
efficace de la norme 2320 selon laquelle « les auditeurs internes doivent fonder
leurs conclusions et les résultats de leur mission sur des analyses et évaluations
appropriées. »
La méthodologie employée consiste à formuler le problème, les faits qui le

prouvent, les causes qui l’expliquent, ses conséquences et les recommandations
pour le résoudre. C’est donc un document normalisé. Pour le remplir l’auditeur
doit respecter le schéma suivant :
- Constat
- Causes
- Conséquences
- Recommandations
- Problèmes
Au fur et à mesure du déroulement du questionnaire de contrôle interne,

l’auditeur décrira ses constats, les anomalies, les erreurs et les
dysfonctionnements soulevés au niveau de la FRAP et cherchera ensuite à
identifier les causes. L’identification des causes ne consiste pas à identifier la
défaillance mais l’origine de la défaillance.
L’auditeur doit déterminer ensuite les conséquences de ces constats selon leur
nature :
- Les conséquences financières
- Les conséquences juridiques
- Les conséquences économiques
- Les conséquences matérielles
- Les conséquences informationnelles
- Les conséquences partenaires
108
Une fois les conséquences déterminées, l’auditeur, avant de synthétiser les

travaux dans la FRAP au niveau de la partie « problème », agira sur l’origine de
la défaillance, en proposant un projet de recommandations pour aider l’audité à
surmonter les lacunes relevées
FRAP
Feuille de révélation et d’analyse de problème
Référence papier de travail : FRAP N° :
Problème :
Constat
Causes :
Conséquences :
Recommandation :
Etabli par : Approuvé par :
Démarche de travaux d’audit
L’auditeur procède à un découpage séquentiel ou logique des

opérations, préalable nécessaire à l’identification des risques.
A partir de cette identification des risques, l’auditeur

définit ses objectifs (rapport d’orientation)
et établit un programme de travail.
Pour chaque point de ce programme de travail, il élabore

un questionnaire de contrôle interne.
Pour chacun des points de contrôle, il se pose –si jugé nécessaire–

les questions qui, quoi, où, quand et comment ?
Il procède éventuellement à un affinement de son questionnaire.
Il répond à ces questions en réalisant des tests avec l’aide

des outils qui sont à sa disposition.
Chaque dysfonctionnement, chaque anomalie va donner lieu

à l’établissement d’une FRAP.
109
3. La phase de conclusion
L’auditeur à ce stade, après avoir réuni tous les éléments, va élaborer l’ossature
du rapport, présenter ses conclusions et délivrer en finale le rapport concluant la
mission. Cette phase exige également une grande faculté de synthèse et de
rédaction.
3.1. Réunion de clôture
Avant de rédiger le rapport final d’audit, une réunion avec les audités doit être
tenue pour la discussion des constats relevés. C’est la dernière réunion de travail
entre les audités et les auditeurs, elle permet de présenter au management de
l’entité auditée les conclusions des travaux des auditeurs et les recommandations
qui seront formulées dans le rapport.
Elle permet de vérifier que les conclusions ont été bien comprises et sont
acceptées. Elle garantit la transmission de l’information directement. C’est la
totale validation des opérations d’audit avant la diffusion du rapport définitif à la
direction générale et aux responsables des processus audités.
Elle permet également de rappeler les phases ultérieures de la mission telle que
la phase de compte rendu, éventuellement le suivi des points soulevés. Parmi les
principaux points qui peuvent être abordés lors de la réunion de clôture, citons :
• Rappel des objectifs de la mission.
• Description des étapes du processus telles qu’ils ressortent des travaux
d’audit : les points forts, les déficiences identifiées, les risques liés à ces
déficiences, les recommandations de l’audit interne.
• Rappel des rapports préliminaires, des commentaires des audités.
Les recommandations et suggestions émanant des audités, qui sont jugées

pertinentes par l’auditeur doivent être intégrées dans les FRAP. L’ensemble des
FRAP devant être communiqué aux audités quelques jours avant la date de la
réunion.
Les personnes ayant participé à la réunion d’ouverture sont souvent celles

invitées à la réunion de clôture: l’équipe de management de l’entité auditée, les
responsables des processus revus et l’ensemble des auditeurs travaillant sur la
mission.
3.2. Rapport d’audit
L’activité d’audit interne est gérée efficacement quand les résultats des travaux
ou rapport d’audit interne répondent aux objectifs et responsabilités définis dans
la charte d’audit.
Le rapport d’audit, constitue le compte rendu formel et final des travaux réalisés
durant la mission. Il renseigne la hiérarchie sur le degré de maîtrise des
opérations, établit les forces et les faiblesses des processus examinés et présente
les conclusions de l’audit, concernant la capacité de l’entité auditée à accomplir
sa mission. Il sert de référence pour le suivi de la mise en place des
recommandations qui tendent à améliorer les procédures.
110
Le rapport d’audit interne communique aux responsables concernés les plans

d’action à mettre en œuvre et met l’accent sur les dysfonctionnements pour que
soient développées des actions de progrès à entreprendre. Il est transmis
également pour information aux organes dirigeants de l’organisation : conseil
d’administration, comité d’audit, direction générale, secrétariat général…
Le rapport répond à une structure qui concilie les impératifs suivants :

- Note de synthèse : document d’information qui doit rappeler des points du
rapport d’orientation (objectifs, champs d’activités), donner des informations
générales sur l’entité auditée avec indication des moyens humains et
matériels. A la fin de la note de synthèse l’auditeur doit donner son opinion
sur le degré de maîtrise des opérations par l’entité audité.
- Résultats de l’audit : outil de travail qui comprend le détail des constats,
anomalies relevées suite à la non application et à l’insuffisance des
procédures, qui présente des recommandations précises et concrètes en
mesure de définir les actions à entreprendre.
L’adoption d’une structure normalisée du rapport d’audit peut également

aborder les sujets suivants :
• Rappel des dates et lieux d’intervention, nom des auditeurs.
• Présentation succincte de l’entité et/ ou des processus audités.
• Description des processus étape par étape mettant en avant les points forts,
les points faibles et les risques liés aux déficiences éventuellement
identifiées.
• Une évaluation du niveau de criticité des recommandations est souhaitable.
• Un calendrier de mise en œuvre des recommandations.
• L’acceptation ou le refus des recommandations.
• Les commentaires ou plans d’action des audités.
• Une synthèse des travaux effectués.
• L’évaluation globale de la performance ou de la qualité du contrôle interne
de l’entité ou des processus audités, sous forme de notation telle que:
satisfaisant, perfectible, réserves significatives, déficient.
• Classement des recommandations en fonction du degré d’urgence :
amélioration mineure, renforcement des processus existants, action critique
à mettre en œuvre en urgence.
111
SECTION 2 : Les outils d’audit interne

Les outils utilisés par l’auditeur ne sont pas employés de façon systématique.
Chacun choisit l’outil le mieux adapté à son objectif. Ils ne sont pas spécifiques à
l’audit interne, mais utilisés par beaucoup de professions. Plusieurs critères de
classement des outils d’audit peuvent être utilisés. Les critères rentrant dans
chacune des phases préparation et réalisation semblent les plus admises.
1. La phase de préparation
1.1. Le questionnaire de prise de connaissance
Le questionnaire est indispensable à la connaissance du domaine et /ou du

processus à auditer. L’auditeur utilisera les questionnaires qui existent déjà dans
le guide d’audit et/ou le dossier de synthèse après les avoir mis à jour.
Si pour un processus le questionnaire n’existe pas, l’auditeur doit le

concevoir selon la structure globale ci-dessous :
Activités :
- Niveau général d’activité
- Activité continue ou saisonnière
- Activité homogène ou diversifiée
- Ratios clés et statistiques d’exploitation
- Exigences et problèmes en matière d’environnement.
Entité :
- Organigramme
- Dirigeants (expérience, réputation, rotation)
- Effectifs et rotations
- Environnement informatique
- Méthodes et procédures
- Informations réglementaires
- Organisation spécifique de l’entité
- Système d’information
- Problèmes passés ou en cours
- Réformes en cours ou prévues.
1.2. Le tableau des risques
Le tableau sert à appréhender les objectifs dont les dispositifs de contrôle ont été
identifiés comme zones à risques « objectifs spécifiques » qui seront transcris
dans le rapport d’orientation et qui feront l’objet d’un examen approfondie.
L’auditeur doit mettre à jour les tableaux des risques qui existent déjà dans le
guide d’audit et/ou le dossier de synthèse.
Si pour un processus le tableau n’existe pas, l’auditeur doit le concevoir

en respectant les étapes suivantes :
1. Découper l’activité en tâches (colonne 1)
2. Indiquer l’objectif en face de chacune des tâches (colonne 2)
3. Indiquer les risques essentiels encourus si la tâche n’est pas correctement
effectuée (colonne 3)
112
4. Evaluer sommairement ces risques attachés à cette tâche, abstraction

faite du dispositif de Contrôle existant (élevé, moyen et faible) (colonne 4)
5. Indiquer le dispositif de contrôle de référence qui devrait théoriquement
être mis en place (colonne 5)
6. Apprécier le dispositif de contrôle mis en place par rapport au référentiel
(colonne 6)
Les zones à sélectionner ensuite pour un examen approfondi peuvent être :

- Les zones à risques élevés avec un dispositif de contrôle faible
- Les zones à risques spécifiques élevés
- Les zones à risques élevés avec un dispositif de contrôle nouvellement
mis en place ou en cours
- Les zones à risques élevés avec un dispositif de contrôle élevé mais qui
n’ont jamais été sélectionnés pour un examen
-
Le tableau de risque, pour une mission d’audit interne, doit être synthétisé,
il sert à planifier uniquement les travaux.
Tableau d’identification des zones de risques

Dispositif Appréciation
Risque / Evaluation type du du Contrôle
Tâches Objectifs
Incidence du Risque contrôle interne
(1) (2)
(3) (4) interne existant
(5) (6)
2. La phase de réalisation
2.1. Le questionnaire du contrôle interne
Il permet grâce à un certain nombre d’interrogations précises, de déceler les

forces et les faiblesses du contrôle interne et d’apprécier si les tâches sont bien
faites et bien maîtrisées. L’auditeur doit mettre à jour les questionnaires du
contrôle interne qui existent déjà dans le guide d’audit et/ou le dossier de
synthèse.
Si pour un processus le questionnaire du contrôle interne n’existe pas,

l’auditeur doit le concevoir, il s’agit d’élaborer les questions qui permettront
d’identifier, pour chaque procédure à auditer, les dispositifs spécifiques de
contrôle essentiels.
113
2.2. Les sondages
2.2.1. Détermination de la taille de

l’échantillon
Il faut au préalable définir la nature de la population sur laquelle on veut

effectuer la recherche et s’assurer de ses principales caractéristiques:
Homogénéité : La population identifiée doit être homogène et
posséder les mêmes caractéristiques pour l’exactitude des analyses.
Dispersion : Il est important de disposer d’une indication sur les

classes de valeur à l’intérieur de la population. Décomposer le cas
échéant une population en sous-ensembles présentant des
caractéristiques de même nature (décomposition en tranches de
valeur).
En général, pour procéder au choix de l’échantillon, (extrait de la population) le

recours à l’utilisation des tables est préconisé. De nombreuses tables peuvent
être utilisées pour déterminer sur simple lecture la taille de l’échantillon à choisir.
A titre d’exemple, la table tirée de l’ouvrage de Hill, Roth, Arking (Sampling for
Auditing, Ronald Press, New York,) donne pour un niveau de confiance de 95%
et 99% avec une marge d’erreurs inférieure ou égale à 2 %, les tailles
d’échantillon en fonction du nombre d’éléments de la population.
Si on utilise cette table pour un niveau de confiance de 95%, avec un degré de

précision de 2%, pour une population de 3 000 éléments, le résultat de la
dimension de l’échantillon est de 177 éléments.
2.2.2. Modalités de prélèvement des tests
- Table de nombres au hasard
Les tables de nombres au hasard sont faites, de telle sorte, que la suite continue
des nombres inscrits donne pour chaque nombre et pour chaque chiffre de l’un
de ces nombres, une probabilité de sortie équivalente à celle qui serait obtenue
par des tirages successifs et aveugles dans une urne, où ces nombres seraient
représentés par des boules sur lesquelles ils seraient inscrits.
- Tirage systématique
Les individus sont tirés à intervalle régulier déterminé par le rapport suivant :
Taille de la population / Taille de l’échantillon Appelé « Le pas
d’échantillonnage »
2.3. Les interviews
Les questions à poser doivent être préparées à l’avance afin qu’aucune question
essentielle ne soit omise. Elles doivent être élaborées en fonction de types
d’informations recherchées par l’auditeur et dirigées principalement sur
l’identification des dispositifs de contrôle qui existent et /ou qui devraient
exister.
114
L’auditeur utilisera les questionnaires qui existent déjà dans le guide d’audit
et/ou le dossier de synthèse après les avoir mis à jour. Si pour un processus
le questionnaire n’existe pas, l’auditeur doit le concevoir.
2.4. La narration
Il existe deux sortes de narration, toutes les deux utilisées en audit interne :
• La narration par l'audité permet à l’auditeur de rapporter des faits et
des événements à partir du récit et des déclarations et descriptions orales
de son interlocuteur: l'auditeur se contente d'écouter et de noter le récit.
Par opposition à l'interview qui est préparé et recueilli pour des points
précis, la narration ne fait que décrire un cadre général.
• La narration par l'auditeur consiste à transcrire la narration orale. Elle
représente une mise en ordre de renseignements obtenus par ailleurs.
L’approfondissement de la compréhension d’un point d’une procédure, de
la constations de dysfonctionnement et autres faits relevés en relation
avec l’audité sont des sources de reproduction narratives d'auditeur.
2.5. L’observation physique
L’observation physique d’un élément est un moyen au service de l’auditeur. C’est

le moyen le plus sûr de vérifier la véracité et l’existence de certains éléments.
Cette observation peut être utilisée pour apprécier l’application d’une procédure
sur le terrain. Elle permettra à l’auditeur de compléter sa compréhension de la
procédure, de relever les insuffisances et/ou les dysfonctionnements
d’application.
L’auditeur doit saisir toutes les occasions pour aller sur le terrain et observer.
Tout est observable : les processus, les biens, les documents et même les
comportements. L’auditeur peut utiliser à titre d’exemple, l’observation pour
confirmer la réalité d’une livraison ou l’existence d’un élément d’actif (stocks
immobilisations espèces en caisse, chèques en caisse …).
2.6. Les grilles d’analyses des tâches
Les grilles d’analyses permettent d’identifier l’ensemble des tâches effectuées par
une personne dans un processus donné et d’apprécier ce dernier par rapport au
principe d’organisation auquel s’appuie le contrôle interne, notamment la
séparation des tâches.
La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice
d’une activité un même agent cumule :
- Les fonctions de décisions (ou opérationnelles).
- Les fonctions de détention des valeurs et des biens.
- Les fonctions d’enregistrement (saisie et traitement).
- Les fonctions de contrôle.
Ou même simplement deux d’entre elles. Un tel cumul favorise les erreurs, les
négligences, les fraudes et leur dissimulation.
115
Pour concevoir la grille, l’auditeur doit établir un tableau à double entrée qui
permet d’effectuer l’inventaire des différentes opérations réalisées et de repérer
en particulier les cumuls de fonctions.
Le tableau d’analyse des tâches
Responsable
Responsable
Comptable
Fondé de
courrier
pouvoir
achat
Taches
…
1- Réception Ex
2- Rapprochement Fact/BC C
3- Comptabilisation En
4- Signature du chèque A
5- Etablissement du chèque Fn
6- …
Ex : exécution
A : autorisation
En : enregistrement comptable
Fn : financière
C : contrôle (vérification)
2.7. Diagramme de circulation
Le diagramme de circulation ou flow-chart est un instrument graphique de

description des procédures. Il représente une suite d’opérations dans laquelle les
différents documents, postes de travail, de décisions, de responsabilités,
d’opérations sont représentés par des symboles dont la signification est connue.
Il définit la circulation des documents entre les différentes fonctions et les

responsabilités, indique leur origine et leur destination, et donc donner une vision
complète du cheminement des informations et de leurs supports. Ses objectifs
sont de :
- Donner une description des procédures et systèmes de l’entreprise et
mettre en relief les aspects importants du contrôle interne.
- Etre une base pour l’audit de conformité qui sert à vérifier que les
procédures sont bien appliquées.
La méthode schématise toutes les opérations, et chaque opération est

matérialisée par un symbole différent. La circulation quant à elle, indique des
flèches qui traversent les entités concernées.
116
2.8. Les outils informatiques d’analyse

et d’extraction des données
Les auditeurs sont confrontés à un volume croissant de données informatiques et

doivent faire face à des opérations qui consistent à :
- Effectuer des tests répondant aux objectifs de l’audit.
- Transformer les masses de données en informations.
- Automatiser les travaux d’audit habituellement effectués manuellement.
- Pratiquer l’audit par les données.
- Identifier des fraudes éventuelles.
Trois catégories d’outils informatiques peuvent être utilisées.

- Les outils de travail de l’auditeur : logiciels de traitement de textes, de
dessins, de représentation graphique et les tableurs, …
- Les outils de réalisation des missions qui comprennent ceux
méthodologiques pour concevoir les tableaux de risques, formaliser les
FRAP…et ceux d’interrogation et d’extraction des fichiers. Un logiciel
d’extraction est nécessaire pour pouvoir faire des analyses et des
extractions interactives de données. Ce logiciel permettra de disposer des
statistiques (moyenne, nombre de valeurs positives, nombre de valeurs
négatives….) et d’effectuer des jointures entre différents fichiers (ex :
rassembler dans un seul fichier les informations issues de deux autres
fichiers : valorisation des stocks avec quantités dans l’un et prix de revient
dans l’autre).
- Les outils de gestion du service qui concourent à la gestion de la fonction.
2.9. Vérifications diverses
2.9.1. L’examen analytique
Les procédures d’examen analytique présentent la caractéristique de pouvoir être

utilisées à différents niveaux de la mission de l’auditeur : lors de la prise de
connaissance générale de l’entité, de la planification de la mission, dans
l’identification des domaines de risques, et lors de la phase de réalisation de la
mission pour la détection des anomalies apparentes.
La comparaison des données absolues. Cette technique consiste à faire des

analyses de données par rapport à :
- Celles des périodes antérieures pour déterminer si l’évolution est
cohérente.
- Celles issues d’un budget pour savoir si les objectifs fixés ont été atteints,
sinon pour en connaître les motifs.
- Aux mêmes données dans des entités comparables.
La comparaison des données relatives. Il s’agit principalement de déterminer

et d’analyser les ratios significatifs (ratios d’exploitation, ratios de structure de
bilan, ratios de rotation).
La revue de vraisemblance. Consiste à procéder à un examen critique des

composantes d’un solde pour identifier celles qui sont à priori anormales.
117
2.9.2. L’examen des documents
Le contrôle formel qui se fait généralement à l’occasion d’autres contrôles,

permet à l’auditeur de s’assurer que les pièces justificatives sont correctement
établies, qu’elles ne portent aucune trace d’altération ou de surcharge. En fait
qu’elles n’ont pas été falsifiées.
Le contrôle substantiel est un contrôle qui permet d’apprécier si l’opération

faisant l’objet d’une pièce justificative entre bien dans le cadre de l’objet social et
y trouve sa justification.
2.9.3. Les contrôles par recoupement
Plus les sources d’information sont différentes, meilleure est la véracité d’un
élément. En effet, l’auditeur pourra être pleinement satisfait, lorsque
l’authenticité d’une opération sera confirmée grâce au rapprochement de chiffres
ou de faits provenant de sources différentes.
On distingue deux types de contrôle par recoupement, l’un interne, l’autre

externe :
Les contrôles par recoupement interne: Ces contrôles se font par
rapprochement d’informations interne provenant de différentes origines.
Les contrôles par recoupement externe : La confirmation directe est une
procédure qui consiste à solliciter les tiers ayant des liens d’affaires avec l’entité.
C’est un autre moyen de validation des constats. Les tiers à consulter sont à titre
d’exemple : les avocats, les banques, les fournisseurs…
Utilisation, dans le cadre des missions d'audit

interne, d'outils:
de communication (intranet, internet…) 60.1%
de suivi des recommandations 51.1%
généraux d'extraction, d'analyse et de test 46.8%
de cartographie des risques 35.6%
de gestion et de planification des missions 34%
d'evaluation et d'analyse des risques 27.1%
de detection et de prévention de la fraude 10.1%
L’enquête sur la pratique de l’audit interne en France réalisée en 2005 par l’IFACI
montre les principaux outils utilisés dans les services d’audit.
118
RECOMMANDATIONS
Prendre le temps de documenter et de mettre en place la méthodologie de
l’audit interne tout au long d’une mission. Ces documents pourront être réutilisés
et complétés lors de missions ou de formations ultérieures.
Il est recommandé de joindre la charte d’audit interne à la lettre de

mission. Celle-ci doit être courte, directe et factuelle, rester formelle pour
officialiser la mission.
Les composants d’un dossier d’audit doivent réunir les programmes de

travail, les comptes rendus d’entretiens, les résultats des tests et toutes les
pièces justificatives regroupant les recommandations de l’audit interne.
Les programmes de vérifications antérieures portant sur les mêmes

processus doivent être revus avant le lancement d’une nouvelle mission, pour
vérifier leur validité et être ajustés en fonction des spécificités nouvelles de
l’entité auditée.
La présentation des points forts, ceux à améliorer et la mise en avant des

déficiences à l’issue de chaque mission permettent de justifier la qualité du
travail des audités.
119
CONCLUSION
120
CONCLUSION
Un développement très différencié

Reconnu dans le monde entier, enrichi par ses plus récents développements liés
aux technologies de l’information, aux changements sociaux, culturels, à la
mondialisation, l’audit interne connaît un nouveau rebondissement dû à la
dimension qu’il a prise dans l’aide à la réalisation des performances.
Parce qu’il intègre dans son processus toutes les diverses activités et les
contrôles que l’entreprise réalise en interne et en externe, l’audit interne
participe à la prise de décision de toute nature et ses appréciations déterminent
entre autres :
Si les risques majeurs de l'entreprise sont identifiés et réduits au minimum.

Si les réglementations externes ainsi que les politiques et procédures
internes sont respectées.
Si des critères d'exploitation satisfaisants sont remplis.
Si les ressources sont utilisées de manière efficace et économique.
Ces contrôles ont pour but d’aider l'institution à atteindre effectivement ses
objectifs. Toutes les institutions devraient en conséquence avoir une fonction
d'audit interne. Outre ses avantages propres. Elle aide ses membres à remplir
efficacement leurs fonctions et leur apporte assurance sur le fonctionnement de
l’institution et des conseils pour l'améliorer. Cet élargissement de l’audit interne
correspond à l’approche partenariale de la gouvernance d’entreprise exprimée
dans la définition et au rôle qu’il joue réellement dans l’appréciation des risques.
Avec le management des risques, l’audit interne vise non seulement la protection
des ressources financières, humaines, image…mais également la continuité
d’activité ou de service et enfin la conformité aux lois. La discipline concourt au
fait à l’amélioration de la performance, en ce sens qu’elle vise à optimiser les
ressources face aux risques. Les risques dans les entreprises changent de nature.
Les processus dépendent de plus en plus des nouvelles technologies et systèmes
d’information (causes de nouvelles vulnérabilité : virus, fuite d’informations
confidentielle…) des cadres réglementaires, de la qualité du climat social, des
exigences des clients…
Tous ces éléments sont pris en considération et font que les démarches d’audit
se développent dans le secteur privé, comme dans les entreprises publiques.
Leur champ d’action est partout renforcé, étendu et adapté à des attentes
toujours accrues...L’audit interne a donc évolué de manière très forte vers les
risques opérationnels et a entraîné une montée en puissance des comités d’audit.
Ceci se formule par la réforme opérée du contrôle financier sur les entreprises
publiques, qui rejoint les normes et standards internationaux, et qui met l’accent,
sur les recommandations visant notamment la mise en œuvre des instruments
de gestion et l’institution des comités d’audit au sein de ces organismes.
121
Confusion et ambiguïté
Mais si la performance de la fonction audit interne est partout si évidente, les

difficultés majeures rencontrées dans le secteur public, relatives à la gestion des
risques et au contrôle interne le sont beaucoup moins et posent les
questionnements suivants:
La démarche d’audit interne fait elle l’objet, dans les services des
entreprises publiques, d’un accueil plutôt positif, voire d’un intérêt réel ?
Est-ce que les dispositifs pour accompagner cette démarche de progrès sont
mis en évidence ?
Est ce qu’il n’y a pas une fusion confusion entre les dispositifs de contrôle
interne, de l’audit interne et externe, de l’inspection notamment autour du
management des risques ? Il est établi que le développement du contrôle
interne avec le contrôle de gestion sont au cœur de la modernisation de la
gestion publique et que l’ensemble des audits constitue la meilleure façon
de les accompagner, chacun à sa façon et dans son rôle respectif.
Les concepts cependant de contrôle et d’audits, sont souvent objet de

contresens, sans doute en raison de l’ambiguïté des termes, de leur définition, de
leur finalité et de leurs dispositifs mis en place, par le management dans le
même but ; maîtriser les activités, apporter dans leurs domaines une valeur
ajoutée, et s’assurer que les objectifs de l’entreprise sont atteints. Les seules
définitions peinent parfois à faciliter la compréhension des fonctions.
La couverture complète des activités, par ailleurs, est souvent assurée par des
entités d’audit externes et internes complémentaires. Ces facteurs ajoutent à la
confusion des fonctions et confirment l’ambiguïté de la mission audit par rapport
aux autres organes de contrôle. Les interférences dans les rôles suscitent encore
plus d’incompréhension. Le mélange est constaté aussi dans les approches
préventives, correctives ou répressives qui correspondent à chaque organe.
Le contrôle de gestion, limité à un contrôle essentiellement budgétaire ou à

des indicateurs de production et d’activité.
Le contrôle interne apporte une meilleure maîtrise des activités. Au-delà de
ses composantes formelles (procédures, instructions, organisation…) le contrôle
interne est donc davantage un état d’esprit dont la finalité est la maîtrise des
risques.
L’audit interne exercé par une structure interne de l'entreprise, assez axé sur
la performance, est orienté vers le management des risques, l’efficacité du
contrôle interne et du contrôle de gestion, et vers la validation des informations
produites sur les résultats et l’interprétation de la performance.
L'audit externe aboutit à la certification ou au rejet des comptes annuels de
l'entreprise confiée à un commissaire aux comptes.
L’inspection vérifie et généralise les divers outils de contrôle dans les services
et veille au respect de la réglementation et à la préservation des actifs.
Ces fonctions - et chacune à part - sont des facteurs de progrès et les piliers de
toute bonne gestion d'entreprise. Le contrôle interne, le contrôle de gestion et
l’audit interne forment même un ensemble assez logique où les éléments se
122
confortent mutuellement… Une amélioration de l’un appelle une amélioration de

l’autre.
Les positionnements et les rôles inadéquats attribués, un sous dimensionnement
de la fonction audit interne, une confusion dans les concepts, un niveau de
maturité du contrôle interne peu avancé et un déficit managérial…. constituent le
principal écueil pour l’appropriation des concepts d’audit interne dans l’entreprise
publique.
Parallèlement, en matière de mise en œuvre de la loi 69-00 et outre les
instruments de gestion déjà mis en place, les pouvoirs publics ont toujours
accordé au contrôle interne dans l'entreprise publique une importance de premier
plan, qui leur fait obligation de mettre en place et de renforcer l'audit interne.
Effectivement, au sein des entreprises s'est développée la nécessité de la mise
en place d'un dispositif de contrôle interne efficient. A partir de ces mesures
l'audit interne a commencé à se positionner dans les entreprises publiques
marocaines. Mais son degré de développement demeure très différencié d'une
entreprise à une autre et dans beaucoup de cas la fonction reste sous
dimensionnée.
Certaines entreprises publiques disposent d’une entité d’audit interne,

dénommée ainsi, tandis que d’autres l’appellent audit et contrôle de gestion ou
cellule d’audit. Dans d’autres organisations, elle est confinée dans d’autres
fonctions notamment l’inspection ou le contrôle de gestion ou subordonnée à des
services subalternes, alors que parmi les normes internationales qui régissent
l’audit interne, celle relative au positionnement de la fonction revêt une
importance primordiale, et celle qui régit l’auditeur le définit comme un
évaluateur indépendant.
Dans certains cas, l’institution d’un service d’audit interne se justifie, dans le seul
but d’échapper au contrôle préalable obligatoire. Car si le secteur privé est tenu
par sa seule politique de management qui lui édicte de créer ou non une cellule
d’audit, le secteur public organisé réglementairement a pour obligation
d’appliquer l’audit interne. Cette obligation légale s’est soldée, dans certains cas,
par affecter la fonction audit interne à un service existant qui assume diverses
tâches non toujours compatibles.
Lever les obstacles

Même si une majorité d’organisations publiques déclarent disposer d’une fonction
audit interne, elle n’est pas toujours tenue par un service dédié, mais par
d’autres acteurs: le contrôle de gestion est le département le plus utilisé pour
assurer la fonction d’audit interne.
Il s’agit donc pour l’audit interne, sur la base de ce constat, de pénétrer les
organisations encore « hésitantes ».
Il s’agit de bannir la méfiance à l’égard du contrôle.
Il s’agit pour le haut management d’intégrer dans ses préoccupations la
nécessité de mettre en place un audit interne performant qui répond aux
normes de positionnement et de dimensionnement.
Il s’agit de permettre à la maîtrise des risques de devenir un des premiers
objectifs pour les entreprises publiques.
Il s’agit aussi de valoriser la méthodologie d’application des valeurs de
l’audit interne, de capitaliser les ressources.
123
Il s’agit de la nécessité de renforcer la formation et le perfectionnement

des membres des comités d’audit, des structures d’audit, pour lutter contre
le déficit en auditeurs internes, dont souffre la plupart des entreprises
marocaines, alors que les auditeurs internes constituent une population très
mobile et difficile à fidéliser.
Il s’agit de l’acquisition de nouvelles compétences qui devrait s’imposer à
toutes les organisations soucieuses de créer de la valeur.
Il s’agit de se réadapter à l’environnement de l’audit interne en constante
évolution: compléter les compétences traditionnelles en matière d’audit par
d’autres aptitudes adaptées à la démarche d’analyse par les risques, à
l’audit interne en temps réel, aux innovations technologiques, à la
gouvernance d’entreprise, aux principes d’éthique et de conformité, pour
être en mesure de répondre aux enjeux d’aujourd’hui et aux enjeux de
demain, dont les nouvelles réglementations.
Il s’agit de disposer d’une autonomie budgétaire.
Il s’agit surtout de créer les conditions, au-delà du cadre réglementaire,
d’instaurer une dynamique et une culture de contrôle avérées, au sein des
organismes publics.
La réforme de l’Etat axée sur la gestion de la performance, est une tendance

probablement irréversible, déclenchée pour une série de raisons. L’entreprise
publique doit prendre conscience qu’elle est confrontée à des exigences de
clients, à une nécessaire mutation dans une démarche globale de qualité et vers
un certain nombre de valeurs dont le souci de l’éthique, du développement
durable, du sentiment citoyen.
Cette prise de conscience est d’autant plus nécessaire dans un environnement
économique particulièrement incertain où le rôle de l’audit interne prend sa
véritable dimension majeure, de détection de risques critiques que les
entreprises doivent obligatoirement limiter.
Il s'agit donc aussi pour les entreprises publiques de prévenir et maîtriser

tout impact négatif sur les objectifs. C'est désormais sur un plan d'audit axé
sur les risques que reposent les activités de l’audit interne.
Les périodes de crise et les climats de fortes incertitudes viennent rappeler

combien est nécessaire le champ de compétence de l’audit interne. Ils montrent
aussi que les processus de gestion des risques s’accentuent, gagnent en
importance et font apparaître de nouvelles approches qui se répandent de plus
en plus, dans le domaine de l’amélioration des performances pour accompagner
l’audit interne.
De l’audit interne au risk manager

Les nouvelles exigences ont également sensibilisé davantage les directions aux
risques et à leur maîtrise. Ceci va à un abandon progressif d'une planification et
d'une exécution des audits axées sur le contrôle, au profit d'une approche ciblant
davantage les risques. Ce transfert de compétences oblige les auditeurs internes
à revoir leur rôle qui nécessite de plus en plus une appréciation et une
surveillance en temps réel.
L’entreprise a suivi l’évolution, partant d’une évaluation ponctuelle à l’occasion

d’une cartographie des risques vers une véritable gestion des risques, inscrite
124
dans la durée, qui a vu l’émergence d'une nouvelle discipline, le risk-

management. Une autre unité organisationnelle, toute récente venue se charger
d'évaluer les processus et d'apprécier les risques - même si cette tâche incombe
à l'audit interne - pour en plus s’assumer dans la gestion du risque et son suivi.
La fonction risk-management lancée un peu tardivement au Maroc, se veut

située en parallèle de l'audit interne qui procède à son audit régulier, comme
pour tous les autres processus, et dont c’est l’attribut.
Le risk-management a introduit un nouveau concept, celui de «risque

acceptable», poussant les entreprises à adopter des décisions de plus en plus
risquées afin de mieux performer. Il n’agit pas nécessairement pour éviter les
risques, il agit au fait pour manager les risques, arbitrer entre eux pour qu’ils ne
soient pris que consciemment et volontairement.
L’audit interne et le risk-management - même s’il est encore insuffisamment

formalisé - représentent actuellement les premières sources et les fonctions
essentielles des entreprises pour maîtriser et identifier leurs risques, mais
aucune n’a la responsabilité de mise en œuvre des recommandations et des
plans d’action qu’ils émettent : application des plans d’actions, choix des
moyens…
Le risk-management souligne aussi qu’il travaille de concert avec le contrôle

interne, et insiste, comme l’audit, sur le lien existant avec les fonctions contrôle
et gestion des risques. Il ressort comme une fonction d’expertise,
d’accompagnement et de suivi, plutôt qu’un positionnement en gestion directe. Il
apparaît, dans certaines sphères publiques, comme ajoutant à la confusion et à
l’ambiguïté qui s’opère par rapport aux autres organes de contrôle, alors qu’elles
n’ont toujours pas soumis leur gestion à l’audit interne.
L’évidence est que les trois grandes fonctions (Contrôle interne, audit interne et
risk-manager.) sont totalement distinctes, comme le recommandent d'ailleurs les
grands pratiques et référentiels internationaux, notamment les cadres de
contrôle les plus reconnus comme le COSO1 pour le contrôle interne, le COSO 2
pour le risk Management et les normes de l’IIA.
La circulaire du 1er ministre de septembre de 1993 a - pour rappel – demandé la
création de départements d’audit interne au sein des établissements publics à
caractère industriel et commercial et décrété la soumission de tous les aspects
de leur gestion à l’audit interne et externe. Il est encore tôt pour que la notion de
risk-manager apparaisse dans ce cadre réglementaire.
Fonctions en devenir
Des sociétés privées citent aujourd’hui l’existence dans leur organisation d’une
fonction gestion des risques dédiée, indépendante dans son concept, à l’instar de
l’auditeur.
Les dirigeants des services publics tout en prenant conscience des risques
opérationnels de leur entreprise n'ont pas tous atteint la maturité de créer une
fonction dédiée et surtout d'entreprendre le véritable «projet d’entreprise» qui
consiste à déployer le management des risques, en s’appuyant sur la fonction
audit interne et encore moins celle de gestion des risques ou risk-management.
125
Une politique efficace de management de risques doit être formalisée et reposer

sur des rôles et des responsabilités bien définis en interne et des processus
d’évaluation, de reporting et de surveillance.
L’audit interne, le risk-management et leur mise en œuvre ne rendent pas les

processus plus complexes. Les vrais freins demeurent la lourdeur administrative,
le manque de ressources en interne, de gouvernance d’entreprise, le manque de
structure du contrôle interne.
L'audit interne est certes en pleine expansion, le risk-manager en devenir, les
deux concepts constituent actuellement la meilleure parade pour se protéger des
risques. Il faut juste expliciter leur champ réel d'action pour ne plus observer un
embrouillement dans les concepts et pour que ne ressort plus cette confusion sur
les périmètres, les rôles, les missions et les responsabilités…
L’audit interne est une profession qui va encore plus se centrer sur les processus
de gestion des risques, le risk- manager constitue le partenaire indispensable.
Leurs apports communs, la conjugaison de leurs efforts entraînent des avantages
et des bénéfices appréciables dans la gestion des risques : meilleure
sensibilisation, identification plus rapide, amélioration certaine des performances
des processus et des activités, une meilleure allocation des ressources et un
renforcement de planification stratégique.
Le management du risque prendra sûrement une importance capitale dans le

quotidien de l’entreprise. Déjà on lui prédit de devenir une discipline de premier
plan comme la finance, le marketing, les ressources humaines…Du fait que
l’application sur le terrain, s’opère au Maroc, à un rythme encore trop lent, l’idéal
serait que la réalité de la pratique de l’audit interne dans nos entreprises
publiques…puisse un jour correspondre à celle observée dans les pays avancés.
Les efforts que nous fournissons tous intervenants, auditeurs, chercheurs,

experts et managers doivent tendre à démystifier l’aspect contraignant qui peut
peser sur le renforcement des mécanismes de contrôle interne, en aidant au
développement de mise en place de services d’audit interne structurés.
Ce travail ou son apport espère contribuer à accompagner les démarches, lever

quelques ambiguïtés, présenter les référentiels et les bonnes pratiques, fournir
des éléments clé de la méthodologie à mettre en œuvre, éclairer sur les
difficultés spécifiques à l’environnement de l’entreprise publique et de l’audit
interne…En somme faciliter la mise en place d’une cellule dédiée d’audit interne
dans l’entreprise publique.
126
LISTE DES ANNEXES
1- LOI 69-00
2- NORMES INTERNATIONALE D’AUDIT INTERNE
3- MODELE DE CHARTE D’AUDIT INTERNE
4- MODELES DE TYPOLOGIE DES RISQUES
5- EXEMPLE DE CONTENU DE DOSSIER D’AUDIT INTERNE
6- EXEMPLE DE LETTRE DE MISSION
7- EXEMPLE DE PRESENTATION POUR UNE REUNION
D’OUVERTURE
8- EXEMPLE DE PROGRAMME DE TRAVAIL
9- EXEMPLE DE PRESENTATION POUR UNE REUNION DE
CLOTURE
10- EXEMPLES DE RAPPORTS D’AUDIT
11- TABLE DE NIVEAU
12- TABLE DE NOMBRES AU HASARD
13- DIAGRAMME DE CIRCULATION - FLOW-CHART
127
ANNEXE 1 : Loi n° 69-00 relative au contrôle

financier de l'Etat sur les entreprises publiques
et autres organismes
Chapitre premier : De la mission du contrôle financier de l'Etat
Article premier : Généralités et définitions
Au sens de la présente loi, on entend par :
- organismes publics : l'Etat, les collectivités locales et les établissements publics ;
- sociétés d'Etat : les sociétés dont le capital est détenu en totalité par des organismes
publics ;
- filiales publiques : les sociétés dont le capital est détenu à plus de la moitié par des
organismes publics ;
- sociétés mixtes : les sociétés dont le capital est détenu au plus à hauteur de 50% par
des organismes publics ;
- entreprises concessionnaires : les entreprises chargées d'un service public en vertu
d'un contrat de concession dont l'Etat est l'autorité contractante.
Le capital détenu s'entend de la participation directe ou indirecte, exclusive ou conjointe,
des organismes publics.
Article 2 : Mission du contrôle financier
Le contrôle financier de l'Etat est exercé sur les établissements publics, sociétés et
entreprises visés à l'article premier ci-dessus, a priori ou a posteriori, selon leur forme
juridique et les modalités de leur gestion et ce, dans les conditions prévues par la
présente loi ainsi que sur les organismes soumis au contrôle financier de l'Etat en vertu
d'une loi particulière.
Ce contrôle a pour objet, selon les cas :
- d'assurer le suivi régulier de la gestion des organismes soumis au contrôle financier ;
- de veiller à la régularité de leurs opérations économiques et financières au regard des
dispositions légales, réglementaires et statutaires qui leur sont applicables ;
- d'apprécier la qualité de leur gestion, leurs performances économiques et financières
ainsi que la conformité de leur gestion aux missions et aux objectifs qui leur sont
assignés ;
- d'œuvrer à l'amélioration de leurs systèmes d'information et de gestion ;
- de centraliser et analyser les informations relatives au portefeuille de l'Etat et à ses
performances économiques et financières.
Chapitre Il : Du champ et des types de contrôle

Article 3 : Contrôle des établissements publics
Les établissements publics sont soumis à un contrôle préalable qui est exercé par le
ministre chargé des finances, un contrôleur d'Etat et un trésorier payeur, conformément
aux articles 7, 8, 9 et 10 ci-dessous.
Toutefois, les établissements publics qui répondent aux conditions prévues aux articles
17 ou 18 ci-dessous sont soumis, par dérogation à l'alinéa ci-dessus, au contrôle
d'accompagnement prévu au chapitre IV de la présente loi.
La liste des établissements publics soumis au contrôle préalable ou au contrôle
d'accompagnement est fixée et révisée périodiquement par décret. Elle est jointe aux
documents annexés au projet de loi de finances lors de sa présentation au Parlement.
Article 4 : Contrôle des sociétés d'Etat à participation directe
Les sociétés d'Etat dans lesquelles l'Etat ou une collectivité locale détient une
participation directe sont soumises à un contrôle d'accompagnement qui est exercé par le
ministre chargé des finances et un contrôleur d'Etat conformément aux dispositions du
chapitre IV de la présente loi.
Article 5 : Contrôle des sociétés d'Etat à participation indirecte et des filiales
publiques
Les sociétés d'Etat dans lesquelles I'Etat ou une collectivité locale ne détient pas une
participation directe ainsi que les filiales publiques peuvent être soumises à un contrôle
128
conventionnel exercé par un commissaire du gouvernement conformément aux

dispositions du chapitre V de la présente loi.
Article 6 : Contrôle des entreprises concessionnaires
Les entreprises concessionnaires sont soumises à un contrôle financier qui est défini dans
le contrat de concession et exercé par un commissaire du gouvernement nommé auprès
de l'entreprise concessionnaire.
Chapitre III : Des modalités d'exercice du contrôle préalable

Article 7 : Actes soumis à l'approbation du ministre chargé des finances
Les décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes
ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des
finances :
- les budgets ;
- les états prévisionnels pluriannuels ;
- le statut du personnel ;
- l'organigramme fixant les structures organisationnelles et leurs attributions ;
- le règlement fixant les règles et modes de passation des marchés ;
- les conditions d'émission des emprunts et de recours aux autres formes de crédits
bancaires, telles qu'avances ou découverts ;
- l'affectation des résultats.
Sauf dérogation accordée par le ministre chargé des finances, les fonds disponibles des
établissements publics sont déposés au Trésor.
Article 8 : Organisation financière et comptable des établissements publics
En application des dispositions de l'article 3 ci-dessus, le ministre chargé des finances
fixe les modalités d'application de la présente loi, par établissement ou groupe
d'établissements publics et arrête, à cette fin, les procédures de préparation, d'adoption
et de visa des budgets et états prévisionnels pluriannuels, les modalités de tenue de la
comptabilité de l'ordonnateur, les diligences devant être effectuées par le contrôleur
d'Etat ainsi que les registres et autres supports devant être tenus par le trésorier payeur.
Les budgets visés à l'article 7 ci-dessus sont les actes par lesquels sont prévus, chiffrés
et autorisés, au titre de l'exercice suivant, les opérations d'exploitation, de financement,
de trésorerie et les investissements. Ils comportent notamment un budget d'exploitation
ou de fonctionnement, un budget d'investissement ou d'équipement et un plan de
financement. Ils sont détaillés selon le plan de comptes de l'organisme.
Le directeur de l'établissement public ou la personne habilitée est l'ordonnateur du
budget. Il est chargé d'engager, de liquider et d'ordonnancer les opérations prévues dans
le budget. Il est soumis, à ce titre, à la législation relative à la responsabilité des
ordonnateurs.
Article 9 : Le contrôleur d'Etat
Le contrôleur d'Etat assiste, avec voix consultative, aux séances du conseil
d'administration ou de l'organe délibérant ainsi qu'aux réunions des commissions ou
comités constitués en application des dispositions législatives, réglementaires, statutaires
ou conventionnelles relatives à l'organisme contrôlé.
Il dispose d'un droit de communication permanent tant auprès de l'organisme que de ses
filiales et participations et peut effectuer, à tout moment, sur pièces et sur place, toutes
vérifications et tous contrôles qu'il juge opportuns et peut se faire communiquer toutes
les pièces qu'il estime utiles à l'exercice de sa mission telle que définie à l'article 2 ci-
dessus et notamment tous contrats, livres, documents comptables, registres et procès-
verbaux.
Il peut obtenir, sous couvert du ministre chargé des finances, toutes informations utiles à
l'exercice de sa mission auprès des tiers qui ont accompli des opérations avec
l'organisme.
Le contrôleur d'Etat dispose, dans la limite des seuils fixés par le ministre chargé des
finances, d'un pouvoir de visa préalable sur les acquisitions immobilières, tous contrats
ou conventions de travaux, de fournitures et de services ainsi que sur l'octroi de
subventions et dons. Il exerce également un droit de visa préalable des actes de gestion
du personnel dans les établissements publics ne disposant pas d'un statut du personnel
approuvé dans les conditions visées à l'article 7 ci-dessus. Les seuils visés au présent
129
alinéa sont déterminés selon l'importance de l'organisme et en fonction du nombre

d'opérations concernées et de leur montant.
En cas de refus de visa, le ministre chargé des finances décide en dernier ressort.
Le contrôleur d'Etat peut, également, donner son avis sur toute opération relative à la
gestion de l'organisme, à l'occasion de l'exercice de ses fonctions et qu'il fait connaître
par écrit, selon le cas, au ministre chargé des finances, au président du conseil
d'administration ou de l'organe délibérant ou à la direction.
Il rend compte de sa mission dans un rapport annuel qu'il adresse au ministre chargé des
finances et qui est soumis au conseil d'administration ou à l'organe délibérant.
Article 10 : Le trésorier payeur
Le trésorier payeur en tant que comptable public est responsable de la régularité des
opérations de dépenses, tant au regard des dispositions légales et réglementaires, que
des dispositions statutaires et budgétaires de l'organisme.
Il doit s'assurer que les paiements sont faits au véritable créancier, sur un crédit
disponible et sur présentation de pièces régulières établissant la réalité des droits du
créancier et du service fait.
Toutefois, la responsabilité du trésorier payeur est dégagée lorsque, après avoir adressé
un rejet motivé au directeur de l'organisme, il est requis par ce dernier de viser un
moyen de paiement. Il est tenu de se conformer à cette réquisition qu'il annexe à l'ordre
de paiement. Il en avise sans délai le ministre chargé des finances.
Le trésorier payeur signe, conjointement avec le directeur ou la personne habilitée de
l'organisme, les moyens de paiement tels que chèques, virements et effets de commerce.
Pour les établissements publics gérant des régimes de retraite et de prévoyance sociale,
des arrêtés du ministre chargé des finances préciseront, pour chaque organisme, les
limites des attributions du trésorier payeur.
Le trésorier payeur peut être habilité, par arrêté du ministre chargé des finances, à
effectuer un contrôle des recettes.
Chapitre IV : Des modalités d'exercice du contrôle d'accompagnement

Article 11 : Le ministre chargé des finances
Les décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes
ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des
finances ;
- les budgets ;
- les états prévisionnels pluriannuels ;
- l'affectation des résultats.
Toutefois, les budgets des établissements publics qui ne reçoivent pas de subvention de
l'Etat, deviennent définitifs dès leur approbation par le conseil d'administration ou
l'organe délibérant à l'unanimité de ses membres.
Article 12 : Le contrôleur d'Etat
Le contrôleur d'Etat accomplit les attributions prévues aux alinéas 1, 2, 3, 6 et 7 de
l'article 9 ci-dessus.
En outre, il apprécie la conformité de la gestion de l'organisme à la mission et aux
objectifs qui lui sont assignés ainsi que les performances économiques et financières
dudit organisme.
Lorsque de graves insuffisances sont constatées par le conseil d'administration ou
l'organe délibérant, le contrôleur d'Etat, le comité d'audit ou par tout organe de contrôle
compétent, dans la gestion de l'organisme soumis au contrôle, le ministre chargé des
finances peut habiliter, par décision, le contrôleur d'Etat à exercer un droit de visa
préalable sur certains actes limitativement définis et pour une durée déterminée
renouvelable une ou plusieurs fois jusqu'à redressement de la situation.
Le contrôleur d'Etat soumet, à cet effet, un rapport motivé au conseil d'administration ou
à l'organe délibérant, en vue de prendre les mesures nécessaires pour le redressement
de la situation.
Article 13 : Les instruments de gestion
Les organismes soumis au contrôle d'accompagnement doivent se doter des instruments
de gestion définis à l'article 17 ci-dessous dûment approuvés par le conseil
d'administration ou l'organe délibérant.
130
Article 14 : Le comité d'audit

Les organismes soumis au contrôle d'accompagnement doivent instituer un comité
d'audit.
Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre membres
nommés par le conseil d'administration ou par l'organe délibérant parmi les membres
non-dirigeants ou de mandataires nommément désignés par eux à cet effet.
Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la régularité
des opérations, la qualité de l'organisation, la fiabilité et la bonne application du système
d'information ainsi que les performances de l'organisme. Il a pour mission de faire
prescrire et réaliser, aux frais de l'organisme, les audits internes et externes ainsi que les
évaluations qui lui paraissent nécessaires. Il peut, en outre, inviter tout expert
indépendant à participer à ses travaux.
Le comité d'audit adresse directement au directeur de l'organisme un rapport retraçant le
résultat de chaque intervention effectuée ainsi que les recommandations qu'il estime
utiles pour l'amélioration de la gestion et la maîtrise des risques économiques et
financiers de l'organisme. Ce rapport est soumis au conseil d'administration ou à l'organe
délibérant.
Chapitre V : Des modalités d'exercice du contrôle conventionnel

Article 15 : Convention de contrôle
Peuvent être soumises au contrôle conventionnel :
- les filiales publiques à participation directe majoritaire de l'Etat ou d'une collectivité
locale à travers une convention de contrôle à conclure avec l'Etat dont le suivi est assuré
par un commissaire du gouvernement nommé auprès de la filiale publique ;
- les filiales publiques autres que celles visées au paragraphe ci-dessus et les sociétés
d'Etat dans lesquelles l'Etat ou une collectivité locale ne détient pas une participation
directe, dans le cadre d'une convention de contrôle à conclure avec l'entreprise mère
dont le suivi est assuré par le commissaire du gouvernement nommé auprès de la filiale
publique ou la société d'Etat.
L'entreprise mère, prévue au présent article, doit conclure, avec chacune des filiales
publiques et sociétés d'Etat visées au paragraphe ci-dessus, une convention approuvée
par leurs conseils d'administration ou organes délibérants respectifs qui détermine les
modalités de contrôle que l'entreprise mère doit exercer sur lesdites filiales publiques et
sociétés d'Etat.
Au sens du présent article, l'entreprise mère est celle qui détient le plus fort pourcentage
du capital public au sein de la société d'Etat ou de la filiale publique.
La convention de contrôle doit comporter les obligations de la société d'Etat ou de la
filiale publique contractante notamment en ce qui concerne les actes à soumettre à
l'autorisation préalable de son conseil d'administration ou celui de son entreprise mère,
les comités devant être créés auprès de son conseil d'administration, les procédures de
contrôle interne à mettre en place ainsi que les informations à communiquer à
l'entreprise mère.
Article 16 : Le commissaire du gouvernement
Le commissaire du gouvernement accomplit les attributions prévues aux alinéas 1, 2, 3
et 6 de l'article 9 ci-dessus.
Il établit un rapport annuel sur l'état d'exécution de la convention visée à l'article 15 ci-
dessus qu'il adresse au ministre chargé des finances qui est soumis au conseil
d'administration ou à l'organe délibérant.
Chapitre VI : De l'application du contrôle d'accompagnement aux

établissements publics et des contrats de programme
Article 17 : Etablissements publics soumis au contrôle d'accompagnement
Sont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les
établissements publics justifiant de la mise en œuvre effective d'un système
d'information, de gestion et de contrôle interne, comportant, notamment, les instruments
suivants, dûment approuvés par le conseil d'administration ou l'organe délibérant :
- un statut du personnel fixant en particulier les conditions de recrutement, de
rémunération et de déroulement de carrière du personnel de l'établissement ;
131
- un organigramme fixant les structures organisationnelles de gestion et d'audit interne

de l'établissement ainsi que leurs fonctions et attributions ;
- un manuel décrivant les procédures de fonctionnement des structures et de contrôle
interne de l'établissement ;
- un règlement fixant les conditions et formes de passation des marchés ainsi que les
modalités relatives à leur gestion et à leur contrôle ;
- une comptabilité permettant l'établissement d'états de synthèse réguliers, sincères et
certifiés, sans réserves significatives, par un ou plusieurs auditeurs externes habilités à
exercer la profession de commissaire aux comptes ;
- un plan pluriannuel couvrant une période d'au moins trois ans, actualisé annuellement,
devant comporter, notamment, par activité et sous forme consolidée, les programmes
physiques et les projections économiques et financières ;
- un rapport annuel de gestion établi par le directeur de l'établissement.
Les modalités et formes d'établissement de ces instruments sont fixées par le ministre
chargé des finances.
Article 18 : Contrats de programme
Sont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les
établissements publics liés à l'Etat par des contrats de programme.
Les établissements publics et sociétés d'Etat soumis au contrôle d'accompagnement et
liés à l'Etat par des contrats de programme sont dispensés de l'approbation préalable des
actes prévus aux articles 7 et 11 de la présente loi.
Les contrats de programme sont conclus entre d'une part l'Etat et d'autre part les
établissements publics ou les sociétés d'Etat ou les filiales publiques dans lesquelles l'Etat
ou une collectivité locale détient une participation directe, lorsque l'importance et la
nature de leur activité le justifient.
Les contrats de programme définissent, pour une période pluriannuelle, notamment les
engagements de l'Etat et de l'organisme contractant, les objectifs techniques,
économiques et financiers assignés à l'organisme et les moyens pour les atteindre ainsi
que les modalités de suivi de leur exécution.
Les contrats de programme sont signés, au nom de l'Etat, conjointement par le ministre
de tutelle et le ministre chargé des finances et, pour l'organisme, par le président du
conseil d'administration ou de l'organe délibérant ou par le directeur s'il reçoit délégation
dudit conseil ou organe.
Chapitre VII : Des obligations des organismes soumis au contrôle financier de

l'Etat
Article 19 : Appel à la concurrence
Les établissements publics et les sociétés d'Etat sont tenus pour l'exécution de leurs
dépenses aussi bien que pour la réalisation de leurs produits, sauf exception justifiée, de
faire appel à la concurrence, en vue d'assurer la transparence dans les choix du maître
d'ouvrage, l'égalité d'accès aux commandes de l'organisme ainsi que l'efficacité des
dépenses et l'optimisation des recettes de l'organisme.
Article 20 : Obligations à l'égard du ministre chargé des finances
Dans les six mois suivant la clôture de l'exercice, les établissements publics, les sociétés
d'Etat, les filiales publiques et les entreprises concessionnaires doivent communiquer, au
ministre chargé des finances, les documents suivants :
- les états de synthèse annuels ou les comptes annuels ;
- le rapport annuel de gestion ;
- l'état de répartition du capital social pour les sociétés d'Etat et les filiales publiques ;
- le rapport des commissaires aux comptes ou des auditeurs externes pour les
organismes soumis à l'obligation d'audit ;
- les comptes consolidés, l'état des filiales et participations, le cas échéant, pour les
établissements publics, les sociétés d'Etat et les filiales publiques.
Ils doivent répondre, en outre, à toute demande d'information d'ordre technique,
économique et financier, émanant du ministre chargé des finances, dans le mois suivant
la réception de cette demande.
132
Dans les six mois suivant la clôture de l'exercice, les sociétés mixtes visées à l'article
premier de la présente loi doivent adresser au ministre chargé des finances les
documents suivants :
- les états de synthèse annuels ;
- l'état des filiales et participations ;
- l'état de répartition du capital social.
Le ministre chargé des finances exerce les droits et pouvoirs revenant à l'Etat, en sa
qualité d'actionnaire, dans les sociétés soumises au contrôle financier.
Autres obligations
Les comptes annuels des établissements publics font l'objet de publication au Bulletin
officiel selon les formes arrêtées par décret.
Chapitre VIII : Des Obligations des agents chargés du contrôle financier

Article 21 : Le contrôleur d'Etat et le commissaire du gouvernement
Les fonctions du contrôleur d'Etat et du commissaire du gouvernement sont
incompatibles avec tout mandat d'administrateur représentant l'Etat aux conseils
d'administration ou organes délibérants des établissements publics, sociétés et
entreprises visés à l'article premier de la présente loi.
Ils sont tenus aux règles du secret professionnel sur toutes les informations dont ils
disposent à l'occasion de l'exercice de leurs fonctions. Le secret professionnel ne peut
être opposé aux auxiliaires de la justice, agissant dans le cadre de leurs fonctions.
Article 22 : Le trésorier payeur
Le trésorier payeur et ses fondés de pouvoirs sont tenus aux règles du secret
professionnel sur toutes les informations dont ils disposent à l'occasion de l'exercice de
leurs fonctions. Le secret professionnel ne peut être opposé aux auxiliaires de la justice,
agissant dans le cadre de leurs fonctions.
Chapitre IX : Dispositions diverses et transitoires

Article 23 : Exclusions
A l'exception de l'article 20 ci-dessus, n'entrent pas dans le champ d'application de la
présente loi, les organismes suivants qui demeurent soumis aux contrôles prévus par les
textes qui les régissent :
- Bank Al-Maghrib ;
- la Caisse de dépôt et de gestion
- les établissements et sociétés régis par le dahir portant loi n° 1-93-147 du 15
moharrem 1414 (6 juillet 1993) relatif à l'exercice de l'activité des établissements de
crédit et de leur contrôle ;
- les entreprises régies par la législation relative à l'assurance et la réassurance ;
- les établissements publics qui, à la date de publication de la présente loi, n'étaient pas
soumis aux dispositions du dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960)
organisant le contrôle financier de l'Etat sur les offices, établissements publics et sociétés
concessionnaires ainsi que sur les sociétés et organismes bénéficiant du concours
financier de l'Etat ou de collectivités publiques.
Article 24 : Abrogations
La présente loi abroge toutes dispositions législatives relatives au même objet en vigueur
à la date de sa publication, notamment :
- le dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960) organisant le contrôle
financier de l'Etat sur les offices, établissements publics et sociétés concessionnaires ainsi
que sur les sociétés et organismes bénéficiant du concours financier de l'Etat ou de
collectivités publiques ;
- le dahir n° 1-62-113 du 16 safar 1382 (19 juillet 1962) relatif au statut des personnels
de diverses entreprises ;
- le dahir n° 1-63-012 du 12 ramadan 1382 (6 février 1963) sur les conditions de dépôt
des fonds disponibles des établissements publics et des sociétés concessionnaires.
133
ANNEXE 2 : Normes Professionnelles de l’Audit

Interne Applicables au 1er janvier 2009
NORMES DE QUALIFICATION
1000 - Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement
définis dans une charte d’audit interne, être cohérents avec la définition de l’audit
interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit
interne doit revoir périodiquement la charte d’audit interne et la soumettre à
l’approbation de la Direction Générale et du Conseil.
1000.A1 - La nature des missions d'assurance réalisées pour l'organisation doit
être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions
d'assurance à l'extérieur de l'organisation, leur nature doit être également définie
dans la charte d'audit interne.
1000.C1 - La nature des missions de conseil doit être définie dans la charte
d'audit interne.
1010 - Reconnaissance de la Définition de l’Audit Interne, du Code de

Déontologie ainsi que des Normes dans la charte d'audit interne
Le caractère obligatoire de la Définition de l'Audit Interne, du Code de Déontologie ainsi
que des Normes doit être reconnu dans la charte d'audit interne.
Le responsable de l’audit interne présente la Définition de l’Audit Interne, le Code de
Déontologie ainsi que les Normes à la Direction Générale et au Conseil.
1100 - Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs
travaux avec objectivité.
1110 - Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein
de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités.
Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation.
1110.A1 -- L'audit interne ne doit subir aucune ingérence lors de la définition de
son champ d'intervention, de la réalisation du travail et de la communication des
résultats.
1111 - Relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement
avec le Conseil.
1120 – Objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et
éviter tout conflit d'intérêt.
1130 – Atteinte à l'indépendance et à l'objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits
ou même en apparence, les parties concernées doivent en être informées de manière
précise. La forme de cette communication dépendra de la nature de l'atteinte à
l'indépendance.
134
1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des opérations

particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur
interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une
activité dont il a eu la responsabilité au cours de l'année précédente.
1130.A2 – Les missions d'assurance concernant des fonctions dont le
responsable de l'audit a la charge doivent être supervisées par une personne ne
relevant pas de l'audit interne.
1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de
conseil liées à des opérations dont ils ont été auparavant responsables.
1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont
susceptibles d'être compromises lors des missions de conseil qui leur sont
proposées, ils doivent en informer le client donneur d'ordre avant de les accepter.
1200 - Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscience professionnelle.
1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe
d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire
et les autres compétences nécessaires à l'exercice de ses responsabilités.
1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de
personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances,
le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou
partie de leur mission.
1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantes
pour évaluer le risque de fraude et la façon dont ce risque est géré par
l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une
personne dont la responsabilité première est la détection et l'investigation des
fraudes.
1210.A3 - Les auditeurs internes doivent posséder une connaissance suffisante
des principaux risques et contrôles relatifs aux technologies de l'information, et
des techniques d'audit informatisées susceptibles d'être mises en oeuvre dans le
cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne
sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première
est l'audit informatique.
1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseil
ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes
ne possèdent pas les connaissances, le savoir-faire et les autres compétences
nécessaires pour s'acquitter de tout ou partie de la mission.
1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que
l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La
conscience professionnelle n'implique pas l'infaillibilité.
1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments suivants :
• l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;
• la complexité relative, la matérialité ou le caractère significatif des
domaines
• auxquels sont appliquées les procédures propres aux missions d'assurance
;
• l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de
• management des risques et de contrôle ;
• la probabilité d'erreurs significatives, de fraudes ou de non-conformité;
• le coût de la mise en place des contrôles par rapport aux avantages
escomptés.
135
1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur

interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse
des données.
1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à
l'égard des risques significatifs susceptibles d'affecter les objectifs, les opérations
ou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont
menées avec la conscience professionnelle requise, ne garantissent pas que tous
les risques significatifs seront détectés.
1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil
toute leur conscience professionnelle, en prenant en considération les éléments
suivants :
• les besoins et attentes des clients, y compris sur la nature, le calendrier et
la communication des résultats de la mission ;
• la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre
les objectifs fixés ;
• son coût par rapport aux avantages escomptés.
1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres
compétences par une formation professionnelle continue.
1300 - Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance
et d'amélioration qualité portant sur tous les aspects de l'audit interne.
1310 – Exigences du programme d'assurance et d'amélioration qualité

Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant
internes qu’externes.
1311 – Évaluations internes

Les évaluations internes doivent comporter :
- une surveillance continue de la performance de l'audit interne ;
- des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de
l'organisation possédant une connaissance suffisante des pratiques d'audit interne.
1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un
évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation. Le
responsable de l'audit interne doit s'entretenir avec le Conseil au sujet :
- du besoin d'augmenter la fréquence de ces évaluations externes ;
- des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
1320 – Rapports relatifs au programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit communiquer les résultats du programme
d'assurance et d'amélioration qualité à la Direction Générale ainsi qu’au Conseil.
1321 – Utilisation de la mention « conforme aux Normes internationales pour la

pratique professionnelle de l’audit interne »
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite
conformément aux Normes internationales pour la pratique professionnelle de l'audit
interne seulement si, les résultats du programme d'assurance et d'amélioration qualité
l’ont démontré.
1322 – Indication de non-conformité
136
Quand la non-conformité de l’activité d’audit interne avec la Définition de l’Audit Interne,

le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention
ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer
la Direction Générale et le Conseil de cette non-conformité et de ses conséquences.
NORMES DE FONCTIONNEMENT
2000 - Gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir
qu’elle apporte une valeur ajoutée à l’organisation.
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin
de définir des priorités cohérentes avec les objectifs de l'organisation.
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la Direction
Générale et du Conseil doivent être pris en compte dans ce processus.
2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit
interne, avant de l'accepter, devrait considérer dans quelle mesure elle est
susceptible de créer de la valeur ajoutée, d'améliorer le management des risques
et le fonctionnement de l'organisation. Les missions de conseil qui ont été
acceptées doivent être intégrées dans le plan d'audit.
2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil
son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement
important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne
doit également signaler l'impact de toute limitation de ses ressources.
2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette
activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser
le plan d'audit approuvé.
2040 – Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un
cadre à l'activité d'audit interne.
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de
l'audit interne devrait partager des informations et coordonner les activités avec les
autres prestataires internes et externes d'assurance et de conseil.
2060 – Rapports à la Direction Générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la Direction
Générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit
interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement
rendre compte :
- de l’exposition aux risques significatifs (y compris des risques de fraude) et des
- contrôles correspondants ;
- des sujets relatifs au gouvernement d’entreprise et ;
- de tout autre problème répondant à un besoin ou à une demande de la Direction
Générale ou du Conseil.
2100 - Nature du travail
137
L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management

des risques et de contrôle et contribuer à leur amélioration sur la base d’une approche
systématique et méthodique.
2060 – Gouvernement d'entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des
recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le
processus répond aux objectifs suivants :
- promouvoir des règles d'éthique et des valeurs appropriées au sein de
l'organisation ;
- garantir une gestion efficace des performances de l'organisation, assortie d'une
obligation de rendre compte ;
- communiquer aux services concernés de l'organisation les informations relatives
aux risques et aux contrôles ;
- fournir une information adéquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination de leurs activités.
2110.A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité
des objectifs, des programmes et des activités de l'organisation liés à l'éthique.
2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information
de l’organisation soutient et supporte la stratégie et les objectifs de l’organisation.
2110.C1 – Les objectifs de la mission de conseil doivent être en cohérence avec les
valeurs et objectifs généraux de l'organisation.
2120 – Management des risques

L'audit interne doit évaluer l’efficacité des processus de management des risques et
contribuer à leur amélioration.
2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement
d'entreprise, aux opérations et aux systèmes d'information de l'organisation au
regard de:
• la fiabilité et l'intégrité des informations financières et opérationnelles ;
• l'efficacité et l'efficience des opérations ;
• la protection des actifs ;
• le respect des lois, règlements et contrats.
2120.A2 - L’audit interne doit évaluer la possibilité de fraude et la manière dont
ce risque est géré par l’organisation.
2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent
couvrir les risques liés aux objectifs de la mission et demeurer vigilant vis-à-vis de
l’existence de tout autre risque susceptible d’être significatif.
2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour évaluer les processus de management
des risques de l'organisation.
2120.C3 - Lorsque les auditeurs internes aident le management dans la
conception et l’amélioration des processus de management des risques, ils doivent
s’abstenir d’assumer une responsabilité opérationnelle en la matière.
2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en
évaluant son efficacité et son efficience et en encourageant son amélioration continue.
2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de
contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise,
aux opérations et systèmes d'information de l'organisation. Cette évaluation doit
porter sur les aspects suivants:
• la fiabilité et l'intégrité des informations financières et opérationnelles ;
• l'efficacité et l'efficience des opérations ;
• la protection des actifs ;
• le respect des lois, règlements et contrats.
138
2130.A2 – Les auditeurs internes devraient déterminer dans quelle mesure des
buts et objectifs concernant les opérations et les programmes ont été définis et si
ces buts et objectifs sont conformes à ceux de l'organisation.
2130.A3 – Les auditeurs internes devraient passer en revue les opérations et les
programmes afin de déterminer dans quelle mesure les résultats suivent les buts
et objectifs établis et si ces opérations et programmes sont mis en oeuvre ou
réalisés comme prévu.
2130.C1 – Au cours des missions de conseil, les auditeurs internes doivent
examiner les dispositifs de contrôle relatifs aux objectifs de la mission et être
attentifs à l'existence de tout problème de contrôle significatif.
2130.C2 – Les auditeurs internes doivent utiliser leurs connaissances des
dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les
processus de contrôle de l’organisation.
2200 - Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce
plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la
mission, ainsi que les ressources allouées.
2201 – Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
- les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ;
- les risques significatifs liés à l'activité, ses objectifs, les ressources mises en
oeuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact
potentiel du risque est maintenu à un niveau acceptable ;
- la pertinence et l'efficacité des processus de management des risques et de
contrôle de l'activité, en référence à un cadre ou modèle de contrôle approprié ;
- les opportunités d'améliorer de manière significative les processus de
management des risques et de contrôle de l'activité.
2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation,
les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le
champ de la mission, les responsabilités et les attentes respectives, et préciser les
restrictions à observer en matière de diffusion des résultats de la mission et d'accès
aux dossiers.
2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilités de
chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit être formalisé.
2210 – Objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.
2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des
risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être
déterminés en fonction des résultats de cette évaluation.
2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent
tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de
fraudes ou de non-conformité et d’autres risques importants.
2210.A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif de
contrôle. Les auditeurs internes doivent déterminer dans quelle mesure le
management a défini des critères adéquats pour apprécier si les objectifs et les
buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent
les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes
doivent travailler avec le management pour élaborer des critères d'évaluation
appropriés.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrôle dans la
limite convenue avec le client.
2220 – Champ de la mission
139
Le champ doit être suffisant pour répondre aux objectifs de la mission.

2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le
personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle
de tiers.
2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes
opportunités en termes de conseil, un accord écrit devrait être conclu pour
préciser les objectifs et le champ de la mission de conseil, les responsabilités et
les attentes respectives. Les résultats de la mission de conseil sont communiqués
conformément aux normes applicables à ces missions.
2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes
doivent s'assurer que le champ d'intervention permet de répondre aux objectifs
convenus. Si, en cours de mission, les auditeurs internes émettent des réserves
sur ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de
décider s'il y a lieu de poursuivre la mission.
2230 – Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour
atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de
la complexité de chaque mission, des contraintes de temps et des ressources disponibles.
2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter un programme de travail
permettant d'atteindre les objectifs de la mission.
2240.A1 – Le programme de travail doit faire référence aux procédures à
appliquer pour identifier, analyser, évaluer et documenter les informations lors de
la mission. Le programme de travail doit être approuvé avant sa mise en œuvre.
Les ajustements éventuels doivent être approuvés rapidement.
2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans sa
forme et son contenu, selon la nature de la mission.
2300 - Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les
informations nécessaires pour atteindre les objectifs de la mission.
2310 – Identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes
et utiles pour atteindre les objectifs de la mission.
2320 – Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission
sur des analyses et évaluations appropriées.
2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les
conclusions et les résultats de la mission.
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de
la mission. Il doit, si nécessaire, obtenir l'accord de la Direction Générale et/ou
l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures.
2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de
conservation des dossiers de la mission et ce, quelque soit le support d’archivage
utilisé. Ces règles doivent être cohérentes avec les orientations définies par
l'organisation et avec toute exigence réglementaire ou autre.
2330.C1 – Le responsable de l'audit interne doit définir des procédures
concernant la protection et la conservation des dossiers de la mission de conseil
ainsi que leur diffusion à l'intérieur et à l'extérieur de l'organisation. Ces
procédures doivent être cohérentes avec les orientations définies par
l'organisation et avec toute exigence réglementaire ou autre appropriée.
140
2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les
objectifs sont atteints, la qualité assurée et le développement professionnel du personnel
effectué.
2400 - Communication des résultats

Les auditeurs internes doivent communiquer les résultats de la mission.
2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les
conclusions, recommandations et plans d'actions.
2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a
lieu, contenir l'opinion globale des auditeurs internes et/ou leurs conclusions.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces
relevées, lors de la communication des résultats de la mission.
2410.A3 – Lorsque les résultats de la mission sont communiqués à des
destinataires ne faisant pas partie de l'organisation, les documents communiqués
doivent préciser les restrictions à observer en matière de diffusion et
d'exploitation des résultats.
2410.C1 – La communication sur l'avancement et les résultats d'une mission de
conseil variera dans sa forme et son contenu en fonction de la nature de la
mission et des besoins du client donneur d'ordre.
2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et
émise en temps utile.
2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le
responsable de l'audit interne doit faire parvenir les informations corrigées à tous les
destinataires de la version initiale.
2430 –Utilisation de la mention « conduit conformément aux Normes

internationales pour la pratique professionnelle de l’audit interne »
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont «
conduites conformément aux Normes internationales pour la pratique professionnelle de
l’audit interne» seulement si les résultats du programme d’assurance et d’amélioration
qualité le démontrent.
2431 – Indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie
ou aux Normes, la communication des résultats doit indiquer :
- les principes ou les règles de conduite du Code de Déontologie, ou les Normes
avec lesquelles la mission n’a pas été en conformité ;
- la ou les raisons de la non-conformité ;
- l'incidence de la non-conformité sur la mission et sur les résultats communiqués.
2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
2440-A1 – Le responsable de l'audit interne est chargé de communiquer les
résultats définitifs aux destinataires à même de garantir que ces résultats
recevront l'attention nécessaire.
2440-A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts,
le responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les
résultats à des destinataires ne faisant pas partie de l'organisation :
• évaluer les risques potentiels pour l'organisation ;
• consulter la Direction Générale et/ou, selon les cas, un conseil juridique ;
141
• maîtriser la diffusion en imposant des restrictions quant à l'utilisation des

résultats.
2440-C1 – Le responsable de l'audit interne est chargé de communiquer les
résultats définitifs des missions de conseil à son client donneur d'ordre.
2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes
relatifs aux processus de gouvernement d'entreprise, de management des risques
et de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs
pour l'organisation, ils doivent être communiqués à la Direction Générale et au
Conseil.
2500 - Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système
permettant de surveiller la suite donnée aux résultats communiqués au management.
2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de
suivi permettant de surveiller et de garantir que des mesures ont été
effectivement mises en oeuvre par le management ou que la Direction Générale a
accepté de prendre le risque de ne rien faire.
2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des
missions de conseil conformément à l'accord passé avec le client donneur d'ordre.
2600 - Acceptation des risques par la Direction Générale

Lorsque le responsable de l'audit interne estime que la Direction Générale a accepté un
niveau de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit
examiner la question avec elle. Si aucune décision concernant le risque résiduel n’est
prise, le responsable de l’audit interne doit soumettre la question au Conseil aux fins de
résolution.
142
ANNEXE 3 : MODELE DE CHARTE D’AUDIT INTERNE

La présente charte définit et précise la mission, les pouvoirs et les responsabilités de
l’audit interne au sein de « nom de l’organisation ».
Les droits et devoirs des auditeurs et audités, sont également définis afin de garantir le
respect des règles éthiques, déontologiques et organisationnelles applicables au sein de
« nom de l’organisation ».
Cette charte d’audit interne se réfère aux Normes Internationales pour la pratique
professionnelle de l’audit interne.
L’audit interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pour
les améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle, et
de gouvernement d’entreprise, et en faisant des propositions pour renforcés leur
efficacité.
Le rôle et les responsabilités de l’audit interne
Le service d’audit interne procède à l’évaluation des processus de gouvernement

d’entreprise, de management des risques et de contrôle, tels qu’ils sont définis au sein de
« nom de l’organisation ». Par ses propositions, il contribue à leur amélioration et à
l’optimisation des performances globales de l’organisation.
Les missions de l’audit interne permettent notamment de :
• Identifier et maitriser les risques par une approche structurée et focalisée sur les
enjeux de « nom de l’organisation » et de ses métiers.
• Evaluer la pertinence et l’efficacité de ces processus par rapport à leur conformité
avec les règles, normes, procédures, lois et réglementations en vigueur.
• Evaluer la maitrise des processus opérationnels, fonctionnels ainsi que la
réalisation des opérations au regard des préoccupations de l’organisation, en
matière stratégique, opérationnelle et financière.
• Vérifier l’intégrité, la fiabilité, l’exhaustivité et la traçabilité des informations
produites (comptables, financières, de gestion…).
• Proposer des axes d’amélioration ou de progrès pour l’organisation.
• Participer, le cas échéant, à certaines missions de conseil demandées par la
direction générale.
Le rattachement et l’organisation de l’audit interne
Le service d’audit interne est rattaché hiérarchiquement à la direction générale et de

façon fonctionnelle au comité d’audit. Afin d’assurer l’indépendance du service d’audit
interne, le responsable de l’audit interne a un accès libre au conseil et/ou au comité
d’audit.
Le responsable de l’audit interne rend compte annuellement aux organes dirigeants du
niveau global de maitrise des opérations et des problèmes significatifs constatés au
niveau des processus de management des risques, de contrôle et de gouvernement
d’entreprise de l’organisation et de ses filiales ou aux améliorations potentielles de ces
processus.
Le responsable de l’audit interne communique régulièrement à la direction générale et au
conseil les informations sur le degré d’avancement et les résultats du plan d’audit annuel
et sur le caractère suffisant des ressources du département.
Le périmètre de l’audit interne

143
Le périmètre d’intervention du service d’audit interne s’étend à l’ensemble de

l’organisation et de ses filiales, sur le territoire…ainsi qu’à l’étranger (« à adapter en
fonction des prérogatives confiées au service d’audit interne dans l’organisation »). Pour
assurer une bonne exécution de sa mission et conformément à son indépendance, le
service d’audit interne intervient sur la base d’une planification dont il a l’initiative et qui
prend en compte les requêtes spécifiques qui lui sont adressées par les dirigeants. Il
intervient dans tous les domaines ou processus administratifs, comptables et financiers,
fonctionnels ou opérationnels.
Le responsable et l’équipe d’audit interne ne sont pas autorisés à accomplir des tâches
opérationnelles pour l’organisation ou ses filiales.
La coopération avec les audités
Les services opérationnels et fonctionnels de l’organisation susceptibles d’être audités,

doivent mettre à disposition du service d’audit interne l’ensemble des informations,
documents, locaux, biens et personnes qui ont un rapport direct ou indirect avec l’objet
de la mission d’audit.
Les documents et les informations confiés à l’audit interne durant les missions seront
traités avec le niveau de confidentialité et d’intégrité requis.
Le code de conduite des auditeurs internes
Conformément au Code de Déontologie de l’IIA (www.ifaci.com), il est attendu des

auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants :
• Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la
crédibilité accordées à leur jugement.
• Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité
professionnelle en collectant, évaluant et communiquant les informations relatives
à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière
équitable tous les éléments pertinents et ne se laissent pas influencer dans leur
jugement par leurs propres intérêts ou par autrui.
• Confidentialité : Les auditeurs internes respectent la valeur et la propriété des
informations qu’ils reçoivent ; ils ne divulguent ces informations qu’avec les
autorisations requises, à moins qu’une obligation légale ou professionnelle ne les
oblige à le faire.
• Compétence : Les auditeurs internes utilisent et appliquent les connaissances,
les savoir-faire et expériences requis pour la réalisation de leurs travaux.
Le déroulement d’une mission d’audit interne
Un plan d’audit prévoyant les missions récurrentes et spécifiques à réaliser est établi
annuellement par le service d’audit interne. Il s’appuie sur une analyse des risques de
l’organisation.
La réalisation d’une mission d’audit se décompose en plusieurs phases :

• Une lettre de mission est établie avant toute intervention. Cette lettre est
adressée au responsable de l’entité ou du service audité. Elle définit le cadre de la
mission et précise les éléments nécessaires à une compréhension réciproque entre
l’auditeur et les services audités (objet, cadre, date et durée de la mission).
Cette lettre permet de simplifier l’organisation de la mission et notamment de
faire coïncider son planning de travail avec celui de l’auditeur interne. Les
rencontres et réunions nécessaires à la réalisation de la mission seront plus
facilement planifiables.
• Avant toute investigation sur le terrain, une phase préparatoire permet de
rechercher et de recueillir des informations et de prendre connaissance du
domaine ou du service audité à partir d’entretiens et d’analyses documentaires.
144
• Pendant la phase de vérification et d’analyse, le service d’audit interne

identifie les forces et les faiblesses du domaine audité et procède à une analyse
contradictoire des causes et des conséquences des risques identifiés. Tout au long
de sa mission, le service d’audit interne informe régulièrement l’audité de ses
constats et de son diagnostic.
• La conduite des investigations terminée, le service d’audit interne établit un
rapport rendant compte de la situation constatée et des propositions
d’amélioration. Une version provisoire du rapport est analysée avec les audités et
les services concernés qui font état de leurs remarques avant la diffusion
définitive du document.
• Les services ou entités audités valident les comptes rendus des entretiens
réalisés par les auditeurs internes et donnent une analyse objective des
conclusions de l’audit interne qui les concernent.
• Consécutivement aux recommandations établies dans le rapport d’audit, un plan
d’action est défini et décidé par la direction de l’entité ou des services audités.
Selon les organisations ou la nature des recommandations (transverses ou
majeures), la direction générale participe à la définition du plan d’action. Le plan
d’action définit les moyens avec lesquels les recommandations émises seront
mises en œuvre par les responsables identifiés.
• Le responsable de l’audit interne doit s’assurer de la mise en œuvre des
recommandations en s’informant de l’état d’avancement des plans d’actions.
La présente charte a été approuvée par le comité d’audit le …/…/…

A …, le … / … / …
Signature
145
ANNEXE 4 : MODELES DE TYPOLOGIE DES RISQUES
MODELE : FERMA
ORIGINE EXTERNE
RISQUES RISQUES
FINANCIERS STRATEGIQUES
COMPETITION
CHANGEMENT DES
TAUX D’INTERET
CLIENTS
TAUX DE CHANGE
CHANGEMENT DANS
CREDIT
L’ACTIVITE
DEMANDE DES CLIENTS
FUSION
ACQUISITION
INTEGRATIONS
RECHERCHE &
LIQUIDITE &
DEVELOPPEMENT
CASH FLOW
CAPITAL INTELLECTUEL
ORIGINE INTERNE
SYSTEME DE CONTROLE
DES COMPTES
SYSTEMES
D’INFORMATION
RECRUTEMENT EMPLOYES
CHAINE MOBILIER
D’APPROVISIONNEMENT BIENS & SERVICES
REGLEMENTATIONS
CULTURE CONTATS
COMPOSITION DE EVENEMENTS NATURELS
L’INTANCE LIQUIDITE
DIRIGEANTE& FOURNISSEURS
ENVIRONNEMENT
RISQUES
OPERATIONNELS PERILS
ORIGINE EXTERNE
146
MODELE : COSO 2
CATEGORIES D’EVENEMENTS
FACTEURS EXTERNES FACTEURS INTERNES
Economiques : Infrastructure :
Disponibilité des capitaux Disponibilité des actifs
Emission, défaut de crédit Capacité des actifs
Concentration Accès aux capitaux
Liquidité Complexité
Marchés financiers
Chômage Personnel :
Concurrence Compétence des employés
Fusions / acquisitions Activités frauduleuses
Santé et sécurité
Environnementaux – Naturels :
Emissions et déchets Processus :
Energie Capacité
Catastrophes naturelles Conception
Développement durable Exécution
Fournisseurs / dépendance
Politiques :
Changements de gouvernement Technologie :
Législation Intégrité des données
Politique publique Disponibilité des systèmes et des
Réglementation données
Choix des systèmes et des données
Sociaux : Choix des systèmes
Démographie Développement
Comportement des consommateurs Déploiement
Responsabilité sociale Maintenance
Vie privée
Terrorisme
Technologiques :
Interruptions
Commerce électronique
Données externes
Nouvelles technologies
147
ANNEXE 5: EXEMPLE DE CONTENU DE DOSSIER

D’AUDIT
Mission N°
Lieu :
Date :
Objet de la mission :
Rapport d’audit Index
A • Rapport préliminaire A10
• Réponse des audités A20
• Rapport définitif A30
Information relative à la mission Index
• Lettre de mission B10
B • Correspondances (y compris les e-mails) B20
• Compte rendu de la réunion d’ouverture B30
• Compte rendu de la réunion de clôture B40
Information relative à l’entité auditée
• Organigramme, descriptions de fonction
• Etats financiers et rapport des auditeurs externes Index
C • Rapports du conseil d’administration ou des autorités de C10
tutelle C20
• Statuts de l’entreprise C30
• Tableaux de bord et/ ou indicateurs et objectifs C40
• Principales procédures
Informations pratiques sur l’organisation de la mission Index
D • Adresse des sites audités et horaires D10
• Adresse des hôtels, restaurants,… D20
Revue du processus d’achat Index
E • Mémo d’audit présentant les conclusions des auditeurs E10
• Comptes rendus des entretiens E20
• Tests y compris pièces justificatives E30-E60
Revue du processus de gestion des décaissements Index
F • Mémo d’audit présentant les conclusions des auditeurs F10
• Comptes rendus des entretiens F20
• Tests y compris pièces justificatives F30-F55
Gestion de l’encours fournisseurs Index
G • Mémo d’audit présentant les conclusions des auditeurs G10
• Comptes rendus des entretiens G20
• Tests y compris pièces justificatives G30-G70
148
ANNEXE 6 : EXEMPLE DE LETTRE DE MISSION
A l’attention de : Date :
Objet : Mission d’audit interne
Madame, Monsieur,
Nous vous informons qu’une mission d’audit interne ayant pour objet l’analyse
des processus d’achat, se déroulera du 15 septembre au 30 octobre 200X sur le
site de AA.
Elle aura pour principaux thèmes :
-l’analyse et la revue des processus d’achat de matières premières ;
-la gestion des décaissements ;
-le suivi des encours fournisseurs ;
-les accès et contrôles informatisés.
Cet audit sera réalisé par XXX, auditeur interne, aidé d’YYY, sous la supervision
de ZZZ responsable de l’audit interne.
La mission s’articulera autour des étapes suivantes :

-étape 1 : Examens préliminaires, entretiens et diagnostic (analyse de
risques) aboutissant à la définition d’un programme de tests ;
-étape2 : Entretiens, mise en œuvre des contrôles définis dans le programme
de tests sur le site de AA.
-étape 3 : Rédaction du rapport d’audit. Présentation des constats et
recommandations à la direction des achats.
Le rapport d’audit définitif sera transmis aux personnes concernées le .. / .. / ….
Conformément aux instructions de la charte d’audit interne, les responsables des

services audités doivent prendre toute mesure pour faciliter cette mission et
mettre à la disposition des auditeurs tous les documents nécessaires au travail
d’analyse. Les auditeurs devront être également en mesure de s’entretenir
directement avec l’ensemble des collaborations des services audités.
Les auditeurs assurent la confidentialité des données fournies dans le cadre de
leurs investigations. Les constats d’audit font systématiquement l’objet d’une
validation conjointe avec les responsables des services audités avant diffusion
des rapports.
A l’issue de la mission, des préconisations d’audit seront émises et suivies par les
auditeurs. Il appartiendra aux équipes du site AA de les mettre en œuvre
Nous vous remercions par avance pour votre contribution ainsi que celle de vos
équipes au bon déroulement de cet audit.
P.J : charte d’audit interne
149
ANNEXE 7 : EXEMPLE DE PRESENTATION POUR UNE

REUNION D’OUVERTURE
Rôle de l’Audit Interne

Rattachement direct au organes délibérant
Champ d’intervention
L’ensemble des activités
Mission
Evaluer les systèmes de contrôle, signaler les
anomalies, faire progresser les bonnes
pratiques
Plan et cadrage
Sur la base d’une analyse des risques, le plan
est validé par le conseil d’administration
Nature des missions
Missions ordinaires
• Evaluation des systèmes de contrôle
interne
• Evaluation de l’efficacité des opérations
Missions spéciales à la demande
Audit de (entreprise)
Périmètre
L’ensemble des activités et services de
l’entreprise :
• Pilotage
• Achats
• Ventes
• Gestion de stock
• Ressources humaines et paie
• Comptabilité (générale, analytique)
• Trésorerie
• Sécurité des biens, des personnes et des
systèmes d’information
150
Objectifs de la mission
Obtenir l’assurance raisonnable que l’organisation et les

instruments mis en place par l’entité permettent la maitrise
des activités :
Les activités d’exploitation sont maitrisées et fiables
La gestion du personnel est réalisée dans le respect des lois et
règlements dans la recherche de l’efficacité et de l’efficience
Les procédures de contrôle en place permettent de garantir la
sécurité des biens et des personnes
Les achats de toute nature sont organisés et autorisés,
Les contrats locaux (achats/ ventes) sont dument autorisés,
recensés et suivis
Les flux de trésorerie sont optimisés et le contrôle interne est
adéquat
Les opérations sont comptabilisées sans délai et la
comptabilité reflète l’exhaustivité des opérations
Organisation de la mission
Equipe d’audit dédiée à cette mission :

Prénom, Nom et téléphone du chef de mission
• Prénom, Nom des auditeurs
Planning des interventions

01/12 : Entretien avec le directeur
03-05/12 : Entretien avec les responsables de département
05-22/12 : Phase de tests
23/12 : Réunion de clôture
151
ANNEXE 8 : EXEMPLES DE PROGRAMME DE TRAVAIL
Revue des processus :

Achat –gestion des encours fournisseurs-décaissements
Documents à Réalisé
Index
obtenir par
1. Centralisation & réconciliation
• Lister les comptes fournisseurs de la balance ⇒ Balance
générale pour les deux dernières années. Valider les générale
comptes avec le bilan. Années N& N-1
• Lister les comptes de dépenses des deux dernières bilan et compte
années. Valider les comptes avec le Compte de de résultat N&
Résultat. N-1
• Rapprocher la comptabilité auxiliaire fournisseurs de ⇒ Comptes
la balance générale et du bilan. auxiliaires
• Rapprocher le journal des achats des comptes de fournisseurs
dépense dans la balance générale. N&N-1
⇒ Journal des
achats
⇒ N& N-1
2. Revue analytique
• Lister et décrire les principaux fournisseurs tant en
termes de dépenses engagées que de solde
comptable en fin de période.
• Calculer ou obtenir les délais de règlement des
fournisseurs tiers et groupe. ⇒ Comptes
Ratio = dépenses du trimestre/ encours auxiliaires
fournisseurs *90 fournisseurs
• Comparer l’évolution du délai par rapport aux ⇒ Délai de
périodes précédentes. règlement
• S’assurer de l’existence d’un budget d’achat détaillé. fournisseurs
• Valider l’existence d’une analyse de suivi budgétaire. ⇒ Suivi
• Documenter dans un mémo l’évolution des achats et budgétaire
de l’encours fournisseurs au cours des deux dernières ⇒ Tableau
années en identifiant éventuellement les impacts de d’évolution des
la saisonnalité. valeurs d’actifs
• Vérifier que le montant total des achats inter-sociétés immobilisés
a été correctement reporté. Budget des
• Analyser les principaux investissements réalisés au achats
cours des deux dernières années.
• Préparer un mémo récapitulatif listant les objectifs, le
travail accompli, et les conclusions des auditeurs sur
les déficiences éventuellement identifiée.
152

Achat- gestion des encours fournisseurs-décaissements
Index
obtenir par
3- Analyse et documentation du processus achat, gestion des fournisseurs

• Vérifier s’il existe des procédures locales décrivant le
processus achat. Si de telles procédures existent, les
revoir.
• Se documenter sur l’organisation du processus achat,
vérifier si des délégations de pouvoir ont été mises en
place et si les principes de séparation de fonction sont
respectés.
• Interviewer toutes les personnes participant au
processus achat et documenter le déroulement de ce
processus en particulier les étapes de :
- Création/ mise à jour du fichier fournisseurs.
- Validation des conditions générales.
- Définition de critères objectifs de sélection des
fournisseurs.
- Demande d’achat.
- Demande de cotation. ⇒ Procédures
- Gestion des commandes d’achat. internes
- Gestion de la réception des marchandises. relative aux
- Suivi des contrats à long terme. achats
- Validation des factures fournisseurs. ⇒ Matrice de
- Paiement des factures fournisseurs. délégation
- Comptabilisation des factures et des paiements. de pouvoir
- Archivage des données fournisseurs. et de
• Vérifier le processus en place pour les achats internes. séparation
• Sélectionner sur le journal des achats une transaction de fonction
significative et réaliser deux tests de cheminement ⇒ Budget
(l’un partant de la commande pour aboutir au paiement, achat
l’autre partant du paiement pour remonter à la
commande.)
• S’assurer de la fiabilité de la description du processus :
- Obtenir la demande d’achat et vérifier qu’elle a été validée
par une personne habilitée en conformité avec les
délégations de pouvoir.
- Obtenir les demandes de cotation auprès des différents
fournisseurs et s’assurer que la meilleure offre a été
retenue par le service achat.
- Obtenir une copie de la commande et s’assurer que les
conditions d’achat sont conformes à la cotation.
- Obtenir une copie du bon de réception des marchandises
et vérifier qu’il est conforme au bon de commande.

153
Index
obtenir par
3- Analyse et documentation du processus achat, gestion des fournisseurs (suite)

- Obtenir une copie de la facture et vérifier que le
bon à payer a été donnée par une personne
habilitée.
- Vérifier que la charge a été enregistrée sur la
période comptable de réception de la
marchandise (soit enregistrement de la facture
si elle était reçue, soit provisionnement d’une
facture à recevoir).
- Vérifier que le paiement a été effectué par une
personne habilitée et a été bien imputé en
comptabilité.
- Documenter les conclusions dans un mémo.
• Réaliser un test de cut-off pour s’assurer que les
charges sont reconnues dans la période comptable de
rattachement :
- Sélectionner deux mois consécutifs et 10
transactions enregistrées en fin de mois 1, et 10
transactions enregistrées en début de mois 2.
- Obtenir les bons de réception des marchandises
et s’assurer que les factures sont enregistrées
dans la bonne période.
• Vérifier les provisions enregistrées à la clôture.
• Analyser les comptes fournisseurs débiteurs et
s’assurer qu’il n’existe pas de litige avec les
fournisseurs.
4 - Revue du processus de décaissements

• Vérifier que la liste des personnes habilitées à
approuver des paiements est à jour au regard de
l’organisation.
• Obtenir la liste des comptes bancaires et pour chaque
compte demander à la banque une copie des cartons
de signatures bancaires. ⇒ Cartons de
• S’assurer que les listes de signataires autorisés sont à signatures
jour au regard de l’organisation de l’entreprise. bancaires
• Vérifier que les procédures de double signature sont en ⇒ Rapprochement
place. bancaires
• Vérifier que les moyens de paiement utilisés sont
sécurisés.
• Sélectionner une dizaine de gros paiements et vérifier
que le processus de validation a bien été respecté.
• Obtenir les rapprochements bancaires et vérifier
qu’aucun montant significatif ne reste en écart pour
plus de deux mois.
• Documenter les conclusions dans un mémo.
154

Document à Réalisé
Index
obtenir par
5-Revue du système informatique
• Obtenir la liste des utilisateurs ayant accès au logiciel de
gestion des achats et au logiciel comptable.
• Valider les droits d’accès des utilisateurs et vérifier que les
principes de séparation de fonction sont bien respectés.
• Vérifier que les droits d’accès sont revus et validés
régulièrement.
• Vérifier que les droits d’accès sont conformes aux
délégations de pouvoir. ⇒ Liste des
• Identifier qui accède à la création ou à la maintenance des utilisateurs
comptes fournisseurs. ⇒ Liste des
• Vérifier qu’un contrôle a été mis en place sur les accès
modifications des comptes fournisseurs. utilisateurs
• Vérifier que les accès sont restreints par l’usage de mot de ⇒ Plan et
passe sécurisé. résultats des
• Vérifier que le service informatique fait des sauvegardes tests
régulières des applications.
• Vérifier que les fonctionnalités et les rapports relatifs à la
gestion des stocks et des encours fournisseurs ont été
testés et validés par les opérationnels.
• Vérifier que le système rejette la double comptabilisation
des factures.
• Vérifier le paramétrage de la réconciliation automatique
entre bon de commande, bon de réception et facture.
155
ANNEXE 9 : EXEMPLE DE PRESENTATION POUR UNE

REUNION DE CLOTURE
Réunion de clôture
Audit de XXX
Mois 2008
Forces et faiblesses par cycle

Audit de XXX
156
Pilotage
Forces
Existence d’un tableau de bord prospectif
Suivi des plans d’actions mis en place pour
atteindre les objectifs fixés.
Faiblesses
Les objectifs additionnels qui s’est fixée la
direction des ventes peuvent être en contradiction
avec les objectifs généraux de l’organisation
Délégation de pouvoir non à jour
Sécurité des biens et des personnes
Forces
Accès au site sécurisé
Flux tracés
Déploiement en cours des actions liées à la
politique de développement de la sécurité au
travail de l’organisation
Faiblesses
Lacunes sur la législation liées à la protection
contre l’incendie défaut de contrôle de création et
désactivation des badges d’accès au site
157
ANNEXE 10 : EXEMPLES DE RAPPORTS D’AUDIT
EXEMPLE DE RAPPORT D’AUDIT (1)
Nom de l’entreprise
Date du rapport
Rapport d’audit
Titre de l’audit
Objectifs de la mission : Description sommaire de la mission
Liste de distribution (non exhaustive) :

Comité d’audit
Direction auditée
PLAN
Le rapport d’audit doit être structuré et doit pouvoir être lu par lecteurs de profils différents. Tout
rapport est accompagné généralement d’une synthèse susceptible d’être adressé à des personnes
informées et sensibilisées mais qui n’ont pas à résoudre des dysfonctionnements relevés.
Le corps du rapport doit être quant à lui le plus complet et technique possible afin d’apporter toutes
les informations utiles aux responsables audités et aux responsables des actions à entreprendre.
Introduction
L’introduction présente le cadre général du sujet d’audit et doit permettre au lecteur de « rentrer »
dans le sujet. A cet effet, elle contient les seules informations nécessaires à la compréhension du
rapport. Il ne s’agit pas d’une présentation exhaustive de l’entité auditée.
I- Contexte, objectifs et périmètre de la mission d’audit interne

Présenter le contexte de l’entreprise, (présentation de l’entité auditée) ;
Présenter les objectifs de la mission d’audit ;
Présenter le champ de la mission d’audit ;
II- Constats des processus audités (step-by-step)

Cette partie doit présenter une description claire et objective de l’ensemble des processus audités.
Les points forts, les points faibles ainsi que les risques liés aux déficiences identifiées doivent être
mis en avant pour chaque processus audité.
III-Recommandations (avec détail du niveau de criticité conformément au cahier)

Les recommandations doivent être exprimées en termes de solutions par rapport aux constats
réalisés. Elles sont présentées selon un ordre logique. On peut par exemple, distinguer ces
recommandations en fonction de leur degré d’urgence et d’importance :
- Améliorations mineurs ;
- Renforcement des processus existants ;
- Action critique à mettre en œuvre d’urgence.
IV- Calendrier de mise en œuvre des recommandations/ suivi des recommandations

Cette partie doit reprendre pour chacune des recommandations effectuées, le délai dans lequel cette
dernière sera lise en œuvre.
158
Nom de l’entreprise
Date du rapport
Rapport d’audit
Titre de l’audit
Objectifs de la mission : Description sommaire de la mission
Liste de distribution (non exhaustive) :

Comité d’audit
Direction auditée
V- Synthèse générale
Cette partie doit présenter très succinctement la mission d’audit et les recommandations essentielles
qui en découlent. Elle doit permettre une lecture rapide et une prise de connaissances de tenants et
des aboutissants de la mission en quelques minutes.
Constats Recommandation Plan d’action Suivi de la recommandation

1.
2.
3.
4.
5.
159
EXEMPLE DE RAPPORT D’AUDIT (2)
Internal Audit RAPPORT D’AUDIT Réf.

Department
Rapport définitif Date
Revue du processus achat, gestion de l’encours fournisseurs,

Périmètre de l’audit
décaissements
Entité auditée Site AA
Publication : Ce rapport contient les constats et recommandations effectués par l’audit interne à la
suite de la mission réalisée sur le site de AA ainsi que le plan d’action de l’équipe de direction du site
de AA. Cette dernière est responsable de la mise en œuvre du plan d’action.
Pour action :
M.TTT Directeur Général Site AA
Mme ABC Directeur des achats Site AA
M. CVB Directeur financier Site AA
Pour information :
M.GGG Directeur Général Groupe
M.PPP Directeur financier Groupe
M.EEE Directeur des achats Groupe
1 Périmètre, objectifs et méthodologie de l’audit :
L’audit réalisé sur le site de « AA » avait pour objectif de s’assurer de la fiabilité des
mécanismes de contrôle interne et en particulier de vérifier que :
• les processus sont gérés efficacement ;
• les résultats financiers reflètent précisément les opérations ;
• les procédures internes, les lois et règlement applicables sont respectés.
La mission d’audit a porté sur la revue :

• de la gestion des achats ;
• de la gestion des stocks de matières premières ;
• des mécanismes de décaissement ;
• du suivi de l’encours fournisseur.
1 La mission a été réalisée entre le 15 Septembre et le 1er Novembre par les auditeurs « XXX »
et « YYY » sous la responsabilité du responsable de l’audit interne « ZZZ ».
160
Cette mission a été réalisée conformément aux Normes Professionnelles pour la pratique de
l’audit interne et s’inscrivait dans le plan annuel d’audit approuvé par le comité d’audit.
La mission s’est déroulée en trois étapes principales :

161
4 Revue détaillée des processus
Fiche 1- Processus
Description du processus :
Notre revue du processus xxx nous a d’en identifier les principales étapes :
• xxxx
• xxxx
• xxxx
Les risques :
L’entreprise et la gestion actuelle du processus génère les risques suivants pour l’entité:
• xxxx
• xxxx
Les recommandations de l’audit interne
Compte tenu de ces risques, l’audit interne préconise de mettre en œuvre les
recommandations suivantes :
Pour action : Responsable du département Délais
• xxxx
• xxxx
• xxxx
Criticité
1. Amélioration mineure
2. Renforcement des processus existants
3. Action critique à mettre en œuvre en urgence
Les commentaires de l’entité auditée
Acceptation: Oui
Non
Engagement sur les délais de mise en œuvre des recommandations :
162
ANNEXE 11: TABLE DE NIVEAU
Nombre Taille de l’échantillon pour une précision de :

d’éléments de la ± 0,5 % ± 1% ± 2% ± 3%
population
Niveau de confiance : 95%
200 97 59
300 116 66
400 128 70
500 137 72
1 000 430 158 78
1 500 501 167 80
2 000 547 172 81
2 500 579 175 81
3 000 1 503 602 177 82
3 500 1 619 620 179 82
4 000 1 718 634 180 82
4 500 1 804 645 181 82
5 000 1 880 654 182 83
6 000 2 005 669 183 83
7 000 2 106 680 183 83
8 000 2 188 688 184 83
9 000 2 257 695 184 83
10 000 2 315 700 185 83
15 000 2 508 717 186 84
20 000 2 664 726 186 84
25 000 2 688 731 187 84
50 000 2 840 742 188 84
100 000 2 924 747 188 84
Niveau de confiance : 99%

200 84
300 98
400 180 107
500 197 113
1000 246 127
1500 697 268 132
2000 788 280 135
2500 856 289 137
L’auditeur peut utiliser d’autres tables et moyens pour la détermination de la

taille de l’échantillon à condition de les faire valider par le chef de mission
163
ANNEXE 12: Table de nombres au hasard
Colonne (1) (2) (3) (4) (5) (6) (7) (8) (9) (10)
ligne
1 10480 15011 01536 02011 81647 91646 69179 14194 62590 36207
2 22368 46573 25595 85393 30995 89198 27982 53402 93965 34095
3 24130 48360 22527 97265 76393 64809 15179 24830 49340 32081
4 42167 93093 96243 61680 07856 16376 39440 53537 71341 57004
5 37570 39375 81837 16656 06121 91782 60468 81305 49684 60672
6 77921 06907 11008 42751 27756 53498 18602 70659 90655 15056
7 99562 72905 56420 69994 98872 31016 71194 18738 44013 48840
8 96301 91977 05463 07972 18876 20922 94595 56869 69014 60045
9 89579 14342 63661 10281 17453 18103 57740 84378 25331 12566
10 85475 36857 53342 53988 53060 59533 38867 62300 08158 17983
11 28918 69578 88231 33276 70997 79936 56865 05869 90106 31595
12 63553 40961 48235 03427 49626 69445 18663 72685 52180 20847
13 09429 93969 52636 92737 88974 33488 36320 17617 30015 08272
14 10365 61129 87529 85689 48237 52267 67689 93354 01511 26358
15 07119 97336 71048 08178 77233 13916 46564 81056 97735 85977
164
ANNEXE 13: FLOW-CHART
Dans un esprit d’harmonisation, il faut utiliser les symboles

usuels indiqués ci-dessous :
Document : facture, carte de pointage, bulletin de paie,

pièce de caisse…
Document récapitulatif : état, tableau, feuille journalière

de caisse.
Etablissement d’une liasse.
Lettre dans le triangle

Classement définitif
définit le mode de
classement :
-a : alphabétique,
Classement provisoire
-n : numérique,
-c : chronologique.
Circulation physique d’un document.
Circulation d’information.
Base de données.
Alternative ou test / Décision ou choix à faire
Opération administrative effectuée : contrôle / vérification.
Données
165
TABLE DES ABREVIATIONS
AMACI Association Marocaine des Auditeurs Consultants Internes
IFACI Institut Français des Auditeurs Consultants Internes
IIA Institute of Internal Auditors
PME Petites et Moyennes Entreprises
UFAI Union Francophone de l’Audit Interne
ECIIA Confédération Européenne des Instituts d’Audit Interne
COSO Committee of Sponsoring Organizations
Organisation Internationale des Institutions Supérieures de

INTOSAI
Contrôle des Finances
IGF Inspection générale des finances
FERMA Federation of European Risk Management Associations
FRAP Feuille de révélation et d’analyse des problèmes

Publiques
166
BIBLIOGRAPHIE
ETUDES, SEMINAIRES, COLLOQUES ET PUBLICATIONS DIVERSES
- Séminaire de formation de Francis Lefebvre (Nov-2008) « Risk Management »

Séminaire.
- IFACI–Paris, (2007) « Le dispositif de Contrôle Interne : Cadre de référence »
Travaux de recherche.
- IFACI (2005) « Etude comparative des pratiques de l’audit interne » Etude
- Jean-Baptiste Carpentier, Inspecteur des finances Ministère de l’économie,
des finances et de l’industrie, France, « L’audit interne et les corps
d’inspection » Etude
- OCDE L’Observateur, (2005) « La modernisation du secteur public :
moderniser la responsabilité et le contrôle » Synthèses de l’OCDE
- The Institute of Internal Auditors, IIA (2006) « Le rôle de l’audit dans la
gouvernance du secteur public » Revue
- Euromed Marseille- Ecole de Management, (2007) « Audit Interne et
Gouvernance d’Entreprise : Lectures Théoriques et Enjeux Pratiques » Cahier
de Recherche
- A. TALBI (2005) « Contrôle financier et gouvernance des entreprises publiques
au Maroc », Rencontre MENA – OCDE
- A. TALBI, (1993). « L'audit dans le secteur public », séminaire de l'AMACI
- Ministère de l’économie et des Finances , (2009) « Rapport sur le secteur des
établissements et entreprises publics», Rapport
- IFACI, (2005) « Résultat de l’enquête sur la pratique de l’audit interne en
France en 2005 » Enquête
- IFACI & Robert Half, (2009) « Enquête sur les métiers de l’audit et du contrôle
Internes» Enquête
- Les cahiers de la recherche IIA & IFACI, (2008) « L’audit interne en France et
dans le monde : Points de repères et tendances du CBOK », Recherches
- Ernst & Young, (2007) « Les pratiques de l’Audit interne dans les groupes
mondiaux et les spécificités françaises » Etude
- PROTIVITI, (2008) « Le Baromètre du Risk Management 2007 » Revue
- Ernst & Young, (2008) « La gestion des risques et le contrôle interne dans le
secteur public » Etude
- FERMA, (2003) « Cadre de référence de la gestion des risques » Revue
- KPMG Audit, (2006) « Exemple de cartographie des risques » Etude
- Ernst & Young, (2008) « « Vers une accélération de la mutation des
départements de l’audit interne ? Présentation des résultats de l’étude
mondiale Ernst & Young sur les pratiques de l’audit interne » Etude
- MOUAFFAK, M. (2002) « Réforme des établissements et des entreprises
publics Contrôle à plusieurs vitesses, Maroc Hebdo International - N°507
- Ministère des finances et de la privatisation. – BOUSSAID. M – (2005) « Le
rôle du contrôle et l’audit des services publics dans un système national
d’intégrité public ». Journée d’étude
- AMACI, (2005) « le rôle de l’audit interne dans les établissements publics »
Rencontre MENA-OECD
- CHRISTELLE, P (2002) article « L'audit interne : réforme ou révolution ».
KINNOCK, Neil (2002) « La maîtrise des risques dans le secteur public : à la
commission européenne, une réforme administrative d'ensemble inclut la mise
167
en place du contrôle interne et la création de structures d'audit interne »

Article
OUVRAGES
- RENARD, J et CHAPLAIN, J-M (2006) «Théorie et pratique de l’audit interne »,

6ème édition Editions d’organisation.
- SCHICK P, (2007) « Mémento d’audit interne », Dunod, Paris
- IFACI, PriceWaterhouseCoopers et Landwell (2005) « Le management des
risques de l'entreprise. Cadre de référence - Techniques d'application - COSO
II Report », Edition d’organisation
- Lemant, O. (1999) « Créer, organiser et développer l'Audit Interne ».
- IFACI - Institut de l'Audit Interne (2009) « Normes Professionnelles de l'Audit
Interne »
- BARBIER, E. (2001) « Mieux piloter et mieux utiliser l'audit, l'apport de l'audit
aux entreprises et aux organisations ».
- LEMANT, O (1995) « La conduite d'une mission d'audit interne : méthodologie
élaborée par un groupe de recherche » Paris : Dunod.
- RENARD, J (2002) « Audit Interne : ce qui fait débat » Editions d’organisation.
- ARRIGNON, J-L – LESNE, C. (2001) « Evaluation de la compétence dans la
pratique de l'audit interne ».
- FACI – PwC (2002) « L'efficacité des Comités d'Audit : Les meilleures
pratiques ».
- EBONDO WA MANDZILA,E, (2006) « La gouvernance de l’entreprise : une
approche par l’audit interne et le contrôle interne », L’Harmattan
MEMOIRES
- ZIRARI, E (2006). « Apport de la circulaire N°6 de Bank AL Maghrib et ses

incidences sur l’organisation et l’audit des établissements de crédit », mémoire
d’expertise comptable, Maroc.
- ALBI Mohamed As said (2007). « L’entreprise Marocaine soumise à la loi
Sarbanes-Oxley : Proposition d’une démarche pour assister l’entreprise à
évaluer son contrôle interne à l’égard de l’information financière
conformément à cette loi », mémoire d’expertise comptable, Maroc.
- Mlle Siham SAMHANE (2007) « L’élaboration d’une cartographie détaillée des
risques spécifiques au secteur du transport maritime Marocain. Cas du
transport des marchandises (CARGO) », mémoire d’expertise comptable,
Maroc.
- ZEMRANI, M. (2003). « Normalisation comptable et spécificités des

établissements publics à caractère administratif : cas des offices régionaux de
mise en valeur agricole ORMVA », mémoire d’expertise comptable, Maroc.
- EL BITAR, A. (2006). « Approche d’audit au sein d’une concession de service
public : illustration d’un service de distribution d’électricité, d’eau et
d’assainissement », mémoire d’expertise comptable, Maroc.
- MAKHLOUF, A. (2001). « Audit interne des entreprises publiques, réalités et
perspectives », mémoire d’expertise comptable, Tunisie.
- WANE, O. (2007). « L'audit interne de la fonction achat dans une entreprise
de BTP : cas de la CSE (Compagnie Sahélienne d'Entreprises) » mémoire de
Maîtrise Professionnalisée de Gestion des Entreprises et des Organisations
CESAG Dakar Sénégal.
168
- BLAZY, S (2004). « L’audit interne : une nouvelle mission de conseil pour

l’expert-comptable- proposition d’une méthodologie illustrée », mémoire
d’expertise comptable, France.
TEXTES OFFICIELS
- Lettre Royale - Août 1993 relative à la soumission des établissements publics

et les administrations à l’audit.
- Circulaire du 1er ministre – Septembre 1993 relative à la création de
départements d’audit interne au sein des établissements publics à caractère
industriel et commercial.
- Décision n° DPE 113/70/16 – 23 Septembre 1993 organisant la fonction
d’audit des entreprises publiques.
- Dahir N° 1-59-271 - 14 Avril 1960 instituant le cadre légal du contrôle
financier de l’Etat sur les entreprises publiques
- Dahir N° 1-59-271 - 14 Avril 1960 instituant l’inspection générale des
finances. I.G.F
- Dahir N° 1-62-270 - 14 Avril 1960 instituant une commission nationale des
comptes, modifié par le dahir N)1-62-96 du 30/06/1962.
- Loi relative à l’institution de la Cour des Comptes et des Cours des Comptes
Régionales.
- Loi n°17/95 relative aux Sociétés Anonymes.
- Circulaire n°6 du Gouverneur de Bank Al Maghrib imposant aux établissements
de crédit la mise en place d’un système de Contrôle Interne formalisé et la
création d’un organe de contrôle.
- Loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises
publiques et autres organismes.
- Manuel des normes Marocain : Audit légal et contractuel
SITES INTERNET
- www.theiia.org IIA – Institut of Internal Auditors, Etats-Unis

- www.finance.gov.ma ministère des finances
- www.ifaci.com « IFACI : Institut Français de l'Audit et du Contrôle Internes »
- www.oecd.org « AMACI – Maroc : Institut des Auditeurs Internes
169
LEXIQUE
Secteur public ‫ا ع ام‬
Contrôle Financier de l’Etat

‫اا
ا
و‬
Réforme du Contrôle Financier

‫ اا
ا‬
Etablissement public

Entreprise publique

‫ و‬
Conseil d’administration ‫" ! ا دارة‬
Autorité publique
‫ا
ا‬
Normes d’audit #$‫ا ا‬
Référentiel d’audit #$‫

ا‬%‫'&م ا‬
Circulaires ()‫ا‬
Arrêté ‫م‬
Comité d’audit *+,‫)

ا‬-
Audit interne . /‫* اا‬+,‫ا‬
Audit externe .%‫ر‬0‫* ا‬+,‫ا‬
Audit des performances 12$)‫ (ات ا‬#
Audit Financier 4‫ ا‬#$‫ا‬
Audit Opérationnel . ‫ ا‬#$‫ا‬
Organe d’administration ‫ة ا دارة‬56%‫أ‬
Organe de direction 8$‫ة ا‬56%‫أ‬
170
Compétence ‫ رة‬-‫ءة‬,‫آ‬
Indépendance
; $<‫ا‬
Secret professionnel =6‫ا ا‬
Commissaire aux comptes ‫ا@ ا?>ت‬
Méthodologie
A6)
Société anonyme
B
‫(آ‬
Organisation C&)
Partenaires ‫(آء‬
Prise de connaissance 4‫;ع أو‬D‫ا‬
Système de contrôle
‫'&م اا‬
Système de contrôle interne

/‫'&م اا
اا‬
Environnement de contrôle
‫ ام ا‬EF‫ا‬
Patrimoine

‫ذ‬
Approbation
H‫ا‬
Approche 1I
Analyse des risques DJ‫ ا‬K
Evaluation des risques DJ‫ ا‬C
Identifier, mesurer, surveiller, l’ensemble DJ‫ ا‬LM

>‫ ور‬،‫ س‬،K
des risques
Risques de marché ‫ اق‬DQ
Risques opérationnels RS$‫ ا‬DQ
171
Conformité
>‫ا‬
Rentabilité
‫دود‬
Recommandations ‫ت‬T$‫ا‬
Etats de synthèse
‫آ‬U‫ ا‬C2‫ا ا‬
Régularité
''
Significatif ‫دال‬
Régularité des comptes ‫ ا?>ت‬C&)
Sincérité des comptes ‫ ا?>ت‬W

‫د‬X‫ا‬
Recherche YZ
Prudence
[
Organisation financière et Comptable \]‫ و‬4 ‫'&م‬
Rapport d’audit ‫ ا?>ت‬#
172
PLAN DETAILLE
INTRODUCTION……………………………………………………………………………………………. 3
PREMIERE PARTIE: PRATIQUES ET MISE EN PLACE

DE L’AUDIT INTERNE………………………………………………………………………………… 8
CHAPITRE I : DEFINITION DE L’ACTIVITE DE L’AUDIT
INTERNE…………………………………………………………………………………. 9
SECTION 1 : L’évolution historique et les objectifs de l’audit

Interne………………………………………………………………………………………… 9
1. L’évolution historique de l’audit interne…………………………………………………… 9

1.1. L’évolution de la fonction………………………………………………………………… 9
1.2. L’évolution au Maroc du contexte juridique……………………………………. 10
1.2.1. L’audit des entreprises et organismes publics …………………. 11
1.2.2. La reforme du contrôle financier des entreprises et
organismes publics……………………………………………………………… 11
2. Les objectifs et la charte d’audit…………………………………………………………………. 13
13
2.1. Les objectifs……………………………………………………………………………………… 14
2.2. La charte d’audit interne…………………………………………………………………. 14
2.2.1. Rôle de la charte d’audit……………………………………………………… 15
2.2.2. Contenu de la charte d’audit……………………………………………….
16
SECTION 2 : Concept et standards……………………………………………………….
16
1. Définition…………………………………………………………………………………………………………… 16
2. Le cadre de référence de l’audit interne…………………………………………………… 17
2.1. Le code de déontologie…………………………………………………………………… 17
2.1.1. L’intégrité……………………………………………………………………………. 17
2.1.2. L’objectivité…………………………………………………………………………. 17
2.1.3. La confidentialité…………………………………………………………………. 18
2.1.4. La compétence……………………………………………………………………. 18
2.2. Les normes pour la pratique professionnelle………………………………... 18
2.1.5. Les normes de qualification……………………………………………….. 19
2.1.6. Les normes de fonctionnement………………………………………….
CHAPITRE II : LES FONCTIONS VOISINES DE L’AUDIT 22

INTERNE.........................................................
22
SECTION 1 : Les partenaires externes………………………………………………….
22
1. Relation avec l’audit externe………………………………………………………………………. 23
1.1. Relations avec l'auditeur externe……………………………………….........
1.2. Prise de connaissance et évaluation préliminaire des travaux de 23
l'audit interne………………………………………………………………………………..
173
1.3. Liaison et coordination avec l'audit interne………………………………… 24

1.4. Evaluation des travaux de l'audit interne…………………………………… 24
2. Relation avec le consultant externe………………………………………………………….. 26
SECTION 2 : Les partenaires internes……………………………………............. 28
1. Relation avec le contrôle de gestion…………………………………………………………. 28

2. Relation avec l’inspection générale……………………………………………………………. 30
3. Relation avec le risk-management……………………………………………………………. 31
SECTION 3 : Les partenaires publics……………………………………………………. 34
1. Le contrôle financier………………………………………………………………………………………. 34
2. L’inspection générale des finances…………………………………………………………….. 35
3. La cour des comptes………………………………………………………………………………………. 37
CHAPITRE III : LES PREALABLES A LA CREATION

DE LA CELLULE D’AUDIT INTERNE………………………………………………. 39
SECTION 1 : Périmètre d’intervention de l’audit interne………………… 40
1. Identification des attentes et objectifs de la mission…………………………… 40

2. Etablissement du plan stratégique……………………………………………………………. 42
2.1. Les objectifs attendus de l’audit interne dans le temps………………. 43
2.2. L’organisation de la fonction d’audit interne dans le temps……….. 43
2.3. Le plan de communication aux parties prenantes……………………….. 43
SECTION 2 : Le plan d’audit et l’organisation des moyens……………… 44
1. Evaluation des risques et plan d’audit……………………………………………………… 44

2. Etablissement des budgets à un moyen terme.…………………………………….. 44
2.1. Construction à partir des besoins…………………………………………………… 44
2.2. Prise en compte de tous les facteurs……………………………………………… 45
2.3. Procéder à un arbitrage………………………………………………………………….. 45
3. Démarrage des travaux………………………………………………………………………………… 45
4. Identification des compétences………………………………………………………………… 46
5. Développement des performances techniques………………………………………. 46
SECTION 3 : La communication et les résultats de l’audit interne… 48
1. Elaboration d’un axe de communication…………………………………………………. 48

1.1. Communication de la direction pour le lancement de la fonction… 48
1.2. Communication de l’audit interne vers la direction générale………… 48
1.3. Communication de l’audit interne vers les audités……………………….. 48
2. Mesure des résultats…………………………………………………………………………………….. 49
2.1. Degré de réalisation du plan d’audit……………………………………………… 49
2.2. Suivi des recommandations……………………………………………………………. 49
2.3. Satisfaction des audités………………………………………………………………….. 50
2.4. Indicateurs de mesure…………………………………………………………………….. 50
2.5. Evaluation des performances…………………………………………………………. 50
174
DEUXIEME PARTIE : METHODOLOGIE DE CREATION

DE LA FONCTION ET MISE EN PLACE DES OUTILS
DE L’AUDIT INTERNE……………………………………………………………… 52
CHAPITRE I : L’ORGANISATION D’UN SERVICE D’AUDIT

INTERNE……………………………………………………………………. 53
SECTION 1 : Positionnement de l’audit interne……………………….......... 53
1. Le rattachement hiérarchique de l’audit interne…………………………….…… 54

2. Le rattachement fonctionnel de l’audit interne……………………………………. 55
SECTION 2 : Dimensionnement de l’audit interne.......................... 57
1. L’organisation du service d’audit Interne………………………………………………. 57

1.1. La structure de l’audit interne………………………………………………………. 57
1.2. Le comité d’audit…………………………………………………………………………… 61
1.1.1. Cadre juridique…………………………………………………………………… 61
1.1.2. Organisation et fonctionnement………………………………………… 62
2. Evaluation des ressources disponibles……………………………………………………. 64
2.1. Les moyens humains…………………………………………………………………….. 64
2.1.1. Le comportement des auditeurs internes………………………….. 65
2.1.2. la gestion des auditeurs internes……………………………………….. 67
2.1.3. La sous-traitance………………………………………………………………… 69
2.2. Les moyens matériels……………………………………………………………………. 70
2.1.4. Outils informatiques……………………………………………………………. 70
2.1.5. Supports et dossiers de travail…………………………………………… 71
CHAPITRE II : MISE EN PLACE D’UNE METHODE DE GESTION

ET ANALYSE DES RISQUES…………………………………. 75
SECTION 1 : Les différentes étapes du processus de gestion des

Risques………………………………………………………………………………… 75
1. Pratiques d’analyse des risques………………………………………………………………. 75

1.1. Contrôle interne et audit interne…………………………………………………. 76
1.2. Rôles de l’auditeur interne dans la gestion des risques……………… 76
2. L’identification des risques……………………………………………………………………….. 77
2.1. définition du périmètre d’étude……………………………………………………. 78
2.1.1. Critère de choix de la méthode………………………………………….. 78
2.1.2. Mise en application de l’approche par processus………………. 79
2.2. Définir une typologie de risque…………………………………………………… 81
2.3. Affectation des risques………………………………………………………………… 82
2.1.3. Risques inhérents à l’entreprise publique………………………….. 83
2.1.4. Risques liés à l’environnement de contrôle……………………….. 86
SECTION 2 : Cartographie des risques et plan d’audit interne....... 88
1. L’élaboration d’une cartographie des risques : méthodologie…………. 88

1.1. Analyse des risques………………………………………………………………………. 88
175
1.1.1. L’évaluation des risques……………………………………………………… 88

1.1.2. l’analyse des actions de maîtrise des risques…………………… 91
1.2. La cartographie des risques dans la démarche de l’auditeur interne 94
1.2.1. Intérêt d’élaboration d’une cartographie des risques……… 94
1.2.2. Finalité de la cartographie des risques en audit interne…. 95
2. L’élaboration du plan d’audit............................................................ 99
2.1. L’intérêt du plan d’audit………………………………………………………………….. 100
2.2. La préparation du plan d’audit………………………………………………………… 101
2.3. Le suivi du plan d’audit……………………………………………………………………. 103
CHAPITRE III : METHODOLOGIE DE MISSION………………………….. 105
SECTION 1 : La conduite d’une mission d’audit interne…………………… 105

1. La phase de préparation……………………………………………………………………………. 105
1.1. l’ordre de mission………………………………………………………………………………. 105
1.2. Rapport d’orientation…………………………………………………………………………. 106
1.3. Programme de vérification………………………………………………………………… 106
2. La phase de réalisation………………………………………………………………………………. 107
2.1. Réunion d’ouverture………………………………………………………………………….. 107
2.2. Feuille de couverture…………………………………………………………………………. 108
2.3. Feuille de révélation et d’analyse des problèmes (FRAP)……………….. 108
3. La phase de conclusion………………………………………………………………………………. 110
3.1. Réunion de clôture…………………………………………………………………………… 110
3.2. Rapport d’audit…………………………………………………………………………………… 110
SECTION 2 : Les outils d’audit interne…………………………………………………. 112

1. La phase de préparation…………………………………………………………………….……… 112
1.1. Le questionnaire de prise de connaissance……………………………………… 112
1.2. Le tableau des risques……………………………………………………………………….. 112
2. La phase de réalisation……………………………………………………………………………… 113
2.1. Le questionnaire du contrôle interne………………………………………………… 113
2.2. Les sondages……………………………………………………………………………………. 114
2.2.1. Détermination de la taille de l’échantillon………………………… 114
2.2.2. Modalités de prélèvement des tests………………………………….. 114
2.3. Les interviews………………………………………………………………………………….. 114
2.4. La narration……………………………………………………………………………………….. 115
2.5. L’observation physique……………………………………………………………………… 115
2.6. Les grilles d’analyses des tâches………………………………………………………. 115
2.7. Diagramme de circulation…………………………………………………………………. 116
2.8. Les outils informatiques d’analyse et d’extraction des données……. 117
2.9. Vérifications diverses…………………………………………………………………………. 117
2.9.1. L’examen analytique………………………………………………………….. 117
2.9.2. L’examen des documents………………………………………………….. 118
2.9.3. Les contrôles par recoupement…………………………………………. 118
CONCLUSION…………………………………………………………………………… 120
ANNEXES……………………………………………………………………………………. 127
TABLE DES ABREVIATIONS…………………………………………………… 166
BIBLIOGRAPHIE………………………………………………………………………. 167
LEXIQUE……………………………………………………………………………………. 170
PLAN DETAILLE………………………………………………………………………… 173
176
177

Mise en Place D Une Cellule D Audit Interne Au Sein de L Entreprise Publique PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mise en Place D Une Cellule D Audit Interne Au Sein de L Entreprise Publique PDF

Transféré par

Droits d'auteur :

Formats disponibles

Institut Supérieur de Commerce et d’Administration des Entreprises

DIPLOME NATIONAL D’EXPERTISE

Mémoire pour l’obtention

MISE EN PLACE D’UNE CELLULE

Présenté par : Moncef BELOULIED

Je tiens à remercier ma mère et mon épouse pour leur soutien moral,

Mes remerciements vont particulièrement :

Aux Membres du Jury

PREMIERE PARTIE: PRATIQUES ET MISE EN PLACE

CHAPITRE I : DEFINITION DE L’ACTIVITE DE L’AUDIT INTERNE… 9

CHAPITRE II : LES FONCTIONS VOISINES DE L’AUDIT INTERNE…. 22

CHAPITRE III : LES PREALABLES A LA CREATION

DEUXIEME PARTIE : METHODOLOGIE DE CREATION

CHAPITRE I : L’ORGANISATION D’UN SERVICE D’AUDIT INTERNE 53

CHAPITRE II : MISE EN PLACE D’UNE METHODE DE GESTION

CHAPITRE III : METHODOLOGIE DE MISSION……………………………………105

D’une manière générale, il peut être défini comme la vérification de l’information

La grande diversité dans la pratique de l’audit a entraîné l’extension de cette

L’extension au secteur des entreprises publiques a connu une évolution

Dans un environnement de plus en plus complexe et en perpétuel changement,

Par ailleurs, la modernisation de la gestion des entreprises publiques ne pouvait

Ainsi plusieurs textes, notamment la circulaire et les décisions ministérielles de

Dans cette perspective, la loi 69-00 entrée en vigueur en 2004, relative au

La loi prévoit que les organismes soumis au contrôle d’accompagnement doivent

- Un manuel décrivant les procédures de fonctionnement des structures et de

Les déclarations gouvernementales soulignent l’engagement constant du

Les efforts déployés ont porté essentiellement sur la modernisation du contrôle

Parallèlement un programme de révision des structures et des méthodes de

S’agissant d’un secteur complexe, régi par un dispositif légal et réglementaire

Le présent mémoire se propose d’apporter sa contribution à cette assistance à

Ce mémoire, qui a surtout pour objectif de proposer la mise en place d’une

La première partie du sujet permet de situer l’entreprise publique dans son

différents préalables et étapes de conception de la fonction en se référant aux

L’action de l’administration publique dorénavant régie par une vigilance accrue

L’exigence de l’Etat pour la transparence de la gestion des deniers publics et

Les évaluations de ces dispositifs par l’audit interne contribuent au respect et à la

Les thèmes proposés par la seconde partie portent sur le fonctionnement et

Cette partie est également consacrée à l’élaboration des méthodologies,

Les dirigeants, conscients de la menace doivent repenser un « cadre de

Les méthodes de gestion des risques classiques sont devenues insuffisantes et

Cette partie incite le management des organisations publiques (directeurs

Sommairement le mémoire démontre comment l’audit interne trouve sa

L’autre but à atteindre est de sensibiliser les organes délibérants et conseils

Mais le principal objectif assigné est le développement de l’audit interne au Maroc

Organisé avec méthode et rigueur, agissant selon un système de pensée

Les référentiels internationaux sont utilisés pour développer une pratique

SECTION 1 : L’évolution historique et les objectifs

1. L’évolution historique de l’audit interne

1.1. L’évolution de la fonction

La réorientation de l’audit interne vers les domaines de gestion autres que

de marque et à prendre de l’importance. Parmi les autres facteurs qui ont

Ainsi apparut le statut de l’auditeur interne qui a vu ses attributions progresser

L’intégration de l’audit interne dans la culture de l’entreprise et la vocation de

La pratique va s’étendre simultanément à tous les pays. En France, la fonction

Au Maroc, l’introduction de l’audit a commencé avec l’implantation des grandes

1.2. L’évolution au Maroc du contexte juridique

qu’un début de structuration voit le jour à travers notamment la constitution des

1.2.1. L’audit des entreprises et organismes publics

L’audit des entreprises et organismes publics a connu un développement certain,

Au cours des années 2000 et 2001, cette dynamisation s’est concrétisée - en

1.2.2. La reforme du contrôle financier des entreprises

C’est la réforme du contrôle financier qui a permis de franchir un saut qualitatif.

Concernant l’application du contrôle d’accompagnement, qui traite de l’audit