Audit interne

CHAPLAIN J-M.

N° de matricule : N° 2052018

Date : Le 29/04/2021
1) Normes d’audit interne :

L’indépendance fait partie des dispositions obligatoires de la fonction, elle est ainsi édictée
dans les dix principes fondamentaux de la fonction.
Nous pouvons distinguer deux principes sur l’indépendance ; l’indépendance du service dans
l’organisation et l’indépendance par la pratique de l’objectivité.
Pour garantir une indépendance, les normes établissent le sens à donner au mot et les
dispositions à respecter afin de la garantir.
Les normes expliquent ainsi, que le service d’audit interne, doit être rattaché à un niveau de
l’organisation qui lui permette d’exercer ses responsabilités. Autrement dit, l’audit interne
doit être rattaché au plus haut niveau possible de l’organisation et que celui-ci doit pouvoir
communiquer directement avec le conseil ou le comité d’audit s’il existe.
L’audit interne, dans la réalisation de ses fonctions, ne doit subir aucune ingérence.
Le responsable de l’audit interne doit garantir chaque année, au conseil, l’indépendance de
l’audit interne dans l’organisation.
Il ne saurait y avoir d’indépendance s’il n’y a pas non plus d’objectivité. Le code de
déontologie énonce donc un principe d’objectivité, que chacun des auditeurs doit respecter,
grâce notamment à des méthodes de travail rigoureuses aidant à l’impartialité.
Il est donc porté à l’attention des auditeurs les critères d’atteintes de l’objectivité. Il convient
d’être intransigeant quant au conflit d’intérêt. Un auditeur ne saurait être missionné sur un
audit d’assurance d’une fonction dont il exerçait la responsabilité il y a moins d’un an. Nous
pouvons observer ici, que la durée d’un an permet, théoriquement, que des changements
importants est lieu sur cette fonction. Dans la réalité cette durée peut sembler courte.
Une norme fait état du rôle du responsable d’audit interne en dehors de l’audit interne.
Cette norme ouvre la porte a ce que le responsable de l’audit interne se voit confier des
missions qui dérivent de celle de l’audit interne et pourrait mener à terme à des problèmes
d’objectivité.

2
2) Contrôle interne
Afin de garantir une démarche structurée, systématique et permettant au maximum d’éviter
des oublis, nous pouvons nous appuyer sur le référentiel bien connue du COSO 2.
Celui-ci décrit en effet le management des risques au travers de 5 grandes étapes pouvant
s’appliquer du niveau global de l’entreprise jusqu’à chaque fonction la composant, pour tous
les objectifs de l’organisation.
Ces étapes sont les suivantes :
- Environnement de contrôle
- Evaluation des risques
- Activités de contrôles
- Information et communication
- Suivi des activités

a) Environnement de contrôle
La première étape consiste à définir l’environnement de contrôle. Celui-ci contient les
éléments suivants ; gouvernance, objectifs, intégrité et éthique, philosophie des dirigeants et
style de management, organisation et délégation des pouvoirs, compétence du personnel et
politique RH. On constate donc bien évidemment que cet environnement est propre à
chaque entreprise et qu’il doit être bien compris avant de passer à l’étape suivante,
l’évaluation des risques.
b) Evaluation des risques
La seconde étape consiste en l’évaluation des risques. Il est possible de procéder par
workshop pour évaluer les risques. Nous pouvons ainsi réunir des membres des différentes
directions centrales et des opérationnels selon les besoins, les répartir en différent groupe et
essayer de créer une réflexion collective sur les grands risques de l’organisation.
Cette organisation de workshop demande quelques règles afin de garantir la bonne
implication des opérationnels, notons les plus importantes ;
- Définir la méthode et la formaliser.
- L’animateur doit être formé (audit interne, risk management, contrôle interne) et
neutre sur le contenu.
- Un temps de réflexion préliminaire doit être observer.
- Aucune des propositions ne doit être jugé, il faut seulement écouter et respecter les
apports de chacun.
- Compiler les apports de matière aussi neutre que possible.
- Produire un livrable et le diffuser à chacun des participants.
Une fois les risques identifiés, il sera possible de les évaluer et de les classer dans la matrice
des risques. Cette matrice nous indiquera quels risques semblent prioritaires, et nous
apporteront pour chacun d’eux une réponse adaptée. Les réponses possibles sont les
suivantes :

3
 - Acceptation du risque (selon l’appétence pour le risque de l’organisation),
- Réduction du risque par un meilleur contrôle interne
- Partage du risque
- Suppression du risque par l’arrêt de l’activité
Une fois cette politique définie, nous serons donc en mesure d’établir un plan d’audit qui
sera validé au niveau de la direction générale et du conseil.
c) Activités de contrôles
Les activités de contrôles s’inscrivent dans le déroulement de l’identification des risques. Ils
constituent les dispositifs mis en place spécifiquement afin de gérer les activités de
l’organisation. Ces dispositifs varient selon les organisations et permettent de faire échec
aux risques. L’ensemble de ses dispositifs permet de construire une « architecture », un
« réseau » de contrôle interne dont il faudra veiller à la cohérence de l’ensemble.
Afin d’identifier chacune des ces pratiques il est préconisé d’utiliser le tableau des risques.
Celui-ci décompose chaque processus ou fonction en tâches élémentaires auxquelles nous
pourrons affecter un objectif, des risques, une évaluation primaire du risque, le dispositif
que nous devrions trouver en face de ces risques et finalement l’indication de l’existence ou
non de ce dispositif.
d) Informations et communication
En plus, de communiquer sur les missions d’audit, il est essentiel de communiquer sur toute
la procédure de management des risques. La cartographie des risques et le plan d’audit
peuvent être de bon support afin diffuser une culture du risque et d’initier les opérationnels.
La diffusion de bonnes pratiques, de valeurs, de code de conduites est également
essentielle. Elle constitue un premier rempart aux risques et agit comme moyen de
prévention à l’instar de publicité sur la sécurité routière.
La communication interne doit être régie par des règles de fonctionnements internes.
La communication extérieure doit également être maîtrisé, certaines réglementations
imposent à des organisations de communiquer sur le dispositif de contrôle interne. Il faudra
donc veiller à ce que cette communication soit définie dans son contenu et ses modalités par
le conseil ou la direction générale.
e) Suivi des activités
Cette démarche de management des risques s’inscrit dans la durée. Il serait totalement
absurde de penser qu’une démarche de la sorte est efficace s’il n’est pas suivi dans le temps.
Plusieurs raisons peuvent expliquer ce besoin de suivi, celles-ci nous font revenir à la
première étape de notre démarche ; l’environnement de contrôle.
Celui-ci évolue en effet avec les organisations dans chacune leur mutation. Les activités, les
marchés, les cadres réglementaires, les dirigeants, les employés, les pratiques, toutes ces

4
choses évoluent dans le temps et il serait inopportun de penser que les risques n’évoluent
pas avec eux.
Le principal acteur de ce pilotage est le manager opérationnel lui-même. Le contrôleur
interne peut également intervenir en tant coordinateur mais il ne doit pas s’approprier ou se
substituer au manager dans la gestion de son contrôle interne.
Il est donc essentiel de renouveler sans cesse cette démarche et de la piloter afin de donner
une assurance raisonnable à l’organisation sur la bonne maîtrise de ses opérations.

5
3) Cartographie des risques et plan d’audit :
Un grand risque présent à l’hôpital et dont nous entendons quelques fois des échos est la
confusion des soins entre patient. Cela peut mener à de lourdes conséquences, comme par
exemple, l’amputation de la mauvaise personne.
Un second risque porterait sur le diagnostic des patients. En effet, une mauvaise évaluation
des pathologies peut conduire à de mauvais traitement qui pourrait se révéler grave pour le
patient et l’hôpital.
La fuite d’information est un risque essentiel pour l’hôpital. Le secret médical impose de
garder les informations médicales des patients en sécurité.
La sous-capacité de l’établissement peut également être évoqué. Le manque de personnel
ou de place disponible peut impacter directement la qualité des soins fournit au sein de
l’établissement. Il conviendra donc de s’assurer que l’organisation sera capable de répondre
aux situations auxquelles elle sera confrontée. On constate par ailleurs que ce risque semble
avoir été sous-évalué ou alors accepté dans le cas du COVID – 19.
Le dernier risque que j’évoquerais serait le manque de stock de produits permettant de
traiter les patients ou de les accueillir correctement. On pourrait alors prendre l’exemple des
masques chirurgicaux dans le cas de la crise liée au COVID – 19.

6
4) FRAP :
Problème : des défaillances dans la gestion du patrimoine de l’entreprise, stocks et
employés menacent de dégrader notre image et réputation auprès des clients.
Fait :
- Des anomalies de stocks sont constatées
- Le suivie des formations des caissières n’est pas disponible
- Un fort absentéisme du personnel de sécurité est constaté
- Peu de fiches d’incidents sont renseignées malgré les engagements qualité de la
chaîne.
- De nombreuses réclamations clients nous sont parvenues
Causes :
- Les salariés en CDI absent sont remplacés par des CDD non formé sur les
problématiques qualités et sécurité
- Le suivie des formations caissières n’est pas effectué ou les caissières n’ont pas suivi
de formation
- Les procédures de gestion des stocks et inventaires ne sont appliquées
Conséquences – risques :
- Mauvaise évaluation des stocks et inventaires conduisant à une mauvaise
comptabilisation
- Des personnes mal intentionnées peuvent en profiter pour voler dans les stocks
- L’image de l’entreprise est dégradée
- Les caissières ne sont pas formées aux risques de vols ce qui accroît la vulnérabilité
de l’entreprise
- Le personnel est démotivé ce qui accroît l’absentéisme
Recommandations :
- Revalider dans le détail les formations suivies par les caissières
- Former toutes les caissières aux risques de vols
- Mettre en place un document de suivi et une règle de suivi des formations
- Recentrer les activités de sécurité sur des emplois permanents