METHODOLOGIE ET

DEMARCHE DE L’AUDIT
INTERNE

Master CGAO – Cours magistral 4

Support du cours 2022-2023
J. Gelin
 SOMMAIRE
 1. Introduction à l’audit interne

 2. Le contrôle interne : exemple d’un référentiel

 3. Le modèle des 3 lignes et les acteurs

 4. L’établissement de la cartographie des risques

 5. Méthodologie de réalisation d’une mission d’audit

4. L’établissement de la cartographie
des risques
Les normes
Des lignes directrices sont données par le Cadre de Référence des Pratiques Professionnelles de l’audit interne
(CRIPP) sur la planification fondée sur une approche par les risques afin de définir des priorités cohérentes avec
les objectifs de l’organisation.

Norme 2010.A1 : Le plan d’audit interne doit s’appuyer sur une évaluation des risques documentée et réalisée au
moins une fois par an. Les points de vue de la direction générale et du Conseil doivent être pris en compte dans ce
processus.

Norme 2010.A2 : Le responsable de l’audit interne doit identifier et prendre en considération les attentes de la
direction générale, du Conseil et des autres parties prenantes concernant les opinions et d’autres conclusions de
l’audit interne.

Norme 2060 : Le responsable de l’audit interne doit rendre compte périodiquement à la direction générale et au
Conseil, des missions, des pouvoirs et des responsabilités de l’audit interne, du niveau de réalisation du plan
d’audit ainsi que de la conformité avec le Code de déontologie et les Normes. Il doit notamment rendre compte :
• des risques significatifs, y compris les risques de fraude, et des contrôles correspondants ;
• des sujets relatifs à la gouvernance et ;
• de tout autre problème nécessitant l’attention de la direction générale et/ou du Conseil.
Les objectifs d’une cartographie des
risques
Les travaux préparatoires

Formalisation
La notion de risque
Risque (source : normes IIA/IFACI)
« Possibilité que se produise un évènement qui aura un impact sur la réalisation des objectifs. »
Le risque se mesure en termes d’impact et de probabilité de survenance.

Le risque peut altérer :

• Le potentiel humain ;
• La capacité à respecter ses valeurs, l’éthique ainsi que les lois et réglementations en vigueur ;
• La capacité à atteindre ses objectifs et à accomplir sa stratégie, ses missions ;
• Les actifs et/ou les résultats financiers ;
• Un processus critique pour le déroulement de l’activité

Risque brut/Risque inhérent Risque net/Risque résiduel

Le risque brut ou inhérent est celui auquel l’organisation est
exposée en l’absence d’actions correctives du
management pour en modifier la probabilité
d’occurrence ou l’impact. Il est évalué dans un premier
temps.
Le risque net ou résiduel est celui qui subsiste après les
mesures prises par le management pour réduire
l'impact et la probabilité d'occurrence d'un
événement défavorable et, notamment, les dispositifs
de contrôle mis en place en réponse à un risque.
La notion de risque

Cause : L’analyse causale doit porter sur la/les cause(s) racine c’est-à-dire sur laquelle la mise en place d’un moyen
de maîtrise génère une amélioration durable. La cause peut être une absence ou une mauvaise maîtrise du processus,
la survenance d’un évènement externe ou l’évolution de l'environnement / du contexte.

Impact : Il s’agit des conséquences de la survenance d'un risque qui peuvent relever de plusieurs natures d’impact :
impact financier, impact règlementaire et juridique, impact sur la santé et sécurité des personnes, impact sur l'image
et la réputation.
L’impact d’un risque est exprimé sur une échelle comportant différents niveaux tels que : mineur, modéré, fort,
majeur.

Probabilité de survenance : Possibilité/probabilité qu'un risque se réalise. Elle est exprimée sous forme
d’estimation sur différents niveaux tels que : rare, possible, probable, très probable.
 Autres notions clés
Dispositifs de contrôle (source : normes IIA/IFACI)
Il s’agit de toutes les mesures prises par le management et d'autres parties afin de gérer les risques et d'accroître la
probabilité que les buts et objectifs fixés seront atteints. Les managers planifient, organisent et dirigent la mise en œuvre
de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints.
Selon l’IFACI, le terme "contrôle" ne doit pas être restreint à la notion d’activités de contrôle. Il concerne tout le dispositif de
contrôle interne qui "comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux
caractéristiques propres de chaque société qui contribue à la maîtrise des activités, à l’efficacité de ses opérations et à
l’utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée, les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité."

Dispositifs de maitrise des risques

Le dispositif de maîtrise des risques (DMR) est composé de tout élément de contrôle interne et externe permettant de
réduire le facteur de gravité du risque (protection) et/ou la probabilité de survenance d’un risque (prévention). Le DMR est
donc principalement composé de la culture de l’organisation (environnement de contrôle), de la structure organisationnelle,
du niveau de formation des collaborateurs, des procédures existantes, des contrôles (1er, 2ème, 3ème niveau) qu’ils soient
formalisés ou non. L’évaluation du DMR est exprimée sur une échelle comportant différents niveaux : absence de maîtrise,
maîtrise insuffisante, maîtrise limitée, maîtrisé.
 Autres notions clés
Elément de maitrise
(source : Cahier de recherche IFACI)
L’élément de maîtrise se définit comme le moyen
existant ou à mettre en place pour permettre de
réduire ou d’éliminer le risque.
Il peut porter aussi bien sur la fréquence que sur
l’impact du risque à titre préventif ou correctif. Ainsi,
à chaque risque est associé un ou plusieurs éléments
de maîtrise.
Il est entendu qu’un même élément de maîtrise peut
venir agir sur plusieurs risques.
Ces éléments de maîtrise sont constitués généralement de :
• Organigrammes ou structures clairement définis et formalisés ;
• Délégations de pouvoirs formalisées ;
• Missions, tâches données aux collaborateurs, séparation des
tâches ;
• Directives, consignes, règles écrites ;
• Manuels de procédures, modes opératoires ;
• Tableaux de bord ;
• Systèmes informatiques (droits et habilitations) ;
• Actions de vérifications : auto-contrôle, contrôle humain,
contrôle automatique.
 Autres notions clés

Cartographie des risques (source : Cahier de recherche IFACI)

La cartographie des risques est une démarche dynamique d’identification et d’évaluation des risques qui permet d’en
donner une représentation synthétique et visuelle. Elle constitue ainsi un outil de mise en évidence des risques à couvrir en
priorité.

La méthode d’élaboration de la cartographie se fait généralement selon deux approches :

• L’approche bottom-up, partant de l’analyse des processus et permettant de mettre en œuvre les dispositifs de maîtrise
des risques adéquats.
• L’approche top-down, partant de la vision du top management et permettant d’aboutir directement à une évaluation
des expositions majeures pour l’organisation.
Autres notions clés
Les étapes d’élaboration d’une
cartographie des risques

3. Evaluation des
2. Evaluation de 4. 5. Formalisation,
1. Identification dispositifs de
l’exposition aux Hiérarchisation validation et
des risques maîtrise des
risques et traitement mise à jour
risques
1. L’identification des risques
3. Evaluation des
2. Evaluation de 4. 5. Formalisation,
1. Identification dispositifs de
l’exposition aux Hiérarchisation validation et
des risques maîtrise des
risques et traitement mise à jour
risques

Lors d’entretien ou atelier

Sur la base d’une bibliothèque de risques/processus, sélection des risques applicables
aux processus/sous processus qui feront l’objet d’une cotation en termes d’impact et de
probabilité de survenance
Sur la base d’un référentiel de contrôle interne, l’entité identifie les dispositifs de
maîtrise de niveau 1 existants et associés aux risques applicables
2. L’évaluation des risques
3. Evaluation des
2. Evaluation de 4. 5. Formalisation,
1. Identification dispositifs de
l’exposition aux Hiérarchisation validation et
des risques maîtrise des
risques et traitement mise à jour
risques

Niveau d’exposition au risque :

L’entité doit systématiquement identifier son niveau d’exposition à chacun des risques
identifiés. Ce niveau d’exposition (ou criticité brute ou encore risque brut) est exprimée
sur une échelle comportant différents niveaux. Par exemple:
2. L’évaluation des risques
3. Evaluation des
2. Evaluation de 4. 5. Formalisation,
1. Identification dispositifs de
l’exposition aux Hiérarchisation validation et
des risques maîtrise des
risques et traitement mise à jour
risques

Calcul du risque brut :

 Les risques identifiés doivent systématiquement faire l’objet d’une évaluation. Pour évaluer le risque brut (c’est-
à-dire le niveau de risque avant prise en compte des dispositifs de maîtrise existants), il convient, pour chaque
risque ou scénario de risque, d’évaluer l’impact du risque et sa probabilité de survenance.

Impact du risque * Probabilité de survenance du risque = Risque brut

 La probabilité de survenance est exprimée sur une échelle comportant différents niveaux : rare, possible,
probable, très probable.
 Les conséquences de la survenance d'un risque s’évaluent selon différentes natures d'impact : financier,
santé/sécurité, réglementaire/juridique, image/réputation, etc.
 L’impact d’un risque est exprimée sur une échelle comportant différents niveaux : mineur, modéré, fort, majeur.
3. L’évaluation des dispositifs de
maîtrise des risques
3. Evaluation
2. Evaluation de 4. 5. Formalisation,
1. Identification des dispositifs
l’exposition aux Hiérarchisation validation et
des risques de maîtrise des
risques et traitement mise à jour
risques

 Le DMR est composé de tout élément de contrôles internes et externes permettant de réduire le facteur de
gravité du risque (protection) et/ou la probabilité de survenance d’un risque (prévention). Le DMR est donc
principalement composé de la culture de l’organisation (environnement de contrôle), de la structure
organisationnelle, du niveau de formation des collaborateurs, des procédures existantes, des contrôles (1er,
2ème, 3ème niveau) qu’ils soient formalisés ou non.

 Pour chacun des risques identifiés, il convient d’identifier le niveau de maturité du dispositif de maîtrise du
risque (DMR). Apposé au niveau de risque brut, le niveau de maturité du DMR permet de procéder à la
hiérarchisation et à la priorisation du risque.

 Ce niveau de maîtrise doit être systématiquement évalué sur différents niveaux

4. Hiérarchisation et traitement des
risques
3. Evaluation des
2. Evaluation de 4. 5. Formalisation,
1. Identification dispositifs de
l’exposition aux Hiérarchisation validation et
des risques maîtrise des
risques et traitement mise à jour
risques

 La matrice de risque brut présente les risques et leur
niveau d’exposition.
 Le niveau de risque brut est exprimé avant la prise en
compte du dispositif de maîtrise (DMR).
 La probabilité de survenance du risque est exprimé en
ordonnées et l’impact en abscisse.
 En fonction du nombre de risques, des besoins liés à
la présentation, il est possible d’opter pour une
présentation par risque, par famille de risque, par
thème etc.
 La matrice de risque net présente les risques et leur
niveau d’exposition résiduel.
 Le niveau de risque net est exprimé après la prise en
compte du dispositif de maîtrise (DMR).
 La matrice, qui peut être comparée à la matrice des
risques bruts pour montrer l’évolution risque
brut/risque net, ne peut être utilisée que si le niveau
du DMR est évalué de manière détaillée.
 En fonction du nombre de risques, des besoins liés à
la présentation, il est possible d’opter pour une
présentation par risque, par famille de risque, par
thème etc.
 4. Hiérarchisation et traitement des
risques

La matrice de criticité brute présente les risques bruts et La matrice de priorisation agrège le niveau de criticité
leur niveau d’exposition exprimé avant la prise en brute et le niveau de maîtrise du risque. Cette matrice
compte du dispositif de maîtrise (DMR). permet de prioriser le traitement des risques.
4. Hiérarchisation et traitement des
risques
Matrice de priorisation
 La matrice de priorisation agrège le niveau de criticité (donné par la
raciné carrée de la multiplication de l’impact et de la probabilité) et
le niveau de maîtrise du risque.
 La criticité de risque est exprimée en ordonnées, le niveau de
maîtrise (DMR) en abscisse. Cette matrice permet de prioriser le
traitement des risques. Comme la matrice de criticité brute, les
risques peuvent-être présentés individuellement regroupés par
famille ou thème.
 Risques à piloter : Les risques dont la criticité est élevée et dont le niveau de maturité du dispositif de
maitrise du risque (DMR) est faible doivent faire l’objet d’une attention prioritaire. Il convient de définir
sans délais et de mettre en œuvre des plans d’action permettant à l’entité de maitriser le niveau de
risque.
 Risques à contrôler : Les risques dont la criticité est élevée et dont le niveau de maturité du dispositif de
maitrise du risque (DMR) est élevé doivent également faire l’objet d’une attention particulière. Il convient
de s’assurer de la fiabilité du DMR, notamment en diligentant des missions d’audit ou de contrôle interne.
 Risques à surveiller : Les risques dont la criticité est faible et dont le niveau de maturité du dispositif de
maitrise du risque (DMR) est moyennement ou faiblement élevé doivent faire l’objet d’une surveillance
afin de s’assurer que les mesures de maitrises restent adaptées au niveau de criticité du risque.
 Risques à optimiser : Les risques dont la criticité est faible et dont le niveau de maturité du dispositif de
maitrise du risque (DMR) est élevé doivent faire l’objet d’une étude afin d’envisager des mesures
d’optimisation, par exemple en allouant la ressource à la maitrise de risques dont la criticité est plus
élevée.
4. Hiérarchisation et traitement des
risques
La finalité de la cartographie des risques opérationnels et des risques de corruption, une fois les risques identifiés, cotés et
hiérarchisés, est de permettre :

 De se positionner en matière de stratégie de traitement des risques,

 D’aboutir au lancement de plans d’actions dont le degré d’urgence dépend de la gravité et du niveau de maîtrise des risques
identifiés.

Les différentes stratégies de traitement des risques sont :

 Accepter les risques (prise en compte dans les décisions, surveillance)

 Réduire la survenance (sécuriser les process, augmenter les contrôles)
 Atténuer les impacts (se protéger, augmenter les contrôles, partager le risque)
 Supprimer le risque (abandonner, sous-traiter l’activité)
 Transférer (assurance, contrat)
 Optimiser (alléger les contrôles, modifier les processus)
4. Hiérarchisation et traitement des
risques
4. Hiérarchisation et traitement des
risques
 La mise en place de plan d’action

 Le recensement et la hiérarchisation des risques aboutissent à l’élaboration d’un plan d’action d’amélioration des dispositifs de
maîtrise des risques et il doit être régulièrement alimenté par les constats opérés par les acteurs du contrôle interne et les
auditeurs afin de garantir la pérennité des activités.
 Le plan d’action devra permettre de corriger les lacunes du dispositif de maîtrise des risques et ainsi limiter la probabilité
d’occurrence et le défaut d’anticipation de facteurs aggravants.
 Le calendrier et les modalités de mise en œuvre de ce plan d’action, ainsi que son suivi et les modalités de compte-rendu
associés, sont confiés à la responsabilité d’acteur(s) précisément désigné(s).
4. Hiérarchisation et traitement des
risques
 De la définition de
la stratégie à la prise
de décision
5. Formalisation, validation et mise à
jour régulière
3. Evaluation des 5.
2. Evaluation de 4.
1. Identification dispositifs de Formalisation,
l’exposition aux Hiérarchisation
des risques maîtrise des validation et
risques et traitement
risques mise à jour

 Dynamique d’amélioration continue

L’exercice de cartographie des risques s’inscrit dans une démarche globale de maitrise
des risques. Il permet notamment de mettre à jour les dispositifs de maitrise des risques
existants et d’entrer dans une dynamique d’amélioration continue de la maitrise des
risques. Il est donc nécessaire de revoir régulièrement les cartographies afin de s’assurer
qu’elles suivent les évolutions de l’activité.
5. Formalisation, validation et mise à
jour régulière
 Formalisation
La cartographie des risques est formalisée et structurée. Les résultats sont présentés de
manière synthétique. Le format choisi doit faciliter son appropriation comme outil de
pilotage des risques.
Elle peut être accompagnée d’annexes décrivant les modalités d’élaboration de la
cartographie des risques et la méthodologie de classification des risques.

 Validation
La cartographie des risques doit faire l’objet d’une validation en instance. La direction
générale doit se prononcer sur la hiérarchisation des risques et les plans d’action
envisagés.
5. Formalisation, validation et mise à
jour régulière
 Mise à jour
La nécessité d’actualiser la cartographie est évaluée régulièrement. Elle doit être mise à jour en fonction de l’évolution de
l’activité et dans les conditions suivantes :

- Une mise à jour régulière, qui porte a minima sur les évolutions du dispositif de maitrise des risques, de la
cotation des risques et du plan d'actions ;
- Une revue approfondie en cas de survenance d'évènements ayant un impact sur l'exposition au risque de
l'entité, dont voici une liste non-exhaustive :
o Nouvelle activité ;
o Nouvelle implantation ;
o Fusions / acquisitions ;
o Nouvelle organisation de l'activité ;
o Nouvelle législation ayant une incidence majeure sur l'activité.
- Une revue approfondie ponctuellement, c'est-à-dire un nouvel exercice de cartographie des risques prévoyant
des ajustements méthodologiques, l'analyse des sanctions disciplinaires et alertes en lien avec le dispositif, de
nouveaux entretiens, etc.
L’actualisation de la cartographie des risques a également pour but de recenser les nouveaux risques ayant pu émerger
d’une année à l’autre.
Des mises à jour font l’objet des mêmes démarches de présentation et de validation en Conseil d’Administration.
Et ensuite?
 Plan d’audit
Les cartographies des risques viennent alimenter la définition du plan d’audit

Après les audits à l’issue desquels sont formulées des recommandations, le processus de
suivi des recommandations est enclenché. Il permet de suivre l’état d’avancement de la
mise en œuvre des recommandations.