Réalisation des Audits

Pr. Latifa Mahdaoui

3.0 2022-2023

ADSI
Table des matières

I - Collecte des Informations et des Preuves d'Audit 3

II - Réaliser des Test d'Audit 7
III - Superviser des Tests d'Audit 16
IV - Faites Valider les Résultats 20

2
Collecte des Informations et des
Preuves d'Audit I

Démarche Méthodologique Méthode

Vous êtes manager ou responsable d'une équipe d'auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l'audit. Vous êtes donc un chef d'orchestre qui doit s'assurer de la
bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.
Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la taille de
votre entreprise, ou de la disponibilité de votre équipe d'auditeurs.
Dans cette dernière partie du cours, l'on vous propose des méthodes et outils à la fois pour réaliser et
pour superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les méthodes et
vous assurer de la mise en œuvre des bonnes pratiques d'audit.
Pour cela, nous passerons en revue les points suivants :
1. Préparer le dossier de la mission d'audit ;
2. La collecte d'informations et de preuves ;
3. De la théorie à la pratique ;

Préparer le dossier de la mission d'audit Fondamental

Avant de partir à la recherche d'informations et de preuves,passons en revue quelques astuces pour

gérer les informations et documents que vous avez collectés, ou que vous allez produire.

Compte tenu de la volumétrie des documents et de l'analyse de nombreuses données, sous format
papier ou électronique, il convient d'être rigoureux quant à la conservation des documents fournis par
des audités et de ceux produit par l'équipe d'audit.

3
Collecte des Informations et des Preuves d'Audit

Les documents doivent être classés de manière claire et compréhensible, et référencés afin d'être très
facilement identifiés. Pour ce faire, l'on vous recommande très en amont et au fil de l'eau de les
identifier, de normer leur conservation et de définir les modalités d'accès.
La création d'un répertoire partagé d'audit
En tant que chef de mission ou responsable, vous devez vous assurer que toute la documentation liée à
la mission d'audit est bien accessible dans le dossier de la mission d'audit. Ce dossier peut être situé
dans un répertoire partagé contenant tous les documents collectés et les travaux réalisés.

Vous pouvez mettre à disposition des modèles des principaux livrables d'un audit sur ce réseau. Dans
une logique d'amélioration continue, vous pouvez stocker les anciens modèles dans un dossier “OLD”.
Le nommage des documents
Si vous avez plusieurs missions d'audit à gérer en même temps, vous pouvez instaurer une convention
de nommage des documents.

Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :
« Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités ;
« Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s'incrémentant de manière chronologique ;
« Com » lorsque la version est communiquée officiellement, notamment pour un support de
réunion ;
« Def » lorsque le document est validé.
La conservation des documents collectés

Choisissez un moyen de conservation :

en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les documents de
travail en format électronique devront être imprimés ;
ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas, tous les
documents en format papier devront être scannés.
La conservation électronique est aujourd'hui fortement recommandée pour plus de facilité, moins de
gaspillage et aussi pour limiter les impacts environnementaux.

4
 Collecte des Informations et des Preuves d'Audit

La collecte d'informations et de preuves Fondamental

Comment collecter les informations et constituer des preuves d'audit ?

Une fois la réunion de lancement terminée et votre audit lancé. La phase d'investigation commence.
Vous avez défini dans le cadre du programme de travail les procédures d'audit pour vérifier les activités
de maîtrise des risques.
À ce titre, vous avez prévu de réaliser des tests d'audit au moyen d'outils tels que des questionnaires,
des entretiens, des observations, des revues documentaires, des analyses de données, etc.
Votre objectif est d'obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les risques
ou non. Vous devrez également vous assurer de la qualité, c'est-à-dire la pertinence, la fiabilité et la
quantité suffisante des preuves collectées.
Dans la grille d'audit qui vous ai proposée (dans le chapitre précédent), vous allez devoir cette fois-ci
compléter les quatre colonnes de la partie “évaluation”.

La démarche est ainsi réalisée en quatre grandes étapes :

1. Réaliser les tests d'audit et collecter les preuves : vous allez décrire l'AMR sur la base des
informations qui vous ont été fournies.
2. Documenter les tests d'audit : vous précisez les preuves collectées et/ou que vous avez constituées.
3. Évaluer les résultats des tests d'audit : dans la colonne “observations”, vous décrivez les résultats
obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs d'évaluer la
capacité des dispositifs de contrôle à maîtriser les risques ou non :
Le contrôle existe-t-il ?
Le contrôle fonctionne-t-il correctement (tel que conçu) ? Le contrôle permet-il de maîtriser les
risques, en réduisant sa probabilité d'occurrence ou les impacts ?
Le contrôle est-il efficace et permet-il au processus d'atteindre ses objectifs ?
Le contrôle est-il efficient et permet-il au processus d'atteindre ses objectifs tout en optimisant
l'utilisation des ressources ?
4. Élaborer une conclusion : vous allez conclure si le test répond ou non à l'objectif d'audit.

5
Collecte des Informations et des Preuves d'Audit

De la théorie à la pratique Fondamental

Il vous a été présenté la démarche pour élaborer un référentiel d'audit sans vous fournir un exemple
concret. L'on vous propose donc, dans cette section, d'illustrer cette démarche avec un cas standard
dans les systèmes d'information.
Supposons que votre direction vous demande de réaliser un audit “flash” des accès de l'application
comptable et financière avant l'arrivée des commissaires aux comptes. Les objectifs de l'audit sont de
s'assurer que la sécurité logique de l'application est maîtrisée et qu'il n'y a pas de risques de fraude.
Vous n'avez que très peu de temps et aucune ressource.
Vous allez donc devoir concevoir une grille d'audit compte tenu de ces contraintes.
Pour ce faire,l'on vous propose de réaliser des tests d'audit des contrôles généraux informatiques (GCTI
ou ITGC pour Information Technology General Control). Les contrôles généraux informatiques
s'appliquent à tous les composants, processus et données des SI d'une entreprise. Si ces contrôles ne
sont pas mis en œuvre, ou ne fonctionnent pas correctement, l'entreprise ne pourra pas se fier aux SI
pour gérer les risques.
Les ITGC les plus courants sont regroupés en quatre domaines :
les contrôles de sécurité logique pour les accès aux applications et aux données ;
les contrôles de sécurité physique pour les accès aux sites d'hébergement des serveurs et les
infrastructures ;
les contrôles sur la gestion des changements et des incidents dans les applications ;
les contrôles de l'exploitation, y compris la sauvegarde et la restauration des systèmes et des
données.
Dans le cadre de cet audit exemple, nous ne nous focaliserons que sur le premier domaine concernant
la sécurité logique (Voir le fichier Excel mis sur Moodle avec ce chapitre).
Comme vous le remarquerez, les objectifs d'audits peuvent être nombreux pour vérifier un contrôle.
Ces objectifs ont été détaillés afin de s'assurer que les tests d'audit à réaliser permettront de vérifier
que les contrôles attendus sont bien réalisés et efficaces.
Afin de réaliser vos tests d'audits, vous allez devoir demander un certain nombre de documents, que
vous identifierez pour contrôle à tester. Vous allez également organiser au moins un entretien avec le
responsable de l'application comptable.

Résumons Rappel

réfléchir et mettez en place une stratégie de conservation et d'archivage des documents

d'audit ;
la collecte et la constitution de preuves d'audit se fait en quatre étapes, en complétant votre
grille d'audit :
réaliser les tests d'audit au moyen d'outils que nous verrons dans le prochain chapitre, et
collecter les preuves ;
documenter les tests d'audit ;
évaluer les résultats des tests d'audit ;
élaborer une conclusion.

6
Réaliser des Test d'Audit II

Démarche Méthode

Vous connaissez maintenant la démarche générale de collecte d'information et de preuve qui consiste
en :
réaliser les tests d'audit au moyen d'outils et collecter les preuves ;
documenter les tests d'audit ;
évaluer les résultats des tests d'audit ;
élaborer une conclusion.

Vous êtes à la première étape de la démarche “réaliser les tests d'audit au moyen d'outils et collecter
les preuves”. Ce chapitre vous permettra de redécouvrir les différents outils à utiliser pour vos tests
d'audits, pour les documenter et pour évaluer les résultats des tests d'audit, afin de conclure sur
l'existence et l'efficacité des contrôles.
Nous allons ainsi passer en revue :
les bonnes pratiques en entretien d'audit ;
le diagramme des flux ;
les tests de cheminements et la piste d'audit ;
les analyses de données.

Redécouvrir les bonnes pratiques en entretien Fondamental

Vous disposez d'un panel d'outils que vous pouvez utiliser pour collecter des informations :
brainstorming, observations sur site, entretiens et questionnaires, etc.
Nous allons nous concentrer sur l'entretien d'audit, qui est le moyen le plus utilisé pour collecter des
informations. Mais vous vous demandez : Comment constituer des preuves avec des échanges à
l'oral ? La réponse à cette question viendra un peu plus bas.
Instaurez un climat de confiance au cours des entretiens
Les entretiens permettent de collecter des informations afin de prendre connaissance des activités du
domaine audité, et éventuellement constituer les preuves d'audit qui permettront d‘atteindre les
objectifs de la mission d'audit.

7
Réaliser des Test d'Audit

La réussite d'un entretien repose sur sa préparation en amont, le respect des personnes interrogées et
la capacité à parler leur langage. En outre, vous ne devez pas avoir d'idées préconçues en y allant. Il
s'agit là d'adopter la posture d'auditeur compétent, crédible et bienveillant, qui applique
naturellement les principes d'objectivité et d'intégrité.

Faites valider le compte rendu de l'entretien

Les entretiens ont pour avantage de donner la possibilité aux audités et aux auditeurs d'échanger, en
favorisant la communication. Ces échanges permettent de construire une relation de travail positive
tout au long du déroulement de la mission d'audit. Ils doivent faire l'objet d'un compte rendu.
Sans validation formelle de ce compte rendu par le(s) audité(s), les informations collectées n'ont pas
par nature un caractère probant, et ne peuvent pas constituer de preuves d'audit.

Par ailleurs, en tant qu'auditeur ou responsable de mission, les informations doivent être corroborées.
Autrement dit, elles doivent impérativement être rapprochées d'autres informations collectées.
Soignez votre introduction et votre conclusion
La préparation de l'entretien consiste à :
définir les objectifs de l'entretien et les thèmes à aborder ;
identifier le(s) interlocuteur(s) ;
collecter des informations sur le domaine concerné par l'entretien et sur le(s) interlocuteur(s), et
en prendre connaissance en amont ;
lister les questions et les organiser par thème et sur le modèle QQOCPQ : Qui, Quoi, Où,
Comment, Pourquoi, Quand ;
définir un guide de l'entretien ;
organiser le rendez-vous, en transmettant par exemple une invitation par mail avec la date,
l'heure, le lieu, la durée et les objectifs de l'entretien, et les thèmes à aborder.

Vous allez poser un certain nombre de questions, vous allez évidemment écouter les réponses mais
également reformuler et valider les réponses obtenues.

8
 Réaliser des Test d'Audit

Tout comme l'introduction, la conclusion a aussi son importance afin de laisser une bonne impression
de l'audit. Elle consiste à :
synthétiser et valider les points importants de l'entretien ; par exemple, reformuler et valider les
activités de contrôle réalisées sur le processus audité ;
lister les documents énumérés pendant l'entretien et définir les délais de transmission de ceux-
ci ;
présenter les étapes suivantes et les éventuels futurs échanges ;
remercier le(s) interlocuteur(s) ;
et réaliser un compte rendu de l'entretien, qui devra être validé de manière formelle par le(s)
participant(s).

Redécouvrir le diagramme de flux Fondamental

Lors de la phase de préparation et de prise de connaissance du domaine à auditer, l'on vous avait déjà
conseillé de modéliser un diagramme de flux afin de visualiser les étapes d'un processus et/ou d'un
sous-processus, à partir de la documentation existante.
Au cours de la phase d'investigation, vous pouvez reprendre cette modélisation et la revoir avec vos
interlocuteurs au cours d'un entretien d'audit.

Il s'agit d'un outil :

d'aide à la prise de connaissance, puisqu'il requiert une compréhension précise du processus, à
partir d'informations collectées dans le cadre d'entretiens ou d'analyses de procédures, par
exemple ;
de vérification : la validation de la description graphique du processus par son responsable
permet d'en vérifier l'exactitude. L'élaboration d'un diagramme de flux est un processus itératif :
en fonction des informations collectées, vous allez le modifier afin qu'il soit au plus proche de la
réalité du terrain. Dès lors, il sera nécessaire de valider cette nouvelle version auprès du
responsable.
Rattaché au compte rendu de l'entretien, ce diagramme constitue une preuve d'audit.

Cette représentation graphique est utile à l'auditeur pour identifier et situer :

les risques relatifs à chaque activité du processus ;
les contrôles qui doivent permettre de les maîtriser.

9
Réaliser des Test d'Audit

Quelle est la méthode pour modéliser un processus ?

Les deux méthodes de modélisation couramment utilisées sont l'ISO ou le BPM(N). Ci-dessous est
présentée une méthode générique, inspirée des deux méthodes ISO et BPM, afin de se focaliser sur les
bonnes pratiques en matière de modélisation d'un diagramme de flux. Voici les 8 étapes de
modélisation :
1. Sur un brouillon, identifiez le processus et/ou la partie du processus à représenter.
2. Identifiez les acteurs ; chaque acteur identifié fera l'objet d'une colonne du diagramme.
3. Identifiez des activités, c'est-à-dire les actions et opérations réalisées par les acteurs.
4. Identifiez des documents.
5. Identifiez les flux, à savoir les informations en entrée et en sortie de chacune des activités. Les
éléments d'entrée d'une activité sont généralement les éléments de sortie d'autres activités.
6. Dessinez le squelette de votre diagramme, c'est-à-dire positionnez les acteurs en colonne. Puis
positionnez la toute première activité qui constitue l'entrée du processus.
7. La mise en place des activités sur le diagramme s'effectue en fonction des acteurs qui les
réalisent et en fonction de leur position dans le déroulement du processus. Le sens des flèches
donne le sens de lecture : en principe, les activités vont de gauche à droite, puis du haut vers le
bas.
8. Terminez votre diagramme par la dernière activité du processus, qui peut être éventuellement
l'entrée d'un autre processus.

Néanmoins, il vous est recommandé d'adapter les symboles au contexte de l'entreprise. De plus, vous
souhaiteriez probablement utiliser un logiciel de modélisation qui aura ses propres formes et
permettra d'homogénéiser la méthode de représentation graphique.
Dans ce cas, il est important de savoir que les logiciels de modélisation sont assez contraignants
puisqu'ils demandent une montée en compétence. S'ils ne disposent pas de l'outil, ou s'ils ne savent
pas l'utiliser, vos interlocuteurs ne pourront pas intégrer votre diagramme dans leur procédure, ni le
modifier en cas de changements sur le processus. En revanche, l'utilisation d'un logiciel permet
d'homogénéiser la pratique ; encore faut-il que tous les utilisateurs appliquent les mêmes formes et les
mêmes principes de modélisation.
Le schéma ci-dessous un exemple de diagramme de flux réalisé sous PowerPoint, à partir de formes
simples. Il représente une partie de la modélisation du processus de gestion des achats, qui débute par
le sous-processus de gestion d'une demande d'achat.

10
 Réaliser des Test d'Audit

Ce diagramme a été réalisé dans le cadre d'un audit de

la gestion des achats dans une entreprise de services.
Comme vous pouvez le remarquer, les activités de
maîtrise des risques ont été identifiées directement sur
le diagramme.

Redécouvrir le test de cheminement et la piste d'audit Fondamental

En vue de collecter des informations et de constituer des preuves d'audit, il existe deux outils, très
souvent utilisés dans le cadre d'un audit :
le test de cheminement ;
la piste d'audit.
Le test de cheminement
Le principe est de suivre les différentes étapes d'une opération, de son origine jusqu'à son dénouement
; par exemple de l'enregistrement d'un bon de commande d'un client à l'écriture de l'opération de
vente dans le compte comptable pour constater le chiffre d'affaires. Il permet ainsi de confirmer la
compréhension d'un flux de traitement et de ses contrôles.
Vous l'avez sans doute deviné : vous pouvez bien sûr vous appuyer sur un diagramme de flux pour
effectuer le test de cheminement au cours d'un entretien d'audit !

11
Réaliser des Test d'Audit

À l'issue d'un test de cheminement, l'auditeur doit être capable de se faire un avis sur :
le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux ;
l'existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir.
En résumé, la mise en œuvre d'un test de cheminement s'appuie sur :
des entretiens, dans lesquels vous allez poser des questions aux audités et observer les
activités, afin de :
identifier les tâches et les contrôles réalisés ;
identifier les écarts entre ce qui est décrit dans les procédures ou ce qui est attendu par le
management et la réalité ;
détecter les erreurs et prendre connaissance de la manière dont elles sont traitées ;
un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au cours des
différentes étapes du processus afin de tester l'efficacité opérationnelle des contrôles. À ce titre,
vous pouvez demander à votre interlocuteur de faire des copies d'écran des opérations réalisées
dans les systèmes, afin de constituer vos preuves d'audit.
La piste d'audit
La piste d'audit s'apparente à un test de cheminement. Elle est utilisée dans le cadre des audits
financiers pour remonter à l'origine d'une opération, de l'enregistrement dans les états financiers à
l'acte de gestion. Vous pouvez donc vous inspirer de son principe pour réaliser vos tests d'audits.
L'objectif est de s'assurer de la traçabilité des opérations.
Prenons par exemple, l'encaissement d'un paiement d'un client qui peut-être déclenché si une
facture, un bon de commande et un bon d'expédition lui sont rattachés. La piste d'audit du paiement
du client repose sur la possibilité d'identifier une facture, un bon de commande et un bon d'expédition
qui le sous-tendent, au moyen d'une référence unique utilisée dans chaque opération.

Le caractère probant des résultats de l'analyse de la piste d'audit dépend des modalités de sélection
des opérations. D'un côté, vous ne pouvez pas conclure que les opérations sont bien tracées dans les
systèmes en ne réalisant qu'un seul test unitaire. De l'autre, vous n'aurez pas le temps d'analyser
l'exhaustivité des opérations dans les systèmes.
La sélection par échantillonnage est ainsi une méthode qui permettra de constituer des preuves
probantes. L'analyse de données au moyen d'un outil pourra vous aider à constituer un échantillon
plus large.

Cette méthode permet donc d'étudier les caractéristiques d'une population dont la taille ne permet
pas une analyse exhaustive.

12
 Réaliser des Test d'Audit

La taille de l'échantillon est déterminée en fonction :

du niveau d'assurance souhaité, 20 % pour une assurance modérée et 50 % pour une assurance
raisonnable ;
de la méthode d'échantillonnage si elle est définie dans des procédures d'audit et/ou de
contrôle internes ;
du jugement professionnel.

Par exemple, la taille de l'échantillon peut dépendre de

la fréquence du contrôle ou de la taille de la population.
Voici des illustrations de grilles qui peuvent être
appliquées :

À noter qu'en cas d'écarts identifiés dans l'échantillon testé, un échantillon supplémentaire sera tiré
afin de déterminer le caractère reproductible des anomalies au sein de la population testée.

Redécouvrir l'analyse de données Fondamental

L'analyse de données au moyen d'un outil peut aider à constituer un échantillon plus large, voire à
réaliser le test d'audit sur toute la population. Au moyen d'un outil spécialisé (Excel, MS Access, IDEA,
ACL, etc.) appelé “CAAT” (Cumputerized Assisted Audit Tool), vous allez analyser les données d'un
système de votre entreprise, sur de grands volumes. Néanmoins, les prérequis sont assez techniques. Il
convient de :
connaître et comprendre le mode de stockage et de formatage des données dans le système ;
maîtriser l'outil d'analyse de données utilisé ;
s'assurer de la fiabilité et de la disponibilité des données à analyser.
Vous allez découvrir la démarche dans le cadre d'une analyse de données réalisée au moyen d'un outil
dédié.
1. En amont, vous allez définir les procédures d'audit (échantillonnage, tests à réaliser sur les
données) à partir des objectifs d'audit. Puis, vous déterminerez les données à utiliser
(population, format, modalités de mise à jour, modalités d'accès...). Vous devez impérativement
vous assurer de leur fiabilité, en les rapprochant avec d'autres sources ou en collectant des
procédures.
2. Vous devez disposer des droits d'accès aux données dans le système, ou bien demander à une
personne de vous transmettre les données sous la forme d'extraction, dont le format doit être
spécifié.
3. Après avoir déterminé l'outil CAAT à utiliser, assurez-vous de disposer des ressources nécessaires
(matérielles, humaines, logicielles).
4. Vous allez donc pouvoir paramétrer l'outil d'analyse de données et réaliser les tests.
5. Pour documenter les tests d'audit et constituer des preuves, vous devez conserver les données
en entrée, les traitements (paramètres, code source), et les données en sortie, ainsi que la
description de vos tests et les conclusions.

13
Réaliser des Test d'Audit

Pour illustrer avec un exemple, revenons à l'audit des accès au système comptable. Sur la gestion des
habilitations des utilisateurs, un des objectifs d'audit est de vérifier la suppression systématique des
comptes utilisateurs à la fin de la période de validité d'un contrat pour les CDD et intérimaires. Ce
contrôle doit permettre de prévenir le risque qu'une personne non autorisée accède au système et
utilise, diffuse, endommage ou détruise des données.

La procédure d'audit doit se dérouler au moyen d'une analyse de données :

collecter la liste des employés temporaires en CDD et en intérim au cours des 3 dernières
années, extraite du système de paie. Seules les informations suivantes ne seront collectées : le
matricule, le type de contrat et la date de fin ;
collecter la liste des comptes utilisateurs actifs, extraite du système comptable, avec le matricule
;
rapprocher les deux listes au moyen d'Excel afin d'identifier les comptes utilisateurs qui auraient
dû être désactivés du fait d'une date de fin de contrat antérieure à la date du jour.
Le test d'audit est réalisé : dans la liste des comptes utilisateurs actifs, rechercher le matricule parmi la
liste des employés temporaires en CDD et en intérim, et afficher la date de fin de contrat. Si cette date
est antérieure à la date du test, le compte utilisateur aura dû être désactivé.
Vous avez identifié un compte utilisateur d'un employé temporaire qui est parti trois mois auparavant,
sur les dix comptes utilisateurs actifs. Il s'avère après discussion qu'il s'agit du seul employé en contrat
temporaire ayant disposé d'un accès au système comptable au cours des trois dernières années.
L'analyse des deux extractions constituent la preuve du test d'audit sur l'existence et l'efficacité du
contrôle. En l'occurrence, vous pouvez constater l'absence de contrôle et que le risque n'est pas
couvert.

Résumons Rappel

les facteurs de réussite d'un entretien d'audit sont les suivants : le climat de confiance, le soin
apporté à l'introduction et à la conclusion, la validation formelle du compte rendu par les
participants ;
le diagramme de flux est à la fois un outil d'aide à la prise de connaissance, puisqu'il requiert
une compréhension précise du processus, et un outil de vérification. La validation de la
description graphique du processus par son responsable permet d'en vérifier l'exactitude. Son
élaboration résulte d'un processus itératif ;
le test de cheminement permet à l'auditeur de se faire un avis sur le bon fonctionnement du
processus, tel que décrit dans les procédures et/ou dans le diagramme de flux, et de prouver
l'existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir.
Il s'appuie sur des entretiens et le diagramme de flux ;

14
 Réaliser des Test d'Audit

la traçabilité des opérations peut être auditée au moyen de la piste d'audit. La sélection des
opérations à tester par échantillonnage est une méthode qui permettra de constituer des
preuves probantes. L'analyse de données au moyen d'un outil peut aider à constituer un
échantillon plus large, voire de réaliser le test d'audit sur toute la population.

15
Superviser des Tests d'Audit III

Démarche Méthode

En tant que manager ou responsable d'une équipe d'auditeurs, internes ou externes, vous devez vous
assurer de la bonne exécution du programme de travail, et plus globalement du bon déroulement des
audits. Dans le chapitre précédent, vous aviez redécouvert des outils à utiliser pour vos tests d'audits.
Dans ce chapitre, l'on propose de vous présenter les bonnes pratiques pour superviser les missions
d'audit, et plus particulièrement pour revoir les tests d'audit, afin de vérifier que les informations
collectées sont pertinentes, fiables et en quantité suffisante, avec des preuves probantes. En effet, la
confiance n'exclut pas le contrôle.
Pour cela, nous suivrons les points suivants :
1. Déléguer et/ou superviser ;
2. Superviser les tests d'audit ;
3. Prenons un exemple ;
4. Valider avec les audités le résultat des tests d'audit.

Déléguer et/ou superviser Fondamental

Une mission d'audit peut faire intervenir plus de deux auditeurs, ce qui en fait une équipe à gérer. Dès
lors, le travail en équipe doit être organisé afin de réaliser des travaux de qualité. En tant que manager
ou chef de mission, ou bien responsable du service d'audit interne, des règles de délégation et de
supervision doivent être définies.
Les trois principaux rôles dans une mission d'audit
Il existe trois principaux rôles dans une mission d'audit :
le directeur ou responsable de l'audit ;
le chef de mission ou le manager ;
l'auditeur ou le collaborateur.
Intéressons-nous plus précisément à ces trois rôles.
Le directeur ou responsable de l'audit
Le directeur ou responsable de l'audit est un référent technique des managers ; il intervient dans les
missions de manière spécifique et ponctuelle. En revanche, il participera aux grands jalons de la
mission, à savoir la réunion de lancement et la réunion de clôture de l'audit.
Le directeur ou responsable de l'audit fixe la stratégie et les objectifs de la fonction d'audit interne. Il
définit l'organisation et le plan d'action pour déployer la stratégie d'audit, que nous avons traitée dans
la toute première partie. Le directeur ou responsable de l'audit intervient également dans la définition
du plan d'audit ; c'est lui qui a la responsabilité de la mise en œuvre de ce plan, sujet que nous avons
traité dans la deuxième partie du cours.

16
 Superviser des Tests d'Audit

Le chef de mission ou le manager

Le chef de mission ou manager est le référent technique des auditeurs. Il supervise et assure le suivi
des missions d'audit dont il a la responsabilité. C'est lui qui élabore le programme de travail, organise
les réunions et les entretiens.
Tout comme le directeur peut remplacer un chef de mission dans le cadre d'un audit, un chef de
mission peut remplacer un collaborateur.
L'auditeur ou le collaborateur
L'auditeur ou le collaborateur réalise majoritairement des travaux d'audit sous la responsabilité du
chef de mission. D'un point de vue opérationnel, c'est lui qui :
exploite et analyse les informations transmises par les audités ;
est le point de contact avec les audités pour obtenir des compléments d'information ou des
pièces manquantes ;
exécute les missions dans le respect des normes, des procédures internes et des délais ;
prévient le chef de mission de toute difficulté au cours de la mission.
Déléguer ne signifie pas qu'on renonce à ses responsabilités

Le manager ou le collaborateur va donc réaliser une partie des tâches qu'il ne ferait pas en temps
normal. Celui qui délègue doit en revanche rester concerné par les résultats du travail du manager ou
du collaborateur, et faire le point régulièrement avec son équipe.
La supervision est une obligation
Selon la norme 2340 “Supervision de la mission” du CRIPP, “les missions doivent faire l'objet d'une
supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le
développement professionnel des auditeurs effectué.” La supervision d'une mission consiste à :
suivre l'avancement de la mission ;
prendre en considération la compétence et la capacité des équipes ;
vérifier la bonne compréhension des instructions par les équipes, notamment dans le
programme de travail ;
s'assurer que les travaux sont menés conformément à la démarche définie et aux procédures
d'audit ;
modifier le cas échéant la démarche prévue initialement dans le programme de travail, en cas de
problèmes importants.

Superviser les tests d'audit Fondamental

La supervision de la mission d'audit doit être un exercice permanent. En tant que chef de mission et/ou
de directeur de l'audit, vous allez organiser des points réguliers avec l'équipe d'auditeur et revoir tous
les livrables clés de la mission d'audit avant leur communication.

17
Superviser des Tests d'Audit

Dans le cadre de la phase d'investigation, je vous propose de nous focaliser sur la supervision des tests
d'audit. À ce titre, c'est le chef de mission, ou bien le directeur de l'audit s'il remplace ce dernier, qui en
a la charge et la responsabilité.
Pour ce faire, il existe un outil très simple à mettre en place, à partir de la grille d'audit : les fiches de
tests.
Qu'est-ce qu'une fiche de tests ?
L'auditeur décrit et documente les résultats des tests d'audit sous la forme d'une fiche, afin de de
constituer une preuve suffisante, fiable et pertinente de ses travaux.
La fiche de test doit contenir au minimum :
le nom de l'auditeur qui réalise le test ;
la date de réalisation du test ;
la source des informations utilisées pour réaliser le test ;
les résultats intermédiaires permettant d'aboutir à la conclusion ;
la conclusion du test.
Dans la plupart des cas, elle se trouve dans le même classeur (ou fichier Excel) que la grille d'audit ; un
onglet correspond à une fiche de tests et une fiche de test correspond à un contrôle ou à un objectif
d'audit à tester, issu de la grille.

Grâce aux fiches de tests, le chef de mission et/ou le directeur de l'audit pourront vérifier que
tous les objectifs de la grille d'audit ont bien été testés en bonne et due forme.

Prenons un exemple Fondamental

Pour vous fournir un exemple de fiche de tests, revenons à l'audit des accès au système comptable,
comme l'illustre la figure.
La grille d'audit comporte six activités de maîtrise des risques attendues et treize objectifs d'audit ; il y
aura donc treize fiches de tests à formaliser sous cette forme très détaillée, qui pourra être téléchargée
au format Excel depuis moodle aussi. Cette fiche de test comporte deux grandes parties.

Dans un premier temps, vous avez les informations générales :

les modalités de réalisation et de supervision ;
des informations reprises de la grille d'audit ;
le script de tests qui est le pas-à-pas des tests à réaliser, et les documents à collecter, afin de
guider l'auditeur ;
le nom de la personne interviewée, en cas de demande de complément ;
les conclusions du test.

18
 Superviser des Tests d'Audit

Dans un second temps, les deux étapes de réalisation du test qui sont :
les tests de conception : pour chaque document collecté, l'auditeur va vérifier les contrôles
formalisés et décrire précisément ce qu'il a effectué. Il va également donner son avis sur cette
étape du test de conception. S'il a bien trouvé ce qu'il attendait, l'étape de test sera “réussie” ;
dans le cas contraire, elle sera en “échec” ;
les tests d'efficacité : dans l'exemple communiqué, cette étape ne s'applique pas, étant donné
qu'il s'agit d'une revue documentaire. En revanche, elle s'applique dans des cas de tests
nécessitant un échantillonnage.

Valider avec les audités le résultat des tests d'audit Fondamental

Les fiches de tests sont des documents de travail réalisés dans le cadre de la mission. Cela ne signifie
pas que vous ne devez pas les partager. À la fin des tests d'audit, votre référentiel d'audit doit être
entièrement complété.

Il vous est recommandé de communiquer le résultat des tests avec les audités après la revue de la
fiche de test par le responsable de la mission.
Vous pourrez ainsi expliquer votre méthode de travail, qui a permis de conclure sur le caractère
satisfaisant ou non des dispositifs de contrôle. Les audités, quant à eux, auront la possibilité de vous
fournir des compléments d'information.
Vous rentrez ainsi dans la phase de validation, qui est primordiale et parfois oubliée. Il s'agit de mettre
en œuvre une démarche contradictoire, pour donner l'opportunité aux audités de revenir sur certaines
observations et recommandations.

Résumons Rappel

la délégation n'est pas une obligation, contrairement à la supervision ;

la supervision relève des responsabilités du chef de mission et/ou du directeur de l'audit ;
la supervision des tests d'audit peut être réalisée à l'aide d'une fiche de tests, qui devra être
soigneusement complétée. L'auditeur y décrit et documente les résultats des tests d'audit, afin
de constituer une preuve suffisante, fiable et pertinente de ses travaux ;
grâce aux fiches de tests, le chef de mission et/ou le directeur de l'audit pourront vérifier que
tous les objectifs de la grille d'audit ont bien été testés en bonne et due forme.

19
Faites Valider les Résultats IV

Démarche Méthode

Nous sommes à la fin de la phase d'investigation ; vous avez :

collecté les informations ;
constitué les preuves d'audit au moyen d'outils tels que les entretiens ou des analyses de
données ;
analysé les informations collectées au moyen de tests d'audit.
À l'issue de cette phase d'investigation, vous devez avoir rédigé une première version du rapport
d'audit, dont les observations et les recommandations devront être validées par les audités. Ensuite,
dans le cadre de la troisième phase de validation, vous allez initier une démarche contradictoire pour
donner l'opportunité aux audités de revenir sur certaines observations et recommandations, et de
fournir aux auditeurs des compléments d'informations, avant la présentation des conclusions de
l'audit.
Dans ce dernier chapitre, nous allons présenter les activités clés de ces dernières étapes d'un audit.
Nous vous proposerons également des outils pour rédiger le rapport d'audit et formuler vos
recommandations, afin qu'elles soient percutantes.
1. Élaborer des recommandations pragmatiques et pertinentes ;
2. Formaliser les recommandations à l'aide de fiches de constats ;
3. Partager une première version du rapport d'audit ;
4. Organiser la réunion de clôture ;
5. L'audité est un client ;

Élaborer des recommandations pragmatiques et pertinentes Fondamental

Les contrôles recensés dans le référentiel d'audit ont fait l'objet de tests d'audit par vos collaborateurs
ou par vous-même. Ce référentiel complété est le résultat de l'évaluation des dispositifs de contrôle
interne, qui constitue une preuve suffisante, fiable et pertinente de ces travaux.
Vous avez renseigné la colonne “recommandation”. Dans la suite, l'on vous propose des bonnes
pratiques pour mieux formuler vos propositions d'amélioration.

Après avoir réalisé les tests de conception et d'efficacité, vous devez identifier les raisons pour
lesquelles le contrôle n'est pas mis en œuvre de manière satisfaisante. Vous allez élaborer des mesures
correctives.

20
 Faites Valider les Résultats

Dans un premier temps, afin de remédier de façon durable au dysfonctionnement, c'est-à-dire l'écart
entre ce qui est attendu et la situation constatée, l'auditeur doit en analyser en profondeur les
raisons. La qualité de cette analyse des causes se répercutera sur la qualité des recommandations.
Autrement dit, vous allez expliquer selon vous et de façon factuelle, “pourquoi” le dysfonctionnement
a eu lieu. Vous devez disposer de preuves suffisantes pour argumenter les causes.
Dans un deuxième temps, vous allez élaborer la recommandation, qui est l'expression d'une mesure
qui vise à renforcer la conception ou l'efficacité du contrôle.
Il se peut que pour corriger un dysfonctionnement donné, il existe plusieurs solutions. Le choix de la
mesure corrective qui fera l'objet de la recommandation sera déterminé en fonction du coût, de la
rapidité et de la facilité de mise en œuvre.

Contrôle et Test Exemple

Par exemple, dans le cadre du test de conception, le contrôle attendu est mentionné, mais il n'est pas
décrit précisément dans la procédure. Il peut s'agir d'une validation du management qui est requise
pour la création d'un compte utilisateur dans un système.
Dans le cadre du test d'efficacité, vous avez sélectionné une vingtaine de demandes de création de
compte utilisateur. 50 % des demandes de votre échantillon n'ont pas été validées par un manager.
Dans 30 % des cas, la validation a été transmise par mail, dans 20 % des cas restants, le manager a
signé sur le formulaire de demande de création de compte utilisateur :
dans cet exemple, le contrôle attendu est le suivant : “les procédures doivent être établies pour
s'assurer que les actions relevant de l'ouverture, de la modification et de la fermeture des
comptes utilisateurs sont réalisées au moment opportun”. Ce contrôle permet de maîtriser le
risque qu'une “personne non autorisée accède au système et utilise, diffuse, endommage ou
détruise des données” ;
le dysfonctionnement que vous avez constaté est que la moitié des demandes de création de
compte utilisateur ne respecte pas la procédure, puisqu'elles n'ont pas été validées par le
management ;
la cause est le manque de précision sur la validation de la demande de création de compte dans
la procédure, puisqu'elle est seulement mentionnée. C'est pourquoi la validation a pris plusieurs
formes : la validation par mail et la validation sur le formulaire ;
les mesures correctives que vous pouvez proposer sont les suivantes :
la mise à jour de la procédure, en précisant que la validation du management se fait par
mail ;
la mise à jour du formulaire, en intégrant un nouveau champ permettant au management
de valider la demande et la mise à jour de la procédure ;
la mise en œuvre d'un workflow automatique, qui enverra directement un mail au
manager, afin qu'il clique sur un lien pour valider une demande de création de compte
utilisateur ;
le coût d'implémentation et la complexité de la mise en œuvre de la troisième proposition,
puisqu'elle nécessite un développement dans le système, devront être évalués. La seconde
proposition semble beaucoup plus adaptée en fonction du triptyque coût, rapidité et facilité de
mise en œuvre.

Formaliser les recommandations à l'aide de fiches de constats Fondamental

21
Faites Valider les Résultats

Cette fiche synthétise l'opinion de l'audit interne sur la conception et le fonctionnement des contrôles
qu'il a audités. La fiche de constat peut contenir :
le référentiel : à savoir le contrôle attendu et le risque à couvrir ;
les constats et observations de l'auditeur, présentant les causes et les conséquences ;
la conclusion, qui peut prendre la forme d'une évaluation du risque, compte tenu du contrôle
réalisé, ou d'une échelle de satisfaction (non satisfaisant, satisfaisant) ;
la(les) recommandation(s) ou mesure(s) corrective(s) ;
les commentaires des audités.
Si vous choisissez de formuler la conclusion sous la forme d'une évaluation du risque, il vous faut (ou
des membres de votre équipe) une bonne connaissance du domaine d'analyse des risques. En
l'occurrence, vous allez réévaluer la criticité du risque brut en fonction de la conception et de
l'efficacité du contrôle qui a été constaté lors de l'audit. Vous obtiendrez ainsi la criticité nette du
risque. Ces fiches de constat constituent le corps du rapport d'audit.

Fiche de Constat Exemple

Partager une première version du rapport d'audit Fondamental

Le rapport d'audit détaillé, à l'attention des audités, doit au minimum contenir les informations
suivantes :
l'objet de la mission d'audit, en rappelant le contexte et les objectifs ;
le périmètre de la mission (activités auditées, période, sites audités...) ;
les résultats : observations, conclusions, recommandations, plan d'action.

22
 Faites Valider les Résultats

La conclusion peut prendre la forme d'une évaluation du risque.

Une synthèse, à l'attention de votre direction et des parties prenantes, pourra être rédigée. Dans ce
cadre, le directeur de l'audit se prononce sur la maîtrise des risques et la bonne gestion, ou non, des
activités et des opérations sur le périmètre audité.
Cette synthèse contient :
les résultats de la mission d'audit ayant un impact sur l'ensemble de l'organisation et sur
l'atteinte des objectifs de l'entreprise ;
une opinion globale, positive ou négative, sur la capacité du domaine audité à maîtriser les
risques majeurs.
Cette synthèse peut être intégrée au rapport d'audit ou faire l'objet d'une note à part. Comme indiqué
à plusieurs reprises dans ce cours, il faut veiller à communiquer les résultats de l'audit, voire la
première version du rapport d'audit, aux différentes personnes que vous avez sollicitées et à leur
responsable. Vous rentrez ainsi dans la phase de validation.

Vos interlocuteurs pourront vous fournir des compléments d'information et de preuves à analyser. Le
cas échéant, les constats et recommandations seront reformulées. N'hésitez pas à faire valider par les
responsables du domaine audité la cohérence et la formulation définitive de l'ensemble des
observations d'audit.
À la suite de ces ajustements, vous disposerez d'une version quasiment finalisée du rapport d'audit. Ce
sera le résultat tangible de l'audit, qui pourra être partagé et communiqué au cours de la réunion de
clôture.

Organiser la réunion de clôture Fondamental

Les principaux objectifs de cette réunion sont les suivants :

rappeler les objectifs de la mission et les objectifs d'audit, ainsi que les modalités d'élaboration
et de diffusion du rapport ;
présenter les points forts, ce qui permettra à l'organisation de capitaliser sur ses bonnes
pratiques et de les diffuser ;
présenter les observations d'audit, au cours de laquelle il peut être demandé aux auditeurs de
produire les preuves pour justifier un constat d'audit ;
présenter les modalités de suivi de la mission, telles que la définition d'une date limite de
diffusion du plan d'action et l'identification d'un responsable du suivi de la mise en œuvre des
mesures correctives.

23
Faites Valider les Résultats

La phase de suivi intervient après l'audit, lorsque les recommandations ont été traduites par des plans
d'action à mettre en œuvre afin de maîtriser les risques et améliorer les dispositifs de contrôles, et in
fine aider à atteindre les objectifs de l'entreprise. Cette phase ne relève pas du champ de responsabilité
d'un directeur de l'audit, qui ne peut être juge et partie.

L'audité est un client Rappel

Notre cours s'achève ici. Comme vous pouvez le noter, l'audit est une discipline transversale,
qui demande une certaine polyvalence, avec de fortes compétences à la fois techniques et
fonctionnelles, des compétences également en stratégie et en management.
En matière de savoir-être, avoir des qualités relationnelles permet de rendre les missions plus
appréciables, car la communication à tous les niveaux hiérarchiques de l'entreprise est un
facteur clé de succès.
L'audit est loin de l'image de l'inspecteur austère et fermé. Pour améliorer les processus et
aider l'entreprise à atteindre ses objectifs stratégiques, l'audit doit être à l'image d'un juge,
intègre et neutre.
Pour conclure, nous ajouterons que l'audit a pour objectif de produire un service et donc de
satisfaire ses clients. Et les clients ne se résument pas à la direction générale et aux parties
prenantes. Les clients de la fonction d'audit s'étendent à toute l'entreprise, puisque c'est elle qui
bénéficie du service. En d'autres termes, les audités sont les clients que l'audit doit chercher à
satisfaire, en leurs proposant notamment des recommandations utiles et pertinentes.
Votre volonté de servir et votre sens du service seront donc des atouts pour mener vos
missions d'audit avec succès. Pensez bien à soigner la première impression et la dernière
impression que vous laisserez !

24
Mentions légales

CopyRight ENSM 2022 - 2023

25