Préparation des Audits

Pr. Latifa Mahdaoui

3.0 2022-2023

ADSI
Table des matières

I - Objectifs 3
II - Élaboration de la Méthodologie d'Audit 4
III - Sélection des Prestataires d'Audit 8
IV - Construire le Référentiel d'Audit 11
V - Communiquer pour Lancer l'Audit 17

2
Objectifs

Élaborer une méthodologie d'audit ;

Savoir comment sélectionner les prestataires d'audit ;
Avoir une idée sur comment se construit un référentiel d'audit ? ;
Comprendre l'importance de la communication pour bien lancer l'audit.

3
Élaboration de la Méthodologie
d'Audit I

Démarche Méthode

Dans la première partie du cours, vous avez appris à mener une réflexion stratégique sur la fonction
d'audit dans votre entreprise, afin de mettre en œuvre une fonction créatrice de valeur, de mener des
audits pertinents et efficients, et d'auditer avec professionnalisme et éthique. Cette réflexion a
abouti à l'élaboration d'une charte d'audit, qui a permis de :
définir ce qu'est l'audit interne ;
préciser le positionnement de l'audit dans l'entreprise ;
établir les principes d'actions, les rôles et les missions de l'audit ;
définir le périmètre d'intervention, détaillé dans le cadre du plan d'audit.
Dans la deuxième partie de ce cours, vous avez une meilleure visibilité sur le périmètre d'intervention
de la fonction d'audit. Vous avez vu comment identifier le champ d'intervention au moyen de :
un plan d'audit sur plusieurs années ;
un plan d'audit annuel, avec les audits à réaliser en priorité.
La charte d'audit et les plans d'audit ont été bien évidemment validés par la direction et les parties
prenantes.
À présent, il reste un sujet à traiter : le déroulement des audits, présentant l'approche d'audit. Cette
démarche plus opérationnelle commence dès la phase de préparation à la mise en œuvre des
recommandations d'audit.
Dans ce chapitre, vous découvrirez une approche générale d'audit, qui pourra être intégrée à la charte
d'audit. Cette approche générale garantira une homogénéité des pratiques d'audit structurées et
cadencées au moyen de phases et de jalons clés. Si vous faites appel à des prestataires externes, ces
derniers devront respecter cette approche. Les sections qui vont suivre sont alignées avec les normes
du CRIPP et les bonnes pratiques.
Dans les chapitres suivants, je détaillerai chaque phase d'audit et je vous présenterai des outils à
utiliser au cours de ces phases. Il vous est recommandé d'adapter cette approche au contexte
organisationnel de votre entreprise si vous aurez à mener une mission d'audit. Vous pourrez ainsi
reformuler selon le besoin les phases clés que nous expliquerons plus loin. Pour cela, nous suivrons la
démarche suivante :
1. Une approche à dérouler à chaque audit ;
2. Ne pas négliger la phase préliminaire ;

4
 Élaboration de la Méthodologie d'Audit

Une approche à dérouler à chaque audit Fondamental

Le schéma ci-dessous indique les quatre phases principales d'un audit.

Phase 1 - La préparation
Cette première phase de préparation a pour objet de :
prendre connaissance des objectifs d'audit, du périmètre à auditer, et identifier les risques ainsi
que le dispositif de contrôle ;
construire et valider le référentiel d'audit ;
élaborer le programme de travail et valider l'organisation de la mission.
Pour ce faire, vous allez vous appuyer sur les ressources documentaires existantes, afin de prendre
connaissance de ce périmètre et cadrer la mission d'audit. Vous devrez également identifier les acteurs
et les personnes à solliciter dans le cadre de l'audit. Il en résultera un référentiel, ou grille d'audit, ainsi
qu'un programme de travail.
La réunion de lancement permettra de réunir toutes les personnes qui seront sollicitées dans le cadre
de l'audit et l'équipe qui réalisera la mission ; mais également de :
partager et échanger autour des objectifs de la mission et du périmètre ;
présenter l'équipe d'auditeurs, ainsi que leurs compétences et parcours.
Nous reviendrons sur la méthode d'élaboration d'une grille d'audit et l'organisation de la réunion de
lancement, dans les deux dernières sections de cette partie.
Phase 2 - L'investigation
Après avoir officialisé le lancement de l'audit et communiqué sur son déroulement, la phase
d'investigation est l'occasion de rentrer dans le vif du sujet. Les objectifs de cette phase sont de :
collecter les informations et constituer les preuves d'audit au moyen d'outils tels que les
entretiens ou des analyses de données ;
analyser les informations collectées et élaborer les recommandations.
À l'issue de cette phase, vous aurez une première version du rapport d'audit, dont les observations et
les recommandations devront être validées par les audités. Nous détaillerons cette phase et verrons
des outils à utiliser dans le cadre des audits, dans la prochaine partie du cours.

5
Élaboration de la Méthodologie d'Audit

Phase 3 - La validation
La phase de validation est primordiale et parfois oubliée. Il s'agit de mettre en œuvre une démarche
contradictoire pour donner l'opportunité aux audités de revenir sur certaines observations et
recommandations, et de fournir aux auditeurs des compléments d'informations.
Afin d'établir un environnement bienveillant, il est recommandé d'initier cette démarche de validation
avant la présentation des conclusions de l'audit. Dans certains cas, la démarche contradictoire se fait
pendant la réunion de clôture.
Cependant, l'expérience montre que lorsque les audités n'ont pas été tenus au courant des
recommandations et qu'ils ne sont pas d'accord, ils l'expriment haut et fort !
Les activités clés de cette phase seront vues dans la prochaine partie de ce cours. Vous y verrez
également des outils qui vous seront suggérés pour rédiger le rapport d'audit et formuler les
recommandations, afin qu'elles soient percutantes.
Phase 4 - Le suivi
La phase de suivi intervient après l'audit, lorsque les recommandations ont été traduites par des plans
d'action à mettre en œuvre afin de maîtriser les risques et d'améliorer les dispositifs de contrôles, et in
fine aider à atteindre les objectifs de l'entreprise.
En tant qu'auditeur, ou responsable de la fonction d'audit, vous ne pouvez pas participer à la mise en
œuvre des plans d'action. On ne peut être juge et partie.
Néanmoins, il est possible de réaliser une mission de suivi des recommandations d'audit. Vous pourrez
donc intervenir lorsque les plans d'action auront suffisamment avancé. Vous allez effectuer un audit de
suivi des recommandations, en collectant de nouvelles informations et de nouvelles preuves. Les
recommandations seront alors mises à jour, voire clôturées, en fonction de l'avancement des actions.

Ne pas négliger la phase préliminaire Fondamental

Le plan d'audit annuel a été validé par la direction, ainsi que le budget associé. Vous devez à présent
lancer les audits selon le calendrier défini, qu'ils soient réalisés par des prestataires externes, par vous-
même ou par votre équipe.
Tout en amont de la phase de préparation de l'audit, vous allez cadrer la mission au moyen d'un
programme et d'une lettre de mission, et affecter les bonnes ressources.
Le programme de mission
Lorsque vous aurez établi le plan d'audit annuel, vous aurez probablement en tête le périmètre de la
mission et ce que vous attendez de l'audit. Le programme d'audit permet de formaliser ces différents
éléments. Cette étape peut être facultative si vous souhaitez vous affranchir d'un certain formalisme.
La liste ci-dessous décrit les éléments du programme d'audit qui doivent être clarifiés avant de rédiger
la lettre de mission. Ils vous aideront à répondre aux attentes des parties prenantes et les clients de
l'audit :
identifier les clients de la mission d'audit, c'est-à-dire toute personne ou toute partie à qui les
résultats d'audit seront destinés, telles que la direction générale, le comité d'audit, les directeurs
des services, les responsables de processus, les commissaires aux comptes ou les organismes
régulateurs ;
déterminer l'événement déclencheur de l'audit, par exemple demande d'assurance ou de
conseil formulée par la direction, résultat de l'analyse des risques, demande à la suite d'un
incident comme une catastrophe naturelle ou défaillance d'un client, ou encore une nouvelle
exigence réglementaire ;
préciser les attentes des clients, par exemple évaluer l'efficacité opérationnelle d'un
processus, s'assurer de la conformité à une réglementation, apprécier l'avancement d'un projet ;

6
 Élaboration de la Méthodologie d'Audit

délimiter le périmètre de la mission d'audit et définir les processus et sous-processus à

auditer, la localisation géographique et les sites, la période à auditer ; par exemple les données à
analyser sur les trois derniers exercices comptables. Vous pouvez également préciser ce qui est
exclu du périmètre ;
déterminer les livrables de la mission, en dehors du rapport d'audit qui est un livrable
indispensable de l'approche d'audit, par exemple un plan d'action à mettre en œuvre pour
améliorer l'efficience et l'efficacité d'un processus, un plan de communication, etc.
Une fois ces éléments convenus, vous allez pouvoir rédiger la lettre de mission.
La lettre de mission ou ordre de mission

La lettre de mission doit comporter au minimum :

les objectifs de la mission d'audit, à reprendre éventuellement du programme de mission ;
le périmètre d'intervention ;
les livrables.

L'affectation des ressources

Selon la norme 2230 du CRIPP “ressources affectées à la mission”,
« les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les
objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque
mission, des contraintes de temps et des ressources disponibles. »
Les ressources sont la combinaison de connaissances et de compétences ainsi que de savoir-faire
nécessaires à la réalisation de la mission d'audit. La quantité de ressources doit être évaluée avec
pragmatisme et conscience professionnelle. Vous pouvez donc vous appuyer sur le plan de charge que
vous avez élaboré après avoir construit le plan d'audit.
Par conséquent, si vous n'avez pas les compétences au sein de votre équipe, ou tout simplement le
temps pour réaliser une ou plusieurs missions d'audit, vous ferez appel à un prestataire externe.

Résumons Rappel

construisez une approche générale d'audit à intégrer dans la charte d'audit. Cette approche
définit les phases clés, les jalons et les livrables attendus pour chaque mission d'audit ;
elle permettra une homogénéité des pratiques d'audit, notamment si vous avez choisi de faire
appel à des prestataires pour réaliser un certain nombre d'audits ;
avant la phase de préparation d'un audit, vous devez avoir réfléchi au programme de mission,
au minimum aux objectifs de l'audit, au périmètre d'intervention et aux livrables, et avoir
communiqué aux audités la lettre de mission signée par la direction générale.

7
Sélection des Prestataires d'Audit II

La Démarche Méthode

Au cours du processus de planification annuelle des audits, vous aurez probablement réfléchi à une
stratégie de sous-traitance de l'audit interne. En effet, compte tenu des ressources dont vous
disposerez, vous pourrez avoir recours à un accroissement des effectifs de votre équipe et/ou des
prestataires pour réaliser vos audits.
Dans cette partie, vous allez découvrir les étapes clés d'un processus de sélection de prestataires
d'audit et les outils pour faire votre choix au cours de l'appel d'offres.

Si votre entreprise s'est éventuellement dotée d'une stratégie d'achat et/ou d'une procédure d'achat,
qui impose la mise en concurrence de plus de deux entreprises, afin d'empêcher toute entente ou abus
de position dominante. La mise en concurrence permet également de bénéficier d'un prix favorable
pour l'entreprise, puisqu'il pourra être comparé et challengé.
Avant de vous lancer dans ce processus de sélection, le plan annuel d'audit doit être validé par votre
direction et vous devez avoir identifié les audits à sous-traiter, compte tenu de vos ressources en
interne. Deux cas de figure sont à envisager :
1. vous avez peu de missions d'audit à sous-traiter (trois audits au maximum), vous pouvez
solliciter des prestataires directement. Vous leur enverrez le cahier des charges correspondant à
chaque mission d'audit. Vous allez devoir gérer autant d'appels d'offres que de missions d'audit
à sous-traiter ;
2. vous avez un certain nombre de missions (plus de trois audits) et vous allez procéder à un
lotissement des missions, afin de lancer un appel d'offres global. Un lot peut comporter une ou
plusieurs missions d'audit. Vous pourrez choisir un prestataire pour tous les lots, ou plusieurs
prestataires en fonction du nombre de lots.
La suite de ce cours abordera les points suivants :
1. Rédiger le cahier des charges ;
2. Lancer l'appel d'offres ;
3. Short-liste des prestataires ;

Rédiger le cahier des charges Fondamental

Le cahier des charges est un document qui décrit les besoins, présente les objectifs et les livrables.
Vous pourrez y annexer la charte/politique d'audit. Voici à titre d'exemple le sommaire d'un cahier des
charges, qui pourrait vous servir de base de travail :
l'objet du document ;

8
 Sélection des Prestataires d'Audit

le contexte de la consultation ou de l'appel d'offres, qui comprend une description de votre

entreprise ;
les objectifs de la mission ou des missions d'audit, avec les dates de début et de fin des
missions ;
le périmètre des missions, qui peut préciser les sites géographiques, applications, processus,
etc. ;
les résultats attendus, à savoir les livrables qui pourront être repris de votre approche d'audit ;
le mode de description et de cotation de la prestation, c'est-à-dire ce qui est attendu dans la
proposition commerciale et le calendrier de la consultation, ainsi que les modalités de réception
des offres ;
les contacts de l'entreprise, dans le cas où les candidats auraient besoin de complément
d'information pour élaborer leur proposition commerciale.
Dans le cadre d'un appel d'offres global, qui comprend plusieurs missions d'audit, vous pouvez
demander la simulation de deux scénarios :
scénario 1 : dans le cadre d'une prestation mono-attributaire, il n'y aura qu'un prestataire
retenu pour tous les lots, vous demanderez un prix global, incluant un détail par lot ;
scénario 2 : dans le cadre d'une prestation multi-attributaire, plusieurs prestataires seront
sélectionnés et dans ce cas, la proposition commerciale doit fournir le dimensionnement
économique pour chacun des lots.
Il est bien évidemment attendu que le scénario 1 soit plus avantageux financièrement pour votre
entreprise.

Lancer l'appel d'offres Fondamental

Vous avez maintenant en votre possession le cahier des charges, qui doit être diffusé. Si vous travaillez
dans le secteur privé, vous pouvez remettre le cahier des charges au service des achats qui s'occupera
de l'appel d'offres. Ce service pourra compléter le document et préciser notamment la partie “mode de
description et de cotation de la prestation”.
En revanche, si vous devez gérer vous-même l'appel d'offres, vous devez établir une liste de
fournisseurs à qui vous adresserez le cahier des charges.
Comment identifier les fournisseurs/prestataires d'audit ?
Il n'existe malheureusement pas de méthodes définies pour identifier les prestataires d'audit. Vous
pouvez vous rapprocher d'organismes de standardisation de notre pays (s'il y en a, pour la France, ils
ont l'IFACI) ou éventuellement des annuaires professionnels afin d'identifier des sociétés de
prestations de services spécialisées dans certains domaines, ou bien compter sur votre réseau, le
bouche-à-oreille, ou encore les moteurs de recherche.
Au cours de la période de réception des offres, vous devrez éventuellement relancer les fournisseurs ou
les contacter directement, pour savoir s'ils vous enverront une proposition commerciale.

Short-liste des prestataires Fondamental

Après la date de fin de réception des offres, vous allez procéder à un scoring des réponses reçues. Une
matrice de choix de vos prestataires pourra vous aider à y voir plus clair, notamment si vous avez eu un
grand nombre de retours. Les critères peuvent être les suivants :
la compréhension des besoins et des objectifs des missions, et l'expression des conditions de
succès nécessaires à la réussite de la mission ;
la description du dispositif, c'est-à-dire l'équipe d'auditeurs, et des compétences associées ;
les approches méthodologiques et référentiels utilisés ;

9
Sélection des Prestataires d'Audit

les références de missions et des exemples de livrables ;

et bien sûr le prix.
Vous allez coter chaque critère de 1 à 10, par exemple. Les critères peuvent avoir une pondération.
Ensuite vous en déduirez une note par réponse reçue.

Il faut aussi penser à établir une short-list des prestataires qui auront les meilleures notes. Une
soutenance pourra être organisée avec ces derniers afin de les rencontrer et juger si vous êtes sur la
même longueur d'ondes.
En effet, dans ce cadre, vous allez identifier un vrai partenaire d'audit avec qui vous pourrez travailler à
plus ou moins long terme, étant donné qu'il développera une connaissance de votre entreprise en plus
des expertises qu'il apporte.
C'est aussi l'opportunité pour vous de repréciser avec les prestataires la démarche et les
méthodologies d'audit, et de négocier le tarif des prestations. A l'issue de cette étape de soutenance,
les prestataires pourront vous transmettre une nouvelle version de leur proposition commerciale.
Après avoir sélectionné le prestataire pour chacune des missions d'audit sous-traitées, organisez une
réunion d'ouverture afin que vous puissiez lui présenter la charte d'audit et le service d'audit. À cette
occasion, vous échangerez sur les objectifs d'audit et le périmètre. Le calendrier de la mission pourra
être finalisé et les premiers rendez-vous pris.

Résumons Rappel

le processus d'appel d'offres dans le cadre de la sélection de prestataires d'audit a pour but de
mettre en concurrence plusieurs entreprises en vue de réaliser une mission d'audit. Il s'agit
d'une bonne pratique en matière d'achats en entreprise ;
les modalités sont différentes en fonction du secteur privé ou public, ou bien si votre entreprise
dispose d'une fonction achat ;
votre prestataire d'audit doit être un véritable partenaire avec qui vous pourrez travailler à plus
ou moins long terme.

10
Construire le Référentiel d'Audit III

Démarche Méthode

Rappelons que depuis le début du cours, vous avez appris à développer une vision systémique et votre
capacité à analyser les activités dans leur globalité, en prenant en compte les objectifs de l'entreprise.
Vous avez donc une connaissance approfondie et transversale de l'ensemble des activités de votre
entreprise. Avant de vous lancer dans la phase de réalisation d'un audit, vous allez approfondir vos
connaissances de l'entreprise sur le périmètre à auditer au cours de la phase de préparation. Cette
phase vise à s'assurer que les travaux d'audit permettront d'atteindre les objectifs énoncés dans la
lettre de mission et de répondre à la demande de la direction et des parties prenantes.
Dans les sections qui vont suivre, nous présenterons les livrables clés de la phase de préparation et
vous expliquerons comment concevoir :
le référentiel d'audit, qui est l'objet de ce chapitre ;
puis le programme de travail et le support de la réunion d'ouverture.

Comme évoqué dans le tout premier chapitre du cours, les auditeurs mènent leurs travaux sur la base
des systèmes de contrôle mis en œuvre dans l'entreprise, appelés le “contrôle interne”. Le référentiel
d'audit, sous la forme d'une grille ou d'une matrice, constitue le support de cette évaluation des
dispositifs de contrôle interne.
Nous aborderons successivement les points qui suivent :
1. Découvrir le contrôle interne ;
2. Découvrir les référentiels de contrôle interne ;
3. Identifier les dispositifs de contrôle ;
4. Qualifier les contrôles ;

Découvrir le contrôle interne Fondamental

Qu'est-ce que le contrôle interne ?

Le contrôle interne est l'ensemble des politiques et procédures mises en œuvre dans l'entreprise afin
d'assurer la gestion rigoureuse et efficace de ses activités.
Ces procédures ont pour objet :
le respect des politiques auxquelles elles font référence ;
la sauvegarde des actifs (actifs corporels, incorporels, financiers, humains...) ;

11
Construire le Référentiel d'Audit

la prévention et la détection des fraudes et erreurs ;

l'exhaustivité et l'exactitude des enregistrements comptables ;
l'établissement en temps voulu d'informations comptables et financières fiables.
Le contrôle interne décrit tout ce que l'entité fait afin de prévenir, détecter, corriger les erreurs ou
autres anomalies. Il est fondé sur quatre principes structurants que nous expliquons ci-dessous.
Principe 1 : Le contrôle interne est « l'affaire de tous »
Le contrôle interne ne s'incarne pas dans une personne : l'ensemble des acteurs participent au
dispositif de contrôle interne, encadrement comme opérationnels. Le management est responsable de
l'arbitrage entre les résultats attendus et les "coûts" d'une mesure en fonction des risques, des enjeux
et des moyens disponibles.
Si on vous dit “non, je ne fais aucun contrôle dans le cadre de mon travail”, c'est donc impossible ! Vos
interlocuteurs devront être sensibilisés à la démarche de contrôle interne.
Principe 2 : Le contrôle interne est indissociable de toute activité
Il ne se “rajoute pas” : pour l'essentiel, le contrôle interne est intégré aux processus. C'est une
démarche globale qui ne se limite pas aux seuls contrôles.
Si vous êtes amené à proposer des contrôles à mettre en œuvre sur les processus que vous avez
audités, vous devrez démontrer que les contrôles ne leurs font pas perdre de temps. Ils permettront
d'être plus efficace et plus efficient. Finies les erreurs et les anomalies ! Ils passeront moins de temps à
les résoudre.
Principe 3 : Le contrôle interne doit être adapté à l'environnement
Il n'y a pas de démarche stéréotypée, mais un examen au cas par cas. Lorsque vous proposez un
contrôle à intégrer dans un processus, il doit être conçu sur mesure. Il vaut mieux se mettre à la place
de la personne qui le réalisera, et ne pas vouloir reproduire un contrôle qu'on aurait mis en place ou vu
dans le cadre d'une autre mission.
Principe 4 : Le contrôle interne s'intègre dans une logique d'amélioration continue
Le contrôle interne existant doit être amélioré en structurant mieux l'organisation, en axant son
fonctionnement sur les risques et les enjeux, et en le formalisant davantage afin d'en améliorer son
auditabilité (c'est-à-dire la traçabilité).

Découvrir les référentiels de contrôle interne Fondamental

Vous connaissez à présent l'Institute of Internal Auditors (IIA) pour l'audit interne, qui donne les
lignes directives et édicte les normes professionnelles. Il existe également des organismes qui
définissent les bonnes pratiques de contrôle interne dans l'entreprise.
Dans cette section, nous présenterons les trois principaux organismes dont le premier est international
et les deux autres sont français. Ces organismes ont leur propre définition du contrôle interne, qui est à
peu près similaire. En revanche, ils fournissent des lignes directives dans la mise en œuvre du contrôle
interne, comme l'IIA pour l'audit interne.
Committee of Sponsoring Organizations of the Treadway Commission
C'est un groupe de réflexion constitué aux États-Unis en 1985, qui a développé un référentiel d'analyse
du contrôle interne appelé COSO, édité en France en 1992. Il s'agit du référentiel de portée
internationale le plus mis en œuvre : il décrit le contrôle interne et propose une évaluation de son
efficacité.

12
 Construire le Référentiel d'Audit

Selon le COSO, le contrôle interne est un ensemble de dispositifs mis en œuvre par le conseil
d'administration, les dirigeants et le personnel d'une organisation, et destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
la réalisation et l'optimisation des opérations ;
la fiabilité des informations financières ;
la conformité aux lois et réglementations en vigueur.
Institut français de l'audit et du contrôle interne
Il a été évoqué dans le tout premier chapitre du cours : l'IFACI est affilié à l'Institute of Internal Auditors
(IAA). Il est chargé de représenter la profession d'audit interne et de promouvoir son développement en
France. Comme pour l'audit interne, l'IFACI propose une démarche et des outils de mise en œuvre de
contrôle interne, destiné à donner une assurance raisonnable que :
les opérations sont réalisées, sécurisées, optimisées et permettent ainsi à l'organisation
d'atteindre ses objectifs de base, de performance, de rentabilité et de protection du patrimoine ;
les informations financières sont fiables ;
les lois, les réglementations et les directives de l'organisation sont respectées.
Autorité des marchés financiers (AMF)
L'AMF a été créée en 2003 et régule les acteurs et produits de la place financière française. Elle
réglemente, autorise, surveille et, lorsque c'est nécessaire, contrôle, enquête et sanctionne. L'AMF
veille également à la bonne information des investisseurs et les accompagne, en cas de besoin, grâce à
son dispositif de médiation.
Cette autorité a créé son cadre de référence de contrôle interne à l'usage des sociétés françaises. C'est
un énoncé de principes et de bonnes pratiques à adapter au contexte propre de chaque société. Il est
souvent appliqué dans le secteur bancaire.

Identifier les dispositifs de contrôle Fondamental

Revenons à la préparation de l'audit. Pour identifier les points à investiguer, vous allez construire un
référentiel d'audit qui doit permettre d'apprécier le dispositif de contrôle interne mis en œuvre sur le
périmètre audité. Votre référentiel doit donc comporter au moins :
les contrôles attendus ;
les contrôles réalisés ;
les risques à couvrir sur le périmètre d'audit.
Vous vous en doutez bien : si le contrôle attendu n'est pas réalisé, une recommandation devra être
formulée, car le risque n'est pas maîtrisé.

Voici une démarche d'élaboration d'un référentiel d'audit en trois étapes :

étape 1 : la compréhension des processus ;
étape 2 : l'analyse des risques ;
étape 3 : l'identification des contrôles attendus.
L'étape d'identification des contrôles réalisés et d'évaluation s'effectuera au cours de la phase
d'investigation.

13
Construire le Référentiel d'Audit

Étape 1 : la compréhension des processus

Cette première étape vise à identifier et examiner les processus sur le périmètre audité. Vous pouvez
vous servir de la cartographie des processus que vous aurez modélisée, le cas échéant. Vous aurez
également besoin de la documentation existante (politiques, procédures, guides utilisateurs, etc.).
Au cours de cette étape, vous allez :
déterminer les processus et sous-processus, ainsi que les macro-processus auxquels ils sont
rattachés ;
prendre connaissance de l'enchaînement des étapes dans le cadre des sous-processus, sur la
base de la documentation existante. Pour ce faire, vous pouvez modéliser une première version
d'un diagramme de flux qu'il faudra amender au cours de la phase d'investigation ;
identifier les acteurs intervenant dans le cadre de la procédure ;
identifier les outils utilisés, notamment les outils informatiques.

La connaissance des processus est donc indispensable afin de mener une analyse des risques
pertinente et au plus près de la réalité du terrain, dans une optique de sécurisation des processus.
Étape 2 : l'analyse des risques
Dans un deuxième temps, une analyse des risques par processus est nécessaire afin d'identifier les
éléments susceptibles de remettre en cause l'atteinte des objectifs de l'entreprise. Cette analyse
consiste à :
formuler les différents risques pouvant remettre en cause l'atteinte des objectifs ;
coter les risques bruts pour déterminer leur niveau de criticité.
Le risque brut peut être défini comme étant le risque qui existe en ne tenant pas compte des activités
de maîtrise du risque. La formalisation des risques identifiés constitue la cartographie des risques. Elle
est complétée par les activités de maîtrise des risques correspondantes et constitue ainsi la matrice de
maîtrise des risques.

Étape 3 : l'identification des contrôles attendus

Dans un troisième temps, il convient d'identifier les activités de maîtrise des risques (AMR) qui
permettront de couvrir les risques liés à la réalisation des objectifs, ou d'atténuer l'impact de la
survenance d'un risque.
Pour préparer votre mission d'audit, je vous propose cette grille comportant les informations
minimales à compléter. À cette étape, vous ne remplirez que les quatre première colonnes. Chaque
chose en son temps : le reste sera abordé dans les chapitre suivants.

14
 Construire le Référentiel d'Audit

Libre à vous d'ajouter des colonnes pour préciser certaines informations, comme le type de
contrôle qui peut être automatique, semi-automatique ou manuel. Nous allons dans la section
suivante nous focaliser sur cette typologie.

Qualifier les contrôles Fondamental

Il existe trois niveaux de contrôle :

les contrôles de premier niveau, qui permettent de gérer les activités au quotidien et de garantir
la maîtrise des opérations, réalisés ainsi par les fonctions opérationnelles, de pilotage ou les
fonctions supports ;
les contrôles de deuxième niveau, qui sont réalisés par la fonction de contrôle permanent
chargée de la gestion des risques ;
et les contrôles de troisième niveau, qui sont systématiquement réalisés par des auditeurs,
appelés également la fonction de contrôle périodique.

Les contrôles sont effectués en amont pour prévenir la survenance du risque sur le processus, ce sont
les contrôles a priori. Les contrôles à posteriori sont effectués pour détecter une erreur ou une
anomalie, ce qui signifie que l'incident s'est déjà produit.
La typologie des contrôles de premier niveau
Les contrôles dits de premier niveau correspondent aux activités de maîtrise des risques intégrées au
fonctionnement courant des services et dans les applications. Il s'agit :
des contrôles automatiques implémentés dans les applications ;
des contrôles semi-automatiques, fondés sur une forme d'assistance du système d'information ;
des contrôles intellectuels ou manuels, qui reposent totalement sur une intervention humaine,
sans aucune forme d'assistance du système d'information.
Les contrôles de premier niveau permettant de couvrir des risques majeurs sont cartographiés dans la
matrice de maîtrise des risques.
La traçabilité des contrôles de premier niveau
Tous les contrôles sont retracés dans les guides de procédures qui doivent être régulièrement mis à
jour en fonction des évolutions réglementaires, notamment. Tous les contrôles exercés par les
opérationnels et l'encadrement doivent être documentés, car ils sécurisent les activités et doivent
donc être portés à la connaissance des acteurs.
La traçabilité de ces activités de maîtrise doit être assurée, sa mise en œuvre servira de preuve de
contrôle lors des campagnes de tests, d'où la nécessité de formalisation du contrôle interne.

Dans le cas contraire, une recommandation sera élaborée pour documenter le contrôle, qui peut
prendre la forme d'une signature, d'un mail, d'un rapport, etc.

15
Construire le Référentiel d'Audit

Résumons Rappel

le référentiel d'audit ou la grille d'audit comporte tous les sujets à auditer. Il constitue le support
de cette évaluation des dispositifs de contrôle interne ;
le contrôle interne décrit tout ce que l'entité fait afin de prévenir, détecter, corriger les erreurs ou
autres anomalies, et de prévenir la survenance des risques ;
les auditeurs se focalisent sur les contrôles de premier niveau. Ils peuvent être a priori ou a
posteriori, et automatiques, semi-automatiques ou manuels. S'il est revu par le management, il
s'agit d'un contrôle de supervision ;
un contrôle (ou activité de maîtrise des risques ou dispositif de maîtrise des risques) qui n'est
pas formalisé n'existe pas aux yeux d'un auditeur, qui doit collecter systématiquement une
preuve de contrôle.

16
Communiquer pour Lancer l'Audit IV

Démarche Méthode

Une fois que vous avez conçu le référentiel d'audit, un programme de travail doit être rédigé et
communiqué aux audités. Pour marquer la fin de la phase de préparation, une réunion de lancement
sera organisée pour communiquer la démarche générale issue de la charte d'audit, le planning de
l'audit et les différents jalons. Cette réunion est souvent l'occasion pour les auditeurs externes à
l'entreprise de se présenter.
Avant de vous lancer dans la rédaction du programme de travail et du support de la réunion de
lancement, il reste un sujet que nous n'avons pas encore traité. Vous l'avez sûrement remarqué : le
référentiel d'audit est conséquent et il paraît impossible de revoir tous les contrôles. Je vous
propose donc de sélectionner le périmètre des travaux à réaliser sur le terrain, appelés les objectifs
d'audit. Les points suivants seront passés en revue :
1. Sélectionner les objectifs de travaux d'audit ;
2. Sélectionner les sites à auditer ;
3. Élaborer un programme de travail ;
4. Organiser une réunion de lancement.

Sélectionner les objectifs de travaux d'audit Fondamental

À partir de la lettre de mission et du référentiel d'audit, vous devez sélectionner les contrôles clés qui
feront l'objet d'une analyse plus approfondie au moyen de tests.
Les critères suivants sont à examiner afin de déterminer les points d'audits significatifs, ou contrôles
clés :
la pertinence par rapport au secteur d'activité ;
la cohérence par rapport à la stratégie de l'entreprise ;
la cohérence par rapport aux attentes des parties prenantes internes et externes.
Certains contrôles peuvent ne pas être testés dans les cas suivants :
l'existence d'un contrôle de niveau supérieur. Par exemple, l'entreprise fait partie d'un groupe, et
le contrôle est réalisé à ce niveau supérieur ;
l'existence d'autres contrôles couvrant totalement le risque ;
la période au cours de laquelle le contrôle est mis en œuvre est incompatible avec le calendrier
de la mission ;
des changements dans l'organisation du processus ont des impacts sur le dispositif de contrôle.
Après avoir sélectionné les contrôles à auditer, vous allez exprimer les objectifs des travaux d'audit
pour chacun des contrôles retenus, par exemple “s'assurer de l'efficacité et de l'efficience du
contrôle”. Dans la grille proposée dans le chapitre précédent, vous allez compléter la cinquième
colonne.

17
Communiquer pour Lancer l'Audit

Enfin, vous allez rapprocher les objectifs de l'ordre de mission des objectifs d'audit. Vous serez face à
trois situations possibles :
la situation idéale : les objectifs des travaux d'audit couvrent exactement les objectifs de la
mission d'audit précisés dans l'ordre de mission ;
deuxième situation : les objectifs des travaux d'audit sont plus larges que les objectifs de
l'ordre de mission. Un avenant pourra être rédigé et validé par la direction générale ;
dernière situation : les objectifs des travaux d'audit ne couvrent pas les objectifs de l'ordre de
mission. L'audit des contrôles correspondants sera exclu du périmètre des travaux. En revanche,
cette exclusion et ces raisons seront mentionnées dans le rapport d'audit. S'il s'agit d'un oubli
au cours de l'élaboration du programme et de l'ordre de mission, un avenant pourra être rédigé
et validé par la direction générale.

Rappelons enfin que les ressources sont la combinaison de connaissances et de compétences ainsi que
de savoir-faire nécessaires à la réalisation de la mission d'audit. Vous devrez par conséquent revoir les
équipes d'audit.

Sélectionner les sites à auditer Fondamental

Dans le cadre d'une mission d'audit à grande échelle, comme par exemple l'audit du processus de
ventes dans plusieurs magasins, vous allez devoir déterminer l'échantillon des sites dans lequel ces
contrôles seront testés.
Pour ce faire, l'échantillon des sites audités est établi en fonction de leur contribution dans l'entreprise.
Sur un processus tel que les ventes, vous pouvez vous baser sur la contribution du magasin au chiffre
d'affaires à titre d'exemple.

Dans le cadre des audits financiers, le taux de couverture des travaux est encadré :
taux de couverture de 20 % pour une assurance modérée, qui signifie que les travaux d'audit
n'ont pas décelés d'anomalies pouvant avoir une incidence significative sur les comptes. La
formulation négative a son importance, puisqu'elle reste peu engageante ;
50 % pour une assurance raisonnable : les travaux d'audit permettent d'exprimer une
assurance raisonnable sur la réalisation des contrôles en vue de couvrir les risques. Cette
formulation est plus engageante pour les auditeurs, qui vont mener des travaux beaucoup plus
détaillés.
À propos de l'exemple du processus de ventes, vous allez sélectionner un périmètre de magasins qui
génèrent un chiffre d'affaires de plus de 20 % si vous souhaitez vous assurer qu'il n'y a pas d'anomalie.
En revanche, vous allez auditer tous les magasins ou sélectionner un périmètre de magasins qui
génèrent un chiffre d'affaires de plus de 50 %, si vous souhaitez vous assurer que le processus des
ventes est bien maîtrisé.

18
 Communiquer pour Lancer l'Audit

Élaborer un programme de travail Fondamental

Le programme de travail définit les procédures d'audit qui permettront d'atteindre les objectifs
d'audit, d'où l'étape précédente de sélection des objectifs d'audits. Il est essentiellement destiné aux
personnes auditées, afin qu'elles puissent appréhender la mission d'audit.
Pour chaque objectif d'audit, vous allez déterminer les techniques d'audit appropriées, à savoir la
nature des tests pour obtenir une preuve suffisante, pertinente et fiable au regard des objectifs d'audit
sélectionnés. Les techniques d'audit seront vues au prochain chapitre.
Pour définir la procédure d'audit, vous allez déterminer l'étendue et le calendrier des tests,
notamment :
dans le cadre d'entretiens, la liste des personnes à rencontrer ;
pour les analyses de données, la période sur l'année en cours ou les trois dernières années, par
exemple.
Par conséquent, pour que le programme de travail puisse être opérationnel et intelligible pour les
audités, il doit comporter les informations suivantes :
le contexte, les objectifs de la mission, qu'il faudra reprendre de la lettre de mission, et les
objectifs d'audit, définis au moyen de la grille d'audit ;
l'approche et le périmètre des travaux, en vue de présenter les processus et activités à auditer,
ainsi que les procédures d'audit correspondantes ;
éventuellement la liste des documents à mettre à disposition et les contacts des auditeurs ;
l'organisation des travaux, qui peut être utile notamment dans le cadre d'un audit sur
plusieurs sites :
accueil et entretien avec les personnes clés chargées des données du site pour présenter
les activités, l'organisation et balayage des faits marquants de l'année ;
revue des informations collectées et analyse de données, à partir d'une revue
documentaire et des entretiens ;
synthèse orale des observations faites.

Organiser une réunion de lancement Fondamental

La réunion de lancement a pour objectif d'officialiser le démarrage de la mission d'audit. Les

principaux objectifs de cette réunion sont les suivants :
valider la méthodologie de travail, qui est détaillée dans le programme de travail ;
partager le calendrier d'intervention, les modalités de restitution des conclusions et les
modalités de suivi de l'avancement de la prestation ;
présenter l'équipe d'intervention et leurs compétences ;
recenser la documentation à obtenir permettant d'appréhender le périmètre audité ;
enfin, identifier les interlocuteurs à rencontrer et définir les modalités d'échange (entretiens
individuels, ateliers de travail...).

19
Communiquer pour Lancer l'Audit

Pour réussir ce démarrage, vous devrez :

préparer un support de la réunion, en répondant aux objectifs ci-dessus ;
positionner la réunion en tenant compte des disponibilités des participants, notamment les
responsables des activités auditées et, dans la mesure du possible, les opérationnels qui seront
audités ;
diffuser un compte-rendu de la réunion de lancement ;
et commencer la phase d'investigation sans plus tarder.
Rappelons que la communication claire et régulière, adaptée à tous les niveaux hiérarchiques est
un facteur clé de succès. En communiquant sur les procédures d'audit, les calendriers et les
documents qui seront collectés, on ne pourra pas reprocher à votre équipe de ne pas avoir été informé,
ni préparé à la mission d'audit.

Résumons Rappel

contrairement à la lettre de mission, qui s'adresse plutôt au management, le programme de

travail doit être opérationnel et intelligible pour les audités. Il présente : le contexte, les objectifs
de la mission et les objectifs d'audit, l'approche et le périmètre des travaux, éventuellement la
liste des documents à mettre à disposition et les contacts des auditeurs ;
la réunion de lancement a pour objectif d'officialiser le démarrage de la mission d'audit, en
réunissant les auditeurs et les audités, ainsi que les sponsors, le cas échéant ;
le programme de travail, le support et le compte rendu de la réunion de lancement sont des
premiers moyens de communication avec les audités, qui garantiront le succès de la mission
d'audit ;
la communication permet de fédérer autour des objectifs d'audit, afin de satisfaire toutes les
parties impliquées et d'obtenir leur adhésion tout au long de l'audit.

20
Mentions légales

CopyRight ENSM 2022 - 2023

21