Normes de Mã©thodologie de Lâ Audit

Normes de méthodologie de l’audit
Enseignant : M. Mohamed AZEROUAL

1. Une norme c'est quoi?
Une norme est un document approuvé par un organisme reconnu, qui a été mis au
point par voie de consensus entre des experts du domaine, et qui fournit des
recommandations sur la conception, l'utilisation ou la performance des produits,
processus, services, systèmes ou personnes.
Les normes peuvent être élaborées par des organismes nationaux, régionaux ou
internationaux à activités normatives, ainsi que par des entreprises ou d'autres
organismes pour leur propre usage interne. Elles peuvent être également élaborées
par des consortiums économiques soucieux de répondre à des besoins spécifiques
du marché ou par des pouvoirs publics en vue d'étayer des règlements.
L'Organisation internationale de normalisation (ISO) et sa partenaire, la

Commission électrotechnique internationale (CEI), définissent une norme de la
façon suivante : « document, établi par consensus et approuvé par un organisme
reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes
directrices ou des caractéristiques, pour des activités ou leurs résultats,
garantissant un niveau d'ordre optimal dans un contexte donné ».
Les normes sont des accords d'application volontaire, élaborés dans le cadre d'un
processus ouvert offrant à toutes les parties prenantes, y compris les
consommateurs, la possibilité d'exprimer leurs points de vue et de les voir pris en
compte. Ce processus, qui contribue à l'équité et à la pertinence des normes pour
le marché, est un gage de confiance quant à leur utilisation.
Que contiennent les normes?
Les Normes internationales publiées par l'ISO ou la CEI sont des documents
internationaux consensuels élaborés par des représentants des comités membres
de l'ISO ou de la CEI, qui se réunissent au sein de comités techniques
internationaux. Les Normes internationales contiennent des spécifications
techniques ou d'autres critères précis, qui assurent que les matériaux, produits,
processus, services, systèmes ou personnes sont aptes à leur emploi prévu.
Les normes n'ont pas de durée de vie prédéterminée. Elles font l'objet de revues
périodiques pour veiller à toujours prendre en compte les derniers développements
technologiques et les tendances du marché.
A quoi servent les normes?

Les normes assurent la cohérence des caractéristiques essentielles des produits et
services, notamment la qualité, l'écologie, la sécurité, l'économie, la fiabilité, la
compatibilité, l'interopérabilité, l'efficacité et la rentabilité.
Les normes codifient les technologies les plus avancées et facilitent leur transfert.
Elles sont donc une source précieuse de savoir.
Les Normes internationales, en particulier, servent à différents titres :

▪ Elles contribuent à l'élaboration, à la fabrication et à la fourniture de biens et
services plus efficaces, plus sûrs et plus propres
▪ Elles facilitent le commerce entre les pays et le rendent plus équitable car les
mêmes spécifications sont adoptées et doivent être utilisées dans les différents
pays en tant que normes nationales ou régionales.
▪ Elles sont un instrument efficace couramment utilisé pour étayer les règlements
techniques nationaux
▪ Elles assurent la cohérence dans tout système global, soit dans un cadre de
normes mutuellement compatibles, soit en tant que normes reconnues
formellement par d’autres organismes à activités normatives.
Les normes nationales, régionales et internationales
Première chose à retenir : l’initiative des normes est prise au niveau national. En
règle générale, chaque pays s’est doté d’un organisme national de normalisation
(ONN), lequel, dans la plupart des cas, est membre de l'ISO. Les ONN ont les
fonctions suivantes :
▪ Ils publient, et éventuellement rédigent, leurs propres normes nationales
▪ Ils représentent leur pays dans les enceintes régionales ou internationales qui
établissent des normes
▪ Ils gèrent une bibliothèque de référence des normes nationales, régionales et
internationales
▪ Ils vendent des exemplaires des normes
Certains ONN offrent également des activités d'évaluation de la conformité,
notamment des services d'accréditation, de certification et d'autres prestations
commerciales.
Comment les normes s'articulent-elles avec les régimes réglementaires

Il y a une distinction importante à faire entre les normes et les lois.
Les normes sont d'application volontaire; l’application des lois est obligatoire.
Lorsque les autorités de réglementation d’un pays décident de recourir à des
Normes internationales pour fonder une loi, l’application de ces Normes
internationales devient obligatoire, mais elle ne l’est que dans la juridiction dudit
pays.
Il appartient aux autorités de réglementation de décider de recourir ou non à des
Normes internationales pour appuyer leurs règlements techniques. Si tel est le cas,
il y a différents modes de référence aux normes dans les textes de loi :
➢ Référence directe à une édition spécifique d'une norme donnée (référence directe datée);
Exemple : Le conteneur pour le transport de déchets dangereux doit être conforme à l'ISO
XXX:2003
➢ Référence directe à une norme, sans indication de l'édition (référence directe non datée);
Exemple : Le conteneur pour le transport de déchets dangereux doit être conforme à
l'édition la plus récente de l'ISO XXX:2003
➢ Référence indirecte au recours à la norme, notamment par le biais du renvoi à un registre
officiel des normes, tenu à jour et publiquement disponible; Exemple : Si le produit est
conforme aux normes ISO et CEI pertinentes dont le numéro de référence est publié dans
le registre officiel, le produit est réputé conforme aux exigences de la présente loi.
Lorsque la législation ou la réglementation empêchent les auditeurs internes ou

l’audit interne de respecter certaines dispositions des Normes, il est nécessaire
d’en respecter les autres dispositions et de procéder à une communication
appropriée. Si les Normes sont conjointement utilisées avec des dispositions
d’autres organes de référence, les communications de l’audit interne peuvent le cas
échéant, citer l’utilisation d’autres Normes. S’il y a des contradictions entre les
Normes et ces autres dispositions, les auditeurs internes et l’audit interne doivent
se conformer aux Normes et peuvent respecter les autres dispositions si celles‐ci
sont plus exigeantes.
Les Normes ont pour objet :

1. de définir les principes fondamentaux de la pratique de l'audit interne ;
2. de fournir un cadre de référence pour la réalisation et la promotion d'un large
champ d’intervention d'audit interne à valeur ajoutée ;
3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ;
4. de favoriser l'amélioration des processus organisationnels et des opérations.
Les Normes sont des principes obligatoires constituées :

• de déclarations sur les conditions fondamentales pour la pratique professionnelle
de l’audit interne et pour l’évaluation de sa performance. Elles sont internationales
et applicables tant au niveau du service qu’au niveau individuel.
• d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.
Les Normes se composent des Normes de Qualification, des Normes de

Fonctionnement et des Normes de Mise en Œuvre.
▪ Les Normes de Qualification énoncent les caractéristiques que doivent présenter

les organisations et les personnes accomplissant des missions d'audit interne.
▪ Les Normes de Fonctionnement décrivent la nature des missions d'audit interne
et définissent des critères de qualité permettant de mesurer la performance des
services fournis. Les Normes de Qualification et les Normes de Fonctionnement
s’appliquent à tous les services d’audit.
▪ Les Normes de Mise en Œuvre précisent les Normes de Qualification et les
Normes de Fonctionnement en indiquant les exigences applicables dans les
activités d’assurance ou de conseil.
1. NORMES DE QUALIFICATION
1. Mission, pouvoirs et responsabilités
La mission, les pouvoirs et les responsabilités de l’audit interne doivent être

formellement définis dans une charte d’audit interne, en cohérence avec la Mission
de l’audit interne et les dispositions obligatoires du Cadre de référence international
des pratiques professionnelles de l’audit interne.
Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne

et la soumettre à l’approbation de la direction générale et du Conseil.
La charte d’audit interne est un document officiel qui précise la mission, les
pouvoirs et les responsabilités de l’audit interne. La charte définit le positionnement
de l’audit interne dans l’organisation y compris la nature du rattachement
fonctionnel du responsable de l’audit interne au Conseil ; autorise l’accès aux
données, aux personnes et aux biens nécessaires à la réalisation des missions ;
définit le périmètre de l’audit interne. L’approbation finale de la charte d’audit interne
relève de la responsabilité du Conseil.
1.1. Reconnaissance des dispositions obligatoires dans la charte d’audit

interne
Le caractère obligatoire des principes fondamentaux pour la pratique

professionnelle de l’audit interne, du Code de déontologie, des Normes et de la
Définition de l’audit interne doit être reconnu dans la charte d’audit interne.
Le responsable de l’audit interne devrait présenter la Mission de l’audit interne et

les dispositions obligatoires du Cadre de référence international des pratiques
professionnelles de l’audit interne, à la direction générale et au Conseil.
2. Indépendance et objectivité
L’audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs
travaux avec objectivité.
2.1. Indépendance dans l’organisation
Le responsable de l’audit interne doit être rattaché à un niveau de l’organisation qui

permette à la fonction d’audit interne d’exercer ses responsabilités. Le responsable
de l’audit interne doit, au moins chaque année, confirmer au Conseil, indépendance
de l’audit interne dans l’organisation.
En termes d’organisation, l’indépendance est effectivement atteinte lorsque le

responsable de l’audit interne est fonctionnellement rattaché au Conseil.
L’audit interne ne doit subir aucune ingérence lors de la définition de son périmètre,
de la réalisation des missions et de la communication des résultats. Dans
l’éventualité de telles ingérences, le responsable de l’audit interne doit les exposer
et discuter de leurs conséquences avec le Conseil.
2.2. Relation directe avec le Conseil
Le responsable de l’audit interne doit communiquer et dialoguer directement avec le

Conseil.
2.3. Rôles du responsable de l’audit interne en dehors de l’audit interne
Lorsque le responsable de l’audit interne se voit confier, des rôles et/ou des
responsabilités qui ne relèvent pas de l’audit interne, des précautions doivent être
prises pour limiter les atteintes à l’indépendance ou à l’objectivité.
Parfois, Il est demandé au responsable de l’audit interne d’assumer des rôles et

des responsabilités supplémentaires en-dehors de l’audit interne, tels que la
responsabilité de la fonction de conformité ou de management des risques. Ces
rôles et responsabilités peuvent compromettre, ou sembler compromettre,
l’indépendance de la fonction d’audit interne dans l’organisation, ou l’objectivité
individuelle des auditeurs internes.
2.4. Objectivité individuelle
Les auditeurs internes doivent avoir une attitude impartiale et non biaisée, et éviter
tout conflit d’intérêts.
Est considérée comme un conflit d’intérêts, une situation dans laquelle un auditeur
interne, qui jouit d’une position de confiance, a un intérêt personnel ou
professionnel en contradiction avec ses devoirs et responsabilités. De tels intérêts
peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale.
2.5. Atteinte à l’indépendance ou à l’objectivité
Si l’indépendance ou l’objectivité des auditeurs internes sont compromises dans les

faits ou en apparence, les parties concernées doivent en être informées de manière
précise. La forme de cette communication dépendra de la nature de l’atteinte à
l’indépendance.
Parmi les atteintes à l’indépendance dans l’organisation et à l’objectivité individuel,
figurent les conflits d’intérêts personnels, les limitations de périmètre, les
restrictions d’accès aux données, aux personnes et aux biens, ainsi que les
limitations de ressources notamment au niveau du budget.
3. Compétence et conscience professionnelle
Les missions doivent être conduites avec compétence et conscience

professionnelle.
3.1. Compétence
Les auditeurs internes doivent posséder les connaissances, les savoir-faire et les
autres compétences nécessaires à l’exercice de leurs responsabilités individuelles.
L’équipe d’audit interne doit collectivement posséder ou acquérir les
connaissances, les savoir-faire et les autres compétences nécessaires à l’exercice
de ses responsabilités.
▪ Le responsable de l’audit interne doit obtenir l’avis et l’assistance de personnes qualifiées
si les auditeurs internes ne possèdent pas les connaissances, les savoir-faire et les autres
compétences nécessaires pour s’acquitter de tout ou partie de leur mission.
▪ Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le
risque de fraude et la façon dont ce risque est géré par l’organisation.
▪ Les auditeurs internes doivent posséder des connaissances suffisantes des principaux
risques et contrôles relatifs aux systèmes d’information, et des techniques d’audit
informatisées susceptibles d’être mises en oeuvre dans le cadre des travaux qui leur sont
confiés.
3.2. Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire

que l’on peut attendre d’un auditeur interne raisonnablement averti et compétent.
La conscience professionnelle n’implique pas l’infaillibilité.
Les auditeurs internes doivent faire preuve de conscience professionnelle en

prenant en considération les éléments suivants :
• l’étendue du travail nécessaire pour atteindre les objectifs de la mission ;
• la complexité relative, la matérialité ou le caractère significatif des domaines
auxquels sont appliquées les procédures relatives aux missions d’assurance ;
• l’adéquation et l’efficacité des processus de gouvernance, de management des
risques et de contrôle ;
• la probabilité d’erreurs significatives, de fraudes ou de non-conformités ;
• le coût de l’assurance fournie par rapport aux avantages escomptés.
3.3. Formation professionnelle continue
Les auditeurs internes doivent améliorer leurs connaissances, leurs savoir-faire et

autres compétences par une formation professionnelle continue.
4. Programme d’assurance et d’amélioration qualité
Le responsable de l’audit interne doit concevoir et tenir à jour un programme

d’assurance et d’amélioration qualité portant sur tous les aspects de l’audit interne.
Un programme d’assurance et d’amélioration qualité est conçu de façon à évaluer :

• la conformité de l’audit interne avec les Normes ;
• le respect du Code de déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de

l’audit interne et d’identifier les opportunités d’amélioration. Le responsable de
l’audit interne devrait encourager une surveillance du programme d’assurance et
d’amélioration qualité par le Conseil.
LES TROIS VOLETS DES PROGRAMMES D’ASSURANCE ET D’AMÉLIORATION

QUALITÉ
Un programme d’assurance et d’amélioration qualité couvre l’ensemble des

missions d’assurance et de conseil effectuées par l’audit interne. Ces programmes
comportent trois volets :
● La surveillance continue comprend la supervision courante, la revue et le pilotage

des indicateurs de l’audit interne. Elle est intégrée dans les procédures et les
pratiques courantes de gestion de la fonction d’audit interne. Elle s’appuie sur les
processus, les outils et les informations nécessaires pour évaluer la conformité
avec le Code de déontologie et les Normes.
● Les évaluations périodiques sont conduites pour apprécier également la
conformité avec le Code de déontologie et les Normes. Ces évaluations portent
également sur la charte d’audit interne, les plans, les règles, les procédures et les
pratiques de l’audit interne, ainsi que la législation et réglementation en vigueur.
● Des évaluations externes doivent être réalisées au moins tous les cinq ans par un
évaluateur ou une équipe qualifiés, indépendants et extérieurs à l’organisation.
4.1. Exigences du programme d’assurance et d’amélioration qualité
Le programme d’assurance et d’amélioration qualité doit comporter des évaluations

tant internes qu’externes.
4.1.1. Évaluations internes
Les évaluations internes doivent comporter :

• une surveillance continue de la performance de l’audit interne ;
• des évaluations périodiques, effectuées par auto-évaluation ou par d’autres
personnes de l’organisation possédant une connaissance suffisante des pratiques
d’audit interne.
La surveillance continue comprend la supervision courante, la revue et le pilotage

des indicateurs de l’audit interne. La surveillance continue est intégrée dans les
procédures et les pratiques courantes de gestion de la fonction d’audit interne. Elle
s’appuie sur les processus, les outils et les informations nécessaires pour évaluer la
conformité avec le Code de déontologie et les Normes.
Les évaluations périodiques sont conduites pour apprécier également la conformité
avec le Code de déontologie et les Normes.
4.1.2. Évaluations externes
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un
évaluateur ou une équipe qualifiés, indépendants et extérieurs à l’organisation. Le
responsable de l’audit interne doit s’entretenir avec le Conseil au sujet :
• des modalités et de la fréquence de l’évaluation externe ;
• des qualifications de l’évaluateur ou de l’équipe d’évaluation externes ainsi que de
leur indépendance y compris au regard de tout conflit d’intérêts potentiel.
Les évaluations externes peuvent être effectuées par une évaluation entièrement
externalisée ou une auto-évaluation suivie d’une validation indépendante externe.
L’évaluateur externe doit statuer sur la conformité avec les Normes et le Code de
déontologie. L’évaluation externe peut également inclure des commentaires de
portée opérationnelle ou stratégique.
4.2. Communication relative au programme d’assurance et d’amélioration

qualité
Le responsable de l’audit interne doit communiquer les résultats du programme

d’assurance et d’amélioration qualité à la direction générale ainsi qu’au Conseil.
Cette communication devrait inclure :
• le périmètre et la fréquence des évaluations internes et externes ;
• les qualifications et l’indépendance du ou de(s) évaluateur(s) ou de l’équipe
d’évaluateurs y compris les conflits d’intérêts potentiels ;
• les conclusions des évaluateurs ;
• les plans d’actions correctives.
La forme, le contenu ainsi que la fréquence des communications relatives aux

résultats du programme d’assurance et d’amélioration qualité sont définis lors de
discussions avec la direction générale et le Conseil, et tiennent compte des
responsabilités de la fonction d’audit interne et de celles du responsable de l’audit
interne comme définies dans la charte d’audit interne.
4.2.1. Utilisation de la mention « conforme aux Normes internationales pour la

pratique professionnelle de l’audit interne ».
Indiquer que l’audit interne est conforme aux Normes internationales pour la
pratique professionnelle de l’audit interne est approprié seulement si, les résultats
du programme d’assurance et d’amélioration qualité le confirment.
L’audit interne est en conformité avec le Code de déontologie et les Normes

lorsqu’il respecte ces exigences. Les résultats du programme d’assurance et
d’amélioration qualité incluent les résultats des évaluations internes et des
évaluations externes. Toute fonction d’audit interne disposera des résultats
d’évaluations internes. Les fonctions d’audit interne qui ont plus de cinq ans
d’ancienneté disposeront également des résultats de leurs évaluations externes.
4.2.2. Indication de non-conformité
Quand la non-conformité de l’audit interne avec le Code de déontologie ou les

Normes a une incidence sur le périmètre ou sur le fonctionnement de l’audit interne,
le responsable de l’audit interne doit informer la direction générale et le Conseil de
cette non-conformité et de ses conséquences.
4.2.3. Conséquences potentielles de la non-conformité
L’incapacité de la profession d’audit interne à respecter et à faire appliquer ses

propres normes en matière de qualité peut avoir de lourdes conséquences.
L’absence de programme d’assurance et d’amélioration qualité ou son inefficacité
peuvent augmenter le risque pour les auditeurs internes de passer à côté de
problèmes importants.
De telles carences peuvent également se traduire par une utilisation inefficace ou

inefficiente des ressources, non seulement au sein de la fonction d’audit interne,
mais également à travers l’organisation du fait de l’inefficacité des missions
réalisées.
Certains estiment que l’audit interne ne sera pas reconnu universellement comme
une profession à part entière tant que, d’une part, les auditeurs internes ne seront
pas soumis à des normes obligatoires, et que, d’autre part, ils ne les mettront pas
en œuvre et ne les respecteront pas de manière homogène.
2. NORMES DE FONCTIONNEMENT
1. Gestion de l’audit interne
Le responsable de l’audit interne doit gérer efficacement cette activité de façon à

garantir qu’elle apporte une valeur ajoutée à l’organisation.
L’audit interne est géré efficacement quand :

• les objectifs et responsabilités définis dans la charte d’audit interne sont atteints ;
• l’activité est exercée conformément aux Normes ;
• les membres de l’équipe d’audit respectent le Code de déontologie et les normes ;
• les tendances et les problématiques émergentes susceptibles d’avoir un impact
sur l’organisation sont prises en compte.
L’audit interne apporte de la valeur ajoutée à l’organisation ainsi qu’à ses parties
prenantes, lorsqu’il prend en compte la stratégie, les objectifs et les risques de cette
organisation, s’efforce de proposer des moyens d’améliorer les processus de
gouvernance, de management des risques et de contrôle, et fournit avec objectivité
une assurance pertinente.
1.1. Planification
Le responsable de l’audit interne doit établir un plan d’audit fondé sur une approche
par les risques afin de définir des priorités cohérentes avec les objectifs de
l’organisation.
▪ Le plan d’audit interne doit s’appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la
direction générale et du Conseil doivent être pris en compte dans ce processus.
▪ Le responsable de l’audit interne doit identifier et prendre en considération les
attentes de la direction générale, du Conseil et des autres parties prenantes
concernant les opinions et d’autres conclusions de l’audit interne.
▪ Lorsqu’on lui propose une mission de conseil, le responsable de l’audit interne,
avant de l’accepter, devrait considérer dans quelle mesure elle est susceptible
de créer de la valeur ajoutée, d’améliorer le management des risques et le
fonctionnement de l’organisation.
1.2. Communication et approbation
Le responsable de l’audit interne doit communiquer à la direction générale et au

Conseil son plan d’audit et ses besoins en ressources, pour examen et
approbation, ainsi que tout changement important susceptible d’intervenir en cours
d’exercice. Le responsable de l’audit interne doit également signaler l’impact de
toute limitation de ses ressources.
1.3. Gestion des ressources
Le responsable de l’audit interne doit veiller à ce que les ressources affectées à

l’audit interne soient adéquates, suffisantes et mises en œuvre de manière efficace
pour réaliser le plan d’audit approuvé.
1.4. Règles et procédures
Le responsable de l’audit interne doit établir les règles et procédures pour guider
l’audit interne.
La forme et le contenu des règles et procédures dépendent de la taille, de la
manière dont est structuré l’audit interne et de la complexité de ses travaux.
1.5. Coordination et utilisation d’autres travaux
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le

responsable de l’audit interne devrait partager des informations, coordonner les
activités, et envisager d’utiliser les travaux des autres prestataires internes et
externes d’assurance et de conseil.
1.6. Communication à la direction générale et au Conseil
Le responsable de l’audit interne doit rendre compte périodiquement à la direction

générale et au Conseil des missions, des pouvoirs et des responsabilités de l’audit
interne, du niveau de réalisation du plan d’audit ainsi que de la conformité avec le
Code de déontologie et les Normes. Il doit notamment rendre compte :
▪ des risques significatifs, y compris les risques de fraude, et des contrôles
correspondants ;
▪ des sujets relatifs à la gouvernance et ;
▪ de tout autre problème nécessitant l’attention de la direction générale et/ou du
Conseil.
1.6. Responsabilité de l’organisation en cas de recours à un prestataire

externe pour ses activités d’audit interne
Lorsque l’audit interne est réalisé par un prestataire de service externe, ce dernier
doit avertir l’organisation qu’elle reste responsable du maintien de l’efficacité de
cette activité.
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration

qualité, lequel évalue la conformité avec le Code de déontologie et les Normes.
Méthodologie de l'audit
1. Les principes fondamentaux
✓ SIMPLICITÉ
La simplicité de la méthodologie ici présentée doit rendre la démarche de l’audit
facilement compréhensible et applicable.
✓ RIGUEUR
Le déroulement d’une mission d’audit interne exige la plus grande rigueur et pour
s’appliquer celle-ci doit obéir à des règles (normes de l’audit).
✓ RELATIVITÉ DU VOCABULAIRE
Le vocabulaire est donc l’expression et le véhicule de la culture ; l’ignorer serait se
condamner à l’incompréhension et, partant, au refus
✓ ADAPTABILITÉ
La Méthode est unique mais elle n’est pas identique. On retrouve ici le lien
nécessaire avec la culture qui constitue la grande force de l’auditeur interne.
Respect des normes universelle avec possibilité de les adapter avec
l’environnement et la culture (spécificité de l’organisation).
Méthodologie de l'audit
1. Les principes fondamentaux
✓ TRANSPARENCE
L’audit est avant tout « interne », au service des responsables audités que son
objectif est de leur faire partager à la fois la pertinence des constats relevés et la
nécessité d’agir en conséquence.
2. La mission d’audit et ses différentes phases

✓ DÉFINITION DE LA MISSION
Objet, objectifs, durée
✓ LES PHASES FONDAMENTALES DE LA MISSION D’AUDIT
Phase de préparation (étude)
Phase de réalisation (vérification)
Phase de conclusion
Etapes d'une mission d'AI
❑ Préciser les objectifs et le périmètre de la mission

❑ Conduire la réunion d’ouverture
❑ Analyser les processus et leurs objectifs
❑ Identifier et évaluer les risques
❑ Evaluer la conception du dispositif de contrôle
❑ Valider le référentiel d’audit
❑ Sélectionner les objectifs d’audit
❑ Elaborer le programme de travail
❑ Ajuster le budget et allouer les ressources
❑ Valider l’organisation de la mission
Etapes d'une mission d'AI
❑ Conduire la réunion de lancement de la phase Accomplissement

❑ Collecter les informations et constituer les preuves d’audit
❑ Valider les preuves d’audit
❑ Analyser les causes, élaborer les recommandations
❑ Conduire la réunion de clôture
❑ Finaliser le plan d’actions
❑ Rédiger le rapport
❑ Valider le rapport
Outils de l'audit interne
❑ Entretien
❑ Grille d’analyse des tâches
❑ Diagramme de flux
❑ Approche Processus
❑ Test de cheminement
❑ Hiérarchisation des risques
❑ Référentiel d’audit
❑ Diagramme Cause / Effet
❑ Questionnaire de Contrôle Interne
❑ Brainstorming
❑ Piste d’audit
❑ Circulation
❑ Procédure d’audit analytique
❑ Observation
❑ Echantillonnage statistique
❑ CAATs
❑ Entretien
Objectifs :
Collecter des informations afin de prendre connaissance des activités du domaine
audité et éventuellement constituer les preuves d’audit qui permettront d‘atteindre
les objectifs de la mission d’audit.
Méthode :
✓ Définir les objectifs de l’entretien
✓ Définir les thèmes qu’il sera nécessaire d’aborder
✓ Identifier le(s) interlocuteur(s)
✓ Collecter des informations sur le domaine concerné par l’entretien et sur le(s)
interlocuteur(s)
✓ Lister les questions et les organiser par thème et sur le modèle : Qui, Quoi, Où,
Comment, Pourquoi, Quand
✓ Définir un plan de l’entretien
✓ Organiser le rendez-vous (date, heure, lieu, durée)
Objectifs :
Visualiser les attributions des personnes ou des services. Identifier « qui fait quoi »
et mettre en évidence une éventuelle inadéquation de la répartition des tâches d’un
processus entre les personnes et / ou les services (ainsi que les tâches non faites).
Une grille d’analyse des tâches est un tableau à double entrée qui permet de relier
les tâches aux personnes ou aux services qui les réalisent. Les tâches seront
positionnées en ligne et les personnes / services en colonne ou inversement.
Une grille d’analyse des tâches permet de mettre en évidence les tâches non faites,
les tâches faites à différents endroits, la séparation des fonctions.
Une grille d’analyse des tâches peut également être utilisée pour analyser la charge
de travail par individu dans la mesure où les tâches ont été quantifiées.

✓ Découpage du processus en tâches.
✓ Identification des personnes / services qui interviennent dans le processus.
✓ Association de chaque tâche à la personne (aux personnes)/au service (aux
services) qui en a (ont) la charge.
✓ Report dans le tableau à double entrée des associations identifiées en inscrivant
une “X” à l’intersection ligne /colonne.
Objectifs :
Représenter graphiquement le déroulement d’un processus :
✓ un enchaînement chronologique d’activités;
✓ les acteurs qui réalisent les activités ;
✓ les flux d’informations d’une activité à l’autre.
Cette représentation graphique pourra être utile à l’auditeur interne pour identifier
les risques relatifs à chaque activité du processus et les contrôles clefs qui
devraient permettre de les maîtriser.
Méthode :
✓ Identification du processus à représenter
✓ Identification des activités
✓ Identification des acteurs ; chaque acteur identifié fera l’objet d’une colonne du
diagramme
✓ Identification des documents
✓ Identification des flux (informations en entrée et en sortie de chacune des
activités) ; les éléments d’entrée d’une activité sont généralement les éléments
de sortie d’autres activités
❑ Approche processus
Objectifs :
Décrire de façon méthodique les activités du domaine audité afin d’identifier leurs
objectifs, leurs risques et les dispositifs de contrôle qui devraient permettre de
maîtriser ceux-ci.
Méthode :
✓ Identifier et décrire les processus de réalisation : ceux qui produisent des
produits ou services
✓ Identifier et décrire les processus de management : ceux qui produisent des
décisions
✓ Identifier et décrire les processus support : ceux qui produisent des ressources
✓ Identifier et décrire les processus de mesure : ceux qui produisent des mesures
✓ Identifier les processus clefs : ceux dont le bon déroulement est critique pour
l’atteinte des objectifs du domaine audité
✓ Identifier les événements qui peuvent avoir un impact négatif sur le déroulement
des processus clefs
Méthode :
Objectifs :
Suivre les différentes étapes d’une opération de son origine jusqu’à son
dénouement (par exemple, jusqu’à son enregistrement dans les états financiers de
l’organisation) afin de confirmer la compréhension d’un flux de traitement et de ses
contrôles avant de faire des tests détaillés sur ceux-ci.
Méthode :
A l’issue d’un test de cheminement, l’auditeur doit être capable de répondre aux
questions suivantes :
✓ Est-ce que le processus fonctionne tel que décrit dans le diagramme de flux ?
✓ De quelle façon les contrôles sont supposés fonctionner ?
✓ Quels sont les objectifs de contrôle ?
✓ Sont-ils opérationnels ?
✓ La façon dont le contrôle est bâti permet-elle de répondre aux objectifs de
contrôle?
Méthode :
La mise en œuvre d’un test de cheminement s’appuie sur :
➢ des entretiens de confirmation, dans lesquels vous allez poser des questions aux
audités :
✓ Nature des tâches réalisées
✓ Nature des contrôles et réalisation des contrôles
✓ Ecarts et traitements des erreurs
✓ Compréhension des autres étapes d’un processus
➢ un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au
cours des différentes étapes d’une procédure ou d’un processus afin de tester
l’efficacité opérationnelle des contrôles qui jalonnent son traitement.
Objectifs :
Sélectionner les risques pour lesquels il sera nécessaire d’évaluer la conception du
dispositif de contrôle.
Élevée
R1
R4 R7
R5
Probabilité Modérée
R2 R8
Faible
R9
R6
R3
Faible Modéré Élevé
Impact

❑ Référentiel de l’audit
Objectifs :
Recenser les objectifs de chacun des processus / sous-processus de l’entité
auditée et pour chacun d’eux les risques auxquels ils sont exposés et les contrôles
qui devraient permettre de réduire ces risques. Les contrôles identifiés constitueront
la référence à partir de laquelle sera réalisée l’évaluation du système de contrôle
interne de l’entité auditée.
Méthode :
✓ Identification des Objectifs : Mise en œuvre de l’Approche Processus
✓ Identification des Risques
✓ Identification des dispositifs de Contrôle Interne
❑ Référentiel de l’audit
❑ Diagramme cause / effet (diagramme d’Ishikawa)
Objectifs :
Accompagner et structurer les réflexions des auditeurs internes en collaboration
avec les opérationnels lors de l’analyse des causes des dysfonctionnements
constatés au cours d’une mission d’audit interne sachant que les actions
correctives / recommandations ont pour objet de faire disparaître ces causes.
Méthode :
Une représentation graphique simple qui pour un effet cherche à identifier
l’ensemble des causes pouvant en être l’origine.
La construction du diagramme Cause / Effet vise à lister de manière exhaustive les
causes avec toutes les personnes concernées par le sujet au cours de séances de
Brainstorming
❑ Diagramme cause / effet (diagramme d’Ishikawa)
Les étapes
▪ Définir l’effet à observer
▪ Tracer une flèche de gauche à droite en direction de l’effet
▪ Inscrire les causes suggérées par les membres du groupe en posant à chaque
fois la question : pourquoi cette cause produit-elle cet effet ?
❑ Questionnaire de contrôle interne
Objectifs :
Structurer le questionnement de l’auditeur interne pour évaluer les dispositifs de
contrôle au regard du référentiel de contrôle interne.
Méthode :
Contrôle : Toute mesure prise par le management, le Conseil et d'autres parties afin
de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront
atteints.
Les questions doivent être formulées de sorte qu’une :
▪ réponse positive indique une situation favorable ;
▪ réponse négative indique une situation défavorable.
✓ Situation favorable : le contrôle permet de réduire les risques à un niveau
acceptable pour le processus tel que défini par la direction ;
✓ Situation défavorable : le contrôle ne permet pas de réduire les risques à un
niveau acceptable pour le processus tel que défini par la direction ; probabilité
forte que le processus n’atteindra pas ses objectifs.
❑ Brainstorming
Objectifs :
Stimuler l’imagination, c’est-à-dire la faculté de produire des idées sur un problème
posé tant pour trouver des solutions que pour en rechercher les causes.
Méthode :
Le brainstorming ou remue-méninges se pratique en groupe (auditeurs / audités).
Les membres de ce groupe doivent être en confiance afin de pouvoir s’exprimer
librement. Il permet de produire un maximum d’idées dans un temps court (de 30
minutes à 2h).
Les 5 règles d’or du déroulement d’un atelier de Brainstorming sont :

▪ Ne pas critiquer
▪ Ne pas s’autocensurer
▪ Emettre des idées à partir des idées des autres
▪ Être bref
▪ Laisser aller son imagination
❑ Piste d’audit
Objectifs :
S’assurer qu’il est possible de remonter à l’origine d’une opération.
Définition :
Enregistrement chronologique des activités des systèmes montrant tous les ajouts,
suppressions, et changements apportés aux données et aux logiciels, qui permet
de reconstituer et de contrôler une opération depuis son origine jusqu’à son
aboutissement (et inversement).
La piste d’audit d’une opération permet d’en assurer sa traçabilité et donc de
remonter aux éléments qui la sous-tendent et la justifient.
Exemple : le paiement d'un fournisseur peut être déclenché si une facture, un bon
de commande et un bon de réception lui sont associé ; la piste d’audit du paiement
du fournisseur repose sur la possibilité d'identifier une facture, un bon de
commande et un bon de réception qui le sous-tendent.
❑ Piste d’audit
Démarche :
▪ Sélectionner l’opération (survenue en t) dont on souhaite analyser la piste d’audit
▪ Déterminer l’information qui permet d’identifier de façon unique l’opération
▪ Déterminer les éléments qui sous-tendent l’opération ainsi que la chronologie
d’apparition de ceux-ci dans le processus : t - n
▪ Rechercher parmi les éléments qui apparaissent en t -1 ceux qui sont porteurs
de l’identifiant de l’opération dont on souhaite analyser la piste d’audit afin de les
relier à celle-ci
survenue en t -1
▪ Rechercher parmi les éléments qui apparaissent en t -2 les éléments porteurs de
l’identifiant des éléments apparus en t -1 afin de les relier à ceux-ci
survenue en t -2
▪ Rechercher parmi les éléments qui apparaissent en t -3 les éléments porteurs de
l’identifiant des éléments apparus en t -2 afin de les relier à ceux-ci ... et ainsi
jusqu’à l'événement d’origine
❑ Circularisation
Objectifs :
Demander à un tiers externe à l’organisation une information afin de vérifier la
fiabilité de cette même information collectée au sein de l’organisation.
Méthode :
Les preuves en matière d’audit sont classées en 2 grandes catégories : les preuves
internes et les preuves externes. Il est généralement admis que les preuves en
provenance de l’extérieur de l’organisation offrent une plus grande fiabilité.
Démarche
▪ Choisir les éléments à confirmer et les dates / périodes
▪ Choisir les tiers à solliciter
▪ Préparer et envoyer les demandes
▪ Traiter les réponses aux demandes
❑ Circularisation
Pondération de la fiabilité des informations

Objectifs :
▪ Aider les auditeurs internes à identifier les éléments qui peuvent entraîner des
procédures d'audit complémentaires.
▪ Les procédures d'audit analytiques sont utiles pour identifier :
✓ des différences inattendues ;
✓ l'absence de différences attendues ;
✓ des erreurs potentielles ;
✓ des irrégularités ou des fraudes potentielles ;
✓ d'autres transactions ou événements inhabituels ou non récurrents.
Méthode :
▪ Identification d’indicateurs (valeurs, quantités, ratios, pourcentages) relatifs aux
processus mis en œuvre au sein du domaine audité.
▪ Identification d’indicateurs externes (au domaine audité ou à l’organisation) avec
lesquels il serait pertinent de comparer les indicateurs relatifs aux processus mis
en œuvre au sein du domaine audité.
▪ Identification des indicateurs les plus significatifs, ceux qui fournissent des
informations sur l’atteinte des objectifs du domaine audité.
▪ Identification des sources à partir desquelles il sera possible de connaître la
valeur des indicateurs retenus.
▪ Analyse des indicateurs via des comparaisons :
✓ d’informations de la période en cours avec des informations similaires de
périodes précédentes ;
✓ d’informations de la période en cours avec les budgets ou les prévisions ;
Méthode :
▪ Analyse des indicateurs via des comparaisons :
✓ entre des informations financières et des informations non financières ;
✓ entre des informations internes au domaine audité et des informations
externes au domaine audité ou à l’organisation.
✓ Comparaison des résultats obtenus avec les résultats attendus.
✓ Recherche d’explications des résultats inattendus.
✓ Analyse des résultats inattendus inexpliqués et détermination de
l’existence éventuelle d’erreurs, d’irrégularités ou de fraudes pour mise
en œuvre de procédures d’audit complémentaires ou communication au
management.
❑ Observation
Objectifs :
Obtenir une preuve directe d’une situation.
Méthode :
L’observation consiste à se rendre dans des locaux en relation avec les opérations
de l’entité auditée afin d’observer l’état des locaux, l’état du contenu des locaux ou
le déroulement de certaines tâches.
Démarche
▪ Sélectionner les tâches ou les locaux qui devront faire l’objet d’une observation.
▪ Prendre rendez-vous avec la ou les personnes concernées en s’assurant que la
présence d’un tiers ne gênera ni les opérationnels ni le fonctionnement des
opérations.
▪ Se rendre dans les locaux.
❑ Observation
Démarche
▪ S’installer dans un endroit qui ne gênera ni les opérationnels ni le
fonctionnement des opérations et qui permettra à l’auditeur interne de se faire
rapidement oublier afin que sa présence entraîne le moins possible un
comportement déviant.
▪ Insérer dans les papiers de travail un compte-rendu de cette observation.
Les observations qui visent à obtenir une preuve directe sur l’état de locaux ou sur
leur contenu pourront faire l’objet de photographies.
❑ Echantillonnage statistique
Objectifs :
L’échantillonnage (ou sondage) statistique permet, à partir d’un échantillon prélevé
aléatoirement dans une population de référence, dont la taille ne permet pas une
analyse exhaustive, d’extrapoler à l’ensemble de la population les observations
effectuées sur l’échantillon..
Méthode :
Selon ce que l’auditeur cherche à estimer, le sondage est :
▪ un sondage pour estimation de valeur (un montant, une moyenne : montant total
des créances échues non renouvelées de plus de 3 mois)
▪ un sondage pour estimation d’attribut (nombre ou proportion d’unités, possédant
ou non une caractéristique donnée : taux de demande d’achat non signée)
❑ Extraction/Analyse de données
Objectifs :
Accéder, pour analyse, aux données du système informatique de l’organisation.
Méthode :
▪ Définir les procédures d’audit (échantillonnage, nouveau calcul, test de
conformité ...) à partir des objectifs d’audit.
▪ Déterminer les données à utiliser (population, format, modalités de mise à jour,
modalités d’accès ...) et s’assurer de leur fiabilité (rapprochement avec d’autres
sources).
▪ Disposer des droits d’accès aux données nécessaires à la mise en oeuvre de la
procédure d’audit.
▪ Déterminer le (les) outil(s) - CAATs - à utiliser (Excel, IDEA, ACL, ...).
▪ Déterminer les ressources nécessaires (matérielles, humaines, logicielles) à la
mise en œuvre de la procédure d’audit.
▪ Accéder aux données (accès direct, importation).
Méthode :
▪ Réaliser les tests :
✓ tests sur des informations détaillées ou transactions
✓ tests sur des totaux ou cumuls
✓ procédures de revue analytique (cf. Fiche Outil XIII)
✓ tests de conformité des contrôles informatiques
▪ Constituer les preuves d’audit.
▪ Documenter les preuves d’audit :
✓ description détaillée des procédures d’audit : données en entrée,
traitements (paramètres, code source), données en sortie
✓ description des phases de préparation et de vérification des données
utilisées et des outils mis en œuvre
✓ résultats des tests
✓ conclusions
Objectifs :
Accéder, pour analyse, aux données du système informatique de l’organisation.
Méthode :
▪ Définir les procédures d’audit (échantillonnage, nouveau calcul, test de
conformité ...) à partir des objectifs d’audit.
▪ Déterminer les données à utiliser (population, format, modalités de mise à jour,
modalités d’accès ...) et s’assurer de leur fiabilité (rapprochement avec d’autres
sources).
▪ Disposer des droits d’accès aux données nécessaires à la mise en oeuvre de la
procédure d’audit.
▪ Déterminer le (les) outil(s) - CAATs - à utiliser (Excel, IDEA, ACL, ...).
▪ Déterminer les ressources nécessaires (matérielles, humaines, logicielles) à la
mise en œuvre de la procédure d’audit.
▪ Accéder aux données (accès direct, importation).

Normes de Mã©thodologie de Lâ Audit

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Normes de Mã©thodologie de Lâ Audit

Transféré par

Droits d'auteur :

Formats disponibles

Normes de méthodologie de l’audit

Enseignant : M. Mohamed AZEROUAL

L'Organisation internationale de normalisation (ISO) et sa partenaire, la

Que contiennent les normes?

A quoi servent les normes?

Les Normes internationales, en particulier, servent à différents titres :

Les normes nationales, régionales et internationales

Comment les normes s'articulent-elles avec les régimes réglementaires

Lorsque la législation ou la réglementation empêchent les auditeurs internes ou

Les Normes ont pour objet :

Les Normes sont des principes obligatoires constituées :

Les Normes se composent des Normes de Qualification, des Normes de

▪ Les Normes de Qualification énoncent les caractéristiques que doivent présenter

1. Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l’audit interne doivent être

Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne

1.1. Reconnaissance des dispositions obligatoires dans la charte d’audit

Le caractère obligatoire des principes fondamentaux pour la pratique

Le responsable de l’audit interne devrait présenter la Mission de l’audit interne et

2.1. Indépendance dans l’organisation

Le responsable de l’audit interne doit être rattaché à un niveau de l’organisation qui

En termes d’organisation, l’indépendance est effectivement atteinte lorsque le

2.2. Relation directe avec le Conseil

Le responsable de l’audit interne doit communiquer et dialoguer directement avec le

2.3. Rôles du responsable de l’audit interne en dehors de l’audit interne

Parfois, Il est demandé au responsable de l’audit interne d’assumer des rôles et

2.4. Objectivité individuelle

2.5. Atteinte à l’indépendance ou à l’objectivité

Si l’indépendance ou l’objectivité des auditeurs internes sont compromises dans les

3. Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscience

3.2. Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire

Les auditeurs internes doivent faire preuve de conscience professionnelle en

3.3. Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, leurs savoir-faire et

4. Programme d’assurance et d’amélioration qualité

Le responsable de l’audit interne doit concevoir et tenir à jour un programme

Un programme d’assurance et d’amélioration qualité est conçu de façon à évaluer :

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de

LES TROIS VOLETS DES PROGRAMMES D’ASSURANCE ET D’AMÉLIORATION

Un programme d’assurance et d’amélioration qualité couvre l’ensemble des

● La surveillance continue comprend la supervision courante, la revue et le pilotage

4.1. Exigences du programme d’assurance et d’amélioration qualité

Le programme d’assurance et d’amélioration qualité doit comporter des évaluations

4.1.1. Évaluations internes

Les évaluations internes doivent comporter :

La surveillance continue comprend la supervision courante, la revue et le pilotage

4.1.2. Évaluations externes

4.2. Communication relative au programme d’assurance et d’amélioration

Le responsable de l’audit interne doit communiquer les résultats du programme

La forme, le contenu ainsi que la fréquence des communications relatives aux

4.2.1. Utilisation de la mention « conforme aux Normes internationales pour la

L’audit interne est en conformité avec le Code de déontologie et les Normes

4.2.2. Indication de non-conformité

Quand la non-conformité de l’audit interne avec le Code de déontologie ou les

4.2.3. Conséquences potentielles de la non-conformité

L’incapacité de la profession d’audit interne à respecter et à faire appliquer ses

De telles carences peuvent également se traduire par une utilisation inefficace ou

1. Gestion de l’audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à

L’audit interne est géré efficacement quand :

1.2. Communication et approbation