LA MISSION D’AUDIT INTERNE

1 ORDRE DE MISSION

L'ordre de mission d'audit est une demande formelle émise par une organisation pour engager
un audit auprès d'une tierce partie. Il comprend des instructions détaillées sur les objectifs de
l'audit, la portée de l'audit, les domaines spécifiques à auditer, les normes et les critères de
référence, les procédures à suivre, les délais et les rapports attendus. L'ordre de mission
d'audit doit être clair et précis pour permettre à l'auditeur d'effectuer une évaluation complète
et efficace de l'entité auditée. 1

L'ordre de mission désigne le mandat confié par une autorité compétente au Service d'audit
pour effectuer une mission d'audit sur une entité spécifique, précisant ainsi la portée et
l'origine de la mission.

 Trois principes fondamentaux sont liés à l'ordre de mission :

 le Service d'audit ne peut pas décider lui-même d'entreprendre une mission, mais peut
soumettre de réaliser une mission au Comité d'audit ou au Secrétaire général.
 l'ordre de mission doit provenir d'une autorité compétente telle que le Secrétaire
général, le Comité d'audit ou un cabinet ministériel.
 l'ordre de mission permet de diffuser les informations pertinentes à toutes les
personnes concernées, y compris les responsables de l'entité auditée et la Direction

2. Rencontre avec la Direction de l’entité auditée

Suite à la réception de l'ordre de mission, le Service d'audit planifie une réunion avec la
Direction de l'entité auditée avant de débuter toute activité relative à l'audit. Cette rencontre a
pour but de déterminer plusieurs points :

 Objectifs de la mission ;
 Faisabilité de la mission d'audit (ressources suffisantes, délais,...) ;
 Étendue de la mission : l'(es) entité(s) concernée(s) ou les processus concernés ;
 Nature de la mission d'audit (Achat, ressources technologiques, organisation,
communication,...) ;
 Délais de la mission ;
 Auditeurs responsables de la mission ;
1
Source : Eric R. Overby et al., "Information Technology Audit and Assurance", Wiley, 2012
  Description du déroulement de la mission ;
 Organisation ou non d'une réunion d'ouverture avec l'ensemble du personnel ;
 Rapport d'audit : destinataires du rapport, rapport intermédiaire,... ;
 Plan d'action ;

3. Compte rendu de la réunion avec la Direction de l’entité auditée

Après la réunion avec la Direction de l'entité auditée, le Service d'audit établit un rapport
de la réunion. Ce rapport est ensuite envoyé aux participants de la réunion, qui disposent
d'un délai pour formuler leurs commentaires et éventuelles modifications auprès du
Service d'audit. Après réception de ces commentaires, le Service d'audit intègre les
modifications nécessaires et transmet le compte rendu final aux mêmes personnes par le
biais d'une note interne.

4. Réunion d’ouverture :

 Objectif :

La réunion d'ouverture sert à établir un premier contact avec toutes les personnes
impliquées dans l'audit avant de commencer les travaux. Cependant, il s'agit d'une réunion
facultative, qui est organisée par les auditeurs et la Direction de l'entité auditée en fonction
des besoins de la mission. Dans le cas où la présence de nombreuses personnes serait
requise, il peut être plus approprié de fournir une note explicative. Cependant, dans la
mesure du possible, l'organisation d'une réunion d'ouverture est toujours recommandée.

Les personnes présentes à cette réunion incluent le responsable du Service d'audit ou son
représentant, les auditeurs chargés de la mission, la Direction de l'entité ou des entités
auditées, l'ensemble du personnel ou les responsables des processus audités.

La présentation est réalisée de manière orale par les auditeurs, avec un support Ppt.

 Contenu de la présentation :

 Une brève introduction du Service d'audit est donnée, incluant sa place dans
l'organisation, ses missions et les normes qu'il respecte.
 Le contexte et les objectifs de la mission sont exposés. Le contexte décrit la raison
pour laquelle la mission a été décidée (exécution du programme d'audit, demande
spécifique pour résoudre un problème aigu, etc.), tandis que les objectifs précisent
le but de la mission.
 L'étendue de la mission est déterminée, qu'il s'agisse de l'entité ou des processus
concernés.
 Le déroulement de la mission est expliqué.
  La méthodologie utilisée pour la mission est présentée.
 Le rapport sera rendu après la mission.
 Une évaluation sera effectuée après la mission.
 Un plan d'action sera mis en place et suivi après la mission.
 Un planning de la mission est établi.
 Des contacts

Après la présentation, les auditeurs se tiennent à la disposition des audités pour répondre à
toutes leurs interrogations et clarifier les différents points abordés durant la réunion.

5. collecte des données

La phase de prise de connaissance constitue l'une des étapes les plus cruciales d'une mission
d'audit. La durée de cette étape peut varier en fonction de divers facteurs tels que la
complexité du sujet, le profil de l'auditeur ou l'existence d'audits antérieurs. L'objectif
principal de cette phase est de permettre à l'auditeur de se familiariser avec le domaine à
auditer, afin de construire le référentiel de contrôle interne et définir les objectifs d'audit.

Plusieurs objectifs sont visés lors de cette prise de connaissance :

 Obtenir une vue d'ensemble de vérification dès le début ;

 Identifier les problèmes essentiels ;
 Éviter d'omettre des questions et des préoccupations importantes ;
 Éviter de s'engager dans des considérations abstraites ;
 Faciliter l'organisation des opérations d'audit.

Le processus de collecte d'informations doit être bien organisé par l'auditeur. Il doit planifier
la prise de connaissance et sélectionner les moyens les plus appropriés pour collecter les
informations nécessaires. Les informations à collecter peuvent être classées en différents
thèmes, notamment :

 Contexte structurel de l'entité auditée (assemblée générale, direction générale, etc.) ;

 Structure et organisation interne de l'entité auditée ;
 Organigramme (obtention, vérification) et relations de pouvoir ;
 Environnement informatique ;
 Contexte réglementaire ;
 Processus et procédures ;
 Système d'information : communication interne et externe ;
 Problèmes passés ou en cours ;
 Réformes en cours ou prévues. 

6. Outils :
Les auditeurs ont recours à différents moyens pour acquérir des connaissances lors de la prise
de connaissance :

a. Examen des résultats de l'analyse de risques :

Les résultats de l'analyse de risques de l'entité ou du processus audité sont examinés en
premier lieu, car ils servent de base aux auditeurs et peuvent être soumis aux agents lors des
entretiens pour validation ou mise à jour.

b. Les entretiens avec les responsables de haut niveau :

Les entretiens avec les responsables de haut niveau dans l'activité auditée permettent d'avoir
une vision claire et générale sur les objectifs de l'organisation.

c. L'analyse de documents de base :

Les documents de base, tels que les flow-charts (diagramme de circulation) pour comprendre
les processus, les grilles d'analyse de tâches pour comprendre la répartition des travaux entre
les agents, les rapports d'audits antérieurs, de la Cour des comptes et de l'Inspection BC, ainsi
que les appels d'offres peuvent être analysés pour identifier les risques présents. Les auditeurs
peuvent également effectuer des rapprochements sur diverses statistiques.

7. DÉTERMINATION DES OBJECTIFS D'AUDIT

La première étape pour restreindre le champ couvert par le référentiel de contrôle interne
consiste à hiérarchiser les risques du référentiel en mesurant la probabilité (causes) et l'impact
(conséquences) des risques par les audités. Pour attribuer les cotes, une échelle de cotation de
1 à 4 est utilisée pour évaluer à la fois la probabilité et l'impact. Les cotes de 1 à 4
représentent respectivement :

 "1" très faible,

 "2" faible à moyen,
 "3" moyen à important
 "4" très important.

Bien que les audités effectuent la cotation, les auditeurs peuvent modifier la cotation en
fonction de leur appréciation des risques.

8. RAPPORT D'ORIENTATION
Le rapport d'orientation est un document qui permet de définir et formaliser les axes
d'investigation de la mission d'audit ainsi que ses limites. Il exprime les objectifs à atteindre
par l'audit et ne se concentre pas sur les techniques ou les travaux spécifiques qui seront
utilisés lors de la mission. En quelque sorte, il s'agit d'un contrat de prestation de services
entre les auditeurs et les audités, qui sert de compromis entre les attentes des parties
impliquées et les capacités des auditeurs en termes de temps et de compétences.

Pour rédiger ce document, il convient de reprendre les objectifs d'audit et de les formuler en
utilisant des phrases telles que "s'assurer que" ou "apprécier si". Il est également important de
prendre en compte les priorités et les préoccupations actuelles de l'entité auditée, ainsi que les
objectifs incontournables du service d'audit. Il est également nécessaire de déterminer les
ressources nécessaires à la réalisation de la mission, tant sur le plan humain que matériel, et
d'établir un calendrier d'exécution de la mission.

Le rapport d'orientation doit être validé par l'entité auditée afin de garantir leur adhésion
positive et active au travail du service d'audit.

9. LE PROGRAMME DE TRAVAIL

Le programme de travail est un document interne au service d'audit qui vise à planifier et
répartir les tâches nécessaires pour atteindre les objectifs énoncés dans le rapport
d'orientation. Il se compose de deux éléments clés : les travaux d'audit à réaliser pour atteindre
les objectifs définis et les techniques et outils qui seront utilisés, tels que les diagrammes de
circulation, les sondages statistiques et les entretiens.

10. LE QUESTIONNAIRE D'EXAMEN (Q.E)

Le Q.E est un document interne utilisé par les auditeurs pour guider leur programme de
travail, afin d'effectuer une observation complète de l'opération à risque. L'objectif est
d'évaluer l'efficacité du dispositif pour chaque opération sensible.
Le Q.E comporte des questions qui permettent d'analyser les opérations à risque et de vérifier
l'existence et l'efficacité des audits définis dans le référentiel de contrôle interne. Ce ne sont
pas des questions que l'auditeur pose, mais des questions qu'il doit se poser et auxquelles il
doit répondre en utilisant des outils tels que des entretiens et des analyses de documents.
Le Q.E se compose de cinq questions fondamentales qui regroupent l'ensemble des
interrogations concernant les points d'inspection : qui, quoi, où, quand et comment.

 "Qui ?", est axée sur l'identification précise de l'opérateur concerné et la

détermination de ses responsabilités et pouvoirs ;
  "Quoi?" concerne l'objet de l'opération, c'est-à-dire la nature de la tâche ou de
l'activité en cours d'audit ainsi que les critères de sélection des fournisseurs tels
que le prix, le délai ou la qualité ;

 Où ? regroupe les questions relatives aux lieux où se déroule l'opération ;

 "Quand?" englobe les questions relatives à la temporalité de l'opération telles

que la date de début et de fin, la durée et la fréquence des activités ;

 Comment ?" concerne la description du mode opératoire et permet de savoir

comment la tâche est effectuée.

Chaque opération considérée comme "à risques" est accompagnée d'un questionnaire
d'examen (Q.E) basé sur les 5 questions fondamentales, qui permettent d'identifier les tâches
essentielles et de déduire Q.E. Pour chaque question, l'auditeur doit déterminer les outils à
utiliser pour y répondre, ainsi que le moment et la personne responsable de l'audit.

11. LE TRAVAIL DE TERRAIN

Pendant la phase de travail de terrain, l'auditeur doit répondre aux questions posées dans le
Q.E. Les outils à utiliser sont définis dans ce dernier, mais il se peut que certains outils ne
soient pas adaptés et doivent être remplacés. Les outils incluent des observations, des tests de
différentes sortes tels que l'analyse de documents, la réconciliation des données et les
entretiens.
Il est essentiel que l'auditeur ne fonde pas ses conclusions sur des hypothèses ou des
intuitions, mais sur des preuves concrètes. Il doit avoir des preuves tangibles pour étayer ses
affirmations.
Il existe quatre critères de qualité pour évaluer la preuve recueillie lors du travail de terrain de
l'audit :

 Pertinence : la preuve doit être en lien avec les objectifs d'audit établis au préalable ;
 Suffisance : la preuve doit être fonctionnelle, appropriée et probante, c'est-à-dire
qu'elle doit fournir suffisamment d'informations pour répondre aux objectifs d'audit ;
 Conclus vite : la preuve doit être fiable et permettre d'aboutir à une conclusion aussi
précise que possible, en garantissant la qualité de la source de la preuve ;
 Utilité : la preuve doit répondre aux objectifs de l'organisation auditée.
12. LA FRAP = Feuille de Révélation et d'Analyse de Problème

Pendant la phase de terrain, l'auditeur rédige une FRAP pour chaque anomalie identifiée. La
FRAP est un document standardisé qui guide et organise la réflexion de l'auditeur jusqu'à la
formulation d'une recommandation. Les FRAP sont également utilisées comme référence
pour la rédaction du rapport final.

13. LE COMPTE RENDU FINAL

Le responsable de la mission présente oralement au principal responsable de l'entité auditée

les observations les plus importantes dans le compte rendu final. L'objectif est d'informer
rapidement et en priorité le responsable de l'entité audité des résultats de l'audit et des
conclusions qui en découle.

Cette présentation se déroule à la fin de la phase de terrain et avant la rédaction du projet de

rapport. Elle sert de validation préliminaire globale. Les membres de l'équipe d'audit doivent
parfaitement maîtriser leurs conclusions lors de cette présentation, car elle engage leur
crédibilité. Les questions ou contestations du responsable de l'entité audité peuvent amener les
auditeurs à effectuer des travaux supplémentaires.

14. L'APPRÉCIATION DE L’AUDIT INTERNE

Il y a trois éléments clés à considérer pour évaluer les travaux d'audit :

 Les travaux d'audit ont-ils mis en évidence des anomalies ou des faiblesses
significatives ?
 Si c'est le cas, ces anomalies ou faiblesses ont-elles été corrigées ou améliorées ?
 Ces anomalies ou faiblesses et leurs conséquences sont-elles probablement
généralisées et entraînent-elles un risque inacceptable ?

Cependant, la présence temporaire d'une anomalie ou d'une faiblesse significative ne signifie

pas nécessairement qu'elle est généralisée et qu'elle entraîne un risque résiduel inacceptable.
Les normes professionnelles présentent différentes techniques d'appréciation d'audit, telles
que les méthodes subjectives et objectives. Le SGAQ utilise actuellement une méthode
subjective (bien que les faits soient issus des travaux d'audit) en dressant une liste des
principaux points forts et faibles de l'entité auditée. Cette liste est intégrée dans la synthèse du
rapport.

Il convient de prendre en compte la nature des anomalies ou des faiblesses, leur caractère
restreint ou généralisé, ainsi que la gravité de leurs conséquences et des risques encourus pour
déterminer si l'efficacité de l'ensemble du dispositif est remise en question et s'il existe des
risques inacceptables.

15. LE PROJET DE RAPPORT

L’auditeur utilise les FRAP et les papiers de travail comme base. Cependant, le projet de
rapport n'est pas considéré comme le rapport final pour plusieurs raisons. Tout d'abord, les
observations faites par les auditeurs n'ont pas été validées officiellement par les audités, ce qui
empêche leur considération comme définitives. Ensuite, chaque recommandation doit faire
l'objet d'une réponse de la part des audités. Enfin, il peut y avoir deux pratiques en ce qui
concerne le plan d'action : soit le rapport final est remis sans attendre le plan d'action, soit le
plan d'action est associé au rapport final. Le projet de rapport peut être présenté sous deux
formes : un simple relevé des FRAP classées de façon logique et par ordre d'importance sans
aucune structure, ou sous la forme du rapport final, ce qui est préféré au sein du Service
d'audit. Cependant, dans des cas d'urgence dans la mission, la première option peut être
utilisée avec l'accord du responsable de l'audit.
16. LA RÉUNION DE VALIDATION ET DE CLÔTURE

Il y a plusieurs objectifs à atteindre, notamment :

 présenter et faire valider les constats de l'audit ;

 expliquer les recommandations formulées ;
 définir les modalités pratiques pour la mise en place du plan d'action et le suivi de la
mission.

Il est important que tous les éléments identifiés lors de l'audit soient présentés à l'audité et
validés par eux. Cela garantit que le rapport final ne contient pas de nouvelles informations
qui n'auraient pas été présentées à l'audité. Il est également essentiel que les constats soient
clairement compris par les audités et reconnus comme exacts.

Les personnes présentes lors de la réunion de clôture incluent :

Les participants choisis par l'entité auditée, qui sont généralement ceux qui ont assisté à la
réunion de début de mission. Toutefois, il est important de veiller à ce que les personnes
nécessaires pour discuter en détail des points "techniques" abordés dans le rapport soient
également présentes.

La représentation du Service d'audit, qui peut inclure ou non le responsable de l'Audit. La

présence du responsable de l'Audit et son rôle lors de la réunion peuvent aider à souligner
l'importance de l'Audit pour l'entité auditée.

La réunion de clôture et de validation suit l'ordre du jour de l'examen du projet de rapport, qui
est distribué à chaque participant au moins 5 jours ouvrables avant la réunion.

Lors de la réunion de clôture, l'auditeur présente le projet de rapport en commençant par une
brève explication des processus en place, puis en abordant les points forts et les
dysfonctionnements. Les audités ont le droit de répondre informellement ou par écrit sur le
projet de rapport. Les contestations peuvent porter sur les constats ou les recommandations. Si
l'audité apporte des éléments convaincants, l'auditeur peut modifier son texte, mais il peut
également maintenir son rapport. L'audité peut toujours refuser une recommandation lors de
sa réponse écrite et lors de l'élaboration de son plan d'action.

Pendant la réunion de clôture, l'auditeur présente les points essentiels du projet de rapport en
illustrant ceux-ci par des constats précis, en commençant par une brève explication des
processus en place et en abordant les points forts et les dysfonctionnements. Les audités ont le
droit de répondre informellement ou par écrit sur le projet de rapport. Si une contestation est
soulevée par l'audité, elle peut porter sur les constats ou les recommandations. Si l'auditeur
fournit un élément de preuve, la contestation s'éteint, sinon, il est préférable d'abandonner le
point litigieux. Si l'audité apporte des éléments convaincants, l'auditeur peut modifier son
texte sur un point, mais il peut également maintenir son rapport s'il n'est pas convaincu.
L'audité a toujours le droit de refuser une recommandation lors de sa réponse écrite et lors de
l'élaboration de son plan d'action.

16. LA RÉUNION DE VALIDATION ET DE CLÔTURE

Le rapport final d'audit ne peut être rédigé qu'après que les audités aient soumis leurs
commentaires écrits, s'ils sont prévus lors de la réunion de validation.

Il existe des principes généraux pour la rédaction du rapport d'audit :

 Le rapport doit être complet, constructif, objectif et clair. La signature du rapport par
le responsable de l'Audit est un exemple de responsabilité, car il assume
personnellement toutes les conséquences des travaux de ses subordonnés. Même si les
conclusions sont positives, un rapport doit être rédigé.
 Le rapport ne doit contenir que des éléments qui ont été présentés aux responsables
audités. Il ne doit pas constituer une surprise pour eux. C'est pourquoi la réunion de
validation et de clôture est organisée pour rendre les faits, les constats et les
conclusions indiscutables, si possible.
 Le rapport doit être structuré pour différents types de lecteurs. C'est pourquoi il se
compose d'un exposé général et d'une synthèse. L'exposé général doit être complet et
technique, et fournir toutes les informations utiles aux responsables audités et aux
responsables des actions à entreprendre. La synthèse s'adresse à des personnes qui
doivent être informées et sensibilisées, mais qui n'ont pas à résoudre les
dysfonctionnements relevés.
 Le rapport d'audit doit être objectif, facile à comprendre, concis, pratique et persuasif.
Il est essentiel que le rapport soit examiné par au moins une personne du service
d'audit qui n'a pas participé à sa rédaction pour assurer son impartialité. Le rapport a
deux objectifs différents: il doit informer la hiérarchie de la maîtrise du domaine
audité en fournissant des informations générales sur les risques identifiés et les
mesures à prendre, et il doit servir d'outil de travail pour les audités, contenant une
analyse détaillée des constats et des observations, ainsi que des recommandations
précises pour les mesures correctives à prendre.
18. PLAN D'ACTION

Le service d'audit n'a ni l'autorité ni la responsabilité de mettre en place les

recommandations qu'il a formulées dans les entités auditées. Par conséquent, il est
demandé à la direction de ces entités d'élaborer des plans d'action pour mettre en œuvre
les recommandations et prendre des mesures visant à gérer les risques identifiés. Le
service d'audit fournit une note d'information détaillée sur la manière d'élaborer ces plans
d'action.

Le plan d'action conçu par l'audité peut être intégré dans le rapport d'audit final ou remis à
une date ultérieure conformément à ce qui a été décidé lors de la réunion de clôture et de
validation. Dans les deux cas, le rapport doit inclure soit le plan d'action, soit les
informations sur la manière dont il sera transmis ultérieurement.

L'audité doit exprimer clairement sa position concernant chaque recommandation :

 conformité ;
 conformité partielle ;
 non conformité.