GB09DEC006

COMMISSION EUROPÉENNE

SERVICE D’AUDIT INTERNE

Distribution limitée

Fondation européenne pour la formation (ETF)

Plan d’audit stratégique du SAI pour

2009 - 2011

Version finale

Date: 21 novembre 2008

Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Table des matières

1. SYNTHESE .....................................................................................................3

2. RAPPORT COMPLET ....................................................................................6

2.1. Planification annuelle des audits.......................................................................6
2.2. Contexte and processus de l’évaluation des risques du SAI.............................6
2.3. Résultats de l’évaluation des risques et des thèmes d’audit pour
2009/2011 .........................................................................................................7
2.4. Étapes suivantes ..............................................................................................13
ANNEXE 1 - PRINCIPES DE BASE DE LA PLANIFICATION DE L’AUDIT
INTERNE.......................................................................................................14

ANNEXE 2 – MODÈLE STANDARD D’ÉVALUATION DES RISQUES PAR

RAPPORT AUX PROCESSUS STANDARDS DE L’AGENCE ................17

2 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

1. SYNTHESE

Ce document détaille la stratégie d’audit du SAI pour la Fondation européenne pour la

formation (ETF) pour la période 2009/2011. Il définit les secteurs sur lesquels portera le
travail du SAI, les thèmes d’audit ainsi que les hypothèses sur lesquelles son plan de
travail est basé, notamment la définition du champ d'audit et de l'évaluation des risques.

Le planning d’audit du SAI pour 2009/2011 tiendra compte des travaux d’audit de la
Cour des comptes européenne. À compter de 2009, le SAI actualisera chaque année son
évaluation des risques et ajustera son planning d’audit en conséquence.

Travaux d’audit prévus pour 2009

Processus internes soutenant la gestion de l’assurance

Le directeur, en sa qualité d’ordonnateur, fournit aux parties prenantes une

gestion de l’assurance annuelle sur l’utilisation des ressources (humaines et
financières). Ce compte rendu confirme que les ressources ont été utilisées aux
fins auxquelles elles étaient destinées et conformément aux principes de bonne
gestion financière. L’assurance offerte par l’ordonnateur repose sur les
informations suivantes:

• la robustesse du système de contrôle interne;

• l’assurance offerte par les auditeurs (Cour des comptes européenne, SAI, etc.).

Le SAI présentera à l’ETF une évaluation de la robustesse du système de contrôle

interne soutenant la gestion de l’assurance fournie tous les ans par l’ordonnateur
au conseil de direction.

Suivi

Le SAI prévoit d’effectuer un audit de suivi de l’ensemble de ses

recommandations laissées ouvertes.

Actualisation de l’évaluation des risques

Dans le cadre de l’élaboration de son plan d’audit pour 2010, le SAI actualisera
son évaluation des risques actuelle.

Évaluation des risques informatiques

Le SAI fournira à la direction de l’ETF une évaluation des risques informatiques,

identifiant les principales forces et les secteurs à améliorer pour les systèmes
informatiques utilisés par l’Agence.

3 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Thèmes d’audits potentiels pour 2010/2011

Planifications des activités de l’ETF

La définition, la planification et le suivi des objectifs sont les processus majeurs

régissant les activités de l’Agence. La direction de l’Agence doit régulièrement
définir des priorités et des objectifs (SMART) et ensuite suivre les résultats et
évaluer la qualité des travaux effectués à travers la définition d’indicateurs de
performance.
L’évaluation de l’impact des activités de l’ETF dans les pays partenaires
représente un défi particulier en raison de la participation de multiples acteurs et
des effets plutôt à long terme des travaux de l’ETF. Par conséquent, il est de plus
en plus important pour l’ETF de démontrer le rapport coûts-avantages positif et la
réalisation de ses objectifs afin d’éviter le mécontentement des parties prenantes
et tout risque à sa réputation. Ceci signifie une planification transparente et une
évaluation régulière de la mise en œuvre des projets afin de pouvoir mesurer la
réalisation des objectifs.

Le SAI pourrait effectuer un audit portant sur

• l’efficacité et l’efficience de l’ensemble des processus de planification de

l’ETF;
• l’efficacité et l’efficience de la planification détaillée des activités de l’ETF,
effectuée principalement par les experts du service opérationnel de l’ETF, et
du suivi consécutif des activités;
• la définition d’objectifs SMART;
• l’intégralité, l’exhaustivité et la fiabilité du système de gestion de
l’information/des outils de suivi.

Gestion des risques

Les règlements de la CE ont progressivement accru l’importance de la gestion de

l’assurance. Un aspect important est la gestion des risques ainsi que leur
identification et atténuation régulières.

Le SAI pourrait effectuer un audit de l’évaluation des risques de l’ETF y compris

d’aspects tels que le cadre des risques, les processus d’évaluation des risques, le
registre des risques et les rôles et responsabilités.

Structure organisationnelle – Équilibre des ressources humaines

administratives et opérationnelles

L’ETF a constaté que le ratio personnel administratif/personnel opérationnel et

experts pourrait être trop élevé. Des mesures sont prévues afin d’assurer

4 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

l’optimisation de l’utilisation des ressources humaines de l’Agence et d’identifier

les domaines où des gains d’efficacité pourraient être recherchés.

Le SAI pourrait effectuer un audit de la structure organisationnelle et évaluer les

processus internes soutenant l’affectation du personnel aux objectifs de l’Agence.
Une évaluation des tâches attribuées au personnel pourrait être effectuée afin
d’identifier des simplifications internes possibles, résultant en une redistribution
des ressources internes (opérations contre soutien).

Gestion des parties prenantes – Gestion des attentes et communication

Le mandat de l’ETF est actuellement en cours d’examen. Le résultat de cet

examen devrait contribuer à la clarification des objectifs et des tâches attribués à
la Fondation. L’ETF pourrait entrer dans une phase transitoire afin de s’adapter
progressivement à son éventuel nouveau mandat, et elle définira et mettra en
œuvre de nouveaux objectifs.

Par conséquent, les attentes des parties prenantes pourraient changer

considérablement. La Fondation doit être prête à démontrer plus que d’ordinaire
que les objectifs et les priorités qui lui ont été attribués sont atteints. Elle doit
également mettre en place des mécanismes afin de communiquer ses nouvelles
missions et sa «raison d'être» à la totalité des parties prenantes pertinentes.

Le SAI pourrait évaluer:

• les connaissances de l’ETF quant aux parties prenantes;
• la manière dont l’Agence gère les attentes des parties prenantes;
• la gestion de qualité des mécanismes de communication externes et internes
mis en place en vue de répondre aux nouveaux objectifs.

Calendrier de l’audit annuel

Le SAI a l’intention:
• d’effectuer l’audit spécifié au cours du premier semestre;
• d’effectuer l’audit de suivi et l’actualisation de l’évaluation des risques au cours du
second semestre de l’année.

5 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

2. RAPPORT COMPLET

2.1. Planification annuelle des audits

Le tableau suivant résume les travaux d’audit prévus par le SAI pour 2009 et les thèmes
d’audit potentiels pour 2010/2011.

2009 2010/2011

Planification des activités de l’ETF

Processus internes soutenant
Gestion des risques à l’ETF
la gestion de l’assurance
AUDITS
Structure organisationnelle

Gestion des parties prenantes

Toutes les recommandations

SUIVI Toutes les recommandations restantes
restantes

Évaluation des risques

informatiques
EVALUATION
Actualisation de l’évaluation des risques
DES RISQUES
Actualisation de l’évaluation
des risques

2.2. Contexte and processus de l’évaluation des risques du SAI

Le règlement financier1 stipule que le Service d’audit interne (SAI) est l’auditeur interne
de la Fondation européenne pour la formation (ETF) établissant ainsi le mandat du SAI.

Conformément aux normes professionnelles établies par l’Institut des auditeurs internes
(IIA), le SAI «établit une planification fondée sur les risques afin de définir des priorités
cohérentes avec les objectifs de l’organisation».

Ce document résume la stratégie d’audit définie par le SAI pour la Fondation européenne
pour la formation (ETF) pour la période 2009/2011. Il définit les secteurs sur lesquels
portera le travail du SAI et les hypothèses sur lesquelles son plan de travail est basé,
notamment la définition du champ d'audit et de l'évaluation des risques. Il détaille
également les thèmes d’audit résultant de la première analyse approfondie des risques
réalisée par le SAI sur les Agences.

Ce document décrit:
• les principes de base de la planification de l’audit à utiliser par le SAI;

1
Article 185 du règlement financier général.

6 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

• les objectifs sous-jacents et la méthodologie utilisée afin de définir tant le champ

d’audit que l’évaluation des risques.

Le document présente ensuite les résultats de l’évaluation des risques et le calendrier

prévu pour les travaux du SAI à l’ETF.

Les principes de base de la planification de l’audit interne sont présentés à l’annexe 1.

2.3. Résultats de l’évaluation des risques et des thèmes d’audit pour 2009/2011

En utilisant la méthodologie de planification décrite à l’annexe 1, le SAI a identifié

quatre risques majeurs et a élaboré la carte des risques pour l’ETF présentée ci-dessous:

E
Risque 1 Gestion de l’assurance
1 3
5 Risque 2 Planification et suivi
2
4
Risque 3 Gestion des risques
Impact du risque sur la valeur

Assurance Amélioration de
Risque 4 Structure
RISQUE INHÉRENT

l’atténuation
des risques organisationnelle

Risque 5 Gestion des acteurs

Redéploiement Mesure d’impact

des ressources cumulé

F E
Vulnérabilité
RISQUE RÉSIDUEL

7 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Les composantes individuelles de la carte des risques sont résumées dans les tableaux ci-
dessous:

Secteur de risque 1 – Gestion de l’assurance

Facteur de risque 1: Dépendance des parties prenantes sur la gestion de

l’assurance lors de l’adoption du rapport d’activité annuel

Facteur de risque 2: Responsabilité accrue des ordonnateurs confirmée par les

règlements

Facteur de risque 3: Complexité, qualité et paramètres de qualité à utiliser comme

éléments de base pour la gestion de l’assurance.
E

1
Amélioration
Impact: Élevé

Impact du risque sur la valeur

de
Assurance

RISQUE INHÉRENT
l’atténuation
des risques

Redéploiement Mesure
des ressources d’impact
cumulé
Vulnérabilité: Moyenne
F E
Vulnérabilité
RISQUE RÉSIDUEL

Thème d’audit 1: Processus interne soutenant la gestion de l’assurance

Commentaires et détails supplémentaires: néant

Prévu pour: 2009

8 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Secteur de risque 2 – Planification et suivi

Facteur de risque 1: Attentes élevées des parties prenantes, besoin de démontrer

un rapport coûts-avantages positif

Facteur de risque 2: Affectation et planification transparente des ressources

humaines

Facteur de risque 3: Besoin accru de démontrer la réalisation des objectifs et

priorités attribués

Facteur de risque 4: Définition et mise en œuvre d’objectifs, et mesure de l’impact

E

2
Amélioration
Impact: Élevé

Impact du risque sur la valeur

de
Assurance

RISQUE INHÉRENT
l’atténuation
des risques

Redéploiement Mesure
des ressources d’impact
cumulé
Vulnérabilité: Moyenne
F E
Vulnérabilité
RISQUE RÉSIDUEL

Thème d’audit 1: Efficacité et efficience de l’ensemble des processus de

planification de l’ETF

Planification des activités de l’ETF – de la mission de

l’ETF à la planification de l’impact par activité et au suivi

Intégralité, exhaustivité et fiabilité du système de gestion

de l’information/des outils de suivi.

Commentaires et détails supplémentaires: L’audit se concentre

sur les questions suivantes:
• efficacité et efficience de l’ensemble des processus de
planification de l’ETF
• imbrication des processus de planification de la mission de
l’ETF au plan stratégique triennal au plan de gestion annuel
• efficacité de l’approche de haut en bas et de l’approche de
bas en haut pour la sélection des travaux opérationnels à
effectuer par les experts. Processus d’évaluation de l’impact
• planification de l’impact et ressources humaines et
financiers nécessaires par activité

Prévu pour: 2010/2011

9 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Secteur de risque 3 – Gestion des risques

Facteur de risque 1: Gestion des risques en tant que partie intégrante de la

gestion de l’assurance

Facteur de risque 2: Gestion proactive des risques et risques potentiels

Facteur de risque 3: Mise en place et utilisation efficace d’outils pour la gestion

des risques

Facteur de risque 4: Participation de la direction dans la gestion et l’atténuation

des risques
E

3
Impact: Élevé Amélioration

Iùpact du risque sur la valeur

Assurance de

RISQUE INHÉRENT
l’atténuation
des risques

Redéploiement Mesure
des ressources d’impact
cumulé
Vulnérabilité: Moyenne
F Vulnérabilité E
RISQUE RÉSIDUEL

Thème d’audit 2: Gestion des risques: cadre des risques, processus

d’évaluation des risques, registre des risques et rôles et
responsabilités

Commentaires et détails supplémentaires: néant

Prévu pour: 2010/2011

10 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Secteur de risque 4 – Structure organisationnelle

Facteur de risque 1: Déséquilibre entre personnel opérationnel et personnel

administratif

Facteur de risque 2 Inefficacités potentielles des procédures administratives

internes

Facteur de risque 3: Manque de flexibilité au sein du personnel afin de changer de

champ d’activité, le cas échéant
E

4
Impact: Élevé Amélioration

Impact du risque sur la valeur

Assurance de

RISQUE INHÉRENT
l’atténuation
des risques

Redéploiement Mesure
des ressources d’impact
cumulé
Vulnérabilité: Élevée
F E
Vulnérabilité
RISQUE RÉSIDUEL

Thème d’audit 3: Structure organisationnelle: évaluation des rôles et des

responsabilités, descriptions de poste, augmentation
potentielle de l’efficience des opérations et de
l’administration

Commentaires et détails supplémentaires: néant

Prévu pour: 2010/2011

11 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Secteur de risque 5 – Gestion des parties prenantes

Facteur de risque 1: Refonte du règlement et éventuelle modification du mandat

de l’ETF

Facteur de risque 2: Absence de gestion proactive des attentes des parties

prenantes

Facteur de risque 3: Efficacité de la communication avec les parties prenantes

E

Impact du risque sur la valeur

Amélioration
Impact: Élevé Assurance

RISQUE INHÉRENT
de
l’atténuation
des risques

Redéploiement Mesure de
des ressources l’impact
cumulé

Vulnérabilité: Élevée
F Vulnérabilité E
RISQUE RÉSIDUEL

Thème d’audit 4: Connaissance sur les parties prenantes, gestion des

attentes des parties prenantes, gestion de qualité des
mécanismes de communication externes et internes mis en
place afin de répondre aux nouveaux objectifs

Introduire commentaires et détails

Prévu pour: 2010/2011

12 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

2.4. Étapes suivantes

Les principaux destinataires des rapports d’audit étant le directeur et le conseil de

direction, il est indispensable que ce planning soit approuvé par le conseil de direction de
l’ETF. L’examen annuel de l’évaluation des risques tiendra compte des résultats:
• des audits réalisés par le SAI et par la Cour des comptes européenne (ainsi que des
résultats de la décharge);
• de l’évaluation annuelle des risques réalisée par l’Agence.

Cela permettra au SAI de soumettre régulièrement le plan d’audit détaillé au directeur et

au conseil de direction.

13 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

ANNEXE 1 - PRINCIPES DE BASE DE LA PLANIFICATION DE L’AUDIT INTERNE

La stratégie d’audit est basée sur le règlement financier-cadre (RFC), la charte du SAI et
les normes IIA.

Le RFC stipule que: «L'auditeur interne conseille l’organisme communautaire dans la

maîtrise des risques, en formulant des avis indépendants portant sur la qualité des
systèmes de gestion et de contrôle et en émettant des recommandations pour améliorer
les conditions d'exécution des opérations et promouvoir la bonne gestion financière»2.

La charte du SAI stipule que, pour exécuter sa mission correctement, ce dernier doit agir
dans le respect des principes généralement admis et des normes internationales qui
régissent l’audit interne.

La norme IIA 2010 exige que «le responsable de l’audit interne établisse une
planification fondée sur les risques afin de définir des priorités cohérentes avec les
objectifs de l’organisation». La norme de l’IIA stipule en outre que «l'audit interne doit
évaluer les risques afférents au gouvernement d’entreprise, aux opérations et aux
systèmes d'information de l'organisation au regard:

• de la fiabilité et de l’intégrité des informations financières et opérationnelles,

• de l’efficacité et de l’efficience des opérations;
• de la protection du patrimoine;
• du respect des lois, règlements et contrats».

Vu que les activités de la Cour des comptes européenne se concentrent sur le premier
objectif de contrôle cité ci-dessus, le SAI coordonnera son activité d’audit avec la Cour
des comptes européenne pour éviter les répétitions.

Conformément au cadre professionnel de l’IIA, le SAI couvrira le contrôle interne, la

gestion des risques et la gouvernance.

Méthode de planification basée sur les risques: définition du champ d’audit et de

l’évaluation des risques.

L’approche adoptée par le SAI pour définir son plan stratégique comprend trois étapes:
(1) définir clairement de quoi sont composés les différents systèmes, processus, unités
et organes qui constituent le champ d’audit global de l’Agence;
(2) réaliser une évaluation des risques associés aux unités sur lesquelles portera l’audit;
(3) identifier les thèmes d’audit à partir des risques identifiés et validés par la direction.

Lors de l’élaboration de son plan d’audit le SAI a souligné la «valeur ajoutée» des audits
prévus. Le jugement professionnel de l’auditeur joue un rôle crucial pour déterminer où

2
Article 72 du règlement financier-cadre.

14 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

mettre l’accent lors de l’audit. Pour prendre cette décision, le SAI considérera l’impact
(risque inhérent) d’un risque en cas de défaillance des contrôles et la vulnérabilité (risque
résiduel) des contrôles existants dans l’ETF. Ces deux dimensions sont reprises à la
Figure 1: Profil de risque.

E
Amélioration
Assurance de

Impact du risque sur la valeur

l’atténuation
des risques

RISQUE INHÉRENT
A
M
Figure 1:
Profil de risque
R CI
Redéploiement Mesure de
des ressources l’impact
cumulé

F Vulnérabilité E
RISQUE RÉSIDUEL

L’évaluation des risques effectuée par la direction est un élément clé pris en compte par
les auditeurs lors de leur évaluation des risques. Bien que le SAI effectue sa propre
évaluation des risques, l’approche et la concentration de l’audit sont influencées par
l’évaluation de l’impact des risques de la direction et la vulnérabilité de ses principaux
processus. Ceci est expliqué ci-dessous.

Assurance: Lorsque la direction assure raisonnablement (Fig. 1: quadrant «A») que les
contrôles existants afin de prévenir, de détecter et de corriger un risque sont efficaces et
efficients, le rôle du Service d’audit interne est d’apporter une assurance supplémentaire
quant à la fiabilité des déclarations de la direction. Lorsque la direction ne peut offrir
qu’une assurance «nuancée» – ce qui signifie que certains contrôles fonctionnent et
d’autres pas – le SAI doit vérifier les contrôles considérés comme efficaces et soutenir
l’amélioration dans d’autres secteurs, le cas échéant.

Amélioration de l’atténuation des risques: Lorsque la direction n’est pas en mesure

d’offrir la moindre assurance (Fig. 1: quadrant «M») selon laquelle les contrôles seraient
soit efficaces soit efficients, elle doit traiter des risques exigeant une atténuation. Dans ce
cas, la valeur ajoutée peut être limitée si les travaux du Service d’audit interne confirment
simplement l’existence de risques déjà bien connus par la direction. Toutefois, le Service
d’audit interne peut apporter des recommandations afin d’aider la direction à élaborer et à
concevoir des contrôles en vue de réduire l’exposition et de poursuivre les progrès des
plans de réparation.

Redéploiement des ressources: Pour les processus entraînant un risque à faible impact
sur la valeur et une faible vulnérabilité, le Service d’audit interne pourrait vérifier
l’efficacité des contrôles et élaborer des recommandations aidant la direction à améliorer
l’efficience (Fig. 1: quadrant «R»).
15 / 17
Plan d’audit stratégique du SAI pour 2009/2011 21 novembre 2008

Mesure d’impact cumulé: Enfin, en cas de faible impact sur la valeur associé à une
vulnérabilité élevée, le Service d’audit interne pourrait évaluer l’impact cumulé et la
fréquence afin de déterminer si ces risques sont susceptibles d’avoir, une fois cumulé, un
impact plus important (Fig. 1: quadrant «CI»).

Définition du champ d’audit et de l’évaluation des risques

Pour définir le champ d’audit, il a fallu cartographier les processus standards de

l’Agence, tels que la gestion des subventions et leur attribution. Au niveau global, le
champ d’audit de l’Agence a été divisé en 22 processus. Ceux-ci ont été associés aux
types de risques possibles (voir le modèle standard en annexe 2). Ces processus ont
ensuite été évalués en termes de risques, principalement au moyen:
• d’une analyse approfondie de documents existants;
• dans la mesure du possible, d'entretiens avec certains acteurs clés de l'organisation.

16 / 17
Plan d’audit stratégique du SAI pour 2009 / 2011 21 novembre 2008

ANNEXE 2 – MODÈLE STANDARD D’ÉVALUATION DES RISQUES PAR RAPPORT AUX PROCESSUS STANDARDS DE L’AGENCE
Entité : ETF TYPE DE RISQUES
Communicat
Environnemen Planification, processus et Les membres du personnel Régul
i on et
t extern systèmes et l'organisation arité
e Informatio
n

Partenaires externes

Organisation interne
Décisions politiques

Qualité et ponctualité
Méthodes et circuits
Ethique et conduite
Compétence du
affectation budg.
Méc.financier et
macroenvironnemental

opérationnels

informatiques
Processus
Stratégie et
planification
Règlement

Systèmes

Conformité
personnel

Sécurité
Recherche technique/scientifique

Décisions individuelles concernant des tiers

Principaux processus Collecte/mise en réseau des informations

opérationnels Coopération/coordination

Prestation de services

Autres activités opérationnelles (…)

Planificatio
n
ENVIRONEMMENT DE L'AUDIT

Gestion du rendement Budgétisatio

n
Suivi

Marchés

Gestion de
l'actif
Trésorerie
Gestion financière
Rapports financiers

Recettes

Gestion des subventions

Recrutement
Gestion des RH
Evolution de carrière

Développement des
TI
Activités de soutien Conseils juridiques

Logistiques et
autres
Audit et évaluation
Relations avec les principales parties prenantes

Gestion des relations

Intern
et communication e
Externe