II: Spécificités de l’Audit interne

1: Principes de l’Audit interne

2: Approche par les risques

3: Normes pour la pratique professionnelle de l’Audit interne

4: Organisation l’Audit interne au niveau international

1: Principes de l’Audit interne

a. Principe de permanence et de continuité.

b. Principe d'indépendance.

c. Principe d’impartialité.

2
a- Principe de permanence et de continuité :

Toutes les sociétés doivent disposer d'une fonction permanente d'audit interne. Dans
l'accomplissement de ses tâches et responsabilités, la Direction Générale devrait
prendre toutes les mesures nécessaires pour que la société puisse compter de façon
continue sur une fonction d'audit interne compétente et appropriée à sa taille et à la
nature de ses opérations. Elle doit dégager pour le service d'audit interne les
ressources et les moyens humains nécessaires à la réalisation de ses objectifs.

Dans les sociétés d'une certaine taille et dans les sociétés dont l'activité est complexe,
les missions d'audit interne doivent normalement être conduites par un département
d'audit interne disposant d’un effectif à plein temps. Dans les sociétés plus petites,
l'audit interne peut être externalisé auprès d'un prestataire externe. Certains pays
autorisent les petites sociétés à recourir à des évaluations indépendantes des éléments
clés de contrôle interne en tant qu'alternative à l'audit interne.

3
b- Principe d'indépendance :

La fonction d'audit interne de la société doit être indépendante des activités auditées
et également des processus de contrôle de premier niveau. En d'autres termes, l'audit
interne doit bénéficier d'un statut approprié au sein de la société et conduire ses
missions avec objectivité et impartialité.

Le service d'audit interne doit être en mesure d'exercer sa mission de sa propre

initiative dans tous les services, les établissements et les fonctions de la société. Il
doit être libre de faire un rapport sur ses résultats et évaluations et de les
communiquer. Le principe d'indépendance implique le rattachement du service
d'audit interne, soit au Président de la société, soit au Conseil d'Administration, soit à
son Comité d'audit (s'il existe), en fonction de la structure de direction de la société.

Le principe d'indépendance exige également l'absence de tout conflit d'intérêts entre

les auditeurs internes et la société. 4
c- Principe d’impartialité :

La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit
doit pouvoir effectuer ses missions sans préjugés et sans subir de pression.

Pour être objectif et impartial le service d'audit interne doit lui-même chercher à éviter
tout conflit d'intérêts. A cette fin, les missions des auditeurs au sein du service d'audit
doivent changer périodiquement chaque fois que c'est possible. Les auditeurs recrutés
en interne ne doivent pas auditer des activités ou des fonctions qu'ils ont exercées au
cours des douze derniers mois.

Le souci d'impartialité contraint le service d'audit interne à ne pas s'impliquer dans les
opérations de la société, dans les choix ou la mise en œuvre de dispositifs de contrôle
interne. Dans le cas contraire, il assumerait une part de responsabilité dans ces activités,
ce qui nuirait à l'indépendance de son jugement.

5
2: Approche par les risques

Que désigne-t- Un RISQUE se définie généralement comme suit:

« Tout événement, action ou inaction de nature:
on par
• à empêcher une organisation d’atteindre ses objectifs ( de
RISQUE? façon implicite ou explicite) ou
• à altérer sa performance ou
• une perte d’opportunités ».

En raison de l'évolution permanente de l'environnement ainsi que du

contexte réglementaire, les sociétés doivent mettre en place des
méthodes pour recenser, analyser et gérer les risques d'origine interne
ou externe auxquels elles peuvent être confrontées et qui réduiraient la
probabilité d'atteinte des objectifs. (Risk Management)

La démarche de l’audit interne est une approche par les risques

6
La démarche de l’audit interne est une approche par les risques. Les normes
professionnelles sont sur ce point sans ambiguïté, elles indiquent très clairement la
route à suivre en donnant à l’identification des risques une portée limitée mais
non négligeable : pour l’auditeur interne la mesure du risque est un outil de
planning, et ce à deux niveaux:

• Au niveau de l’analyse globale où sont appréciés les risques de l’entité tout entière.
C’est la macro-évaluation préconisée par la norme 2010 et qui va permettre la
réalisation du plan d’audit, c’est-à-dire la définition de la fréquence des missions en
fonction de l’importance des risques de chaque activité. Cette macro-évaluation se
réalise à partir de la cartographie des risques (Notion à développer par la suite), s’il y
en a une ; sinon l’auditeur devra développer des méthodes de substitution.

• Au niveau de l’analyse des risques de chaque activité à part. C’est la micro-

évaluation de la norme 2210.A1 que l’auditeur met en œuvre dans chaque
mission d’audit pour établir le planning de ses travaux.

7
8
 Notions importantes ( à développer):

•Composantes du risque: Probabilité & Impact

•Cartographie des risques
•Risk Management
•Politiques face au risques existants: Protection Vs Prévention

L’auditeur interne apprécie la qualité de la cartographie et des moyens

mis en place ; il en détecte les lacunes et les insuffisances et
formule des recommandations pour y mettre fin. Mais il n’est pas
concerné par l’élaboration et la mise en place d’une gestion globale des
risques (Elaboration de la cartographie des risques).

9
3: Normes pour la pratique professionnelle de l’Audit interne

• L'audit interne est exercé dans différents environnements juridiques et culturels

ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure
sont divers. Il peut être en outre exercé par des professionnels de l'audit, internes
ou externes à l'organisation.

• Comme ces différences peuvent influencer la pratique de l'audit interne dans

chaque environnement, il est essentiel de se conformer aux Normes internationales
pour la pratique professionnelle de l'audit interne de l'IIA (ci-après « les Normes »)
pour que les auditeurs internes et l'audit interne s'acquittent de leurs
responsabilités.

10
Les Normes ont pour objet :

1. de définir les principes de base que la pratique de l’audit interne doit suivre.
2. de fournir un cadre de référence pour la réalisation et la promotion d’un large
éventail d’activités d’audit interne apportant une valeur ajoutée.
3. d’établir les critères d’appréciation du fonctionnement de l’audit interne.
4. de favoriser l'amélioration des processus organisationnels et des opérations.

Pour atteindre ces objectifs ambitieux , la fonction de l’audit interne , dans

un contexte international, est régie par , ce qu’on appelle communément, un code
de déontologie qui est un document placé en tête des normes, pour en souligner
l’importance et énoncer des principes dont l’auditeur ne saurait s’écarter sans
trahir sa mission .

Le code énonce quatre principes fondamentaux, déclinés en douze règles de

conduite.
11
Les quatre principes du code de déontologie sont :

• L’intégrité, base de la confiance accordée aux auditeurs ;

• L’objectivité, déjà explicitée à propos de l’indépendance ;

• La confidentialité, impérative, sauf obligation légale ;

• La compétence, impliquant la mise à jour des connaissances.

12
 Les douze règles de conduite:
Elles déclinent l’application des quatre principes fondamentaux de façon
claire et pratique, et peuvent se résumer ainsi :
• accomplir honnêtement les missions ;
• respecter la loi ;
• ne pas prendre part à des activités illégales ;
• respecter l’éthique ;
• être impartial ;
• ne rien accepter qui puisse compromettre le jugement ;
• révéler les faits significatifs ;
• protéger les informations ;
• ne pas en tirer un bénéfice personnel ;
• ne faire que ce qu’on peut faire ;
• améliorer ses compétences ;
• respecter les normes.

13
Classification des normes

➢ Les Normes de Qualification énoncent les caractéristiques que doivent

présenter les organisations et les personnes accomplissant des activités d’audit
interne.

➢ Les Normes de Fonctionnement décrivent la nature des activités d’audit interne

et définissent des critères de qualité permettant d'évaluer les services fournis.

14
a. Normes de qualification (Normes concernant l’auditeur):

15
16
b. Normes de fonctionnement (Normes concernant la fonction de l’Audit
interne)
18
4: Organisation de l’Audit interne au niveau international

1- “ The Institute of Internal Auditors” (IIA): fondé aux Etats Unis en 1941:
regroupe un nombre important d’instituts nationaux, il a une activité importante
en matière de formation professionnelle et de recherche, publie ouvrages et revue
(The Internal Auditor), organise un examen professionnel de plus en plus apprécié
(The Certified Internal Auditor examination : CIA), organise conférences et
colloques et définit pour l’ensemble de ses membres les normes de la profession.

2- “ Confédération Européenne des Instituts d’Audit Interne ” (ECIIA).

3- ”Union Francophone de l’Audit Interne ” (UFAI).

19
 LE CONTRÔLE
INTERNE: CONCEPTS
INTRODUCTIFS

- page 20
1- Généralités sur le contrôle interne
a- Définitions:

Les sens du contrôle interne sont au nombre de deux :

✓ Dans son sens le plus courant, le mot contrôle signifie vérification.

✓ Dans son deuxième sens, il signifie maîtrise.

Donc on peut dire que le contrôle interne est une procédure de

vérification assurant la maîtrise du fonctionnement de l’organisation à tous
les niveaux.
21
 22

Le contrôle interne est au centre des enjeux de l’entreprise.

Récapitulons:

❖ Le contrôle interne d’une activité est le dispositif de protection contre les risques de toute

nature qui pèsent sur une activité:

-Mauvaise ou sous exploitation de ressources

-Investissement injustifiés

-Pertes d’opportunités

-…etc

❖ Le contrôle interne est un ensemble de dispositifs, de moyens, de comportements, de

procédures et d’actions adaptés aux caractéristiques propres de chaque société , mis en

œuvre par l’ensemble des personnels de tous les niveaux pour maîtriser le fonctionnement
23

de leurs activités.
« Le contrôle interne est un processus mis en œuvre par le conseil
d’Administration, les dirigeants et le personnel d’une organisation destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs:

-Optimisations des opérations

-Fiabilité et intégrité des informations financières

-Conformité aux lois et réglementations en vigueur

-Sécurité & Protection du patrimoine

24
 b- Objectifs du contrôle interne
-Optimiser les procédures, développer l’efficacité économique et améliorer les
performances.
Optimisation des -Énoncer cet objectif, c’est montrer que le contrôle interne ne doit pas se mettre en
opérations et des
résultats place dans la seule perspective du respect d’une norme. Il doit aller au-delà de la
norme et chacun doit viser l’efficacité.

Fiabilité et intégrité -Fiables , vérifiables, exhaustives, pertinentes et disponibles en interne

des informations (Analyse, budget) et en externe (Actionnaires, tiers).
financières: -Saisir fidèlement toutes les opérations que l’organisation réalise.
Objectifs du
contrôle -Respect des règles (Internes et Externes) et des dispositions
Conformité aux lois
interne et réglementations
législatives et réglementaires.
-Veille juridique.
en vigueur
-Informer et former les collaborateurs.

Sécurité & -Eviter la perte des ressources (Vol, Fraudes, Erreurs ), les catastrophes ( Incendie,
Protection du Explosion…).
patrimoine: -Il s’agit de sauvegarder au mieux « les actifs » confiés à chacun dans le cadre des
responsabilités qui lui sont assignées.

25
Fiabilité et intégrité des informations financières:

26
27
c- Référentiel et principes du Contrôle interne

COSO1 (Committee of Sponsoring

Organizations of the Treadway
Commission Treadway Commission) - 1980
(USA)
COSO2 (Committee of Sponsoring
Organizations of the Treadway
Commission) – 2004

COCO (Criteria onControl Committee) – Canada 1995

AMF (Autorité des Marchés Financiers) - France 2006

• Présentation du COSO
- Historique: En 1985, création autour du Sénateur Treadway (USA) d’une commission réunissant les
compétences de professionnels représentant l’IIA, l’AAA, la FEI, l’IMA, l’AICPA, le NYSE, des cabinets d’audit
externe et de grandes entreprises américaines. Cette commission est connue sous la dénomination COSO
(Committee of Sponsoring Organizations of the Treadway Commission).

- Publications:
• Edition en 1992 de l’ensemble des travaux sur le contrôle interne dans un ouvrage : « Internal Control –
integrated Framework » traduit en 2000 sous le titre « la nouvelle pratique du contrôle interne ».
C’est ce qu’on appelle le COSO 1;

• Puis en septembre 2004, édition de l’ouvrage : « Enterprise Risk Management – Integrated Framework
». C’est ce qu’on appelle le COSO 2;

• Puis en mai 2013, mise à jour du référentiel de 1992 qui tient compte de l’évolution de l’environnement
économique
et réglementaire dans lequel évoluent les organisations - nouveaux risques, attentes accrues en
matière de gouvernance, rôle toujours plus important de la technologie, recours intensifié à
l’externalisation, exigences de reporting au-delà de la communication financière. C’est ce qu’on appelle le
COSO2013.
Composantes du contrôle interne
 Activité 2
Activité 1
Pilotage
Information et

Unité B
Communication

Unité A
• Environnement de contrôle Conseil
Activités de Contrôle

Évaluation des Risques

d’administration et Environnement de
Contrôle
Comité d’audit

Compétences
Structure
organisationnelle

Environnement
Attribution des
responsabilités et de contrôle
La politique et les
délégations de pratiques des RH
pouvoirs

Philosophie de la Intégrité et
Direction Valeurs éthiques
• Evaluation des risques

Activité 2
-

Activité 1
Pilotage
L’évaluation des risques commence par l’identification des risques associés aux objectifs Information et

Unité B
Communication

Unité A
définis à chaque niveau de l’entreprise Activités de Contrôle

-
Évaluation des Risques

L’évaluation des risques requiert l’évaluation des facteurs externes et internes à l’entreprise, Environnement de
Contrôle

leurs impacts sur l’exploitation, le reporting financier et la conformité aux lois en vigueur.
 Activité 2
• Activités de contrôle

Activité 1
Pilotage
Information et

Unité B
-
Communication

Les activités de contrôles sont des règles et des procédures qui permettent de s’assurer que les

Unité A
Activités de Contrôle

mesures identifiées comme nécessaire pour maîtriser les risques sont appliquées correctement et Évaluation des Risques

Environnement de
Contrôle
à temps.

- Les activités de contrôle doivent être intégrées aux opérations / processus habituels et sont
destinées à assurer l’exécution des directives émises par le management en vue de maîtriser les
risques. Se concentrer sur la prévention, la détection et la correction.

- Qualité principale des activités de contrôle : réduire les risques à un coût raisonnable;

- Nature des contrôles : transaction, supervision, manuels, automatisés;

 Activité 2
Activité 1
Pilotage

• Information et communication Information et

Unité B
Communication

Unité A
Activités de Contrôle

Évaluation des Risques

Environnement de
Contrôle

- L’information inclut l’identification, l’obtention et la diffusion d’information pertinente (interne ou

externe) selon le bon moyen de communication, au bon moment, aux bonnes personnes, afin
que ces dernières puissent réagir et assurer leurs responsabilités

- …et la communication permet

– Une bonne compréhension des rôles et responsabilités de chacun
– Des salariés qui comprennent comment leur travail est lié à celui des autres
– Les moyens de signaler des exceptions à la hiérarchie
– Une communication top-down et bottom-up facilitée
– Une bonne communication avec les tiers
 • Pilotage

Activité 2
Activité 1
Pilotage
Informationet

Unité B
Communication

Unité A
Activités de Contrôle

- L’objectif de cette phase de contrôle est de déterminer si la conception du contrôle interne est Évaluation des Risques

Environnementde
Contrôle

adéquate, si le contrôle interne est appliqué, efficace et peut s’adapter aux circonstances;

- Les performances du contrôle interne doivent être contrôlées de manière continue aux travers des
opérations à caractère de pilotage, et doivent aussi faire l’objet d’évaluations sous forme de
missions d’audit interne;

- Le périmètre des activités à contrôler et la fréquence des contrôles dépendent de l’importance

relative des risques sous-jacents et des contrôles qui permettent de réduire ces risques.

- page 35
• Le COSO 2013 - Contexte et objectifs de la mise à jour du référentiel COSO Internal
Control – Integrated Framework
Des attentes en
termes de
contrôle et de
gouvernance

• Un référentiel mis à jour : le 14 mai 2013 et une Des attentes La

en termes de mondialisation
phase de transition qui s’est prolongée jusqu’au 15 prévention et des marchés et
décembre 2014 de détection des opérations
de la fraude
• Des améliorations qui n’ont pas pour objectif de
modifier les principes fondamentaux développés
dans le référentiel originel => une évolution plutôt Un environnement
changeant et des
qu’une révolution attentes nouvelles prises
en compte dans le
• Des concepts affinés afin de : référentiel mis à jour
L’utilisation et Les
l’appuisur des changements
• mieux refléter l’évolution de l’environnement des technologies dans les business
entreprises évolutives modèles

• refléter l’évolution des attentes des régulateurs et

autres parties prenantes
• recentrer l’attention sur les aspects opérationnels,
de conformité et les objectifs de reporting non- Les exigences et
Des attentes en la complexité
financier termes de des règles,
compétences et de réglementations
responsabilités et standards
• Le COSO 2013 – Bénéfices de la mise à jour du référentiel

Améliore la gouvernance

Etend l’utilisation au-delà du

reporting financier

Améliore la qualité de
l’évaluation des risques

Renforce les efforts anti-fraude

Adapte les contrôles aux besoins

nouveaux des entreprises

Plus grande applicabilité aux

divers business modèles
• Le COSO 2013 – Les 17 principes définis par cette mise à jour
1. Engagement envers les principes d’intégrité et d’éthique
2. Opérations de contrôle
Environnement de contrôle 3. Structure, autorité et responsabilité
4. Exigences en termes de compétences
5. Responsabilisation

6. Précision des objectifs pertinents

Evaluation des risques 7. Identification et analyse des risques
8. Evaluation du risque de fraude
9. Identification et analyse des changements significatifs

10.Sélection et développement des activités de contrôle

Activités de contrôle 11.Sélection et développement des contrôles généraux relatifs aux
technologies
12.Déploiement par le biais de politiques et procédures

13.Utilisation de l’information pertinente

Information et Communication 14.Communication interne
15.Communication externe

Activités de suivi 16.Réalisation d’évaluationscontinues et/ou séparées

17.Evaluation et communication des insuffisances
• Les atouts d’un contrôle internefort

Les atouts d'un contrôle interne fort Les risques d'un contrôle interne défaillant

➢ Risques identifiés et maîtrisés ➢ Risque de fraude accru

➢ Confiance accrue des investisseurs ➢ États financiers faux
➢ Conformité avec la loi et les réglementations ➢ Impact négatif sur l’image de l’entreprise écornée
➢ Réduction du risque de perte ➢ Impact négatif sur la valeur actionnariale
➢ Harmonisation / homogénéisation des ➢ Sanctions des régulateurs
procédures
➢ Procès, actions judiciaires
➢Décisions managériales optimisées, prises
sur la base d'une information de qualité ➢ Pertes d'actifs
constamment mise à jour ➢ Décisions managériales hasardeuses
➢ Visibilité accrue sur les zones d'inefficacité
opérationnelle
➢ Minimisation des "opérations pompiers"
• Les limites du contrôle interne

- Il est admis que, si un système de contrôle interne efficace fournit une assurance raisonnable
que les objectifs de l’entité seront atteints, il comporte des limites.
- Un système de contrôle interne, même efficace peut s’avérer défaillant.
- Les limitations du contrôle interne sont listées:

– Qualité et pertinence des objectifs,

– Le jugement des être-humains peut être erroné
ou biaisé,
– Personne n’est à l’abri des erreurs,
– La collusion de deux ou plus de personnes,
– Management override (outrepasser),
– Evènements externes qui échappent au contrôle de
l’organisation.
- Ces limites font que le conseil et le management ne peuvent avoir l’assurance absolue
que les objectifs de l’entité seront atteints. Autrement dit, le contrôle interne fournit
une assurance raisonnable et non une assurance absolue.
- page 40
• Les acteurs du contrôle interne

- Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de
l’entité:
– Conseil d’administration (ou de surveillance): s’il le juge utile, il peut faire procéder à des contrôles
de vérifications ou autre initiative appropriée.
– S’il existe, le comité d’audit est en charge de la surveillance du dispositif de contrôle interne, à l’aide
de la fonction audit interne
– Direction Générale (ou directoire): responsable légal du contrôle interne. En charge de la
définition, de la mise en œuvre et de la surveillance du contrôle interne. Elle veille à la mise en place
de plans d’actions sinécessaire.

– Service d’audit interne: quand il existe, son rôle est d’évaluer le fonctionnement du dispositif de
contrôle interne. Le
responsable de l’audit interne rend compte à la direction générale des résultats de lamission.
– Personnel de l’entreprise: le bon fonctionnement du contrôle interne dépend de la
connaissance et de la compréhension du dispositif par chaque collaborateur. - page 41
 • La maturation du contrôle interne
- Le contrôle interne est un processus évolutif : Il doit être remis en cause en permanence pour
s’adapter à la vie de l’entreprise
- La courbe de vie du contrôle interne Appropriation
du contrôle
Mise à jour
volontaire
Maîtrise des interne par les des procédures
Sensibilisationdes opérationnels et modes
risques
Directions opératoires
Validation Opérationnelles
par la
Appréhension Direction
des risques Générale
clefs

Détermination
des règles
minimales de
contrôles

Temps
• Les principales étapes de mise en œuvre d’un dispositif de contrôle interne
Politique
• Décision CA/DG
• Objectifs du contrôle
interne
• Détermination du
périmètre
• Définition du processus
d’évaluation (auto-
évaluation / audit interne /
audit externe)
• Définition du processus
de Reporting
Organisation
• Identification du
responsable du dispositif
• Identification du réseau
de « contrôleurs
internes »
• Identification des risques
majeurs (approche Top
Down)
• Formation
• Choix d’un outil
• Budget
• Planning
Déploiement
• Identification des contrôle
clés
• Documentation des
contrôles (qui, quoi,
comment, quand, où)
• Validation de la
documentation
Evaluation Pilotage
• Auto-évaluation • Définition des indicateurs
• Attestation par le • Synthèse des déficiences
management de l’entité et reporting
• Evaluation par l’audit • Identification et validation
Interne des plans d’action
• Evaluation par l’audit • Suivi des améliorations
Externe • Anticipation des
• Evaluation des évolutions
déficiences • Analyse des incidents
• En synthèse…

- Le contrôle interne doit évoluer à la vitesse des transformations stratégiques et

organisationnelles de l’entreprise et des nouveaux risques que ces stratégies lui font
affronter.
- Il lui faut donc s’adapter en permanence de façon agile et dans ces conditions, il devient
une source réelle de valeur ajoutée, au travers de :

– l’analyse et la prévention des risques de destruction significative devaleur,

– l’optimisation des processus et organisations, notamment en privilégiant l’harmonisation
et la simplification des pratiques,
– l’assurance, pour la Direction, de la maîtrise des processus et du bon fonctionnement de
l’organisation.

- La maitrise des risques et l’efficience de l’organisation et des processus de l’entreprise

sont des avantages concurrentiels, tant en période de croissance qu’en période de crise.

- page 44
NOTIONS FONDAMENTALES DU CI

Qu'est-ce que le contrôle interne ?

Un processus affecté par les individus à tous les

niveaux
Fournit une assurance raisonnable, pas absolue

Orienté sur la réalisation des objectifs

organisationnels

- page 45
 NOTIONS FONDAMENTALES DU CI
Échelle de l'entité
Les contrôles à l'échelle de
l'entité s'appliquent à
l'ensemble de l'entreprise et
sont conçus à la fois pour
s'assurer que les objectifs
métier sont atteints et pour
atténuer les risques qui
menacent l'entreprise dans son
ensemble. Parmi les principaux
sous-types figurent les
contrôles de gouvernance et
les contrôles de supervision de
la direction.
Contrôles
Au niveau des processus
Les contrôles au niveau des
processus sont établis par un
responsable de processus
pour s'assurer que les
objectifs sont atteints et que
les risques sont pris en
compte.
Au niveau des transactions
Les contrôles au niveau des
transactions concernent des
transactions individuelles. Ils
assurent que les objectifs de
la transaction sont atteints et
que les risques propres à la
transaction sont pris en
compte.
- page 46
 Contrôles principaux et contrôlessecondaires

Contrôles principaux

• « Il s'agit des contrôles qui doivent fonctionner efficacement afin de réduire un

risque considérable à un niveau acceptable».

Contrôles secondaires

• « Il s'agit des contrôles qui permettent au processus de fonctionner correctement

mais qui ne sont pas indispensables ».

- page 47
 Contrôles par fonction
Type de
Description
contrôle
Préventif Éviter que des événements
indésirables ne se produisent
Détectif Détecter les événements
indésirables qui sont déjà survenus
Correctif Permettre la correction des
erreurs/irrégularités
Directif Causer ou encourager la survenue
d'un événement souhaitable
Atténuation Réduire l'impact potentiel d'un
événement qui pourrait se produire
Compensation Compenser l'absence d'un contrôle
prévu
Redondant Dupliquer un objectif de contrôle ou
un contrôle secondaire
Exemple
Système de récompense basé sur un
indicateur de performance clé
Rapprochements de comptes, rapports
d'exception
Pistes d'audit, procédures de
sauvegarde/récupération
Directives, programmes de formation
ou plans de motivation
Assurance
Surveillance prudentielle au lieu de la
séparation des tâches
Cuve de débordement
- page 48
 Contrôles informatiques
Contrôles généraux informatiques
• Des contrôles mis en place à l'échelle
de l'entité qui s'appliquent à des
processus informatiques généraux
tels que la gestion du changement, le
déploiement, la sécurité d'accès, les
opérations et qui peuvent être
appliqués à tous, ou presque tous,
les systèmes d'information en
général.
Contrôles liés à l'application oucontrôles
techniques
• Des contrôles au niveau desprocessus
ou des transactions qui sont
généralement spécifiques à une
application donnée
— Contrôles de saisie
— Contrôles de traitement
— Contrôles de sortie
- page 49
Auto-évaluation des contrôles (CSA- « Control self-assessment»)

Diverses techniques d'évaluation effectuées pardes

Définition : personnes en charge du domaine ou duprocessus.
La direction et/ou les équipes de travail ayantla
responsabilité directe d'une fonction métier:
Prendre part àl'évaluation.
Fonctionnement : Évaluer le risque.
Développer des plans d'actions.
Évaluer la probabilité d'atteindre lesobjectifs.

Avantages : Informations importantes sur le contrôle interne.

Influence positive sur l'environnement decontrôle.

- page 50
3. Acteurs et étapes de mise en œuvre:
a- Les acteurs du contrôle interne:

• Organes de direction
Parties • Service d’audit interne
Interne • Personnel de la société

Parties • Auditeurs externes (CAC)

• Tiers : Fournisseur, clients,
externes créanciers, actionnaires…
51
 b- Etapes de mise en œuvre du Contrôle interne d’une activité:

Pour le manager ou le responsable de quelque niveau qu’il soit, il ne suffit pas

d’avoir bien compris ce qu’est le contrôle interne, encore faut-il savoir comment s’y
prendre pour le mettre en œuvre. Car de même que l’auditeur interne dispose d’une
méthode pour conduire une mission, il y a une méthode de mise en place d’un
dispositif de contrôle interne réfléchi et rationnel. C’est une approche par les risques
qui n’est pas sans analogies avec la méthodologie de l’audit interne mais qui ne
s’identifie pas à elle.
53
b.1. Dispositifs de Contrôle Interne (6):

Nous constatons que :

1. les objectifs sont fixés en fonction de la mission à accomplir : la relation entre l’un
et l’autre est si étroite que des objectifs définis sans mission précise, ou une mission
sans objectifs ne peuvent que conduire à un activité désordonnée ;

2. ces mêmes objectifs vont conditionner la définition des moyens à mettre en œuvre.
On perçoit bien la rigueur du système qui va conduire à identifier et calculer au
plus près les moyens nécessaires, à éliminer ce qui est superflu ou inutile, à exiger
ce qui manque tant en quantité qu’en qualité, souvent en qualité. L’audit interne va
aider à ce grand nettoyage ;

3. ces moyens vont traduire la matérialisation des facteurs de réussite précédemment

identifiés, ce qui donne l’assurance que rien n’est oublié. Et ce qui permet
54
également d’en calculer le coût nécessaire à la mise en œuvre ;
4. le système d’information et de pilotage doit contenir tout ce qui est nécessaire à la
mesure du suivi des objectifs :

5. les procédures et méthodes de travail vont être prises en compte pour

l’exercice de la supervision, de même que les informations fournies par le système
d’information ;

6. tous ces dispositifs doivent impérativement se plier aux règles et contraintes

résultant des dispositions réglementaires ou des directives internes.

55
 Illustration 1: Service entretien dans une grande usine:

La mission du service est bien définie : adoption d’une politique préventive dont
l’objectif est d’éviter tout arrêt des machines.
Dans cette perspective, les dispositifs de contrôle interne mis en place
comporteront les éléments suivants :
1. Objectifs :
- nombre de pannes annuelles avec arrêt machines maxi ;
- nombre de pannes annuelles sans arrêt machines maxi ;
- délais d’intervention : moyennes annuelles maxi.
2. Moyens :
– disposer d’inspecteurs formés à la radiographie des appareils en marche ;
– avoir en magasin la totalité des pièces de rechange « vitales » ;
56
– budget permettant des achats directs en urgence ;
– budget correspondant à la mise à disposition d’une équipe d’intervention
– formation à la sécurité.
3. Système d’information :
- informations techniques permanentes sur l’évolution de l’usure des matériels ;
- informations statistiques sur les pannes et les délais d’intervention ;
- information financière sur les dépenses ;
- information qualitative sur la formation permanente dispensée ;
- statistique accidents.
4. Organisation :
– équipes organisées en 3 × 8 ;
– descriptions de poste avec affectation des matériels à suivre ;
– matériel de sécurité à disposition.

57
5. Procédures :
– un manuel descriptif des matériels ;
– un manuel d’intervention ;
– un manuel de sécurité.
6. Supervision :
– en permanence par un chef d’équipe ;
– comptes rendus quotidiens avec le chef de service ;
– réunions hebdomadaires avec le chef de département.

58
 b.2. Contrôle Interne d’une activité:

Pour chaque responsable la mise en place d’un contrôle interne se fait en trois
périodes successives :

• appréciation des préalables ;

• identification des dispositifs spécifiques du contrôle interne ;

• validation de la cohérence.

59
 Mise en œuvre du contrôle interne
La mission
préalables Les facteurs
de réussite
Les

Les règles à
respecter
Appréciation de
l’environnement interne
◆
spécifiques du
Les dispositifs

Découper l’activité
en tâches élémentaires
◆
Identifier et
évaluer les risques
CI

◆
Identifier les
dispositifs de contrôle
◆
Qualification des dispositifs
identifiés
cohérence
Validation

◆
de la

Validation de
la cohérence
 Illustration 2: Service Paie:
Première étape: Découpage en tâches élémentaires du processus du service Paie.
1. Mise à jour des dossiers individuels.
2. Détermination des niveaux de rémunération.
3. Autorisation des augmentations de salaire.
4. Autorisation des primes et gratifications.
5. Approbation des heures travaillées.
6. Autorisation des acomptes s/salaires.
7. Calcul de la paie.
8. Approbation finale de la paie.
9. Préparation de l’état de virement.
61
10. Envoi à la banque.
11. Enregistrement au journal de paie et centralisation.
12. Rapprochement banque/paie.
Deuxième étape: Identifier et évaluer les risques liés à chaque tâche élémentaire.
1. Si la mise à jour des dossiers est mal faite :
- Risques :
- personnel qui ne devrait plus être payé alors qu’il va l’être (I) ;
- personnel qui devrait être payé alors qu’il ne va pas l’être (I) ;
- erreur sur le montant du salaire (I) ;
- erreur sur la personne concerné (I).
2. Si les niveaux de rémunération sont mal établis :
- distorsions salariales non conformes à l’échelle des rémunérations (M) ;
- infraction aux conventions collectives (I) ;
- mécontentement et manque de motivation du personnel (I).
3. Si les autorisations d’augmentation ne sont pas données par les personnes habilitées :
- favoritisme (I) ;
- risques de malversations (I) ; 62

- désordres catégoriels (M) ;

- etc.
Troisième étape: Identifier les dispositifs.

1. Mise à jour des dossiers non faite :

- Risque: Personnel non payé :

Dispositifs: Rapprochement bulletins/effectifs ; Sondages bulletins/mouvements de
personnel ; Etat des écarts mois M -1 ; Analyse de cet état.

2. Niveaux de rémunération mal établis :

- Risque 1 : Distorsions salariales :
Dispositif 1: Etat de regroupement des salaires bruts par catégories professionnelles ;
Vérification de l’état.
- Risque2: Infraction aux conventions collectives :
Dispositifs 2: Formation au contenu des conventions pour les décideurs ;
Vérifications périodiques par le service des Relations du Travail. 63
- Risque 3: Mécontentement du personnel :
Dispositifs 3: Traitement des réclamations ;
Enquête de satisfaction annuelle.
3. Autorisations d’augmentation ne sont pas données par les personnes habilitées:
- Risque : Désordres catégoriels :
Dispositifs: Définition des pouvoirs et latitudes pour les autorisations d’augmentation ;
Procédure d’autorisation ;

64
Quatrième étape: Qualifier les dispositifs.
1. Mise à jour des dossiers non faite :
- Risque: Personnel non payé :
Dispositifs: Rapprochement bulletins/effectifs ; (Procédure) Sondages bulletins/mouvements de
personnel ; (Procédure) Etat des écarts mois M -1 ; (Moyens + Objectifs) Analyse de
cet état. (Procédure)

2. Niveaux de rémunération ma établis :

- Risque 1 : Distorsions salariales :
Dispositif 1: Etat de regroupement des salaires bruts par catégories professionnelles ; (Moyen)
Vérification de l’état. (Procédure)
- Risque2: Infraction aux conventions collectives :
Dispositifs 2: Formation au contenu des conventions pour les décideurs ; (Moyen)
Vérifications périodiques par le service des Relations du Travail. (Procédure)

65
- Risque 3: Mécontentement du personnel :
Dispositifs 3: Traitement des réclamations ; (Objectifs + Procédure)
Enquête de satisfaction annuelle. (Moyen)

3. Autorisations d’augmentation ne sont pas données par les personnes habilitées:

- Risque : Désordres catégoriels :
Dispositifs: Définition des pouvoirs et latitudes pour les autorisations d’augmentation ;
(Organisation) Procédure d’autorisation ; (Procédure)

66
Au terme de ces quatre étapes on doit obtenir le tableau suivant:

67
 RÉALISER UNE
MISSION D’AUDIT
INTERNE ETAPE PAR
ÉTAPE
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE

▪ 3 grandes phases composent une mission d’audit interne (selon les normes):
• Phase 1: Planification (ou dit autrement d’étude), normes + MPAs 2200
• Phase 2: accomplissement (ou dit autrement vérifications), normes + MPAs
2300
• Phase 3: Communication (ou dit autrement conclusion), normes + MPAs 2400

▪ Ces 3 grandes phases peuvent se décomposer en six processus définissant le

déroulement d’une mission d’audit interne:
• 1- L’initialisation de la mission: le droit d’accès ou l’ordre demission
• 2- La préparation de la mission: l’examen del’activité
• 3- Le lancement de la mission sur le terrain: de la réunion d’ouvertureau
programme de vérification
• 4- La conduite des vérifications: papiers de travail, feuilles de couverture,
Feuille d’Audit et de Recommandations(FAR)
• 5- La rédaction des conclusions: de l’ossature du rapport d’audit à savalidation
• 6- Le suivi de la mission: le suivi des recommandations et les actions de progrès

- page 69
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
▪ Diagramme global d’une mission d’audit interne (1/4)

- page 70
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
▪ Diagramme global d’une mission d’audit interne (2/4)

4- Conduite des vérifications – Normes 2320 – 2330 - 2340

- page 71
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
▪ Diagramme global d’une mission d’audit interne (3/4)
5- Rédaction des conclusions et validation– Normes2400

- page 72
 DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
▪ Diagramme global d’une mission d’audit interne (4/4)

6- Suivi de la mission– Normes 2500 surveillance des actions deprogrès

- page 73
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
▪ Zoom sur la phase terrain: vision synthétique de la mission

- page 74
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE
DÉROULEMENT D’UNE MISSION D’AUDIT INTERNE