CHAPITRE 1 : INTRODUCTION AU PROCESSUS D'AUDIT

La singularité d’une mission d’audit est qu’elle se découpe en périodes précises et identifiables,
et qui sont toujours les mêmes. Au préalable, précisons ce qu’il faut entendre par « mission
d’audit interne ». Les auditeurs internes mènent deux types de missions : l'assurance et le
conseil. Ces deux types d'activités sont définis dans le glossaire des Normes internationales
pour la pratique professionnelle de l'audit interne (les Normes), au sein du Cadre de référence
international des pratiques professionnelles de l'audit interne (CRIPP), de la manière suivante.
Activités d'assurance : il s'agit d’un examen objectif d'éléments probants, effectué en vue de
fournir à l'organisation une évaluation indépendante des processus de gouvernement
d'entreprise, de management des risques et de contrôle. Par exemple, des audits financiers, de
performance, de conformité et de sécurité des systèmes.
• Activités de conseil : il s'agit des conseils et services y afférents rendus au client donneur
d'ordre, dont la nature et le champ sont convenus au préalable avec lui. Ces activités ont pour
objectifs de créer de la valeur ajoutée et d'améliorer les processus de gouvernement d'entreprise,
de management des risques et de contrôle d'une organisation sans que l'auditeur interne
n'assume aucune responsabilité de management.
La méthodologie, appliquée dans ses moindres détails ou plus ou moins condensée, est
néanmoins toujours respectée dans ses principes et en particulier dans trois phases
fondamentales, à savoir : la phase de préparation, la phase de réalisation et la phase de
conclusion.

I- la phase de préparation ou de planification des missions d'assurance

La réussite de tout projet passe par une planification efficace. Une méthode de planification
structurée et rigoureuse contribuera à l'exécution efficace et efficiente de la mission. D’une
manière globale, la phase de préparation ouvre la mission d’audit, exige des auditeurs une
capacité importante de lecture, d’attention et d’apprentissage. En dehors de toute routine, elle
sollicite l’aptitude à apprendre et à comprendre, elle exige également une bonne connaissance
de l’entreprise car il faut savoir où trouver la bonne information et à qui la demander. C’est au
cours de cette phase que l’auditeur doit faire preuve de qualités de synthèse et d’imagination.
Elle peut se définir comme la période au cours de laquelle vont être réalisés tous les travaux
Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 1
préparatoires avant de passer à l’action. C’est tout à la fois le défrichage, les labours et les
semailles de la mission d’audit. Cette phase est constituée se plusieurs étapes, que nous
présentons de la manière suivante.

A- Déterminer les objectifs et le périmètre de la mission

Une première étape importante consiste à déterminer les objectifs de la mission (ce que celle-
ci vise) et son périmètre (ce sur quoi elle portera et ne portera pas). À ce titre, il convient de
déterminer les centres d'intérêt de l'audit interne au regard des différentes catégories d'objectifs
(liés à la stratégie, aux opérations, au reporting et/ou à la conformité). La mission se
concentrera-t-elle, par exemple, sur l'efficacité et l'efficience des opérations de l'audité, sur le
reporting financier de l'audité, ou sur ces deux éléments ? Un autre aspect fondamental réside
dans les prestations requises de la part de l'équipe d'audit interne. Ainsi, on peut attendre de
l'équipe qu'elle réserve au niveau de management approprié la communication des différentes
observations sur les contrôles effectués au cours de la mission, ou qu'elle exprime une opinion
globale sur les contrôles portant sur le domaine ou sur le processus analysé. Le troisième aspect
clé concerne les «limites» de la mission.
B- Connaître l'audité, notamment ses objectifs et ses assertions
Il est quasiment impossible d'auditer avec efficacité un domaine que l'on ne comprend pas. La
réussite de toute mission dépend, dans une large mesure, de la connaissance de l'audité par
l'équipe d'audit. Les auditeurs internes doivent en premier lieu cerner les objectifs et les
assertions de l'audité. Les objectifs de l'audité décrivent ce que ce dernier cherche à réaliser.
Les assertions sont des déclarations a posteriori sur ce qui a été réalisé. Les objectifs et les
assertions de l'audité devraient être exprimés de manière explicite, même s'ils sont souvent
implicites.
C- Identifier et évaluer les risques
L'équipe d'audit interne doit identifier et évaluer les risques opérationnels qui menacent la
réalisation des objectifs de l'audité et, in fine, de l'organisation. À ce stade de la mission, elle
concentre son attention sur le risque inhérent, c'est-à-dire sur le risque encouru par l'audité en
l'absence de toute mesure que le management pourrait prendre pour réduire ou gérer les risques
identifiés. L'évaluation des risques consiste à estimer leur impact (si ces risques devaient se
matérialiser) et leur probabilité d'occurrence. Le fait de considérer les risques en termes de
causes et d'effets permet à l'auditeur interne d'évaluer l'ampleur du problème potentiel et sa
probabilité de survenue. Supposons par exemple le risque suivant : le traitement inefficace des

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 2

factures fournisseurs à régler (la cause) peut empêcher de bénéficier de ristournes, entraîner des
retards de paiement et mécontenter les fournisseurs concernés (les effets).

D- Identifier les contrôles clés

À ce stade de la planification de la mission, l'auditeur interne doit identifier les contrôles qui
sont les plus cruciaux pour ramener les risques opérationnels à un niveau acceptable et, ainsi,
donner l'assurance que les objectifs fixés sont atteints.
E- Évaluer l'adéquation de la conception des contrôles
L'équipe d'audit interne doit ensuite se prononcer sur la capacité des contrôles clés identifiés à
ramener les risques, individuellement et collectivement, à un niveau acceptable, dans
l'hypothèse où ces contrôles ont été appliqués et se déroulent comme prévu. À ce stade, les
auditeurs internes doivent admettre que la relation entre risques et contrôles n'est pas
biunivoque: tel contrôle peut contribuer à maîtriser plusieurs risques, et plusieurs contrôles sont
parfois nécessaires pour maîtriser efficacement un risque.
F- Établir un plan de test
L'équipe d'audit interne doit concevoir la mission de façon à rassembler des preuves suffisantes
et adéquates pour atteindre les objectifs de la mission. Pour établir un plan de test, il faut
déterminer la nature, le calendrier d'application et l'étendue des procédures d'audit nécessaires
à la collecte des preuves d'audit requises. Les plans d e t est peuvent comporter des tests directs
des contrôles, des tests des performances, qui apportent des preuves indirectes sur le
fonctionnement effectif des contrôles, ou les deux. Un plan destiné à t est er des contrôles déjà
appliqués doit permettre la collecte et l'évaluation de preuves suffisantes et adéquates, de façon
à déterminer si les contrôles qui sont conçus de manière adéquate fonctionnent de manière
effective.
G- Élaborer un programme de travail
Le programme de travail est un outil de planification extrêmement important. Il énumère les
procédures d'audit nécessaires à la réalisation des objectifs de la mission. Au cours de la
mission, les auditeurs internes cochent les procédures afin d'indiquer que le travail a été
effectué, ce qui permet à leurs superviseurs d'examiner celui-ci et de piloter le travail qui reste
à faire. À la fin de la mission, le programme achevé sert à documenter le travail effectué et
montre quels ont été les intervenants et quand le travail a été effectué.

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 3

E- Allouer des ressources à la mission
La dernière étape de la planification consiste à allouer les ressources nécessaires pour mener
à bien la mission (c'est-à-dire avec efficacité et efficience). Il faut pour cela déterminer les
compétences d’audit requises, estime r Le délai de réalisation de la mission, assigner celle-
ci aux auditeurs internes appropriés et programmer le travail de manière à ce qu'il soit
effectué rapidement.
II- La phase de réalisation ou de l’exécution des missions d'assurance
La phase de réalisation fait beaucoup plus appel aux capacités d’observation, de dialogue et de
communication. Se faire accepter est le premier impératif de l’auditeur, se faire désirer est le
critère d’une intégration réussie. C’est à ce stade que l’on fait le plus appel aux capacités
d’analyse et au sens de la déduction. C’est, en effet, à ce moment que l’auditeur va procéder
aux observations et constats qui vont lui permettre d’élaborer la thérapeutique. Poursuivant
notre image bucolique, nous pouvons dire que se réalise alors la moisson de la mission d’audit.
A- Réaliser des tests pour collecter des preuves
L'exécution de la mission consiste à appliquer des procédures d'audit spécifiques, destinées à
recueillir des preuves : demande de renseignements, observation d'opérations, examen de
documents, analyse de la vraisemblance des informations, par exemple. Pour rassembler des
preuves, il importe également de formaliser les travaux réalisés et leurs résultats obtenus.

B- Évaluer les preuves d'audit rassemblées et en tirer des conclusions

Il faut une certaine capacité de jugement professionnel pour évaluer les preuves d'audit
collectées, afin de se prononcer, par exemple, sur l'adéquation de la conception et le
fonctionnement effectif des contrôles. L'équipe d'audit interne doit in fine tirer des conclusions
logiques (c'est-à-dire rendre un avis en connaissance de cause) en se fondant sur les preuves qui
ont été réunies.
C- Faire des observations et formuler des recommandations.
Les observations (ou constats, ou constatations) sont définies dans la MPA 2410-1, Contenu
de la communication, comme« des exposés pertinents des faits » qui « sont le résultat d'un
processus de comparaison d'un référentiel (la situation normale) et d'un fait (la situation
actuelle)». Les observations bien rédigées rapportent les éléments suivants :
• les référentiels, qui sont les normes, mesures ou exigences requises, utilisées pour évaluer et
vérifier « ce qui devrait être » (la situation normale) ;
• les faits, qui sont les preuves factuelles identifiées par l'auditeur interne au cours de son
examen, c'est-à-dire « ce qui est» (la situation actuelle) ;

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 4

• les conséquences, qui sont les effets négatifs, réels ou potentiels, qui résultent du fait que les
situations diffèrent du référentiel. La MPA 2410-1 appelle aussi cet élément l'« impact » ;
• les causes sont les raisons de la différence entre les situations attendues et existantes,
différence qui a des conséquences négatives.

III- La phase de conclusion ou de communication des résultats des missions

d'assurance
La phase de conclusion exige également et avant tout une grande faculté de synthèse et une
aptitude certaine à la rédaction, encore que le dialogue ne soit pas absent de cette dernière
période. L’auditeur va cette fois élaborer et présenter son produit après avoir rassemblé les
éléments de sa récolte : c’est le temps des engrangements et de la panification.
A- Évaluer les observations et faire remonter l'information.
Lorsque l'équipe d'audit interne a fait plusieurs observations, elle doit évaluer chacune d'entre
elles en suivant un processus d'évaluation et de remontée de l'information, et en déterminer les
répercussions sur les résultats qui seront communiqués concernant le domaine (le processus)
examiné.
B- Procéder à des communications intermédiaires et préliminaires.
Comme indiqué plus haut, la communication dans le cadre d'un audit interne intervient tout au
long de la mission, et non pas seulement à la fin. Des problèmes se posent souvent en cours de
mission, requérant l'attention immédiate ou à court terme du management. S'ils sont notifiés en
temps opportun, le management peut les traiter et les régler plus tôt, parfois avant que la mission
ne soit terminée. D'autres informations provisoires peuvent également être communiquées à
l'audité durant la mission, par exemple des changements apportés au périmètre de l'audit et les
avancées de la mission.
C- Rédiger le rapport définitif de la mission.
À ce stade, l'équipe d'audit interne est prête à agréger et à synthétiser toutes les preuves
rassemblées au cours de la mission. Il n'y a pas de méthode unique imposée pour faire part des
résultats globaux de la mission. Cette communication peut, par exemple, consister à :
• recenser et à hiérarchiser les observations relatives aux contrôles, mais sans aller jusqu'à
rendre une conclusion globale ou à donner une assurance, à quelque niveau que ce soit, quant à
l'efficacité des contrôles de l'audité ;
• rendre une conclusion appelée « assurance de forme négative » (ou «assurance modérée»). Les
auditeurs internes expriment une assurance de forme négative lorsqu'ils concluent que rien de

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 5

ce qu'ils ont pu observer ne laisse à penser que les contrôles de l'audité sont conçus de manière
inadéquate ou ne fonctionnent pas de manière effective ;
Rendre une conclusion appelée « assurance de forme affirmative » (ou « assurance
raisonnable»). Les auditeurs internes expriment une assurance de forme affirmative lorsqu'ils
concluent que, selon eux, les con trôles de l'audité sont conçus de manière adéquate et
fonctionnent de manière effective.
D - Procéder à la communication formelle et informelle des résultats définitifs.

Plusieurs Normes de l'IIA ont directement trait à l'élaboration et à l'émission du rapport d'audit
final, notamment :
- Norme 2410- Contenu de la communication : La communication doit inclure les
objectifs et le périmètre de la mission, ainsi que les conclusions, recommandations et
plans d'actions.
- Norme 2440 -Diffusion des résultats : Le responsable de l'audit interne doit diffuser
les résultats aux destinataires appropriés.

IV- Le déroulement de la mission de conseil

Les missions de conseil conduites par l'audit interne diffèrent des missions d'assurance à plus
d'un titre:
• si la nature et le périmètre d'une mission d'assurance sont déterminés par la fonction d'audit
interne, lors d'une mission de conseil, la nature et le périmètre doivent être définis d'un commun
accord avec le client de la mission ;
• par conséquent, les missions de conseil sont d'une nature beaucoup plus discrétionnaire que
les missions d'assurance. Comme le précise le glossaire des Normes, les activités de conseil
englobent« avis, conseil, assistance et formation». Le déroulement de la mission de conseil
comporte les mêmes étapes que celui de la mission d'assurance décrit à l'encadré 12-3.
Cependant, chaque étape n'est pas forcément nécessaire pour toutes les missions de conseil, et
beaucoup d'entre elles peuvent être menées différemment. Comme l'indiquent les normes citées
plus haut, les trois grandes phases de la mission - planification, accomplissement et
communication des résultats - restent les mêmes.
A- Planification de la mission
« Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées» (Norme 2200, Planification de la mission). « Les auditeurs internes
doivent établir avec le client donneur d'ordre un accord sur les objectifs et le champ de la

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 6

mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client
donneur d'ordre» (Norme 2201.Cl). «Les auditeurs internes doivent s'assurer que le champ
d'intervention permet de répondre aux objectifs convenus » (Norme 2220.Cl). «Le programme
de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de
la mission » (Norme 2240.Cl).
B- Accomplissement de la mission
« Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations
nécessaires pour atteindre les objectifs de la mission » (Norme 2300, Accomplissement de la
mission). Le type d'informations identifiées, analysées, évaluées et documentées varie en
fonction de la nature de la mission, tout comme la nature, le calendrier d'application et l'étendue
des procédures d'audit interne exécutées.
C- Communication des résultats
« Les auditeurs internes doivent communiquer les résultats de la mission [de conseil] » (Norme

2400, Communication des résultats). « La communication doit inclure les objectifs et le champ
de la mission, ainsi que les conclusions, recommandations et plans d'actions. » (Norme 2410,
Contenu de la communication). Cependant, « la communication sur l'avancement et les résultats
d'une mission de conseil variera dans sa forme et son contenu en fonction de la nature de la
mission et des besoins du client donneur d'ordre» (Norme 2410.Cl). Par exemple, les prestations
pour une mission de conseil dans laquelle le client a demandé à la fonction d'audit interne de
formuler des conseils sur certains aspects différeront des prestations livrées lors des missions
d'assistance et de formation.

En somme, Les auditeurs internes exécutent deux catégories d'activités: les activités
d'assurance et les activités de conseil, qui peuvent être centrées sur les contrôles et/ou sur les
performances. Pour ces deux catégories d'activités, le déroulement de la mission comprend trois
grandes phases (planification, accomplissement et communication des résultats). La nature et
le périmètre des missions d'assurance sont déterminés de manière unilatérale par la fonction
d'audit interne, et le processus a tendance à être relativement uniforme d'une mission à l'autre.
En revanche, pour chaque mission de conseil, la nature et le périmètre sont déterminés
conjointement par l'audit interne et le client, et les étapes du processus varient d'une mission à
l'autre.

Cours dispensé par M. Simon GWETH, Docteur en comptabilité-finance 7