Audit

Thèse professionnelle
Madeline CIDRE
AUDIT INTERNE :
Quelle valeur ajoutée pour
l’entreprise ?
Année scolaire : 2011/2012

Formation : MBA Audit et Management des
Risques et des Assurances de l’Entreprise
Editeur de solutions de
1 gestion
Tutrice : Mme JEAN AUGUSTIN fonction publique depuis 1997
Audit Interne : Quelle valeur ajoutée pour l’entreprise ? – Madeline CIDRE - 2012
REMERCIEMENTS
Je tiens à remercier l’ensemble des professeurs de la formation MBA Audit et Management

des Risques et des Assurances de l’Entreprise, intervenant à l’ESA, qui m’ont permis cette année
d’acquérir de nouvelles connaissances et de découvrir de nouveaux métiers liés à l’assurance.
Je remercie ma tutrice et professeur, Mme Nathalie JEAN AUGUSTIN, responsable du

contrôle interne et de l’audit au sein de la MNRA (Mutuelle des Artisans) qui m’a apporté son savoir
et qui a su m’accompagner dans ma démarche.
Un grand merci à mes collègues de travail, et plus particulièrement à Mme Francine MASSÉ,
pour son aide précieuse dans la rédaction de ce mémoire.
Je tiens à remercier mes camarades de classe, Coralie, Aurélien, Alexandre, Cédric et plus
particulièrement Caroline, qui a su m’épauler et qui a grandement participé à la réalisation finale de
ce mémoire.
Enfin, j'adresse mes remerciements à ma mère, à Estelle et à Kevin, qui m'ont toujours
soutenu dans la poursuite de mes études et m’ont apporté toute leur aide dans la réalisation
complète de ce mémoire.
Madeline CIDRE
2
Sommaire
Introduction ...............................................................................................................................P 6
I) Audit interne : un contexte, une profession encadrée, une recherche d’efficacité .................P 8
A) Deux fonctions et un processus........................................................................................P 9
1. La fonction d’audit externe ..........................................................................................P 9
2. La fonction d’audit interne ......................................................................................... P 12
3. Le processus de contrôle interne ................................................................................ P 15
B) L’audit interne : une profession encadrée ...................................................................... P 17
1. Les normes de qualification ....................................................................................... P 18
2. Les normes de fonctionnement .................................................................................. P 20
3. Le code de déontologie .............................................................................................. P 23
C) L’audit, quelle efficacité ? .............................................................................................. P 25
1. Les ressources humaines............................................................................................ P 25
2. Les ressources financières .......................................................................................... P 28
3. Les contraintes règlementaires .................................................................................. P 29
3
II) Mission d’audit interne : les 3 phases ................................................................................ P 31
A) La phase de préparation ................................................................................................ P 32
1. L’ordre de mission ..................................................................................................... P 32
2. La prise de connaissance / familiarisation................................................................... P 34
3. L’identification des risques ........................................................................................ P 36
4. La définition des objectifs .......................................................................................... P 37
B) La phase de réalisation .................................................................................................. P 38
1. La réunion d’ouverture .............................................................................................. P 38
2. Le programme d’audit ............................................................................................... P 40
3. Le travail de terrain ................................................................................................... P 41
4. La validation des recommandations ........................................................................... P 44
C) La phase de conclusion .................................................................................................. P 44
1. Le projet de rapport d’audit ....................................................................................... P 44
2. La réunion de clôture ................................................................................................. P 45
3. Le rapport d’audit interne .......................................................................................... P 47
4. Le suivi du rapport ..................................................................................................... P 50
4
III) Application pratique d’une mission d’audit interne dans une PME.................................. P 52
A) Etape 1 : la phase de préparation ................................................................................... P 53
1. L’ordre de mission d’Info Décision .............................................................................. P 54
2. La prise de connaissance du secteur entreprise .......................................................... P 55
3. L’identification des risques et la définition des objectifs ............................................. P 60
B) Etape 2 : la phase de réalisation ..................................................................................... P 61
1. La réunion d’ouverture .............................................................................................. P 61
2. La concrétisation de mon action................................................................................. P 63
3. La pré finalisation ...................................................................................................... P 65
C) Etape 3 : la phase de conclusion..................................................................................... P 66
1. La préparation et le déroulement de la réunion de clôture ......................................... P 67
2. Le rapport d’audit interne .......................................................................................... P 67
3. Le suivi des recommandations ................................................................................... P 89
Conclusion ............................................................................................................................... P 91
Bibliographie ............................................................................................................................ P 93
5
Introduction
« Effectuer les mesures nécessaires pour vérifier la couverture effective des réseaux de l’opérateur
Free Mobile »1
Eric BESSON, ancien ministre de l’industrie.
Cette phrase illustre la présence de la fonction d’audit dans la vie quotidienne des entreprises, mais
aussi des particuliers. Les contraintes extérieures peuvent parfois obliger les entreprises ou
institutions à mener un audit. Janvier 2012, Free se lance sur le marché porteur de la téléphonie
mobile. Une des conditions à respecter est la couverture réseau, dite propre. L’ancien ministre a
mobilisé l’ARCEP2 et l’ANFR3 pour vérifier la conformité de cette partie technique et pour s’assurer
du respect de la couverture minimale par le nouvel entrant.
Aujourd’hui, l’audit ne se limite plus au secteur de l’entreprise. Pour la vente et l’acquisition

de biens immobiliers, par exemple, il est obligatoire depuis quelques années, de procéder à une
multitude de contrôles énergétiques et environnementaux. Régulièrement, la liste s’allonge,
obligeant les particuliers à procéder à ces contrôles en choisissant un prestataire homologué et
qualifié.
Dans une société où la performance, l’efficacité et la sincérité sont devenues des critères
nécessaires à la pérennité d’une entreprise, l’audit est devenu l’outil indispensable.
Mais comment se déroule un audit en fonction de la structure de l’entreprise ? Quelles solutions
l’audit apporte-t-il ? Ces solutions sont-elles réellement appliquées ? Toutes ces interrogations
trouveront leurs réponses dans la suite de ce mémoire.
Audit Interne : quelle valeur ajoutée pour l’entreprise ?
Nous allons comprendre comment s’articule la fonction d’audit interne dans les entreprises,
découvrir quels sont les acteurs sollicités dans ces missions et mettre en valeur les actions
correctives préconisées. Pour animer l’intérêt de ce sujet, la réalisation d’un cas réel permettra
d’illustrer les tenants et les aboutissants de l’audit interne.
1
http://lci.tf1.fr - Free: Besson demande une aide technique à l'ANFR pour vérifier le réseau
2
ARCEP : Autorité de Régulation des Communications Electroniques et des Postes
3
ANFR : Agence Nationale des Fréquences
6
De manière générale, l’audit interne est amené à analyser une multitude de processus variés.
Toutefois, le cas pratique de ce mémoire sera axé sur un processus précis : l’assurance dommages
dans une PME.
De la première rencontre à la diffusion du rapport et de la mise en place des actions

correctives jusqu’au suivi de ces recommandations, je rentrerais dans la peau d’une auditrice interne.
7
I) Audit interne : un contexte, une profession encadrée, une recherche
d’efficacité
Le terme « audit » vient du latin « audire (audio, audium) » qui signifie « écouter » et dont les
dérivés français se rapprochent de mots comme « ouïe », « auditif », « auditeur », « audition »…. Du
côté de la langue anglaise, nous retrouvons le verbe « to audit » qui signifie « vérifier ». Enfin, le
terme audit, en français, désigne plus communément une analyse approfondie d’un service ou d’une
fonction de l’entreprise et l’auditeur est la personne chargée de réaliser cette analyse.
Depuis, le terme s’est répandu et généralisé, entrainant une perte de sa signification.
Aujourd’hui, il est courant d’employer le mot « audit » pour qualifier tout type d’action ayant la
fonction de contrôler et analyser. Devenu tendance, c’est désormais un mot qui valorise la personne
ou le nom s’y rapportant. Faire de l’audit, peu importe le sujet ou le thème, est à la mode.
Cependant, cette médiatisation n’a pas que des aspects positifs. Par exemple, parler d’audit du
climat social est un contre sens puisqu’il s’agit d’une enquête et non d’un audit en tant que tel, qui
consisterait à analyser la cohérence de la politique de gestion, d’organisation, de formation, de
rémunération…. Ces abus de langage peuvent rendre obsolète le cœur même du métier d’auditeur
alors que cette profession est encore, au 21ème siècle, en pleine expansion.
L’ISO 19011 est une des normes qualités concernant l’audit de tous les systèmes de
management (santé, sécurité, qualité, environnemental,…). Elle définit l’audit comme un processus
systématique, indépendant et documenté permettant de récupérer des informations, dans le but de
réaliser une évaluation objective et de vérifier l’atteinte des objectifs. En fonction de ces objectifs et
de leur périmètre, il existe 3 types d’audit :
- audit produit : Analyse de certaines caractéristiques d’un service ou d’une fonction, par
rapport à un référentiel ou à un cahier des charges.
- audit processus : Audit de l’ensemble des processus du service ou de la fonction ainsi que
des processus externes qui interviennent en amont et en aval (fournisseur, client).
- audit système : Analyse complète du système global de tous ces processus.
Cette norme ISO est applicable à tous types d’entreprises, dès lors qu’un audit interne ou externe est
réalisé sur les systèmes de management.
8
Dans cette partie, nous allons nous pencher sur les termes d’audit interne, d’audit externe et
de contrôle interne. Aujourd’hui, connus et reconnus, ces termes font références à des fonctions
précises et définies. C’est pourquoi, nous allons aborder les caractéristiques propres de chacune de
ces fonctions ou processus. Puis, nous nous focaliserons sur l’audit interne pour la suite de cet
exposé et nous observerons que cette fonction est encadrée règlementairement par le biais de
normes professionnelles et par le respect d’un code de déontologie, auquel les auditeurs internes
doivent adhérer. Enfin, nous analyserons dans quelles mesures la réalisation d’un audit est synonyme
d’efficacité.
A) Deux fonctions et un processus

Il n’est pas rare aujourd’hui d’entendre des erreurs d’association de thème entre l’audit
interne, l’audit externe et le contrôle interne. Et finalement, quelles sont les différences et les
similitudes ? Comment reconnaitre chacun de ces processus ou de ces fonctions ? Les trois termes ne
sont-ils pas complémentaires ? Beaucoup de questions auxquelles nous apporterons des réponses
par la suite. L’analyse particulière de chaque fonction va être présentée. Et nous verrons qu’elles ne
sont peut-être pas si opposées, le contrôle interne étant un processus découlant de la fonction
d’audit interne et l’audit externe permettant, dans certains cas, de révéler des points faibles
apparaissant au niveau du contrôle interne.
1. La fonction d’audit externe

Commençons par la définition de l’audit externe:
« Fonction indépendante de l’entreprise dont la mission est de certifier l’exactitude des comptes, des
résultats et des états financiers, et plus précisément, si on retient la définition des commissaires aux
comptes : certifier la régularité, la sincérité et l’image fidèle des comptes et états financiers.»4
Cette définition met en avant le coté comptable et financier lié à cette activité. Chaque
entreprise doit tenir à jour et publier ses ressources et dépenses sur une période donnée, sous la
forme d’un document comptable, permettant de définir le résultat, positif ou négatif, de ses
activités. L’audit externe consiste à analyser les états financiers de ces entreprises afin d’apporter
aux parties prenantes qui le demandent, une confirmation quant à la sincérité des comptes et à la
bonne image financière de l’entreprise.
4 ème
« Théorie et Pratique de l’Audit Interne », Jacques Renard, Editions d’Organisation, 6 édition, page 57
9
La particularité de l’audit externe est d’être exécuté par des d’intervenants externes à
l’organisation. Ce sont des cabinets indépendants, dont l’objet principal de travail est lié à la
certification des états financiers pour des clients souvent externes à l’entreprise (clients,
fournisseurs, banquiers, actionnaires,…).
Ces missions d’audit peuvent être commanditées par différentes personnes. Le conseil
d’administration peut avoir besoin d’une confirmation sur les résultats. Les investisseurs extérieurs
peuvent vouloir se renseigner sur la bonne santé financière de l’entreprise dans laquelle ils
souhaitent prochainement investir. Des bailleurs de fonds peuvent vouloir être sûr de la validité des
informations fournies… Certains audits peuvent même être rendu obligatoires par la loi, comme c’est
le cas pour les ONG (Organisations Non Gouvernementales) dans certains pays, comme le
Luxembourg.
Différents types d’audits externes existent : audits des états financiers, audits spéciaux,
audits sur la base de procédures convenues et audits limités.
- L’audit des états financiers est le plus courant des audits réalisés. L’auditeur externe a pour
but d’analyser le bilan, le compte de résultat, les flux de trésorerie…. Lors de cette analyse,
l’auditeur va exprimer son opinion, en se basant sur des principes comptables établis,
regroupés dans un document que l’on appelle « normes comptables5 » mais également sur
des « normes d’audit » (Normes Internationales d’Audit de l’IIA6 ou normes d’audit
reconnues par la profession d’expert-comptable du pays). Toutefois, ce type d’audit connait
certaines limites et ne peut pas mettre à jour tous les problèmes existants.
- Les audits spéciaux vont intervenir lorsque : les normes comptables, auxquelles se réfère
l’entreprise, sont différentes des normes comptables internationales ; ou bien lorsque l’audit
que l’on souhaite entreprendre ne concerne qu’une partie spécifique des états financiers ; ou
si derrière cet audit, on cherche à analyser des clauses contractuelles ; ou enfin lorsque
l’audit porte sur des comptes simplifiés.
- L’audit sur des procédures convenues est mis en place lorsque la personne, à l’initiative de
cet audit, souhaite que l’audit se base sur des tests (analyse de dossier par exemple) et des
procédures spécifiques, avec l’établissement d’un rapport sur les résultats obtenus. Lors de
cet audit, l’auditeur externe n’émet pas d’opinion et c’est à l’initiateur de l’audit de tirer ses
propres conclusions à partir du rapport établi par l’auditeur externe.
5
http://www.anc.gouv.fr
6
The Institute of Internal Auditors, fondé en 1941 aux Etats-Unis
10
- Un audit limité est un audit nécessitant moins de travail qu’un audit « normal ». Son but est
de mettre en place les procédures habituelles et d’avertir des problèmes mis à jour pouvant
se révéler négatifs pour la suite. A noter que l’apport de preuves et la certification de l’image
sincère des comptes n’est pas demandé.
La finalité de l’audit externe est l’émission d’un rapport. Celui-ci doit comporter certaines
données indispensables répertoriées dans la norme ISA 7007, telles que : un titre, un destinataire,
une introduction, un paragraphe définissant les responsabilités de la Direction et des auditeurs, un
paragraphe sur l’opinion des auditeurs, une signature, une date et l’adresse de l’auditeur. De tous
ces éléments, c’est le paragraphe d’opinion de l’auditeur qui est le plus intéressant. En effet, dans ce
paragraphe l’auditeur va émettre une opinion plus ou moins favorable. Plusieurs choix sont
possibles8 :
- Opinion sans réserve : les éléments sont conformes aux règlementations et les états
financiers reflètent correctement l’image de l’entreprise.
- Opinion sans réserve mais avec quelques observations : l’opinion est sans réserve mais
l’auditeur va informer, dans un paragraphe d’observation, des éléments pouvant affecter les
états financiers.
- Opinion avec réserve : l’auditeur rencontre des problèmes l’empêchant de pouvoir émettre
une opinion sans réserve (désaccord avec la Direction par exemple) ou ne lui permettant pas
de s’abstenir d’opinion ou de donner une opinion défavorable.
- Sans opinion : nécessaire lorsque l’auditeur n’a pas réussi à obtenir les preuves suffisantes
pour pouvoir apporter une opinion réelle.
- Opinion défavorable : les résultats apparaissent biaisés et non conformes.
Le rapport est accompagné d’une « note », informant la Direction des problèmes et erreurs
rencontrés et donnant certains axes d’amélioration pour l’avenir.
Aujourd’hui, l’audit externe est souvent opposé à l’audit interne du fait que leurs statuts et
leurs missions soient différentes. Toutefois, on s’aperçoit que certaines techniques de travail sont
similaires et qu’ils partagent les mêmes objectifs, notamment celui de s’assurer de la fiabilité du
contrôle interne de l’organisation.
7
Normes ISA 700, page 7 à 11 (annexe)
8
Audit Externe des institutions de Micro finance : guide pratique, volume 2
11
2. La fonction d’audit interne
L’IIA9 a établi une définition officielle de la fonction d’audit interne, repris sur le site de
l’IFACI10 :
« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer et
contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant
par une approche systématique et méthodique, ses processus de management des risques, de
contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer son
efficacité. »
Cette définition décrit l’audit interne comme une activité « indépendante et objective »
« d’assurance et de conseil ». Sa mission est d’apporter de la valeur ajoutée à l’entreprise en
améliorant son fonctionnement et en l’aidant dans l’atteinte de ses objectifs. Pour cela, l’audit
interne doit mettre en place une approche systématique et méthodique d’évaluation et
d’amélioration des procédés de gestion des risques, de contrôle et de gouvernement d’entreprise.
Le terme d’audit interne est apparu en 1929. Alors que la crise économique frappe les Etats-
Unis, toutes les entreprises cherchent à réduire au maximum leurs coûts. Toutes les économies sont
bonnes et tous les moyens sont bons pour réduire les dépenses. Les entreprises, à cette époque, font
appel aux cabinets d’audit externe pour examiner minutieusement les comptes et les résultats. Mais
les dirigeants se sont aperçus que recourir à ces cabinets externes avait un coût et qu’il était
intéressant de faire appel à des salariés de l’entreprise. Ayant une connaissance complète de
l’organisation, ils étaient une aide précieuse pour ces cabinets. D’un commun accord, ils décidèrent
que les auditeurs externes travailleraient en collaboration avec du personnel «interne ». Le terme
« audit interne » était né, mais la fonction restait à définir et à développer.
L’audit interne est apparu en France dans les années 60, très emprunt de ses origines comptables.
Puis à partir des années 80, la fonction s’est développée, ne se basant plus uniquement sur l’aspect
comptable mais touchant désormais à tous les services et à toutes les fonctions de l’organisation.
9
10
IFACI : Institut Français des Auditeurs et des Contrôleurs Internes
12
Les objectifs de la fonction d’audit interne se sont développés au fur et à mesure, en fonction
de l’avancée de chaque entreprise. Elles n’ont pas toutes évolué conjointement. Certaines ont déjà
un service d’audit ancré dans l’organisation, alors que d’autres cherchent encore comment intégrer
l’audit interne dans leur entreprise. C’est pourquoi, les objectifs d’audit s’établissent par étape. Il
existe 4 types d’audits :
- l’audit de conformité : l’auditeur vérifie la bonne application des règlementations et des
procédures par rapport à un référentiel. Il vérifie que la théorie est mise en pratique. En cas
d’anomalies, il informe les responsables des dysfonctionnements. Au préalable, il aura
analysé les causes et les conséquences, afin de pouvoir faire des recommandations aux
responsables concernés. Cet audit fait parti des « incontournables », les lois et règlements
devenant de plus en plus contraignants.
- l’audit d’efficacité : l’auditeur, maintenant qu’il a tout analysé, doit également s’intéresser à
la qualité de l’application des procédures. Il fait appel à ses connaissances, son savoir-faire,
son expérience et son ressenti afin de définir quelle est la meilleure solution pour
l’organisation. Ce type d’audit va permettre d’aider l’entreprise dans sa recherche
d’efficacité, dans l’atteinte des objectifs fixés et dans la façon de les atteindre le plus
efficacement possible.
- l’audit de management : l’auditeur va analyser les choix pris par la Direction Générale afin
de déterminer leurs conséquences pour l’entreprise et l’avertir sur les éventuels risques ou
dysfonctionnements. L’auditeur commence par demander aux responsables quelle vision ils
ont de leurs tâches respectives afin de voir si cette vision est en accord avec la stratégie
suivie par l’entreprise. Puis l’auditeur va analyser cette politique sur le terrain pour voir si elle
est comprise et appliquée.
- l’audit de stratégie : l’auditeur va chercher à analyser la cohérence globale des politiques et
stratégies misent en place, en les confrontant. Ce type d’audit requiert d’importantes
compétences puisque l’auditeur va devoir veiller à ce que les objectifs définis soient
performants, que les ressources mises en œuvre pour y parvenir soient suffisantes et que les
systèmes d’informations puissent les analyser.
De façon plus globale, l’audit interne est qualifié de fonction « hétérogène » puisqu’elle
s’intéresse à des activités et à des secteurs différents et que chaque entreprise à sa propre façon de
pratiquer l’audit interne. De plus, les outils utilisés lors des missions vont varier d’une entreprise à
l’autre, selon l’activité. Mais nous verrons, que la fonction d’audit interne est encadrée et
règlementée par des normes professionnelles et un code de déontologie, qui permettent de la
rendre plus unifiée.
13
Fonction universelle, l’audit interne se retrouve partout, que les entreprises soient de petite
taille ou que ce soit des multinationales, qu’elles fassent parties du secteur privé, public, marchand,
ou non marchand. L’audit interne s’intéresse à tous les sujets et à toutes les activités (commerciale,
financière, gestion, production,…) dans le but de les maitriser de manière optimale.
L’audit interne a une position clé dans l’entreprise. Rattaché à la Direction Générale, le
service d’audit interne travaille en étroite collaboration avec le comité d’audit en lui apportant une
vision nouvelle sur la gestion des risques et le contrôle interne.
Schéma des rôles et responsabilités des différents acteurs clé de l’organisation11 :
Ce schéma positionne le service en relation directe avec le comité d’audit ainsi que la Direction
Générale, le Management et les opérationnels. Cette position dans l’entreprise permet à l’équipe
d’audit interne de connaitre parfaitement l’organisation, sa culture, ses méthodes et son
fonctionnement.
Pour conclure, le but de l’audit interne est de collaborer avec les parties concernées pour
améliorer l’existant, mais pas d’enquêter pour punir les responsables.
11
AMRAE – IFA : Rôle de l’administrateur dans la maîtrise des risques, page 25
14
3. Le processus de contrôle interne
Le référentiel de contrôle interne COSO12, établit en 1992, donne une définition standard du
processus :
« Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, la Direction
Générale, la hiérarchie, le personnel d’une entreprise et destiné à fournir une assurance raisonnable
quant à la réalisation d’objectifs entrant dans les catégories suivantes :
- réalisation et optimisation des opérations ;
- fiabilité des informations financières ;
- conformité aux lois et règlementations en vigueur. »13
Cette définition pose quelques principes importants. Le contrôle interne est un processus,
contrairement à l’audit interne qui est une fonction. Il est le moyen d’atteindre les objectifs fixés en
fournissant une assurance raisonnable. Il est mis en pratique par des personnes, membres du
personnel, faisant partie intégrante de toute la hiérarchie de l’organisation.
Au cours de la dernière décennie, et suite aux différents scandales financiers et aux faillites,
les lois et règlementations se sont accentuées et renforcées. Sont nées de ces renforcements, la loi
Sarbanes Oxley Act (SOX en 07/2002) aux Etats-Unis et la loi de Sécurité Financière (LSF en 08/2003)
en France. Ces récentes lois imposent aux entreprises de renforcer leur gouvernement d’entreprise,
ainsi que leur communication en termes de gestion des risques, tout en s’assurant de la maitrise de
leurs risques. Elles doivent désormais « rendre des comptes » en facilitant l’accès aux informations
financières et en les diffusant dans un rapport. Dans le secteur de l’assurance par exemple, cela se
traduit par la directive Solvency II, obligeant les sociétés d’assurance et de réassurance à avoir un
certain niveau de fonds propres, définit en fonction de leur taille.
Le premier référentiel de contrôle interne, appelé COSO 1, a été rédigé aux Etats-Unis en
1992. D’autres pays ont ensuite publié leur propre référentiel de contrôle interne, comme par
exemple, le « Coco » au Canada ou le « KontraG » en Allemagne. En France, c’est l’AMF, Autorité des
Marchés Financiers14, qui a publié le « Cadre de Référence Français » en 2006. Toutefois, le COSO est
le plus utilisé des référentiels en entreprise. En France, plus de la moitié des entreprises l’utilisent,
malgré qu’elles ne soient pas soumises au champ d’application de la loi Sarbanes Oxley.
12
Commission à but non lucratif - Committee Of Sponsoring Organizations of the treadway commission
13
COSO REPORT (Committee of Sponsoring Organizations of the Treadway Commission)
14
Créée par la loi n° 2003-706 de sécurité financière du 1er août 2003 - http://www.amf-france.org
15
Selon le COSO, le contrôle interne est composé de 5 éléments interdépendants, devant être
intégrés au processus de gestion, afin de répondre aux objectifs (listés dans la définition précédente
du contrôle interne par le COSO). En voici une illustration sous forme de pyramide :
A la base de cette pyramide, se trouve « l’environnement de contrôle ». Il contient la culture de

contrôle de l’organisation ainsi que l’intégrité, l’éthique, l’autorité, la philosophie, le style de
management et la politique des responsabilités. Cet environnement doit être connu, structuré et
formalisé.
Puis vient « l’évaluation des risques ». Lors de cette phase, le but va être d’identifier, analyser et
évaluer les risques permettant ou empêchant l’atteinte des objectifs de l’organisation.
« Les activités de contrôle » regroupent toutes les activités, procédures, contrôles mis en œuvre pour
maitriser les risques. Ces éléments sont répertoriés et évalués afin d’en analyser la pertinence et
l’efficacité.
Au sommet de cette pyramide se trouve « le pilotage ». C’est la mise en place d’un processus, par
l’audit interne, permettant l’évaluation de la qualité du contrôle interne par le biais de la
cartographie des risques.
Reliant l’évaluation des risques et les activités de contrôle, « l’information et la communication »,
sont essentielles. Les informations doivent être identifiées, collectées et diffusées dans les délais
impartis, pour permettre de définir en temps voulu les responsabilités de contrôle interne.
L’établissement d’un rapport de contrôle interne est une obligation légale. En effet, la loi de
sécurité financière, impose que toutes les sociétés faisant appel à l’épargne, diffusent leurs résultats
dans ce rapport.
16
Le Contrôle Interne doit être vecteur de communication, il doit permettre aux entreprises de
maitriser leur trajectoire, de mesurer et d’anticiper les risques. Ce ne doit pas être un outil de
surveillance, empêchant les entreprises d’avancer. Par ailleurs, il est important que le contrôle
interne ne se limite pas à l’analyse des seuls procédures et processus comptables et financiers.
B) L’audit interne : une profession encadrée

Ces normes professionnelles ont été instaurées par l’IIA15. A l’origine, ces normes étaient
répertoriées sous la forme d’une liste de responsabilités incombant aux auditeurs. Puis, certaines
évolutions et améliorations ont été apportées, pour être finalement complètement restructurées et
finalisées le 1er janvier 2002. Aujourd’hui, ces nouvelles normes permettent de réaliser des contrôles
plus poussés et performants dans des domaines importants et de mettre en commun le savoir des
auditeurs, sous la forme de méthodologie, apportant une clarification de la fonction. Le but est
d’améliorer la visibilité de la profession en lui donnant un cadre de référence par le biais de principes
de bases et de critères d’appréciation. Ce cadre de référence devient un facteur d’amélioration et de
performance, et renforce le professionnalisme de la fonction d’audit interne.
Ce cadre de référence est transcrit sous la forme d’un document regroupant les éléments
suivants :
 L’explication des 3 différents types de normes :
- Les normes de qualification (1000) : regroupent les caractéristiques que doivent présenter
les services et les personnes réalisant l’audit.
- Les normes de fonctionnement (2000) : regroupent les activités de l’audit interne et ses
critères de qualité.
- Les normes de mise en œuvre (1000 et 2000) : regroupent les 2 types de normes
précédents. Elles sont utilisées pour des missions spécifiques et assorties d’une lettre
définissant si l’activité est liée à l’assurance (A) ou au conseil (C).
 le Code de déontologie regroupe les principes et les valeurs applicables à la

profession.
15
17
1. Les normes de qualification
Pour comprendre la portée de ces normes de qualification16, nous allons étudier certaines
d’entre elles en les commentant.
1000 – Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans
une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie
ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte
d’audit interne et la soumettre à l’approbation de la Direction Générale et du Conseil.
Cette norme, la première de la liste des normes de qualification, pose les bases concernant le
périmètre d’action des auditeurs internes. Elle rappelle qu’une charte d’audit interne doit être
établie afin de définir la mission, les pouvoirs et les responsabilités et que l’acceptation finale de
celle-ci dépendra des organes supérieurs de gouvernance.
Précédemment nous avons vu qu’une des caractéristiques de la fonction d’audit interne est d’être
indépendante et objective. Ce n’est pas anodin, puisqu’une norme y est consacrée.
1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec
objectivité.
Le caractère indépendant de la fonction va lui permettre d’avoir une plus grande flexibilité
dans ces choix et de pouvoir endosser le poids de ces responsabilités. Pour être le plus indépendant
possible, les auditeurs doivent avoir accès à tous les services, à toutes les personnes et à tous les
documents de l’entreprise et être en relation directe avec la Direction Générale et le Conseil
d’Administration.
L’objectivité des travaux de l’auditeur est une notion indispensable pour révéler la qualité de
l’audit fourni. Un auditeur qui ne serait pas objectif et qui émettrait un jugement personnel ne serait
pas en accord avec les compétences qui lui sont demandées.
16
Document d’introduction des Normes, IFACI, page 7
18
D’ailleurs, les compétences professionnelles sont, elles aussi, concernées par les normes.
1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir‐faire et les autres compétences
nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit
collectivement posséder ou acquérir les connaissances, le savoir‐faire et les autres compétences
nécessaires à l'exercice de ses responsabilités.
L’essence même de la fonction d’audit interne est de savoir analyser toute sorte de risques
dans des domaines d’activités variés ainsi que des services et des fonctions totalement différents. Le
niveau de compétences et de savoir-faire des auditeurs doit être riche et varié afin qu’ils puissent
exercer efficacement leur mission. Afin de maintenir ces connaissances à jour, il est conseillé aux
auditeurs de participer à tous types de réunions, colloques… et d’obtenir des certifications, diplômes
et qualifications professionnelles.
Afin d’améliorer en continu les efforts fourni par les auditeurs, des systèmes d’évaluation sont mis en
place.
1311 – Évaluations internes

Les évaluations internes doivent comporter :
- une surveillance continue de la performance de l'audit interne ;
- des revues périodiques, effectuées par auto‐évaluation ou par d'autres personnes de
l'organisation possédant une connaissance suffisante des pratiques d'audit interne.
Il est indispensable de surveiller et évaluer en continu l’activité de l’audit interne. C’est

d’ailleurs une pratique courante. Il s’agit d’évaluer le service et de voir si tout est conforme aux
normes professionnelles, au code de déontologie et à la définition de la fonction d’audit interne.
Quant aux revues périodiques, elles sont réalisées pour mettre par écrit l’évaluation faite lors de la
surveillance.
19
1312 – Évaluations externes
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une
équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit
s'entretenir avec le Conseil au sujet :
- du besoin d'augmenter la fréquence de ces évaluations externes ;
- des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
Pour qu’un « évaluateur » puisse porter un regard qualifié sur le travail du service d’audit
interne, il faut qu’il possède au moins deux compétences : la connaissance des pratiques
professionnelles mises en place dans la fonction d’audit interne et la connaissance des processus
d’évaluation externe. C’est le responsable d’audit interne qui jugera de la qualification de cette
équipe à pouvoir établir une évaluation constructive et neutre. En effet, il faut que cette équipe soit
externe et indépendante à l’organisation, afin que son jugement ne soit pas faussé par des intérêts
personnels qui entraineraient des conflits.
2. Les normes de fonctionnement

Tout comme les normes de qualification, nous allons dans cette partie aborder certaines
normes de fonctionnement17 en les commentant dans le but de mieux comprendre leur portée dans
la fonction d’Audit Interne.
2000 – Gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle
apporte une valeur ajoutée à l’organisation.
Objectif même de l’activité d’audit interne, l’apport de valeur ajoutée à l’entreprise est une
notion primordiale. C’est pourquoi le responsable d’audit doit veiller à ce que les missions réalisées,
le soient dans le respect des objectifs et responsabilités définies dans la charte d’audit interne. Cette
valeur ajoutée va se traduire par l’apport d’une « assurance objective » permettant d’établir
l’efficacité des processus de contrôle, de management et de gouvernement d’entreprise.
17
Document d’introduction des Normes, IFACI, page 14
20
Cette gestion va passer par plusieurs étapes et notamment celle de la planification.
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des
priorités cohérentes avec les objectifs de l'organisation.
La fonction d’audit interne est, par nature, claire et encadrée, les normes sont là pour le
prouver. Par conséquent, il serait impensable que les auditeurs ne fassent pas de même avec leurs
travaux. Pour cela, ils doivent mettre en place un « plan d’audit » basé sur les risques, permettant de
définir les priorités d’actions dans un planning regroupant les dates et les étapes clés.
2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son plan
d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible
d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de
toute limitation de ses ressources.
Cette norme rappelle la place occupée par l’audit interne dans l’organisation. La fonction est
en étroite collaboration avec la Direction Générale et le conseil d’administration, et rien n’est validé
sans l’accord préalable de cette hiérarchie.
La réalisation d’un audit va demander la mobilisation de certaines ressources du service d’audit

interne et c’est au responsable d’audit que va revenir la mission de veiller à ce que ces ressources
soient suffisantes, adaptées et utilisées de manière efficace.
2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient
adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé.
Ces ressources vont rassembler le savoir-faire, l’expérience et la compétence de l’équipe

d’audit. Utilisées à bon escient et en quantité suffisante, elles serviront à optimiser le plan d’audit.
21
Pour rejoindre la norme 2020, le service d’audit doit fournir des rapports périodiques à la Direction
Générale et au Conseil.
2060 – Rapports à la Direction Générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au
Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de
réalisation du plan d’audit. Il doit plus particulièrement rendre compte :
- de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles
correspondants ;
- des sujets relatifs au gouvernement d’entreprise et ;
- de tout autre problème répondant à un besoin ou à une demande de la Direction Générale
ou du Conseil.
Selon les entreprises, la fréquence et le contenu de ces rapports dépendra de la volonté de la

Direction Générale et du Conseil.
L’outil premier, gage d’un audit de qualité, est la communication. Elle est essentielle entre les
différents acteurs.
2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise en
temps utile.
La communication ne doit pas contenir d’erreurs ou être déformée, elle doit être juste, non
altérée par un jugement personnel. Elle est le fruit d’une évaluation juste, logique, significative et
pertinente des faits. Elle doit éviter tout superflu qui serait inutile et doit être constructive, étayée de
quelques commentaires et recommandations, permettant aux audités de prendre des décisions en
toute connaissance de cause.
Etape décisive dans la réalisation d’une mission, la diffusion des résultats.
22
2440 – Diffusion des résultats
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Le rapport définitif est vu, lu et approuvé par le responsable de l’audit interne, qui décide ou
non de sa diffusion et des personnes concernées par cette diffusion.
Ces différentes normes professionnelles traduisent les pratiques et les missions liées à la
fonction d’audit interne. Par conséquent, l’application de ces normes par le service d’audit interne
est synonyme de travail bien fait, dans le respect des règles. Nous allons maintenant aborder un
autre aspect de ce cadre de référence : le code de déontologie.
3. Le code de déontologie
Ce document, regroupant de manière synthétique les principes de l’audit interne, est placé
en tête de liste des normes. Ce code de déontologie permet de rappeler aux auditeurs, qui y ont
adhéré, l’importance des principes spécifiques et de la culture de l’éthique de la profession.
L’application de ce code permet aux audités d’avoir confiance dans l’équipe d’audit. Il va avoir pour
but de placer certaines frontières, de donner un cadre de référence à l’équipe d’audit et de montrer
aux audités que la profession d’audit interne est une profession cadrée par des normes et un code de
déontologie. Ce code s’applique aux entreprises ayant un service d’audit interne ainsi qu’aux
personnes fournissant ce même service. Toute personne ayant adhéré à ce code de déontologie, ne
peut le violer, sous peine d’une sanction disciplinaire.
Ce code énonce 4 principes18 :
1. Intégrité : L’intégrité de l’équipe d’audit est à la base de la confiance qui lui est accordée.
Ce principe est composé des règles de conduite suivantes :
- la mission doit être accomplie avec honnêteté, diligence et responsabilité ;
- les auditeurs doivent respecter la loi ;
- ils ne doivent pas prendre part de leur plein gré à des activités illégales ou à des actes
déshonorant la profession ;
- ils doivent respecter et contribuer aux objectifs éthiques de l’entreprise.
18
Normes professionnelles internationales, IFACI
23
2. Objectivité : Leur rôle est de collecter, évaluer et communiquer sur des informations liées à
l’entreprise ou à l’activité auditée. Cette évaluation doit se faire de manière équitable et
objective afin d’éviter tout jugement personnel générant de l’intérêt pour soi ou pour autrui.
- leur jugement est impartial, ils ne doivent pas prendre parti ;
- ils doivent refuser tout ce qui pourrait compromettre ou risquer de compromettre leur
jugement ;
- ils doivent révéler les faits significatifs dont ils ont connaissance, sous peine de fausser le
rapport final.
3. Confidentialité : Les auditeurs doivent respecter la valeur et la propriété des informations

qu’ils vont obtenir. Rien ne doit être divulgué sauf obligations légales ou professionnelles.
- les informations doivent être protégées et manipulées avec prudence ;
- les auditeurs ne doivent pas utiliser ces informations dans le but d’en tirer un bénéfice
personnel.
4. Compétence : Lors de leurs actions, les auditeurs appliquent leur savoir-faire et leur
compétence acquise durant les années. Mais cela sous-entend également une mise à jour
des connaissances pour être constamment informé des évolutions dans la profession et dans
les domaines audités (lois, règlements,…).
- ne s’engager que dans les travaux pour lesquels les auditeurs ont les connaissances
requises ;
- les travaux doivent être réalisés dans le respect des règles et des normes internationales de
la profession ;
- les auditeurs se doivent d’améliorer constamment leurs connaissances pour apporter à
leurs travaux toute l’efficacité et toute la qualité attendue.
L’appellation « code de déontologie » traduit son rôle de guide dans la profession en

définissant « des principes et non des règles »19.
19
Francis GUILBERT, Directeur de l’IAE de Lille
24
La création et la publication de ces normes professionnelles ont permis d’amorcer la forte
évolution de la fonction d’audit interne dans les entreprises. Cette concrétisation de la fonction
modifie les relations entre l’équipe d’audit, les responsables et les opérationnels. Désormais, l’audit
interne n’est plus perçu comme un service qui dérange mais plutôt comme une fonction permettant
d’apporter de la valeur ajoutée à l’organisation.
C) L’audit, quelle efficacité ?

De manière générale, l’audit est une activité d’évaluation, de contrôle et de conseil. Elle
consiste à examiner, sans jugement, une organisation, un service, des procédures ou toutes
opérations mises en place dans l’entreprise, par une personne ayant la qualité d’auditeur et les
compétences nécessaires. La réalisation d’un audit va surtout permettre à l’entreprise auditée
d’avoir un outil d’amélioration continue. En effet, son rôle est de faire le point sur les biens et
procédures existants, afin d’en définir les points forts et les points faibles et mettre en place des axes
d’amélioration, synonyme d’efficacité.
Aujourd’hui, notre étude se focalise particulièrement sur l’audit interne et sa méthodologie.
Après avoir expliqué de manière générale la fonction de l’audit interne et les normes qui lui sont
propres, il est important de mettre en avant les enjeux de cette fonction dans les entreprises.
En commanditant des missions d'audit, les responsables, la Direction Générale ou le conseil
d'administration, vont chercher à renforcer l'efficacité et la productivité de l’entreprise, tant au
niveau humain, financier que règlementaire. C’est ce que nous expliquerons dans cette partie.
1. Les ressources humaines

L’audit interne se réalise au cœur de l’entreprise. Un audit interne au niveau humain peut
avoir différentes conséquences sur l’organisation d’une entreprise. L’efficience d’une équipe dépend
de sa cohésion, de sa manière de fonctionner et du management mis en place.
Au niveau des ressources humaines, les entreprises sont obligées d’adapter leur stratégie aux
résultats économiques et aux tendances du marché. Les différentes décisions prises sont plus ou
moins importantes et peuvent être classées selon leur degré de risque.
25
Selon le modèle d’Igor Ansoff20, il est possible de distinguer trois niveaux de décision en
fonction de leur importance :
Décisions Direction Générale
stratégiques
Décisions tactiques Direction fonctionnelle
Décisions opérationnelles
Exécutants
Dans cette pyramide, les décisions stratégiques sont prises au niveau hiérarchique le plus important
de l’entreprise. Ce sont des décisions qui impactent directement la stratégie globale de l’entreprise.
Elles sont en général lourdes de conséquences, et incertaines, leur impact se vérifiant uniquement
sur le long terme.
Les décisions tactiques sont la continuité des décisions stratégiques. Elles sont prises par les
directeurs qui commandent les opérationnels. Leurs impacts sont moins importants car ils se
mesurent sur le moyen terme.
Le dernier niveau de la pyramide concerne les exécutants, ce sont eux qui prennent les décisions
opérationnelles, celles qui concernent la gestion de l’ensemble des tâches au quotidien. Ce niveau de
décision assure l’efficacité de l’ensemble de l’organisation.
L’audit réalisé au niveau du service des ressources humaines dépend de plusieurs éléments :
- étude de l’organigramme de l’entreprise ;
- analyse des relations entre les différents salariés ;
- évaluation des différents niveaux de hiérarchie ;
- compréhension du rôle et des missions de chacun.
Et pour mettre en place ces actions, l’auditeur doit passer un entretien avec chaque personne du
service audité pour être au plus proche de la réalité.
20
Igor Ansoff, Corporate Strategy, 1965
26
La main d’œuvre et le personnel de l’entreprise sont indispensables pour la bonne
organisation de l’entreprise ainsi que pour les résultats quantitatifs et qualitatifs. L’audit des
ressources humaines va permettre d’évaluer le potentiel et les performances du personnel,
améliorant le climat social. C’est un gain de productivité non négligeable pour une entreprise.
L’analyse individuelle de chaque acteur va permettre de mettre en avant l’effort du travail personnel.
Voici quelques exemples de services administratifs recherchant une productivité plus efficace
grâce à la réalisation d’un audit interne sur le personnel :
- le service achat: son but est de fournir au meilleur coût et dans les délais impartis, les biens
ou les services demandés par les directions opérationnelles. L’auditeur aura pour mission, par
exemple, d’analyser les différentes étapes qui mènent à cet objectif : qui reçoit la demande ? Quels
sont les délais de traitement ? Qui étudie les offres ? Qui est organe décisionnaire ?
- le service recrutement : il garanti à l'entreprise de disposer en permanence des personnes
ayant les compétences adaptées à la réalisation des différents objectifs selon les services. L’auditeur
devra analyser les processus de recrutement et d’accompagnement des personnes recrutées.
La mise en place de cette fonction audit au niveau des ressources humaines permet de
conduire le changement au sein de l’entreprise. Elle est obligée d’adapter son personnel en fonction
de ses stratégies et l’audit devient un outil d’accompagnement sur le long terme. Pour conduire ce
changement, il faut prendre en compte la dimension humaine de l’entreprise pour mettre en place
un plan d’actions. Trois étapes sont primordiales :
- l’évaluation des réticences qui pourront survenir de la part des employés ;
- l’accompagnement des acteurs au centre du changement ;
- la mesure de l’impact sur le long terme.
La plus value de l’auditeur est de ne jamais prendre le rôle du responsable de service. Il est là pour
conseiller et aider à travers l’analyse des comportements, des aptitudes et des méthodes de
management.
L’autre axe de développement possible pour les entreprises de taille moyenne est de créer
leur propre service d’audit interne afin d’amoindrir les couts. L’efficacité financière rentre alors en
jeu.
27
2. Les ressources financières
Au niveau financier, l’efficacité de l’audit va permettre d’étudier et d’évaluer les
performances de l’entreprise afin qu’elles restent compétitives et demeure présentes sur le marché.
Pour rappel, l’activité d’audit était initialement mise en place pour l’analyse des états financiers. Le
développement rapide de l’apport en capitaux dans les entreprises a renforcé le besoin, pour les
actionnaires, les clients, les fournisseurs et les bailleurs de fonds de disposer de comptes vérifiés et
certifiés par des professionnels. Il est logique que ces futurs actionnaires s’intéressent de près au
système de gestion des dirigeants et à la performance financière de l’entreprise dans laquelle ils
souhaitent investir.
Le cas de l’affaire ENRON, illustre en tous points les craintes que peuvent avoir les
actionnaires. En effet, l’entreprise ENRON, spécialisée dans le gaz naturel et la revente d’électricité,
était l’une des plus grandes entreprises américaines, du fait de sa capitalisation boursière. Mais en
décembre 2001, la faillite de cette entreprise est annoncée. Elle est due aux diverses opérations
spéculatives des dirigeants qui ont été masquées en bénéfices par le biais de manipulations
comptables. Dans son sillage, la chute de l’entreprise entrainera le licenciement de 4 500 salariés et
la perte de la mise de départ des différents actionnaires. Ce cas met en avant l’importance de
l’analyse poussée des états financiers par l’audit, qui devient alors un outil d’efficacité financière.
L’audit peut servir à améliorer l’économie d’échelle d’une entreprise. Selon la taille de celle-
ci, l’économie d’échelle permettra de réaliser des économies, parfois non négligeables, surtout si
l’entreprise est de grande taille.
Prenons l’exemple d’une entreprise qui souhaite mettre en place une mutuelle collective pour ses
salariés. Le pouvoir de négociation d’une grande entreprise sera beaucoup plus important que le
pouvoir de négociation d’une TPE de 5 salariés.
La réalisation d’un audit va donc permettre d’évaluer les coûts au plus serré pour une entreprise.
Cette analyse approfondie aura pour but de réduire certaines dépenses parfois jugées inutiles.
L’audit est aussi un outil efficace pour l’amélioration des performances commerciales de
l’entreprise car il va permettre :
- l’évaluation des ressources disponibles ;
- la définition claire et concrète des objectifs ;
- l’attribution des moyens et ressources nécessaires ;
- la mise en place d’indicateurs de performance individuelle et collective.
Une fois tous ces points analysés et corrigés, l’entreprise devient plus performante et productive.
28
3. Les contraintes règlementaires
Aujourd’hui la règlementation applicable aux sociétés est de plus en plus complexe. Les lois
et les règlements d’un point de vue général sont en perpétuel changement. En théorie, si ces
modifications sont suivies et appliquées avec soins et dans les délais impartis, cela ne doit pas poser
de problèmes aux entreprises. Mais parfois, ces modifications ne sont pas toujours bien anticipées,
mettant à jour le risque de conformité. Dans la plupart des cas, la mise en conformité est réalisée
avec succès, preuve de réactivité de l’entreprise, lui offrant un outil de différenciation, d’efficacité et
de compétitivité stratégique face aux concurrents.
Pour n’aborder que la règlementation applicable aux sociétés d’assurances, aux mutuelles et
aux institutions de prévoyance, le premier contexte règlementaire commence avec la création en
2002 de la Loi de Sécurité Financière (LSF), obligeant celles-ci à présenter un rapport sur l’état du
contrôle interne.
Puis, adoptée en 2009, la directive sur Solvency II oblige les sociétés d’assurances à adapter leur
niveau de capitaux propres, en fonction de leur taille, dans le but qu’elles puissent faire face aux
risques majeurs auxquels elles sont exposées. Les objectifs de Solvency II sont :
- le renforcement du marché européen de l’assurance ;
- l’amélioration de la protection des assurés ;
- le renforcement de la compétitivité entre assureurs et réassureurs européens ;
- la mise en place d’une meilleure règlementation.
Cette directive est composée de 3 piliers. Le premier pilier concerne les exigences quantitatives telles
que des provisions techniques harmonisées ou l’exigence d’un capital minimum de solvabilité. Le
deuxième pilier aborde les exigences qualitatives avec le renforcement des principes de
gouvernance, du contrôle interne, de la gestion des risques ainsi que du processus de contrôle
prudentiel. Le troisième pilier concerne l’information au public et au superviseur avec la mise en
place d’une définition commune des états d’analyses financières et la diffusion d’un maximum
d’informations au grand public.
Actuellement, le pilier 2 est en action et il est composé de 7 thèmes majeurs : gouvernance et fit &
proper, Risk management, ORSA, contrôle interne et conformité, audit interne, fonction actuarielle
et sous-traitance. Son entrée en vigueur est prévue pour le 01/01/2014.
Autres textes de référence, les décrets n° 2006-287 du 13 mars 2006 (pour les sociétés
d’assurances) et n°2008-468 du 19 mai 2008 (pour les mutuelles et institutions de prévoyance)
relatifs à la mise en place d’un dispositif de contrôle interne et de l’émission d’un rapport de contrôle
interne communiqué à l’Autorité de Contrôle Prudentiel.
29
L’ordonnance n°2008-1278 du 8 décembre 2008, quant à elle, concerne le renforcement des
règles applicables aux commissaires aux comptes et l’obligation de mettre en place un comité d’audit
pour : « les personnes et entités dont les titres sont admis à la négociation sur un marché
règlementé, ainsi que dans les entreprises d’assurances et de réassurances, les mutuelles régies par
le livre II du code de la mutualité et les institutions de prévoyance régies par le titre III du livre IX du
code de la sécurité sociale… »21. L’objectif de ce comité est d’aider les conseils d’administration à
positionner leur responsabilité sur la clôture des comptes, le contrôle interne, la gestion des risques
ainsi que l’audit interne et externe.
Enfin, le 21 janvier 2010 a été instituée l’Autorité de Contrôle Prudentiel (ACP). Elle a pour
mission de veiller à la stabilité financière des entreprises et par conséquent à la protection des
assurés. C’est elle qui statue sur les demandes d’agrément des entreprises.
Aujourd’hui, la multiplication des opérations de fusion-acquisition, de rapprochement,

d’externalisation, complexifient la structure des entreprises. Elles doivent faire face à l’apparition de
risques plus fréquents, voire l’apparition de risques inconnus. C’est pourquoi, les entreprises qui
montreront une gestion claire et rigoureuse de leurs états financiers, de leur performance, une
gestion saine et efficace de leurs ressources humaines et une facilité d’adaptation face aux
modifications de règlementation, auront un avantage concurrentiel fort. Elles donneront envie aux
actionnaires d’investir et aux salariés de donner le meilleur d’eux-mêmes pour atteindre les objectifs
afin de rendre l’entreprise plus performante.
L’audit interne est un des éléments clés dans l’apport de valeur ajoutée à l’entreprise. C’est
pourquoi, nous allons analyser les 3 phases principales concernant la réalisation d’une mission
d’audit interne afin de définir la méthodologie applicable au cas pratique réalisé dans la dernière
partie de ce mémoire.
21
http://www.legifrance.gouv.fr
30
II) Mission d’audit interne : les 3 phases
Dans le dictionnaire Larousse22, la définition d’une mission est la suivante :
Mission : (nom féminin) du latin missio, -onis, qui signifie la charge donnée à quelqu’un d’accomplir
une tâche définie. C’est une fonction temporaire et déterminée dont un organisme charge une
personne ou un groupe.
Appliquer au domaine de l’audit, une mission doit revêtir deux critères importants : le champ
d’application et la durée.
Le champ d’application concerne l’objet et la fonction de la mission. Une mission est soit, d’ordre
général, sans limite géographique (audit des ventes), soit spécifique, portant sur un point précis et un
lieu déterminé (audit des ventes de véhicules électriques dans un garage Renault à Douai). De même,
une mission est soit unifonctionnelle, portant sur une seule fonction (audit du système informatique,
au siège), soit plurifonctionnelle, portant sur une multitude de fonction (audit d’une filiale de petite
taille où tout va devoir être analysé).
La durée d’une mission ne se quantifie pas à l’avance, à l’heure ou au jour près. La durée d’une
mission d’audit va s’analyser en temps passé sur une mission par un auditeur. Si une mission requiert
l’intervention de plusieurs auditeurs, la durée sera égale à la durée prévue pour un auditeur, divisé
par le nombre d’auditeur requis pour cette même mission.
Exemple : Mission d’audit de 10 jours. 10 jours / auditeur mais 2 auditeurs sont prévus pour cette
mission, soit une mission d’audit de 5 jours (10 jours / 2 auditeurs = 5 jours).
Une mission d’audit courte représentera un temps de travail inférieur à un mois, à l’inverse une
mission d’audit longue représentera un temps de travail de plusieurs mois. Toutefois, le planning
établi est toujours prévisionnel et un nombre d’heures, de jours ou de mois fixé au départ ne devra
pas empêcher un auditeur de terminer sa mission si le délai déterminé est dépassé ou à l’inverse
l’obliger à faire de la présence si le délai initialement prévu était plus long que la durée réelle de la
mission. La seule atteinte des objectifs est représentative de la durée d’une mission.
22
Larousse 2008
31
Une mission d’audit est composée de trois phases principales :
- la phase de préparation : C’est la phase d’ouverture de la mission d’audit. L’auditeur va

prendre connaissance des procédures et des règlementations applicables.
- la phase de réalisation : L’auditeur entre en action et va devoir se faire accepter et désirer

par les parties prenantes. Il devra mener cette mission pour mettre en avant un état des lieux et
souligner des incohérences.
- la phase de conclusion : C’est la présentation du travail de la mission achevée.
A) La phase de préparation
Lors de cette phase, l’auditeur va adopter une position d’observateur. Il va analyser la
situation, se renseigner sur les procédures appliquées et les personnes concernées par l’objet de la
mission d’audit. Il prépare le terrain et prend note des fonctionnements et dysfonctionnements qui
l’aideront dans la phase de réalisation.
Cette phase de préparation débute par l’établissement de l’ordre de mission. Ensuite, les auditeurs
sont amenés à prendre connaissance du fonctionnement de l’organisation, identifier les risques et
enfin définir les objectifs à atteindre dans les phases de réalisation et conclusion.
1. L’ordre de mission
Avant de commencer la phase de préparation, l’auditeur doit établir et diffuser aux parties
concernées le document permettant le déclenchement de toute mission d’audit : l’ordre de mission.
Ce document joue le rôle de mandat initié par la Direction Générale, à destination de l’équipe d’audit
Interne.
32
Cet ordre de mission doit répondre à trois principes. Le premier est qu’aucune mission ne
peut être déclenchée par le simple fait d’un auditeur, elle est forcément le fait d’une direction
supérieure. En théorie, l’équipe d’audit interne est seulement là pour la réaliser mais c’est
généralement elle qui impulse une nouvelle mission avec l’aval de la direction. Le second principe est
que l’ordre de mission provienne d’une autorité compétente telle que la Direction Générale ou le
Comité d’audit. Enfin le dernier principe tient au fait que cet ordre de mission doit permettre la
transmission d’informations à tous les responsables concernés, à savoir l’équipe d’audit mais aussi à
toutes les personnes concernées par cette mission (chefs de service, responsables…).
L’ordre de mission a une fonction de mandat et d’informations. Celui-ci doit contenir le minimum
d’informations requis avec, pour un ordre de mission de type « court », des renseignements sur le
champ d’application et les objectifs à atteindre. Pour un ordre de mission de type « long », les
mêmes renseignements avec les modalités d’intervention en supplément (dates, lieux, moyens à
mettre ou ne pas mettre en œuvre).
En possession de cet ordre de mission, le service d’audit peut alors démarrer la phase de
préparation.
Celle-ci est composée de trois étapes, comme l’explique certains auteurs23 :
0 : Observer et écouter = Familiarisation / prise de connaissance
1 : Identifier les signes (symptômes)

Identification des risques
2 : Décomposer les signes, faits, phénomènes
3 : Repérer les interrelations

4 : Classer Définition des objectifs
5 : Situer par rapport à un système de référence
L’étape de « prise de connaissance » sert à avoir une vision d’ensemble.

L’étape d’identification des risques attire l’attention de l’auditeur sur les points essentiels.
L’étape de définition des objectifs permet la planification du temps et des coûts pour une meilleure
efficacité.
23
P.HERMEL, « Audit et management et changement », cahiers de Recherche du diagnostic d’entreprise, n°1
33
2. La prise de connaissance / familiarisation
L’étape de « prise de connaissance » est l’étape la plus importante en termes de temps. C’est
une étape où l’auditeur prend connaissance de l’organisation et de son fonctionnement. Et pour
mieux comprendre les informations et les explications qu’il va rechercher et déclencher, l’auditeur
doit appréhender rapidement le domaine ou la fonction audité afin d’y apporter les solutions
adéquates.
Exemple : audit des installations de fabrication de pièces de l’industrie automobile. L’auditeur devra
posséder des connaissances et une culture technique pour parvenir à comprendre les explications des
techniciens.
Cette action de prise de connaissance de l’organisation est composée de six objectifs :
- Avoir une bonne vision globale dès le début (diagrammes) ;
- Identifier les objectifs de la mission ;
- Identifier les problèmes essentiels ;
- Poser les questions importantes et pertinentes ;
- Eviter les considérations abstraites et inutiles ;
- Permettre la mise en place des missions d’audit dans l’organisation.
Plusieurs facteurs vont être pris en compte dans cette étape de prise de connaissance. Tout
d’abord le facteur « durée ». Celle-ci va dépendre de la complexité du sujet traité, du profil de
l’auditeur et de la qualité des dossiers d’audit. En effet, plus complexe sera le sujet de la mission, plus
difficile sera la prise de connaissance et plus la durée de mise à jour des connaissances sera longue.
De même, si l’auditeur n’a aucune expérience, la durée de familiarisation sera plus longue que pour
un auditeur ayant de l’expérience dans le domaine. L’équipe d’audit sera d’ailleurs choisie en
fonction de ces connaissances et de ces expériences dans le domaine à auditer, afin d’éviter toute
perte de temps inutile. Enfin, des audits ont parfois déjà été réalisés. Il est important que ces dossiers
d’audit soient clairs et complets, permettant de gagner du temps et une prise de connaissance plus
rapide.
Cette prise de connaissance doit être clairement étudiée et planifiée, en sélectionnant les moyens les
plus efficaces pour la récolte d’informations (connaissance large de l’organisation, ses objectifs et
son environnement, ses contraintes et ses points forts, les responsables en charge des tâches
auditées, connaissance des techniques de travail).
34
Le principal moyen utilisé pour obtenir les informations souhaitées est le « questionnaire de
prise de connaissance » (QPC). Ce questionnaire consiste à se questionner soi-même en tant
qu’auditeur. Les réponses à ce questionnaire sont tirées des observations et documents récupérés au
sein du service interne audité. Il regroupe les questions les plus importantes et dont les réponses
doivent être connues, pour éviter tous risques d’incompréhension du domaine audité. Ce document
est indispensable pour définir le champ d’application et l’organisation du travail.
La structure globale du questionnaire24 :
 Connaissance du contexte socio-économique :

- taille et activités du secteur audité ;
- situation budgétaire ;
- situation commerciale ;
- effectifs et environnement de travail.
 Connaissance du contexte organisationnel de l’unité :

- organisation générale et structure ;
- organigrammes et relations de pouvoirs ;
- environnement informatique.
 Connaissance du fonctionnement de l’entité auditée :

- méthodes et procédures ;
- informations règlementaires ;
- organisation spécifique de l’entité ;
- système d’information ;
- problèmes passés ou en cours ;
- réformes en cours ou prévues.
Toutefois, il faut garder à l’esprit que ces questionnaires doivent être couplés à la
documentation transmise (rapports, compte rendus, procédures de travail, notes, interviews,…).
24 ème
35
3. L’identification des risques
La norme 2210.A125 traduit l’application de cette étape : « L'auditeur interne doit procéder à
une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission
doivent être déterminés en fonction des résultats de cette évaluation. »
A travers cette norme, il faut comprendre que l’identification passe par les emplacements où les
risques sont susceptibles de se produire et non par l’analyse des risques en eux-mêmes.
Cette norme est complétée par la MPA 2210-126 qui explique que « le but de l’évaluation des risques
pendant la phase de planification de l’audit est d’identifier les secteurs importants de l’activité à
auditer ».
Toutefois les normes ne proposent pas une méthode unique, chaque auditeur ou groupe d’audit
effectuera donc cette identification selon ses habitudes et sa culture.
Lors de cette étape, certains auditeurs préféreront faire l’impasse, pensant connaitre
suffisamment le sujet audité. Toutefois cette impasse, même si les connaissances sont réelles, pourra
malgré tout entrainer des problèmes tels que l’omission d’une zone à risque ou encore l’obligation
de devoir bâtir un programme de travail complet. Alors qu’avec cette identification des risques, le
programme de travail aurait pu être allégé en tenant compte uniquement des zones à risque et à
traiter.
A l’inverse, certains auditeurs vont préférer une analyse poussée et minutieuse mais qui semble trop
excessive à ce stade de la réalisation de l’audit et qui fait parfois double emploi avec la phase de
réalisation.
Pour mener à bien cette identification, la méthode la plus utilisée est celle du « tableau des
risques ». Ce tableau doit prendre en compte les trois facteurs suivants :
- l’exposition : risques pesants sur les biens de l’organisation tels que : malveillances,
dommages,…
- l’environnement : ce qui se trouve autour du bien et qui est susceptible de devenir
dangereux.
- la menace : imprévisible et invisible. Fait appel au sens de l’imagination des auditeurs et
sous-entend la multiplication de procédures excessives et contraignantes.
25
IFACI, Normes professionnelles internationales de l’Audit Interne, p. 18
26
IFACI, Site internet
36
Il va permettre de segmenter le secteur audité en taches élémentaires et concrètes et d’associer à
chacune d’elles, l’objectif recherché et son utilité. En face de chaque tâche segmentée et objectivée,
l’auditeur indiquera alors les risques encourus. En face de ces risques, l’auditeur procède à une
évaluation simple, en général de 3 niveaux : risque important (i), moyen (m) et faible (fa).
Ensuite, l’auditeur indique quels sont les moyens et solutions à mettre en œuvre pour contrer le
risque identifié (personnes qualifiées, outils et machines adaptés,…). Enfin, dans la dernière colonne,
l’auditeur indique si le dispositif à mettre en œuvre est existant ou absent.
Exemple de tableau27 :
Tâches Objectifs Risques Evaluation Dispositif de contrôle interne Constat

Réception des Sécurité - Pertes -M Normes de livraison et Non
marchandises - Avaries - FA entreposage
4. La définition des objectifs

Egalement nommé « Rapport d’orientation » par l’IFACI28. Ce document est bref et doit être
conforme à la norme 224029 « ce programme de travail doit être formalisé ».
C’est une sorte de cahier des charges qu’établissent les auditeurs avec les audités et qui va préciser
les objectifs recherchés, le champ d’action de la mission et les éléments d’identification des risques
relevés lors de la phase de préparation qui vient de se dérouler.
Les objectifs sont de deux types :

- objectifs généraux : ce sont des objectifs permanents du contrôle interne (protection du
patrimoine, fiabilité et intégrité des informations, respects des lois et règlements, efficacité
et efficience des opérations, suivi du précédent audit).
- objectifs spécifiques : va dépendre des risques identifiés et des dispositifs en place ou à
mettre en place.
Le champ d’action est de deux types également :

- fonctionnel : regroupe les services, divisions qui vont être audités
- géographique : dans quels lieux (usine, région, pays,…)
27 ème
Théorie et Pratique de l’Audit Interne, Jacques RENARD, Editions d’Organisation, 6 édition, page 224
28
IFACI : Fondé en 1965. Institut Français de l’Audit et du Contrôle Interne
29
37
Ce cahier des charges devient réel et applicable lors de sa signature par l’audité, au moment
de la réunion d’ouverture. Ce caractère « contractuel » (document signé par les deux parties) insiste
bien sur le fait que chacune des parties doit savoir en tout état de cause de quoi il s’agit et dans quoi
elle s’engage. Ce rapport va devenir le document de référence de l’auditeur.
B) La phase de réalisation
La phase de réalisation prend place au sein même de la structure, afin de mener une étude
« terrain ». L’auditeur va être en contact direct avec les responsables et les équipes de travail. Cette
phase de réalisation débute par la réunion d’ouverture, puis par la réalisation du programme d’audit,
la mise en place de tout le travail de terrain et enfin la validation des conclusions pour établir le
rapport.
1. La réunion d’ouverture
La réunion d’ouverture doit avoir lieu à l’endroit où se déroulera la mission d’audit (un
service, une filiale, un secteur,…). Le fait que l’auditeur se rende sur les lieux précis où il fera son
audit montre aux responsables que la phase de préparation est terminée et que les choses concrètes
vont commencer. Et cela va permettre à l’auditeur d’être en contact direct avec les principaux
acteurs qui interviendront tout au long de cette mission d’audit. L’auditeur disposera de toutes les
informations et documents nécessaires dans l’accomplissement de la mission.
La simplification des démarches est essentielle pour l’auditeur, sinon il risque d’être submergé
d’informations et dans l’impossibilité de se concentrer sur son sujet principal. Une présence physique
dans les locaux est indispensable pour mener à bien cette mission.
La réunion a pour objectif de présenter les parties prenantes de l’audit, responsables,

niveaux intermédiaires et divers interlocuteurs, présents pour se découvrir et prendre connaissance
du groupe. Le chef de mission est également présent lors de cette mission, et le sera plus ou moins
ponctuellement durant la mission, selon l’expérience des auditeurs. Du côté des audités, seront
présents les responsables du service ou du secteur concerné, accompagnés, la plupart du temps, par
un supérieur hiérarchique ou un collaborateur direct. Parmi ces participants, un rapporteur est
désigné et il aura pour mission de rédiger un compte rendu de la réunion, consultable dès la fin de
celle-ci.
38
Une fois les participants réunis et le rapporteur désigné, l’étude de l’ordre du jour peut être
abordée. En effet, l’ordre du jour a été envoyé à tous les participants, plusieurs jours avant la
réunion, accompagné du rapport d’orientation. Les participants ont eu le temps de prendre
connaissance de ces documents et d’entamer une réflexion sur certains points.
Cet ordre du jour est composé de six points devant systématiquement être abordés :
 la présentation de l’équipe d’audit en charge de la mission : Lors de cette présentation,

chaque auditeur expose rapidement son expérience passée, ses compétences spécifiques et
le rôle qu’il jouera dans la mission d’audit. De leur côté les audités se présentent également,
afin que tous connaissent la ou les personnes avec qui ils seront amenés à travailler.
 la présentation de la fonction d’audit interne : Selon les entreprises, l’activité d’audit interne
est peu ou mal connue, parfois même inconnue. Le but de cette présentation est d’expliquer
la fonction d’audit interne ou de la « réactualiser » auprès de personnes connaissant cette
activité mais dont les idées sont fausses ou trop anciennes. Les auditeurs font un rappel des
objectifs généraux de la fonction afin d’obtenir la meilleure des collaborations entre
auditeurs et audités et instaurer une relation de confiance en leur expliquant le but de cet
audit.
 l’examen du rapport d’orientation : Ce rapport est au centre de l’ordre du jour et la durée

même de la réunion dépend de ce rapport. Plus le rapport présenté est important, plus
longue sera la réunion. Les auditeurs reprennent avec les audités les zones à risques
identifiées durant la phase de préparation, pour prendre connaissance de leurs
commentaires et ressenti. L’étude de ce rapport permet aux audités de poser des questions
et de faire le point avec les auditeurs sur des aspects mal ou peu assimilés. Une fois toutes
les zones d’ombre éclairées, chacune des parties dispose du document « contractuel » qui
servira de référentiel aux auditeurs.
 la prise de rendez-vous et de contact : C’est lors de cette réunion que les auditeurs vont
pouvoir définir précisément, avec les responsables ou chefs de service présents, quelles
seront les personnes avec qui ils devront être en contact durant les différentes étapes de
leurs travaux. C’est également à ce moment que les auditeurs vont fixer clairement la date
de rendez-vous et le temps approximatif passé avec cette personne, afin d’éviter le manque
d’informations et la difficulté ultérieure à obtenir un rendez-vous.
39
 l’organisation matérielle de la mission : Les auditeurs profitent que tous les responsables
soient présents pour définir les conditions matérielles dans lesquelles va se dérouler la
mission d’audit. Ils vont définir les ressources matérielles (avoir un bureau équipé à
disposition), la prise en charge du repas (budget, restaurant, cantine,…), le transport, le
logement, l’obtention d’un badge pour avoir accès aux locaux,….
 rappel sur la procédure d’audit à suivre : Les auditeurs vont faire un dernier rappel sur la
suite des opérations, à savoir la réalisation de l’audit, la possibilité de nouvelles réunions
intermédiaires, l’explication des constats établis, la réunion de clôture, la rédaction du
rapport d’audit suite à cette réunion de clôture, sa distribution, la mise en place et le suivi
des recommandations indiquées dans le rapport. A la fin de ce rappel, les audités savent tout
ce qu’il y a à savoir en raison du principe de « transparence ». Les audités sont en confiance
et acceptent de jouer le « rôle » qui leur est confié.
Au terme de cette réunion, toutes les modifications vont être apportées au rapport
d’orientation, afin d’obtenir la version définitive qui servira de référence aux parties prenantes.
Suite à cette réunion, les auditeurs vont réaliser le deuxième document de référence : le programme
d’audit.
2. Le programme d’audit
Etabli par l’équipe d’audit et le chef de mission, c’est un document interne au service d’audit,
regroupant la définition et la répartition des différentes actions à entreprendre. Au même titre que
l’ordre du jour, le programme d’audit répond à six objectifs :
 le caractère contractuel : Ce programme va lier contractuellement l’équipe d’audit à sa

hiérarchie, de ce fait le programme sera la référence utilisée par les auditeurs et toutes
modifications, ajouts, retraits, ne pourront se faire qu’avec accord tacite de la hiérarchie,
permettant ainsi d’éviter tout égarement de la part de l’équipe d’audit.
 la planification du travail : C’est sur ce programme que chaque tâche va être répartie entre
les auditeurs, selon leurs compétences spécifiques, leurs expériences et selon un temps
organisé et planifié.
40
 le rôle de « fil conducteur » : Ce programme permet à l’équipe d’audit de suivre les
différentes étapes établies au préalable. Le tout étant à la fin d’obtenir un ensemble
cohérent permettant d’atteindre les objectifs fixés.
 l’outil de réalisation du Questionnaire de Contrôle Interne : C’est à partir de ce programme

de travail que l’équipe d’audit établira ensuite le Questionnaire de Contrôle Interne (QCI),
reprenant alors les différentes étapes d’identification des risques et du rapport d’orientation.
Ce questionnaire va permettre de préciser un peu plus les différentes tâches à accomplir
pour atteindre les objectifs fixés dans le rapport d’orientation. Le QCI est l’aboutissement
concret des précédentes démarches d’identification des risques et d’établissement du
rapport d’orientation.
 le suivi du travail : Ce programme permet au chef de mission de pouvoir suivre l’avancée du

travail de l’équipe d’audit. Il permet également de prévoir une éventuelle avancée ou à
contrario un éventuel retard par rapport au planning établi et de suivre individuellement
l’avancée de chaque auditeur.
 un document « modèle » pour les audits à venir : Selon le thème de la mission d’audit, ce
programme de travail pourra servir de « modèle » aux futurs audits réalisés. De manière
systématique, lorsqu’une mission d’audit est réalisée dans un domaine déjà audité
auparavant, l’équipe d’audit va baser l’établissement de son programme de travail sur
l’ancien programme, permettant une amélioration constante des moyens utilisés. Toutefois,
le programme de travail antérieur devra toujours être revu et adapté à la nouvelle situation
auditée, au risque de ne pas prendre en compte les éventuelles modifications ayant eu lieu
entre le précédent et le nouveau programme de travail.
Le programme d’audit va regrouper les travaux préliminaires à accomplir par l’équipe d’audit
et répertorier les techniques et outils à utiliser (diagramme, sondage, interview, …).
3. Le travail de terrain
Lors de cette démarche, l’équipe d’audit va réaliser des tests à l’aide d’outils spécifiques.
Chaque anomalie fait alors appel à la réalisation d’une Feuille de Révélation et d’Analyse de
Problème, plus couramment appelée FRAP.
41
La première chose que l’équipe d’audit va mettre en place est l’observation globale. Cette
observation va leur permettre de comprendre les méthodes de travail et révéler des situations
imprévues. Ensuite, l’équipe d’audit va observer les zones à risques définies lors des phases
précédentes. Pour s’assurer de la qualité des résultats, ces tests doivent remplir un certain nombre
de conditions :
- les questions posées doivent être précises pour déclencher une réponse tout aussi précise ;
- l’outil choisi doit l’être de façon réfléchie ;
- l’auditeur doit intégrer des révélations imprévues pouvant faire surgir des interrogations ;
- les résultats doivent être correctement interprétés ;
- le(s) test(s) doivent être élaboré(s) de façon logique et ordonnée.
Mais cette observation peut également faire ressortir les bonnes pratiques et les mettre en
avant par le biais de la FRABOP (Feuille de Révélation d’Analyse de Bonne Pratique). Ce document
regroupe sur une feuille les informations suivantes : la pratique, les faits, les facteurs clés de succès,
les résultats obtenus. Son objectif est de pouvoir transmettre à d’autres sites ou services audités, les
informations et les avancées observées.
Cependant, la FRAP reste le document le plus utilisé puisqu’elle est établie à destination des audités
afin de leur indiquer quels sont les problèmes et comment on peut les résoudre. Chaque FRAP est
divisée en cinq parties : les problèmes, les constats, les causes, les conséquences et les
recommandations.
Pour remplir cette feuille, l’auditeur va commencer par lister le constat, pour ensuite remplir dans
l’ordre les causes, les conséquences, les recommandations et terminer avec l’énoncé du problème,
celui-ci ne pouvant être rédigé qu’une fois les tenants et les aboutissants listés.
 la constatation : Il s’agit de constater un fait unique (une FRAP par constat) et de le

synthétiser dans ce document en quelques mots brefs et précis, sans périphrases.
Exemple : l’alarme incendie n’est pas enclenchée tous les soirs. L’auditeur ne doit pas écrire :
« suite à notre visite le …. à l’entrepôt de…, nous avons pu constater que… », mais :
« problème de non mise en route quotidienne de l’alarme lors de la fermeture des locaux ».
 les causes : Définir les causes ne consiste pas à établir l’origine du problème, mais à
comprendre pourquoi les causes d’origines se produisent. Plusieurs méthodes existent mais
pour prendre la plus connue, nous allons étudier le « diagramme d’Ishikawa » ou « méthode
des 5M », qui rappelle les cinq domaines dans lesquels sont susceptibles de se trouver les
causes du problème : la Main d’œuvre, le Milieu, la Matière, le Matériel, la Méthode.
42
Diagramme d’Ishikawa :
Main d’œuvre Matériel Milieu
Méthode Matière
Cette méthode va permettre de remonter aux causes fondamentales du problème.
 Les conséquences : Lors de la rédaction des conséquences, l’auditeur va devoir éviter de les
juger de manière qualitative et quantitative, au risque d’alarmer les audités sur des points
qui finalement ne sont pas si critiques que ça. La qualification et la quantification
« raisonnable » sont cependant indispensables pour permettre aux audités de mesurer
l’importance des conséquences.
 Les recommandations : Elles sont le but même de l’auditeur. C’est en quelque sorte son
« cœur de métier ». Dans cette partie, l’équipe d’audit va faire en sorte que les problèmes
soient traités, afin d’éviter qu’ils ressurgissent par la suite. Toutefois, l’équipe d’audit ne peut
prétendre, dans certains cas, pouvoir éradiquer complètement le problème.
 Le problème : C’est le point final de la FRAP. Il est déterminé à la fin, une fois que les
dernières recommandations ont été écrites. C’est cet énoncé qui indiquera aux parties
prenantes, dès la première lecture, si le problème évoqué sur la FRAP mérite ou non d’être
traité rapidement.
Les FRAP établies pendant le travail de terrain seront indispensables lors de la phase de
rédaction du rapport. Deux options s’offrent à l’équipe d’audit, soit les FRAP sont retranscrites dans
un document de manière moins « télégraphique », soit l’équipe décide de les garder telles quelles et
de les considérer comme le seul rapport existant.
43
4. La validation des recommandations
Une fois les FRAP établies et classées, l’équipe d’audit va toutefois s’assurer de la cohérence
de ses observations avant la validation. Les auditeurs s’assurent que les problèmes soulevés sont
réellement des dysfonctionnements pouvant atteindre la structure ou le service. Si c’est le cas, ils
s’assurent également que les risques identifiés soient correctement qualifiés et quantifiés, afin
d’éviter les mauvaises surprises.
Ensuite, c’est l’étape de la validation. L’équipe d’audit valide au fur et à mesure les constats
faits au préalable. Cette validation se fait de deux manières :
- individuelle : chaque FRAP va être validée en recoupant chaque constat avec les interviews
ou les documents obtenus. On recoupe les outils d’audit entre eux pour obtenir la meilleure
confrontation possible. L’auditeur cherche également à avoir l’avis et le ressenti de son
responsable afin d’éviter tout désaccord par la suite.
- générale : ce sont les validations qui ont lieu en cours de mission, lors des réunions
intermédiaires, par exemple. Ce sont aussi celles de fin de mission, présentées lors de la
réunion de clôture.
C) La phase de conclusion
La présence de l’équipe d’audit sur le terrain est terminée et le déroulement de cette
dernière phase a lieu dans les locaux de l’équipe d’audit interne. C’est lors de cette phase, que les
auditeurs vont rédiger le projet de rapport d’audit, validé lors de la réunion de clôture. Après
validation, ce projet devient définitif et c’est aux audités de mettre en place les actions correctives.
1. Le projet de rapport d’audit

Au début de la phase de conclusion, le rapport est au stade de « projet » car il est incomplet
et n’a pas fait l’objet d’une validation générale. En effet, à ce stade, les audités n’ont pas encore
indiqué leur réponses face aux recommandations faites par l’équipe d’audit et n’ont pas rendu leur
plan d’actions regroupant les informations de temps et d’acteurs mobilisés.
44
La norme 241030 mentionne en effet la nécessité d’avoir le plan d’action à ce moment-là.
2410 – Contenu de la communication :

La communication doit inclure les objectifs et le champ de la mission, ainsi que les
conclusions, recommandations et plans d'actions.
A ce stade, le rapport peut se présenter sous deux formes. Soit l’équipe d’audit a choisi de ne
garder que les FRAP, de les classer, sans y ajouter de rédaction plus poussée. Soit elle choisit de
réaliser un document plus élaboré avec un sommaire et des notes particulières. Dans les deux cas,
c’est le document qui constituera l’ordre du jour de la réunion de clôture au même titre que le
rapport d’orientation lors de la réunion d’ouverture dans la phase de réalisation.
2. La réunion de clôture
Les participants de cette réunion sont les mêmes que lors de la réunion d’ouverture.
Désormais l’exposé des auditeurs aux audités n’est plus « nous allons faire… », mais « ce que vous
avez fait… ».
Au même titre que la réunion d’ouverture, celle de clôture obéit à plusieurs principes.
- La totale transparence de diffusion de l’information de l’équipe d’audit aux audités lors

de leur mission. En effet, aucun document, aucune observation ne sauraient être cachés
aux audités. Tout leur est dit et expliqué, rien n’est mis de côté, que ce soit les certitudes
comme les doutes. Et c’est par le biais de ce principe que l’équipe d’audit va réussir à
susciter le dialogue.
- Le respect de la hiérarchie. Cela signifie que rien ne doit être divulgué en termes
d’informations tant que le responsable de l’audit interne n’en est pas informé et tant que
la réunion de clôture n’a pas eu lieu. Chaque chose doit être faite en son temps et c’est la
première personne de la « liste » (le responsable) qui choisit ensuite de divulguer ou non
les informations et ainsi de suite. Ne pas respecter ce principe peut conduire à des
situations délicates et conflictuelles entre auditeurs et audités.
30
45
- La priorisation des recommandations. Elles doivent être répertoriées selon leur degré
d’importance et selon l’analyse des conséquences. Ce principe va permettre d’éviter de
donner de l’importance à des choses qui n’en ont pas et de ne s’occuper que des
éléments qui doivent être traités.
- La mise en place immédiate des actions correctives. Ce principe traduit la possibilité

qu’ont les audités de mettre en place les mesures correctives dès qu’ils en ont
connaissance et avant même la publication du rapport d’audit. Ces actions sont alors
indiquées comme prise en compte et correctement exécutées dans le rapport d’audit au
moment de sa rédaction. Cela permet à l’audité de montrer sa capacité d’action et de
réaction.
- La connaissance collective des problèmes et recommandations. Tous les audités doivent

connaitre l’existence d’un dysfonctionnement et avoir conscience que ce
dysfonctionnement est connu de tous. C’est le maître de conférence Bernard GRAND31
qui a démontré ce principe de « connaissance commune » dans la collaboration audités /
auditeurs. C’est à partir de cette situation là que l’auditeur interne va pouvoir jouer son
rôle de conseil.
Cette réunion permet de revenir sur tous les points vus lors du travail de terrain. Rien ne doit
surprendre l’une des parties et cette réunion doit éventuellement permettre de prendre en compte
les dernières contestations. Celle-ci va se dérouler en deux phases.
 Phase 1 : la présentation
La réunion doit être au préalable préparée et il ne s’agit pas là d’une simple lecture du projet
de rapport. Chaque participant, que ce soit du côté des audités ou du côté des auditeurs, doit être
acteur de cette réunion. Celle-ci doit être vivante et concrète. Les auditeurs doivent avoir en leur
possession tous les documents, classés rigoureusement, que les audités seraient susceptibles de
réclamer pour appuyer une information à éclaircir. Rien ne doit être fait au hasard et cette réunion
doit avoir fait l’objet d’une préparation.
31
Maitre de conférence à l’IAE d’AIX – « Theorical approaches to audit », Internal Auditing vol.13, déc. 1998
46
 Phase 2 : les contestations
En règle général, si le travail a été correctement fait et si les constats et recommandations ont été
validés au fur et à mesure avec les audités, la validation générale du projet de rapport d’audit ne
pose pas de problème. Toutefois, cela n’empêche pas certaines contestations de surgir. Le
traitement de ces contestations peut être de deux sortes. Soit l’auditeur a les documents nécessaires
à l’explication et à la résolution de la contestation soulevée, et dans ce cas, l’audité a la réponse à sa
question et tout rentre dans l’ordre. Soit, dans le cas le plus délicat, en termes d’image pour l’équipe
d’audit, l’auditeur n’a pas les documents adéquats. Auditeurs et audités passent sur ce point et
décident de ne plus le traiter, sauf dans le cas où ce point est très important et dans ce cas la réunion
est suspendue le temps de récupérer les documents nécessaires.
Dans tous les cas, le rapport présenté est un projet et cela sous-entend que les audités sont
amenés à le faire vivre et à le modifier. Tout est bon pour enrichir ce projet par rapport aux
recommandations. L’équipe d’audit va laisser un délai supplémentaire durant lequel ils pourront
indiquer par écrit leur opinion sur ce rapport.
A la fin de cette réunion de clôture les auditeurs vont remercier les audités pour leur
collaboration et vont leur rappeler la procédure de suivi qui va suivre cette réunion et
l’établissement du rapport d’audit interne.
3. Le rapport d’audit interne

Comme tout ce qui a pu se dérouler durant les phases de préparation et de réalisation, ce
rapport d’audit répond à un certain nombre de principe, respectant également une certaine forme et
un certain contenu.
Exposons tout d’abord les quelques principes concernant ce rapport.
- L’émission du rapport : Une mission d’audit (de manière générale) se conclue forcément
sur l’émission d’un rapport. Même dans le cas d’un audit où tout fonctionne
correctement et où aucune action correctrice ne doit être menée (cas rare). La norme
244032 confirme d’ailleurs cette obligation :
2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
32
47
- La finalité : En effet, ce rapport est le document final qui signifie que désormais le relais
est passé aux audités. C’est à eux de mettre en place les recommandations indiquées
dans ce rapport. Bien sûr l’équipe d’audit continue de jouer son rôle et notamment dans
la réalisation du suivi (que nous verrons dans la partie 4.).
- Présentation préalable aux audités : Ce rapport a été validé lors de la réunion de clôture,
les audités ont donc été préalablement informés sur le contenu de ce rapport d’audit
interne et c’est ce qui rend définitif ce document final.
- Droit de réponse de l’audité : Lors de la réunion de clôture, les audités auront pu donner
leur point de vue et leur éventuel accord sur le projet de rapport, le validant
définitivement. Malgré tout, les audités devront communiquer par écrit leurs réponses
aux recommandations, qui seront alors insérées dans le rapport définitif d’audit interne.
Ce type de document « officiel » doit revêtir une forme précise et incontournable dans le
domaine de l’audit. D’autant plus, qu’il va être à la fois un document d’information destiné à la
hiérarchie de l’équipe d’audit interne, présentant clairement l’identification des risques et les
mesures à prendre, et un outil de travail destiné aux audités, indiquant précisément les constats et
recommandations à mettre en place par les responsables. Afin de pouvoir concilier ces deux
fonctions, la forme du rapport d’audit peut être découpée en 4 parties33.
 la page de garde et la lettre d’envoi : La page de garde va regrouper toutes les informations
essentielles à ne pas oublier. Elle fera mention, entre autre, du rappel de la mission et de la
date d’envoi du rapport qui met un point final à la mission, des noms des auditeurs ayant
participé à la mission et à la rédaction du rapport, mais également des noms des audités
ayant participé et surtout les noms de ceux à qui s’adresse le rapport et le suivi des
recommandations. Enfin, la mention « confidentielle » devra apparaitre sur le rapport,
obligeant à numéroter les différents exemplaires transmis à chaque destinataire.
La lettre d’envoi n’est pas obligatoire et n’est présente que s’il est dans les règles de
l’entreprise de transmettre le rapport avec une lettre brève d’accompagnement de l’envoi.
33 ème
48
 le sommaire, l’introduction et la synthèse : Le sommaire est indispensable pour une lecture
pratique et ordonnée du rapport, surtout lorsque le rapport est volumineux et qu’il comporte
un grand nombre de documents annexes.
L’introduction doit être courte et doit regrouper deux informations : le rappel du champ
d’action de la mission et ses objectifs afin de rappeler le but et les limites de la mission pour
les personnes n’ayant pas eu l’ordre de mission initial ; et le descriptif de l’unité ou fonction
auditée.
La synthèse, positionnée en début de rapport, va devoir regrouper les informations
nécessaires pour que la hiérarchie puisse avoir une opinion sur la mission d’audit ayant eu
lieu dans sa structure de manière brève mais complète et sans devoir aller chercher les
informations dans le rapport (sauf si la hiérarchie souhaite avoir des compléments
d’informations sur telle ou telle partie du rapport). Toutefois cette note ne doit pas être le
simple résumé du rapport complet, mais doit au contraire permettre la corrélation entre les
aspects négatifs et positifs de l’audit réalisé, comme le mentionne la norme 2410.A2.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la
communication des résultats de la mission.
 le corps du rapport : Il s’agit du document dans sa version intégrale, destiné aux audités et
devant comporter les constats, recommandations et réponses des audités face à ces
recommandations. La forme de ce contenu reprend les deux choix qui s’offrent aux
auditeurs, à savoir, d’opter pour la rédaction claire et complète des analyses faites par les
FRAP ou d’opter pour l’intégration des FRAP telles quelles, sans ajouter de rédaction. La
forme du corps du rapport est décidée selon les méthodes pratiquées dans la structure
d’audit interne.
 la conclusion, le plan d’actions et les annexes : La conclusion du rapport d’audit est en réalité
la note de synthèse insérée en début de rapport. Toutefois il est possible de prévoir une
courte conclusion à la fin du rapport permettant d’ouvrir sur d’éventuelles autres missions
ou sur la prochaine mission d’audit sur le même thème.
Le plan d’action, rédigé par les audités et indiquant quand et par qui seront entreprises les
recommandations, se situe après la conclusion. Cela permet à chaque destinataire de savoir à
qui s’adresser pour chaque point évoqué.
49
Exemple de plan d’action :
Personne responsable de la
Recommandations Date limite de réalisation
mise en œuvre
N°1 Responsable des achats 03.05.2013
N°2 Responsable commercial 29.05.2013
N°3 Responsable ressources 10.07.2013

humaines
Les annexes sont composées des tableaux, graphiques, textes, règles de procédures qui
appuient les faits indiqués dans le corps du rapport. Toutefois, elles ne doivent être
composées que des éléments indispensables et doivent éviter les éléments superflus.
La rédaction et la diffusion du rapport d’audit répondent à des normes précises. Les normes
2420 vont définir les normes de rédaction et les normes 2440 vont définir les normes de diffusion.
4. Le suivi du rapport
Le suivi est indispensable et notamment parce qu’il semble naturel que les auditeurs
souhaitent mesurer l’impact et l’efficacité des solutions qu’ils ont proposé et surtout enrichir leurs
dossiers pour des audits ultérieurs. Toutefois, s’il en assure le suivi, l’auditeur interne ne prend en
aucun cas la place de l’audité dans la réalisation et la mise en place des recommandations. Ce
principe est d’ailleurs repris dans la définition expliquant le rôle de conseil et non d’acteur de
l’auditeur. Ce suivi est un droit accordé aux auditeurs qui va s’appuyer sur des normes.
- La norme 2500.A1 expose le principe suivant : « Le responsable de l’audit doit mettre en

place un processus de suivi ». L’auditeur ne peut donc pas se substituer au suivi de ces
recommandations.
- La norme 2500.A1-1, quant à elle, mentionne le fait que « la responsabilité du suivi doit être
définie par écrit dans la charte d’audit ». Cette obligation va permettre de savoir qui aura à
répondre si les recommandations ne sont pas suivies ou si leur mise en œuvre est difficile.
50
A partir de ces principes normatifs, certaines méthodes se sont développées.
Il y a la méthode dite « orthodoxe » qui propose deux façons de procéder au suivi des
recommandations. La première qualifiée de « mini audit » : l’auditeur se rend sur place quelques
mois après la diffusion du rapport pour constater les problèmes ou les retards, mais cela entraine la
plupart du temps une perte d’argent et de temps. La seconde utilise l’interrogation par
questionnaire : l’auditeur reprend le plan d’action établi par les audités et demande à chaque fois
l’avancé de chaque recommandation. Toutefois, ces mesures ne permettent pas toujours le suivi du
planning. L’auditeur va mettre en place des solutions alternatives, telles que collecter les réponses
négatives des audités en vue de la prochaine mission ou faire remonter les dysfonctionnements dans
la mise en place des recommandations auprès du responsable de l’audit interne, qui le portera lui-
même à la connaissance de la Direction Générale ou du comité d’audit, qui se chargeront de la
décision finale.
Autre méthode : l’information par la hiérarchie. Dès la diffusion du rapport, l’équipe d’audit a fini son
travail et c’est la hiérarchie du secteur ou service audité qui prend le relais. L’audité va rendre
compte à sa hiérarchie de ce qui a ou non été mis en place, en précisant, pour les recommandations
n’ayant pas été exécutées, les raisons de cette impossibilité. Ensuite, elle fait le choix de prendre les
dispositions nécessaires pour que les recommandations puissent être instaurées ou bien de décider
de ne pas y donner suite. A ce moment-là, une note est rédigée, à l’intention du service d’Audit
Interne, pour les informer des actions concrétisées, permettant aux auditeurs d’enrichir leur dossier
et de mettre en place des solutions pour atteindre les objectifs fixés.
Dernière méthode : le service spécialisé. Certaines entreprises font appel à un service spécialisé dont
l’unique mission va être de suivre la mise en place des recommandations. L’avantage c’est que cela
va permettre de libérer l’équipe d’audit interne. L’inconvénient c’est que cela va contre les normes
d’audit qui donne le rôle du suivi à l’équipe d’audit et engendre une vision négative de l’équipe
d’audit interne qui ne suit pas la mise en place de son propre travail.
La réalisation complète de ces trois phases est indispensable au bon déroulement et surtout
à la qualité de l’audit effectué. La réalisation d’un audit est le fait de règles établies au fur et à
mesure des années, chaque équipe d’auditeurs aura sa manière de fonctionner mais la base restera
toujours la même, grâce aux normes professionnelles établies par l’IFACI. On retiendra également
qu’un bon audit ne peut avoir lieu sans de bonnes relations entre l’équipe d’audit et les audités.
51
III) Application pratique d’une mission d’audit interne dans une PME
Comme nous avons pu l’illustrer dans les parties précédentes, la réalisation d’une mission
d’audit interne répond à la mise en œuvre de 3 phases clés : la préparation, la réalisation et la
conclusion. Aussi, nous l’avons vu, la fonction d’audit interne n’est pas une fonction basée sur
l’unique analyse financière. Au contraire, la particularité de l’audit interne est de s’intéresser à tous
les processus et à toutes les fonctions d’une entreprise. Les entreprises elles-mêmes appartenant à
des secteurs d’activités différents. Toutefois, le cœur de métier des services d’audit est lié à l’activité
d’assurance, permettant une évaluation des risques et l’apport de valeur ajoutée pour l’entreprise.
Ce mémoire est basé sur la fonction d’audit interne. Mais ne travaillant pas dans ce type de
service au sein de mon entreprise actuelle, j’ai décidé de me mettre dans la peau d’une auditrice
interne. Pour cela, je me devais de trouver une entreprise qui puisse m’accueillir. J’ai donc défini
certains critères afin d’orienter mes recherches.
En effet, il n’est pas évident de trouver une entreprise qui accepte d’intégrer une personne
« inconnue » dans ses services. Toutes les entreprises ne sont pas ouvertes. Par conséquent, j’ai fait
le choix d’axer mes recherches sur des entreprises à taille humaine, ayant de meilleures chances de
pouvoir m’entretenir avec un responsable plutôt qu’une standardiste. De plus, n’ayant pas la
prétention d’avoir une réelle formation d’auditeur interne, le travail est fourni en fonction de mes
compétences et connaissances. Les attentes des grandes entreprises étant souvent plus importantes
et complexes que celles des petites entreprises.
D’autre part, axant cette mission d’audit sur le processus d’assurance dommages dans une
entreprise, je ne souhaitais pas réaliser ma mission dans une entreprise d’assurance.
Au terme de cette réflexion, j’ai orienté mes recherches sur les entreprises de petite taille (micro
entreprise de moins de 10 salariés ou TPE de moins de 20 salariés) travaillant dans un secteur
d’activité autre que celui de l’assurance, voire même autre que celui du secteur financier d’un point
de vue général. Par le biais du bouche à oreille, un ami travaillant dans une petite PME, spécialisée
dans la création et la vente de progiciels, m’a proposé de rencontrer sa responsable, gérante de la
société, afin de lui exposer mon projet. Au terme d’un premier rendez-vous de présentation, me
permettant d’expliquer mon projet de réalisation d’une mission d’audit interne basée sur l’aspect
assurance dommages, la gérante, Mme ALCARAZ, a accepté que j’intervienne au sein de son
entreprise.
52
Le cas pratique qui va suivre va mettre en œuvre l’application de ces aspects théoriques dans
le cadre d’un réel audit interne au sein d’une entreprise. Nous verrons comment le choix de
l’entreprise s’est fait et quelles sont ses caractéristiques. Puis viendra le cœur de ce cas pratique avec
la réalisation d’une mission d’audit interne orientée dans le domaine assurantiel, avec l’émission du
rapport définitif d’audit et le suivi de fin de mission.
A) Etape 1 : la phase de préparation

Avant toute chose, pour qu’une mission d’audit interne soit bien exécutée, certains aspects
doivent rester à l’esprit de l’auditeur interne. Tout d’abord celui-ci doit savoir rester simple dans son
discours, dans sa façon d’apporter les explications et de rendre compréhensible les actions qu’il va
mettre en place. Il va devoir faire preuve de rigueur dans le travail fourni. D’ailleurs les normes
professionnelles analysées précédemment rappellent que la fonction doit respecter les règlements
qui la gouvernent. Emploi et adaptabilité du vocabulaire lié à la fonction, celui-ci pouvant varier
d’une entreprise à l’autre mais signifiant toujours la même chose. Mais aussi adaptabilité avec les
personnes participantes à la mission. Enfin, l’auditeur interne se doit d’être transparent dans sa
démarche et dans la diffusion des résultats.
SARL créée en 1997, Info Décision propose des services adressés uniquement aux
administrations publiques, ne cherchant pas à étendre sa clientèle au secteur privé. PME de petite
taille, les salariés y sont donc polyvalents et compétents. Le principal métier de cette société est la
commercialisation de solutions chômage.
Nous commencerons cette partie avec la réception de l’ordre de mission, puis nous
analyserons la prise de connaissance de cette entreprise pour finir sur l’identification des risques et
les objectifs d’Info Décision.
53
1. L’ordre de mission d’Info Décision
En tant qu’organe décisionnaire dans l’entreprise, Mme ALCARAZ, a formalisé sa demande
d’audit interne au sein de son entreprise Info Décision par le biais d’un ordre de mission.
Etiolles, le 09 mai 2012
ORDRE DE MISSION
Destinataire : Gérante de l’entreprise, Mme ALCARAZ

Objet : Audit du processus Assurance Dommages (Incendie, Accident et Risques Divers)
La mission sera réalisée par Mlle CIDRE, auditrice interne.

La réunion d’ouverture aura lieu le lundi 14 mai 2012.
La mission durera 3 jours du mardi 15 mai au jeudi 17 mai 2012, inclus.
Elle se proposera d’analyser le domaine assurantiel dans sa globalité :
- analyse des contrats ;
- concordance de l’environnement physique de l’entreprise avec le contenu des contrats ;
- étude des besoins en rapport avec l’existant.
L’auditrice se contentera d’analyser ces seuls points.
Cette mission se déroulera dans les locaux d’Info Décision à Etiolles (91), avec un bureau mis à
disposition de l’auditeur.
Le budget de la mission sera facturé de la manière suivante : 4600€ HT
Le rapport sera diffusé sur format papier et électronique le 28 mai 2012.
La gérante
Nathalie ALCARAZ
Suite à la réception de cet ordre de mission, la réalisation de l’audit peut commencer.
54
2. La prise de connaissance du secteur entreprise
Le cœur de métier de la société est la gestion des allocations pour la perte d’emploi et la
gestion des allocations chômage dans la fonction publique. Voici les services proposés par Info
Décision aux administrations publiques :
- Des solutions chômage afin de gérer au mieux ce risque, soit en interne, avec l’aide du
progiciel, soit en externe, avec des services associés ;
- Des formations métiers, afin d’accroître les compétences des salariés du secteur public ;
- Un logiciel web qui permet d’établir les Attestations Employeurs Dématérialisées ;
- Du conseil et de l’assistance juridique dans le secteur du chômage.
Même si l’entreprise s’est diversifiée, l’activité principale reste concentrée sur le progiciel
métier de gestion des dossiers chômage ainsi que sur l’externalisation et les formations. Mais la
concurrence est dense sur ces marchés, ce qui incite la société à développer de nouvelles méthodes
pour gagner des parts de marché.
L’ensemble de la clientèle d’Info Décision, collectivités locales et territoriales, est regroupé

sur le territoire Français, France métropolitaine et DOM-TOM. En effet, l’exportation de ces services
à l’étranger serait compliqué et lourd en démarches, d’autant plus que chaque pays à sa propre
règlementation en ce qui concerne le chômage. De plus, les formations sont très spécialisées, par
domaine, que ce soit en ressources humaines, marchés publics, ou encore sur les progiciels, et
l’entreprise n’aurait pas les ressources suffisantes pour la mettre en place.
Les organismes clients sont des centres hospitaliers, des mairies, des ministères, des
organismes indépendants, des rectorats et des communautés d’agglomération. Cette diversité de
clients permet à la société de s’adapter rapidement face à un marché en perpétuelle évolution.
Nous allons faire une description de chacun des services que propose la société.
 Le progiciel GALPE et l’externalisation de la gestion des allocations chômage
Ces deux solutions sont axées autour de la gestion des dossiers chômage dans les
administrations. Aujourd’hui, un employeur public peut gérer son risque chômage lui-même, c’est ce
qu’on appelle de l’auto assurance.
55
Plusieurs possibilités s’offrent alors à lui :
- Acquérir un logiciel métier, comme GALPE, qui permet d’automatiser les dossiers des
allocataires, et de fournir les éléments indispensables au moment du versement de
l’indemnité. Le logiciel est fiable, car il respecte les conventions chômage applicables depuis
plus d’une quinzaine d’années. Il équipe les plus grands organismes publics : La Poste, France
Telecom, la Réunion des Musées Nationaux, et sa qualité principale est la fiabilité juridique.
- Déléguer la gestion des dossiers à Info Décision, ce qui permet à l’organisme de se décharger
de cette charge de travail tout en ayant un droit de regard et de contrôle sur les opérations
effectuées sur les dossiers. L’équipe prend en charge le dossier dès la fin du contrat de
travail. Différents documents lui sont demandés afin de constituer son dossier, puis les
gestionnaires étudient ses droits et envoient un bilan de dossier à l’organisme public
indemniseur. Tous les mois, les éléments de la paie sont validés par le client pour indemniser
l’allocataire. Cette prestation est en plein essor face à la charge de travail dans les
administrations.
 Des formations métiers
Le panel de formations s’est élargi en même temps que la société s’est développée. L’offre
de formation d’Info Décision concerne 3 secteurs :
- Les marchés publics : permettant d’acquérir les notions essentielles pour mener à bien une
procédure de marché public.
- Les formations sur logiciels et informatique : pour maitriser les outils informatiques qu’édite
Info Décision. Différentes formations existent afin de rendre autonome les gestionnaires. De
plus, une formation réservée aux informaticiens existe, afin de paramétrer, d’installer et de
comprendre GALPE.
- Les Ressources humaines : Le domaine principal est la gestion des dossiers chômage, la partie
juridique est abordée pour que le stagiaire applique les notions apprises, nécessaires à
l’exercice de ses fonctions. D’autres thèmes existent, tels que la gestion des non titulaires, du
cumul d’emploi, de la retraite additionnelle.
56
Toutes ces formations sont destinées aux personnels des administrations, qu’ils soient
gestionnaires, ou responsables de service. Différents niveaux existent du débutant au plus
expérimenté, permettant à tous de s’adapter. Chaque participant reçoit une documentation lui
servant de support. De plus, après chaque session, il est demandé à chacun d’entre eux de remplir
une évaluation afin qu’Info Décision améliore la qualité de ses services.
 Le logiciel d’attestations employeur dématérialisées
La société a profité d’une nouvelle obligation légale, la transmission par voie dématérialisée
de l’attestation employeur à Pôle Emploi, pour se diversifier. Auparavant, remplies sur un formulaire
papier puis transmises à un centre de traitement, les données étaient ensuite sauvegardées.
Aujourd’hui, les établissements publics ont plusieurs possibilités pour déclarer ces données :
- le site internet de net-entreprise ;
- l’utilisation d’un module en complément du logiciel de paie (s’il existe) ;
Pour pallier à ces solutions non adaptées au secteur public, Info Décision a lancé en 2012
l’application « Web Infoattest » qui permet de déclarer ces données en prenant en compte les
particularités de ce secteur. Ce produit a achevé sa phase de lancement il y a peu et commence à
être utilisé par une cinquantaine d’établissements.
 Le conseil juridique
Forte de son expérience dans le domaine des Ressources Humaines, et plus particulièrement
sur le secteur du chômage, la société propose une offre qui inclut une assistance juridique.
L’offre de ces différents produits et services est possible car l’entreprise dispose des ressources
nécessaires.
 Ressources humaines :
La société est actuellement composée de 13 salariés, répartis sur trois niveaux de hiérarchie.
Mme ALCARAZ, gérante, et M. CHAFFANEL sont les deux associés, salariés, d’Info Décision. Ensuite,
les 11 salariés sont répartis selon les services, avec un mélange de statut cadre et de non cadre.
57
Organigramme d’Info Décision :
Gérante
N.ALCARAZ
Compétences Administration
Informatique chômage et RH et Commercial
Conseil Externalisation
Formation juridique chômage
Différentes compétences sont réunies au sein de la société ce qui lui apporte un fort pouvoir
de développement.
Mme ALCARAZ, gérante, se charge de toute la gestion (ressources humaines, administratif,…) ainsi
que de la partie commerciale (appels d’offres, suivi de dossiers) et de la formation.
M. CHAFFANEL possède des compétences dans le domaine juridique, notamment celui qui encadre
les administrations.
Le reste de l’équipe, qui compose l’externalisation, est quant à elle, très polyvalente, puisque chaque
salarié sait exécuter plusieurs tâches différentes.
Les personnes qui se chargent de la gestion des dossiers chômage se chargent également de la
facturation de leurs clients.
L’équipe informatique, gère à la fois les Hotlines liées aux problèmes informatiques, mais aussi le
développement quotidien des progiciels, ainsi que les versions de mises à jour.
L’équipe commerciale quant à elle multiplie ses activités : gestion du portefeuille clients, de la
facturation, des mailings, des contrats,…
L’ensemble des salariés possède donc diverses aptitudes tant au niveau managérial
qu’organisationnel. Des connaissances dans le domaine du Marketing, de l’expertise informatique et
juridique sont les principales clés de la réussite de la société.
58
La force principale est le fait que les salariés d’Info Décision collaborent ensemble afin de mener à
bien le travail à effectuer, même si le partage des tâches entraine parfois un léger ralentissement
dans l’avancée du travail de chacun.
 Ressources financières :
Info Décision a vu croitre ses moyens financiers. Depuis 5 ans, le chiffre d’affaires progresse
de 15% par an. Celui-ci s’élevait à 1 450 000 € en 2011.
Avec une telle progression, la société peut envisager un avenir plutôt serein, même si elle
reste vigilante, surtout en ces temps de crise avec une restriction du budget de l’Etat. De plus, grâce
à une trésorerie saine, et à une bonne gestion comptable, les dépenses et recettes sont gérées au
plus juste. D’ailleurs, la société ne souscrit à aucun emprunt pour financer ses projets, ce qui lui
permet d’être autonome.
 Ressources matérielles :
Aujourd’hui, la société dispose de locaux de 200 m² situés à Etiolles, en périphérie d’Evry

(Essonne). L’organisation se compose de :
- 3 bureaux : 1 pour le service externalisation, 1 pour le service commercial, 1 pour le service

informatique ;
- Chaque salarié dispose d’un bureau avec rangement et matériel informatique relié à Internet
et à un réseau interne ;
- Un téléphone est disponible pour chacun ;
- Des imprimantes sont branchées en réseau afin que chacun puisse éditer ses documents ;
- Une cave au sous sol de 80m² pour le stockage des archives (administratifs, dossiers
chômage) et la gestion des serveurs (messagerie et site web) ;
- Un parc d’ordinateurs portables et de téléphones pour les stagiaires qui sont formés par Info
Décision ;
- Une salle de réunion.
Après avoir pris connaissance de l’entreprise avec ses différentes activités et ses multiples ressources
humaines, financières et matérielles, il est maintenant tant d’identifier les risques liés aux activités
de cette entreprise.
59
3. L’identification des risques et la définition des objectifs
Pour cela, je me suis servie du « tableaux des risques » comprenant les 3 facteurs suivants :
l’exposition, l’environnement et la menace.
Pour le risque d’exposition, j’ai identifié les risques pesant sur les biens matériels de l’entreprise :
- Incendie des locaux (système électrique défaillant) ;
- Perte des données informatiques (virus ou piratage informatique) ;
- Perte des données confidentielles (support papier).
Pour le risque environnement, j’ai identifié les risques situé en périphérie de l’entreprise et pouvant
devenir source de risque :
- Responsabilité Civile du formateur lors des formations ;
- Responsabilité Civile liée aux conseils juridiques ;
- Incendie dans la résidence ;
- Dégâts des Eaux dans les locaux se situant au dessus ;
- Impossibilité d’accéder aux locaux pour cause de détérioration de la porte d’entrée
principale.
Pour le risque de menace, il a fallu analyser les menaces imprévisibles et invisibles, telles que :
- Vol par les femmes de ménage ;
- Vol par les livreurs qui viennent déposer les colis dans l’enceinte des locaux.
L’ensemble de ces risques restent généraux et nous verrons par la suite les réelles menaces qui
pèsent sur l’entreprise et pour lesquelles le processus d’assurance est envisageable.
A partir de ces risques de base, l’objectif sera de voir si tous ces risques sont couverts par le biais
d’un contrat d’assurance spécifique et si toutefois la couverture d’assurance est absente, en étudier
les causes, les conséquences et y remédier.
Cette première phase de préparation étant achevée, nous allons aborder la seconde phase
de cette mission : la phase de réalisation.
60
B) Etape 2 : la phase de réalisation
Cette phase opérationnelle est l’élément central de l’audit interne en entreprise, elle va
permettre de rencontrer les équipes et les membres du futur comité de pilotage. Une première
étude est élaborée, des échanges et des ajustements avec les audités se construisent autour de
l’ordre de mission initial.
1. La réunion d’ouverture
Une fois l’ordre de mission établi, la prise de connaissance de l’entreprise maitrisée et l’étude
des éventuelles forces et faiblesses d’Info Décision réalisée, j’ai fixé un rendez-vous avec la gérante
de la société le 14 mai 2012, par téléphone. Une fois le rendez-vous fixé, je lui ai adressé un mail
pour lui confirmer les modalités de cette réunion et lui ai demandé de préparer ce rendez-vous, en
rassemblant les éléments suivants :
- contrats d’assurances dommages ;

- organigramme des services ;
- plaquette des métiers et fonctions des salariés (si disponible) ;
- activités à risque de la société ;
- activités extérieures en présence de tiers.
De mon côté, je prépare également cette réunion en rédigeant des fiches synthétiques et des
schémas sur les éléments de mon intervention, à savoir : ma présentation personnelle, un rappel du
métier d’auditeur et du rôle de l’audit interne dans une entreprise, dans l’objectif de simplifier leur
lecture lors de l’entretien.
Arrivé le jour de la réunion, j’ai en ma possession les éléments préparés. Tenue vestimentaire
sobre et professionnelle, préparation et analyse du trajet, rappel rapide des éléments importants
sont les actions que j’effectue avant le rendez-vous physique.
Arrivée avec dix minutes d’avance dans les locaux, la secrétaire me fait patienter. J’en profite pour
prendre note des quelques aspects qui me sautent aux yeux et qui montrent la bonne santé de
l’entreprise : du matériel récent, des locaux agréables. Cela annonce une structure fiable, sérieuse et
performante. Mme ALCARAZ arrive, accompagnée de M. LEPLONGEON, son bras droit, et me guide
dans la salle de réunion où elle me propose de m’installer. Positionnée en face à face, je prononce
quelques phrases de courtoisie pour prendre contact avant d’entrer dans le vif du sujet.
61
Mon objectif est de récupérer un maximum d’informations, d’expliquer le déroulement de
l’audit et de guider l’entretien pour optimiser le temps de chacun. Je commence donc par prendre la
parole en expliquant mon métier, ma formation et l’objectif de cette réunion.
Mme ALCARAZ, à son tour, me présente la structure, son fonctionnement, le rôle des salariés
et le secteur d’activité de son entreprise. Je commence déjà à noter des informations qui me
semblent importantes et liées à ma mission. Je relève par exemple :
- la présence de documents juridiques sensibles qui n’appartiennent pas à la société mais qui
transitent par leurs locaux pendant plusieurs jours ;
- de nombreux déplacements extérieurs des salariés avec leur véhicule personnel ;
- des locations de locaux sur Paris et en province…
Ces informations se révèlent être autant de sources d’interrogations me permettant de mener à bien
cette mission.
Nous abordons l’ordre du jour, qui reprend les éléments de l’ordre de mission, à savoir :
détermination des membres qui effectueront la mission au sein de l’entreprise, délais et modes
d’échanges, moyens mis en œuvre pour effectuer l’audit (ressources,…), et planning des opérations.
Nous entamons une discussion sur les contrats d’assurances dommages et Mme ALCARAZ me
transmet les contrats d’assurances Responsabilité Civile et Multirisque professionnelles. Nous
continuons en évoquant des sujets qui m’ont alerté tels que les représentations extérieures ou
encore les déplacements professionnels. La protection des locaux est elle aussi évoquée et je relève
quelques dysfonctionnements.
Après plus d’une heure d’entretien et une prise de note synthétique, je décide de conclure,
tous les points ayant été évoqués. Nous fixons ensemble la date du prochain rendez-vous dans notre
agenda, et M. LEPLONGEON me photocopie l’ensemble des contrats, y compris ceux concernant la
location de salles extérieures pour que je les emporte.
Je prends congé en les remerciant de leur accueil et leur précise ma disponibilité future pour
leur apporter des informations à chaque stade de mon étude en attendant la phase de conclusion.
62
2. La concrétisation de mon action
A partir des documents en ma possession, je décide d’établir un tableau synthétique
regroupant tous les points à vérifier, contrôler et pour lesquels des axes d’amélioration pourront être
préconisés à la fin de ma mission.
Ce tableau est un véritable tableau de bord que j’ai alimenté au fur et à mesure de mes travaux. C’est
un point de repère indispensable pour ne pas être submergée par des informations non pertinentes.
Ce modèle est créé en fonction de la taille de la structure, de son métier et surtout de mon
expérience universitaire et professionnelle. Je décide donc de créer mon modèle, qui pourra évoluer
pour de futures missions dans de nouvelles structures.
Tableau de Bord - Audit Assurance Dommages 2012

INFO DECISION
Thème Assureur Sous-Thème Constat de l’existant Réglementation / Contrat Recommandations

Contrat conforme, à jour et
Assurance non obligatoire, mais En cas de changement ou de création
Responsabilité activité en adéquation avec le
GAN Aucun vivement conseillée. d’une nouvelle activité, prévenir
Civile contrat (création,
Souscription du contrat. l’assureur pour réajuster le contrat.
commercialisation, formation)
Protection et - Extincteur - Extincteur non révisé Extincteur obligatoire entreprise Révision des extincteurs – APSAD et
Prévention - Alarme - Alarme HS > 50 salariés. réparation de l’alarme.
- Alarme non obligatoire Pas de Pertes d’Exploitation et de

Multirisques Assurance non obligatoire mais
SWISS LIFE Bureaux Etiolles - Bris de machine assuré : 9.689 Protection juridique.
Professionnelle vivement conseillée.
€ Vérifier les plafonds de garantie.
SWISS LIFE -
- Location de salles Le loueur décharge sa Vérifier les contrats de location
Formations Rejet de Matériel professionnel, plafond
- Présence dans les responsabilité sur le preneur. régulièrement, en cas d’événement
extérieures responsabilité de garantie : 4.000 €
locaux clients Info Décision doit être couvert. exceptionnel (salon,…) s’assurer.
des loueurs
- Compris dans l’assurance, les

Vérifier que les salariés qui se
Déplacements MACIF + déplacements sont assurés RC automobile obligatoire.
- Des associés déplacent avec leur véhicule
véhicules assureur - Risque des déplacements des Distinguer les déplacements
- Des salariés personnel ont une extension pour les
professionnels personnel salariés si aucune assurance personnels et professionnels.
trajets professionnels.
professionnelle souscrite
Si les données sont vitales pour

Données - Données clients Garantie support information lié Aucune obligation de protection
SWISS LIFE l’entreprise, sauvegarde externe +
entreprise - Données Sté au bris de machine : 2.422 € de ses données personnelles.
assurance adaptée.
Après rédaction de ce document de travail, sur la base des contrats d’assurance, que vous trouverez
dans le rapport d’audit page 70, certains points me semblent urgents à traiter.
63
 Recommandation n°1 : la garantie Pertes d’Exploitation
Ce type de garantie est optionnelle mais indispensable dans le contexte de cette entreprise.
En effet, en cas de sinistre important (Incendie important, Dégâts des Eaux complet,…), les outils de
production principaux tels que les ordinateurs, les serveurs, les dossiers présents dans les armoires,…
pourraient être sérieusement touchés et endommagés.
Souscrire à la garantie Pertes d’Exploitation permettrait à l’entreprise de surmonter les
conséquences de la diminution de son chiffre d’affaires pendant plusieurs mois jusqu’au
rétablissement de l’activité. Le but étant que l’entreprise revienne dans la situation initiale qui était
la sienne avant la survenance du sinistre.
Appliqué à Info Décision, une interruption d’activité, suite à la destruction partielle ou totale
des outils de production, serait nuisible et amputerait la pérennité de la structure.
Je recommande vivement ce type de protection qui assurera un confort en cas de besoin et
l’assurance d’un soutien pour la structure.
 Recommandation n°2 : la garantie Protection Juridique
Cette garantie est également optionnelle mais elle permet d’être accompagné et aidé lors
d’une procédure juridique face à un tiers. Ce recours à la justice peut être initié par les deux parties
inscrites au contrat et sera réglé auprès du tribunal compétent.
Dans le cas d’Info Décision, la mauvaise exécution au niveau de l’externalisation des dossiers
ou une défaillance technique du progiciel vendu à une administration publique entrainant
d’importantes pertes financières, peuvent engager la responsabilité civile d’Info Décision.
L’administration publique lésée peut alors décider de faire appel à la justice pour régler ce différend.
Les procédures judiciaires étant longues et coûteuses, je recommande vivement cette
garantie.
 Recommandation n°3 : un contrat Multirisques informatique
Cette garantie n’est en rien obligatoire. Toutefois, son rôle est de couvrir l’intégralité du parc
informatique en cas d’évènement imprévisibles au sein des locaux mais également en dehors de
ceux-ci, lors de déplacements professionnels par exemple. La prise en charge de reconstitution des
données informatiques et des frais bancaires peuvent y être couverts en option.
64
Info Décision a aujourd’hui une garantie Bris de Machine sur le matériel informatique,
comprise dans le contrat d’assurance Multirisques de SWISS LIFE. Mais cette garantie est limitée. Et
lorsque l’on sait que l’entreprise a, dans ses locaux, des logiciels spécifiques, une banque de données
importante, des archives qu’il serait fastidieux et couteux de remplacer et un parc de matériel
informatique coûteux, je pense qu’il est important de la proposer.
Pour ce premier bilan, j’adresse un premier compte rendu à Mme ALCARAZ par mail, en lui
précisant de me faire un retour sur ces éventuelles remarques. Je lui propose d’approfondir certains
points si elle le souhaite et de m’informer de son intention d’appliquer ces recommandations.
Après quelques jours, Mme ALCARAZ fait suite à mon mail et me sollicite pour démarcher des
assureurs et proposer une comparaison des contrats actuels avec l’ajout des garanties Protection
Juridique et Pertes d’Exploitation.
3. La pré finalisation
Ayant eu l’accord de Mme ALCARAZ concernant ces recommandations, mes nouvelles
recherches vont s’axer sur le démarchage d’assureurs afin de trouver le meilleur contrat garanties /
prix, manquant à la société Info Décision.
Le plus important sera de trouver l’assureur qui proposera le contrat le plus clair et complet
et surtout au meilleur coût pour les finances de l’entreprise. Pour cela, j’oriente mes recherches sur
Internet dans un premier temps, sur lequel j’effectue des devis en ligne. Mais les informations
données sont approximatives et il n’est pas évident de comparer et d’obtenir un tarif en rapport avec
le besoin réel. Je décide donc d’entamer une prospection téléphonique auprès d’agences et de
courtiers. Voici les résultats de mes recherches :
 Garantie Pertes d’Exploitation et Protection juridique
Dans un premier temps, je fais appel au courtier, gestionnaire du contrat Multirisques

Professionnelle SWISS LIFE actuel, afin de connaitre l’augmentation annuelle qu’engendrerait l’ajout
de ces deux garanties. Il m’informe que l’ajout de ces garanties porterait la prime annuelle à 856,30€.
Puis, le résultat de mes recherches place la compagnie AXA dans les assureurs les mieux
placés en termes de prix et de garanties proposées. Le projet de contrat Multirisques Professionnelle
avec les garanties Pertes d’Exploitation et Protection juridique propose une prime annuelle de
893,14 €.
65
Suite à ces recherches, je fais part à Mme ALCARAZ des choix qui s’offrent à elle concernant
ces recommandations. Elle m’informe que la différence de tarif étant minime, elle souhaite rester
chez son courtier actuel et par conséquent chez SWISS LIFE.
 Assurance Multirisques Informatique
Ce type de contrat n’a pas encore été souscrit par l’entreprise. Je dois donc effectuer des devis
auprès des assureurs proposant ce contrat spécifique. Là encore, la compagnie AXA semble être la
mieux placée en termes de rapport garanties / prix. Le coût de ce contrat Multirisques Informatique
est de 828,42 € annuel.
J’informe Mme ALCARAZ du résultat de mes recherches, qui m’indique en retour que ce type
de contrat l’intéresse mais qu’il fera l’objet d’une étude plus tardive.
Je regroupe donc ces recommandations sous la forme de Feuilles de Révélation d’Analyse de

Problèmes (FRAP), soumises et approuvée par Mme ALCARAZ et intégrées au rapport d’audit.
C) Etape 3 : la phase de conclusion

Ma présence sur le terrain a été enrichissante. Les risques présents et potentiels ont été
détectés, tous les documents sont récoltés, la phase de conclusion peut alors débuter.
Cette dernière phase est cruciale pour l’auditeur interne dans le déroulé de sa mission,
puisque c’est à ce moment là que se met en place la rédaction du rapport d’audit interne et le suivi
des recommandations. Sans cette étape, la mission d’audit est inutile. Les audités et les organes de
direction veulent savoir ce qui est bien ou moyennement fait et ce qui peut être amélioré et de
quelle façon.
Afin de pouvoir prendre tout le recul nécessaire, l’auditeur retourne dans ses bureaux pour
entamer la rédaction du projet de rapport, qui sera ensuite validé lors de la réunion de clôture, pour
devenir le rapport définitif diffusé aux personnes et services concernés. Dans ce rapport, se trouve
les actions correctrices suggérées, à mettre en place par l’entreprise.
Tout d’abord, nous verrons comment s’est préparée et déroulée cette réunion de clôture.
Pour finir sur la rédaction du rapport définitif d’audit interne et le suivi des recommandations au sein
d’Info Décision.
66
1. La préparation et le déroulement de la réunion de clôture
A la fin de la phase de réalisation, j’ai obtenu, confronté et analysé toutes les informations
capitales concernant ma mission. Certaines recommandations importantes ont été communiquées
par mail à la gérante, qui m’a informé de ces intentions par retour de mail. Je peux alors commencer
la rédaction de mon « projet » de rapport, avant la dernière validation en face en face avec Mme
ALCARAZ et M. LEPLONGEON.
Le rendez-vous est fixé avec Mme ALCARAZ au 28 mai 2012, afin de réaliser la réunion de clôture.
Le jour J, je me présente à Info Décision. Nous commençons la réunion de clôture en

reprenant le projet de rapport afin de vérifier que les points indiqués soient clairs et
compréhensibles par tous. Quelques questions de principes surgissent mais le rapport est compris et
validé par Mme ALCARAZ et M. LEPLONGEON. Toutefois, je leur indique que je leur laisse quelques
jours supplémentaires pour relire à tête reposée ce projet de rapport et y annoter toutes les
questions pouvant à nouveau surgir afin que nous fassions un dernier point et que le rapport définitif
soit complet et en adéquation avec leurs attentes.
Nous fixons d’un commun accord un délai supplémentaire d’une semaine, leur permettant
de poser leurs dernières questions et d’annoter les dernières informations pour le 04 juin 2012. Je les
informe qu’à compter de cette date butoir, je rédigerais le rapport définitif d’audit interne dans son
intégralité et que je leur remettrai en main propre le 07 juin 2012.
A cette occasion, je leur explique que dans un délai d’un mois, je prendrais à nouveau
contact avec eux afin de m’assurer du suivi des recommandations et de fixer un nouveau rendez-
vous physique.
2. Le rapport d’audit interne

Comme convenu le 28 mai 2012, je reviens vers Mme ALCARAZ le 04 juin 2012 afin de savoir
si d’autres questions ou informations doivent être éclairées ou ajoutées au rapport. A ce moment-là,
Mme ALCARAZ et M. LEPLONGEON n’ont rien d’autre à ajouter, je me lance donc dans la rédaction
définitive du rapport d’audit interne.
67
68
69
70
71
72
73
74
75
1. Contrat d’assurance Multirisques Professionnelle
76
77
78
79
80
2. Contrat d’assurance Responsabilité Civile
81
82
83
84
3. Contrat d’assurance location locaux extérieurs
85
86
87
88
3. Le suivi des recommandations
Suite à la rédaction de ce rapport d’audit, je dois désormais le remettre en mains propres à
Mme ALCARAZ et M. LEPLONGEON, comme convenu lors de la réunion de clôture.
Je me présente chez Info Décision le 07 juin 2012, ayant au préalable reconfirmé le rendez-
vous avec Mme ALCARAZ par téléphone. Nous prenons place dans la salle de réunion. Mme ALCARAZ
souhaite lire le rapport définitif en ma présence.
Après lecture, elle me remercie pour le travail fourni ainsi que pour les recommandations
faites, me confirmant que sans mon intervention, ces différents points n’auraient pas forcément été
traités et qu’en cas de sinistre elle se rend compte que les dégâts et les conséquences auraient pu
être plus critiques et déstabilisants pour l’entreprise, que prévu.
Pour ma part, je leur adresse également mes remerciements pour l’accueil chaleureux de tous les
salariés et de leur totale coopération.
A la fin de cette entrevue, je leur rappelle que ma mission d’audit est certes terminée mais
que désormais c’est à eux de mettre en place les recommandations faites au terme de cet audit.
La mission d’un auditeur étant réellement achevée que lorsque les recommandations sont mises en
place et appliquées, je les informe que je souhaite à nouveau leur rendre visite dans un délai d’un ou
deux mois. Cette visite aura pour but de venir constater si la mise en place des recommandations a
vu le jour ou, si ce n’est pas le cas, définir avec eux les éventuels problèmes rencontrés et les
résoudre.
Au moment de ce dernier rendez-vous, les vacances d’été de chacun étant fixées, Mme
ALCARAZ m’informe qu’elle est absente du 13 juillet au 10 août 2012. Nous décidons d’un commun
accord de fixé un rendez-vous de suivi des recommandations un peu plus tard dans l’année, aux
alentours de la fin du mois d’octobre. En effet, Mme ALCARAZ m’indique que la période de la rentrée
scolaire est très chargée tant d’un point de vue travail que d’un point de vue rendez-vous extérieurs,
ce qui rend sa présence rare dans les locaux.
Au terme de cette rencontre, je précise à Mme ALCARAZ que je reste à sa disposition au cas où elle
aurait des questions ou si elle rencontrait des difficultés suite à cet audit.
89
Le suivi des recommandations de cette mission n’a pas pu voir le jour au moment de la
rédaction de ce mémoire, mais les indications, faites et promises par Mme ALCARAZ, laissent
supposer que les recommandations concernant l’ajout des garanties Pertes d’Exploitation et
Protection juridique, auront bien lieu.
La réalisation de ce cas pratique m’a permis de faire la relation entre la théorie et la pratique
de l’audit interne. Je me suis rendue compte qu’il n’était pas évident d’analyser et d’identifier les
risques, chaque entreprise étant différente et chaque secteur d’activité dépendant de
règlementations différentes. L’obligation d’avoir des connaissances variées et complètes est
indispensable et c’est d’ailleurs ce qui m’a parfois manqué. D’autre part, une des principales
difficultés rencontrées a été celle d’être acceptée par les salariés. Toutefois, je me suis aperçue qu’en
communiquant et en expliquant les tenants et les aboutissants du métier d’auditeur, les regards
évoluaient. Une fois que l’objet de ma venue leur avait été expliqué, les salariés ont accepté de
collaborer. Il en ressort que l’expérience est effectivement un facteur de réussite dans cette
profession. Toutefois, cette démarche a été enrichissante d’un point de vue humain mais aussi d’un
point de vue universitaire. La plus grande satisfaction étant de savoir que notre action a été
bénéfique pour l’avenir de l’entreprise.
90
Conclusion
L’Audit Interne pour tous et tous pour l’Audit Interne
Au fil de ce mémoire, nous avons vu que l’audit, de façon générale, est un mélange
d’observation des risques, d’identification de leurs causes et conséquences et de recherche de
solutions. Toutefois, la pratique de l’audit interne est loin d’être aussi simple et uniforme. Certes,
une méthodologie existe mais rien n’est définitif et obligatoire. C’est pourquoi, l’audit interne doit
être et devenir plus innovant dans ses démarches. Chaque situation est spécifique, parfois même
complexe. Le travail apporté doit donc être individualisé et adapté.
Quel serait le but d’un audit si la fin de la mission et le suivi des recommandations étaient
bâclés ? Le rapport d’audit ne doit pas être un simple « bout de papier » récapitulant le travail
accompli. Il doit être pertinent, constructif et surtout compris par tous les acteurs. Un rapport d’audit
qui ne serait pas compris serait inefficace, voire même source de conflits, d’autant plus si l’équipe
d’audit n’a pas su communiquer avec les parties prenantes. Une bonne communication est
primordiale et notamment lors du suivi. L’équipe d’audit doit garder à l’esprit qu’en l’absence de
suivi, elle ne remplit par son contrat. Trop souvent le suivi est perçu comme une perte de temps et
d’argent par les auditeurs, qui abandonnent trop facilement les entreprises à elles-mêmes et dont les
recommandations sont rarement mises en place. Peut-être serait-il intéressant d’obliger les
auditeurs en charge de l’audit en question de vérifier la bonne application des recommandations.
D’autant plus que, si la communication a été satisfaisante, les auditeurs auront la possibilité
d’intervenir auprès des responsables et de leur hiérarchie pour débloquer les éventuels doutes.
Nous avons pu observer qu’un facteur est décisif pour la fonction d’audit interne : sa place
dans l’organisation. Trop souvent, le service d’audit interne est annexé ou mis de côté, les dirigeants
ne comprenant pas ou n’estimant pas utile que le service d’audit soit au cœur de l’entreprise. Or,
pour mener à bien ces missions et avoir une connaissance parfaite de l’organisation, de la structure,
de la culture, l’équipe d’audit interne doit être au centre des courants d’échanges et des prises de
décisions. Sans quoi les relations entre le service d’audit interne et le reste de l’entreprise risquent
d’être aléatoires et compliquées.
91
Le meilleur outil pour un audit réussi est la communication entre tous. C’est d’ailleurs le
maitre mot d’un audit abouti. Les auditeurs doivent communiquer tout au long de la mission,
adaptant leur discours à chaque personne.
Si tous les éléments que nous venons de mentionner sont réunis et appliqués par les
organisations, les dirigeants, les responsables et les auditeurs, la recherche d’efficacité n’en est plus
au stade de recherche mais bien d’accomplissement. La réalisation d’audits internes est alors
synonyme d’efficacité et de valeur ajoutée pour l’entreprise. Mais pas seulement.
En effet, les auditeurs peuvent aussi profiter de leur propre travail pour toujours plus
s’améliorer et devenir de plus en plus efficace. Cette recherche de l’excellence va passer par
l’évaluation du travail fourni par les « clients » eux-mêmes. Quoi de plus logique que d’être évalué
par les personnes qui ont pu voir l’efficacité ou non de notre travail. Les équipes d’audit devraient
mettre en place ce système d’évaluation afin d’améliorer leur méthodologie, leur communication…
En conclusion, lorsque tout est mis en œuvre, l’Audit Interne est synonyme de performance
et de valeur ajoutée, tant pour les entreprises que pour la fonction en elle-même.
92
Bibliographie
 Livres :
 Ouvrage collectif, Manuel d’audit interne : Améliorer l’efficacité de la gouvernance, de contrôle

interne et du management des risques, 2011.
 IFACI, Méthodologie de conduite d’une mission d’audit interne : fiches méthodologiques, 2010.
 Jacques RENARD, Jean-Michel CHAPLAIN ; préfacé par Louis GALLOIS, Théorie et pratique de
l'audit interne, 7ème édition, 2009.
 Alain-Michel CHAUVEL, Méthodes et outils pour résoudre un problème : 55 outils pour améliorer
les performances de votre entreprise, 2006.
 Benoit PIGÉ, Audit et contrôle interne – 2ème édition, 2004.
 Etienne BARBIER, Mieux piloter et mieux utiliser l’audit : l’apport de l’audit aux entreprises et aux
organisations, 1999.
 Olivier LEMANT, Créer, organiser et développer l’audit interne : que faire pour réussir ?, 1999.
 Sites Internet :
 IIA
 IFACI
 AMRAE
 AMF
 LEGIFRANCE
 UFAI
 COSO
 ANC (Autorité des Normes Comptables)
93

Audit

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit

Transféré par

Droits d'auteur :

Formats disponibles

Thèse professionnelle

Année scolaire : 2011/2012

Je tiens à remercier l’ensemble des professeurs de la formation MBA Audit et Management

Je remercie ma tutrice et professeur, Mme Nathalie JEAN AUGUSTIN, responsable du

A) Deux fonctions et un processus........................................................................................P 9

1. La fonction d’audit externe ..........................................................................................P 9

2. La fonction d’audit interne ......................................................................................... P 12

3. Le processus de contrôle interne ................................................................................ P 15

B) L’audit interne : une profession encadrée ...................................................................... P 17

1. Les normes de qualification ....................................................................................... P 18

2. Les normes de fonctionnement .................................................................................. P 20

3. Le code de déontologie .............................................................................................. P 23

C) L’audit, quelle efficacité ? .............................................................................................. P 25

1. Les ressources humaines............................................................................................ P 25

2. Les ressources financières .......................................................................................... P 28

3. Les contraintes règlementaires .................................................................................. P 29

A) La phase de préparation ................................................................................................ P 32

1. L’ordre de mission ..................................................................................................... P 32

2. La prise de connaissance / familiarisation................................................................... P 34

3. L’identification des risques ........................................................................................ P 36

4. La définition des objectifs .......................................................................................... P 37

B) La phase de réalisation .................................................................................................. P 38

1. La réunion d’ouverture .............................................................................................. P 38

2. Le programme d’audit ............................................................................................... P 40

3. Le travail de terrain ................................................................................................... P 41

4. La validation des recommandations ........................................................................... P 44

C) La phase de conclusion .................................................................................................. P 44

1. Le projet de rapport d’audit ....................................................................................... P 44

2. La réunion de clôture ................................................................................................. P 45

3. Le rapport d’audit interne .......................................................................................... P 47

4. Le suivi du rapport ..................................................................................................... P 50

A) Etape 1 : la phase de préparation ................................................................................... P 53

1. L’ordre de mission d’Info Décision .............................................................................. P 54

2. La prise de connaissance du secteur entreprise .......................................................... P 55

3. L’identification des risques et la définition des objectifs ............................................. P 60

B) Etape 2 : la phase de réalisation ..................................................................................... P 61

1. La réunion d’ouverture .............................................................................................. P 61

2. La concrétisation de mon action................................................................................. P 63

3. La pré finalisation ...................................................................................................... P 65

C) Etape 3 : la phase de conclusion..................................................................................... P 66

1. La préparation et le déroulement de la réunion de clôture ......................................... P 67

2. Le rapport d’audit interne .......................................................................................... P 67

3. Le suivi des recommandations ................................................................................... P 89

Aujourd’hui, l’audit ne se limite plus au secteur de l’entreprise. Pour la vente et l’acquisition

Audit Interne : quelle valeur ajoutée pour l’entreprise ?

De la première rencontre à la diffusion du rapport et de la mise en place des actions

A) Deux fonctions et un processus

1. La fonction d’audit externe

Schéma des rôles et responsabilités des différents acteurs clé de l’organisation11 :

A la base de cette pyramide, se trouve « l’environnement de contrôle ». Il contient la culture de

B) L’audit interne : une profession encadrée

 le Code de déontologie regroupe les principes et les valeurs applicables à la

1000 – Mission, pouvoirs et responsabilités

1100 – Indépendance et objectivité

1311 – Évaluations internes

Il est indispensable de surveiller et évaluer en continu l’activité de l’audit interne. C’est

2. Les normes de fonctionnement

2000 – Gestion de l'audit interne

2020 – Communication et approbation

La réalisation d’un audit va demander la mobilisation de certaines ressources du service d’audit

2030 – Gestion des ressources

Ces ressources vont rassembler le savoir-faire, l’expérience et la compétence de l’équipe

2060 – Rapports à la Direction Générale et au Conseil

Selon les entreprises, la fréquence et le contenu de ces rapports dépendra de la volonté de la