Support de Formation Fondamentaux de L'audit-Complet-Cpacg

AUDIT INTERNE ET ORGANISATIONNEL
(Document préparé et présenté par TOURE ABOUBAKAR,
EXPERT EN AUDIT COMPTABLE ET FINANCIER

INTRODUCTION GENERALE
Au cours de ces dernières années, les mutations
géopolitiques et économiques ont contribué à
l’augmentation des risques au sein des organisations.
Ainsi, en période de croissance, comme de crise, la
conduite d’une organisation qu’elle soit publique ou
privée exige la mise en place de dispositifs de contrôle
adaptés afin d’optimiser l’efficience, l’efficacité et
l’économie de la gestion afin d’éviter de graves
défaillances telles que les détournements, les pertes
‘’inexpliquées’’ du chiffre d’affaires, de la clientèle, de la
production, les banqueroutes et les fraudes.
Pour pallier d’une part et résoudre d’autre part ces
faiblesses, le management des affaires devra désormais
imposer une véritable culture de contrôle. Cette culture
de contrôle contribuera au renforcement de la pérennité
et du dynamisme de l’organisation dans une période où la
recherche de productivité et d’économies de coûts
incitent à l’allègement des structures administratives.
En effet, tous les ‘‘stakeholders’’ de la vie économique
d’une organisation sont directement ou indirectement
concernés par les types et la qualité des contrôles mis
en place au sein de cette organisation. Ces contrôles
permettent normalement de réduire les risques précités
plus haut et d’optimiser l’efficacité des opérations.
Les contrôles se présentent sous plusieurs dénominations,
nous avons sans tomber dans l’exhaustivité, l’audit
(externe ou interne), le contrôle de gestion, le contrôle
qualité, l’inspection, le contrôle fiscale… Ils sont
recommandés par les usages des bonnes pratiques, par les
lois et normes de la profession, par le conseil
d’administration, etc.
Les objectifs de ces contrôles sont le plus souvent
corollaires avec les objectifs des fondateurs, dirigeants
et dans une moindre mesures des autres ‘’stakeholders’’.
Le Contrôle dont il est question est l’audit, plus
précisément l’audit interne.
Objectifs
Ce module a pour objectif d’aider les participants à :
 Connaitre les généralités de l’audit,
 Comprendre le positionnement de l’audit interne et le distinguer avec les
autres corps de contrôle,
 Connaitre le cadre de référence pour la pratique de l’audit interne,
 Maitriser la notion de contrôle interne
 Comprendre les composantes des normes d’audit interne,
 Comprendre le métier de l’auditeur interne,
 Identifier les objectifs d’une mission d’audit interne en fonction des risques
de l’activité auditée,
 S’approprier les différentes étapes d’une mission d’audit interne,
.
PARTIE I
GENERALITES
Chapitre I: Généralités sur l’audit
I- Définition
I-1- Bref historique de l’audit
Des contrôles ont existé dans les plus vielles civilisations
(Mésopotamie, Egypte, Rome…) ,mais l’audit au sens moderne du
terme est lié au développement du capitalisme industriel et
financier. A cet égard, la Grande-Bretagne a joué un rôle de pionnier
: dès 1844 en effet, son parlement le « British Compagny Act »
obligera les sociétés faisant appel à l’épargne publique à présenter
des comptes vérifiés par des personnes indépendantes.
Ces dispositions se retrouvèrent avec des décalages certes, dans la

plupart des législations des pays industrialisés. Ainsi, en France, la loi
sur les sociétés commerciales de 1867 créa la compagnie
«des commissaires de sociétés ».
I- Définition
L’utilité de l’audit s’est affirmée progressivement dans les pays
industrialisés, pour plusieurs raisons :
Des raisons structurelles :
La dissociation à partir des années vingt, dans les grandes
sociétés par actions, entre d’une part les apporteurs de fonds et
d’autre part, les dirigeants a rendu nécessaire la présence
d’auditeurs indépendants des parties chargés d’authentifier les
informations financières et comptables émanant des seuls
dirigeants ;
I- Définition
Des raisons structurelles :
Ces informations financières se sont progressivement enrichies
au fil des années et les utilisateurs se sont diversifiés ; à leur
tour, les administrations, le personnel, les créanciers, les ont
réclamées en souhaitant un haut degré de crédibilité ; de
mandataire des seuls actionnaires, les auditeurs ont été
conduits à assumer une fonction sociale de plus en plus large au
profit de nombreux utilisateurs potentiels.
I- Définition
Des raisons circonstancielles :
Le désastre financier de 1929, expliqué largement par une
information trompeuse et de qualité insuffisante, a incité les
pouvoirs publics à renforcer les moyens des autorités de
contrôle public à renforcer les moyens des autorités de contrôle
des marchés financiers (aux Etats Unis , par la création de la
SEC (Security of Exchange Commission) ou à améliorer le
dispositif de protection de l’épargne en France ,loi de 1935 sur
les sociétés.
I- Définition
I-2- Définition de l’audit
Un audit est simplement une méthode de contrôle, qui
permet de comparer ce qui existe de ce qui est prévu.
C’est une technique de travail précise relativement
contraignante mais aussi redoutablement efficace. Un
auditeur est avant tout un spécialiste de cette méthode.
Même s’il est compétent en comptabilité ou dans d’autres
domaines tels que le droit, la finance sa caractéristique
essentielle est la connaissance approfondie de la
méthodologie d’audit.
I- Définition
L'audit est une activité de contrôle et de conseil qui consiste pour un
agent (interne ou externe à l’entité) compétent et impartial à donner
un jugement sur l’organisation (le niveau de sécurité, la procédure,
ou sur une opération quelconque). Il est un examen critique ayant
pour but de vérifier la fiabilité des informations fournies par
l’entreprise.
L'audit est surtout un outil d'amélioration continue car il permet de
faire le point sur l'existant (état des lieux) afin d'en dégager les
points faibles et/ou non-conformes (suivant les référentiels d'audit).
Cela, afin de mener par la suite les actions adéquates qui
permettront de corriger les écarts et dysfonctionnements constatés.
I- Définition
 Audit vient du latin "audire" qui signifie "écouter" ; le verbe anglais "to audit" est
traduit par "vérifier, surveiller, inspecter". Les organisations économiques ont
toujours été contraintes à se faire contrôler. D’une manière générale, l’audit
consiste en un examen mené par un professionnel indépendant sur la manière
dont est exercée une activité, et sur les informations élaborées par les
responsables, par rapport à des critères d’appréciation relatifs à cette activité.
 L’audit financier est sans conteste, l’aspect de l’audit le plus connu et le plus
ancien. L’activité d’audit s’est ensuite étendue à tous les aspects du
fonctionnement de l’entreprise : audit social, audit juridique, audit industriel etc
Un audit peut se définir comme l’émission d’une opinion motivée sur la
correspondance entre un existant et un référentiel. Il est une mission à l’issue de
laquelle une opinion justifiée du niveau d’adéquation entre une situation et un
cadre de référence.
 2. Les objectifs fondamentaux de l’audit financier
 L’audit financier est un examen critique des états financiers (Bilan, Compte de résultats,
Tableau Financier des Ressources et des Emplois, Etat annexé). Les éléments comptables du
rapport du conseil d’administration sont considérés comme partie intégrante des supports de
l’audit.
 L’objectif assigné à l’auditeur est d’exprimer une opinion motivée sur la régularité et la
sincérité des états financiers.
 L’AICPA assignent à l’audit des objectifs similaires : « l’objectif de l’examen des états
financiers par l’auditeur est la formulation d’une opinion sur l’image qu’il donne de la
situation financière eu égard aux principes comptables généralement admis. Le rapport de
l’auditeur est le moyen par lequel il émet son opinion, ou, si les circonstances l’exigent,
refuse de le faire ».
 L’émission d’une opinion sur la qualité de l’information comptable est donc l’objectif
primordial de l’audit.
 Dans son rapport à l’assemblée générale ordinaire, le commissaire aux comptes déclare :
 Soit de certifier la régularité et la sincérité des états financiers de synthèse ;
 Soit d’assortir sa certification de réserves ou la refuser en précisant les motifs de ces
réserves ou de ce refus.
 L’appréciation de l’auditeur doit se faire à partir de deux éléments, le premier étant la
régularité des comptes, le second leur sincérité.
 Il convient d’expliciter ces deux termes qui visent la fidélité.
 Voir également l’énoncé des objectifs de la mission du commissaire aux comptes aux les
articles 710 à 717 de l’acte uniforme OHADA.
 a. Régularité
 La régularité peut être définie comme la conformité aux règles et procédures en
vigueur. « Qualité de ce qui est régulier, conforme à des règles », la régularité est
la conformité à la réglementation ou, le cas échéant, aux principes généralement
admis.
 La qualité de l’information financière s’apprécie donc d’abord au regard des
règles fixées par la jurisprudence et les organisations professionnelles
compétentes à préciser la doctrine comptable.
 Le fait de donner aux principes généralement admis un caractère supplétif est
révélateur des différences, voire des oppositions qui existent entre les
conceptions françaises et les conceptions anglo-saxonnes en matière de Droit.
 Dans le système anglo-saxon, un certain nombre de principes ont été dégagés,
que la pratique a retenus comme des bases de comptabilisation acceptables. Une
doctrine et une jurisprudence se forment au travers des études de cas.
 Dans le système français, plus formaliste, ces bases de comptabilisation sont
normalement définies par la loi et c’est seulement pour pallier les carences
éventuelles que les principes comptables non codifiés jouent un rôle.
Pratiquement, la profession est gardienne de l’application de la réglementation
et c’est lorsque où la réglementation est insuffisante qu’elle propose de
nouvelles doctrines.
 Ce qui apparaît donc, c’est que si l’expression « régularité » permet de traduire le
caractère très formalisé du droit comptable français, elle n’introduit cependant
aucune différence entre les objectifs d’un auditeur anglosaxon ; l’un et l’autre
vérifient le respect du droit comptable, qu’il soit formel ou coutumier.
 b. Sincérité
 Pour bien comprendre la notion de sincérité il est utile de retracer rapidement la
double évolution qui a conduit à son acceptation actuelle.
 Dans un premier temps, le terme sincérité s’est définit par opposition au terme
exactitude. En effet, lors de la rédaction de la loi de juillet 1966 (sur les sociétés
commerciales en France), l’Assemblée Nationale avait proposé de substituer le terme
« exactitude » à celui de « sincérité » contenu dans le projet gouvernemental. Le
rapporteur du projet au Sénat demanda que l’on revienne au terme de sincérité en
donnant les raisons suivantes : « au mot exactitude » s’attache une rigueur qui exclut
toute nuance, et le dictionnaire indique qu’est exact ce qui est conforme à la vérité.
 Il est impossible d’imaginer qu’un commissaire aux comptes puisse certifier
l’exactitude des stocks surtout dans les sociétés ayant 40 000 à 50 000 articles et
même dans les entreprises moyennes opérant dans les domaines particuliers, par
exemple, la quincaillerie. L’évaluation des provisions comporte, elle aussi, un
élément d’incertitude, qui fonctionnellement, exclut l’exactitude. Le commissaire
aux comptes ne peut pas attester qu’une provision est exacte, mais simplement
indiquer qu’elle a été estimée avec sincérité, c'est-àdire que les risques ont été
appréciés d’une manière raisonnable. »
 On peut ajouter que le terme « exactitude » recouvre deux aspects : exhaustivité
(l’ensemble des opérations est constaté) et traduction correcte (et donc régularité).
 La seconde évolution a un caractère pratique. Elle a consisté à prêter un sens
objectif à la notion de sincérité. Une première interprétation est de s’en tenir à la
lettre du terme utilisé. En considérant en effet, qu’est sincère « celui qui exprime
avec vérité ce qu’il sait, ce qu’il pense », il semble que la bonne foi des dirigeants
d’une entreprise soit une condition nécessaire et suffisante de la sincérité des
comptes. C’est la conception retenue par l’Institut Français des Experts
Comptables (IFEC) en 1970 dans son cahier n°1 consacré à l’exercice du
commissariat aux comptes : « les dirigeants d’une société, au moins pris dans leur
ensemble, possèdent incontestablement plus d’éléments que le contrôleur
externe, celui-ci ne peux donc substituer ses propres appréciation aux leurs. Mais,
en confrontant les points de vue, se forme une opinion sur la sincérité de ceuxlà ».
Ce qui revient à confondre la sincérité des comptes avec celle de ceux qui les ont
établis. Il est évident que cette conception restrictive de la sincérité n’aurait
apporté que bien peu de sécurité aux tiers ; les déformations apportées aux
comptes sont bien plus souvent un résultat de l’ignorance qu’une manifestation de
mauvaise foi.
 Il a donc fallu élargir le sens de l’expression dans laquelle on s’était enfermé. On a
fait apparaître la notion de « sincérité objective », certes discutable sur un plan
sémantique, mais indispensable sur le plan pratique : seraient sincères, des
documents financiers tels que les établirait un professionnel, indépendant, de
bonne foi, placé devant les problèmes techniques et l’interprétation qui s’y
attache. Pratiquement, les comptes sincères résulteraient d’une parfaite
connaissance :
 Des règles et de leur application ;
 De la situation de l’entreprise ;
 De la perception extérieure des comptes ainsi présentés (afin que le contenu n’en
soit pas perçu de manière déformée).
 Cette conception retenue par la Commission des Opérations de Bourse (COB) est
celle selon laquelle, « la sincérité résulte de l’évaluation correcte des valeur
comptables ainsi que d’une appréciation raisonnable des risques et des
dépréciations de la part des dirigeants ». c. Fidélité
 La fidélité est intimement liée à la régularité et à la sincérité. La fidélité rime
avec la fiabilité. C’est la caractéristique qualitative de l’information qui vise à
rendre celle-ci sûre, capable de traduire fidèlement la réalité économique et
financière.
 Cette fiabilité est liée aux dispositifs de fond et de forme à savoir : § La
définition des règles d’évaluation et de présentation ; § L’application de celle-
ci avec régularité et sincérité.
II- : LES MOBILES DE L’AUDIT
 Plusieurs raisons poussent les opérateurs économiques à commander une

mission d’audit. Il convient de les citer. Ce sont notamment :
1. L’obligation légale Commissariat aux comptes
 La détection de la fraude
 L’amélioration de la gestion Audit
contractuel
 La confiance des bailleurs
 1. Audit et l’obligation légale
 La loi impose à certaines entreprises un audit financier annuel. Cet audit est
appelé « commissariat aux comptes » ou audit légal.
 En effet, l’obligation de nommer un ou plusieurs commissaires aux comptes
concerne aussi bien les SARL, les SA que les GIE.
 a. Cas d’une SARL
 Aux termes de l’article 376 de l’Acte uniforme portant sur les Sociétés
Commerciales et les GIE, les SARL qui remplissent une des trois conditions
suivantes :
 Capital Social supérieur à un millions (10.000.000) de francs CFA ;
 Chiffre d’affaires annuel supérieur à deux cent cinquante millions (250.000.000)
de francs CFA ;
 Effectifs permanent supérieur à 50 personnes ;
 Sont tenues de désigner au moins un Commissaire aux comptes.
 La nomination d’un Commissaire aux comptes est facultative dans les autres cas.
 Elle peut toutefois être demandée en justice par un ou plusieurs associés
détenant, au moins, le dixième du capital social.
 Aux termes de l’article 379, le Commissaire aux comptes est nommé pour trois
exercices par un ou plusieurs associés représentant plus de la moitié du capital
social.
 b. Cas d’une SA
 Aux termes des articles 702, 704 et 705 :
 Les SA qui ne font pas publiquement appel à l’épargne, ont l’obligation de désigner un
Commissaire aux comptes et un suppléant ;
 Les SA qui font publiquement appel à l’épargne, sont tenues de désigner au moins deux
Commissaires aux comptes et deux suppléants. Le premier Commissaire aux comptes et son
suppléant sont désignés en référence aux statuts ou par l’Assemblée Générale Constitutive.
 En cours de vie sociale, le Commissaire aux comptes et son suppléant sont désignés par
l’Assemblée Générale Ordinaire.
 Un Commissaire aux comptes désigné en référence aux statuts ou par l’Assemblée Générale
Constitutive, a un mandat de deux exercices sociaux.
 Un Commissaire aux comptes désigné par l’Assemblée Générale Ordinaire, exerce ses
fonctions pendant six exercices sociaux.
 En cas d’omission d’élection d’un Commissaire aux comptes titulaire ou suppléant, tout
actionnaire peut demander en référé au président de la juridiction compétente, la
désignation d’un Commissaire aux comptes
 (titulaire ou suppléant), le Président du Conseil d’Administration, le Président Directeur
Général, l’Administrateur Général dûment appelé. Le mandat ainsi conféré prend fin lorsqu’il
a été procédé par l’Assemblée Générale à la nomination du Commissaire aux comptes.
 c. Cas d’un GIE
 C’est l’article 880 de l’acte uniforme portant sur le droit des sociétés commerciales et des
groupements d’intérêt économique qui, traite de la nomination des Commissaires aux
comptes dans les GIE.
 Il y est énoncé qu’un ou plusieurs Commissaires aux comptes choisis sur la liste officielle des
Commissaires aux comptes doit exercer le contrôle des états financiers de synthèse. La
nomination des Commissaires aux comptes est effectuée pour une durée de six exercices.
 2. Audit et détection de la fraude
 Il est de toute évidence que la détection de la fraude occupe un des objectifs
fondamentaux du contrôle des documents financiers. Cependant, il est à noter que
les objectifs ont évolué :
 Jusqu’à la fin du XIXe siècle, la finalité de l’audit était orientée principalement
vers la recherche de la fraude. Les modes de contrôle étaient donc axés vers la
vérification détaillée, voire exhaustive, des pièces comptables ;
 A partir du début du XXe siècle, la nécessité d’émettre un jugement sur la validité
globale des états financiers apparaît parallèlement à la recherche de fraudes ou
d’erreurs. Les méthodes de sondages sur les pièces justificatives, par opposition à
leur vérification détaillée, font leur apparition. Cette évolution a été imposée par
la forte croissance de la taille des organisations contrôlées qui a augmenté le coût
des audits ;
 Après le milieu du XXe siècle, la finalité affirmée de l’audit se limite désormais à
l’émission d’un jugement sur la validité des comptes annuels. En outre,
l’importance donnée à la revue des procédures de fonctionnement de l’entreprise
s’accroît progressivement pour devenir aujourd’hui primordiale. En effet, face à
l’augmentation de la taille et de la complexité des entreprises, les auditeurs ont
peu à peu assimilé l’intérêt de la qualité des procédures internes pour s’assurer de
la fiabilité des informations produites par le système comptable.
 Par exemple, au début du 20ème siècle, en Amérique du Nord on considérait
volontiers que l’auditeur avait pour mission (dans la perspective d’un audit fait
pour la direction) de découvrir les actions frauduleuses commises par les
employés. Cette tendance, écartée par la profession, ferait du praticien une sorte
de détective chargé de découvrir toutes les malhonnêtetés, si insignifiantes
qu’elles soient, dont pourraient se rendre responsables les salariés de l’entreprise.
 Il convient de retenir que la détection de la fraude doit être envisagée comme
une conséquence et non comme une finalité. Considérons sous cet angle, les
deux principaux types de fraude :
 Les détournements effectués à des fins personnelles résultent inéluctablement
de l’existence d’une faiblesse dans le contrôle interne de la société. De la
détection de ce type de fraude ressortent prioritairement des attributions de la
direction de l’entreprise et non de celles de l’auditeur. Celui-ci, cependant, est
amené à s’en préoccuper à partir du moment où apparaît la possibilité d’une
altération matérielle des comptes. Dans cette mesure, il paraît souhaitable que
l’auditeur ait une connaissance générale des indices qui doivent normalement
éveiller chez lui, une certaine suspicion :
 le comptable trop consciencieux qui travail de longues heures sans jamais prendre
de vacances ;
 les modifications fréquentes apportées à certaines écritures, les enregistrements
manquants ;
 les comptes qui sont trop mouvementés ou trop peu ;
 les charges d‘un montant anormal ;
 les comptes mal identifiés (en particulier les comptes de suspens) ; sont autant de
manifestations qui, chez l’auditeur de quelque expérience, déclenchent
normalement une certaine inquiétude. A partir du moment où l’auditeur redoute
la présence d’une fraude, soit pour avoir décelé une faiblesse d’organisation, soit
pour avoir remarqué un indice suspect, il va de soi qu’il est dans l’obligation de
faire le nécessaire pour éclaircir la situation, à moins toutefois, qu’il puisse
écarter la possibilité d’une altération matérielle des comptes ;
 Les irrégularités dont une direction peut se rendre coupable en établissant ses
documents financiers. Elles ont généralement pour conséquence de donner une
image déformée de la situation financière et elles sont donc susceptibles
d’engager la responsabilité professionnelle de l’auditeur. Il est donc
particulièrement important de rappeler que le praticien a dans ce domaine, une
obligation de moyen et non une obligation de résultat. Par la suite, il n’est tenu
de détecter les fraudes que dans la mesure où, s’il a fait preuve de diligence
normale, il doit inévitablement en déceler l’existence.
 On ne pourrait donc engager sa responsabilité au sujet d’une fraude importante,
aussi ingénieuse que bien dissimulée, que seule une investigation axée sur la
fraude aurait pu détecter.
 L’auditeur doit révéler les fraudes que son action lui fait découvrir. Il ne doit
en aucun cas aborder ses contrôles en présumant la mauvaise foi ou la
malhonnêteté des différentes personnes – exécutants et dirigeants qui
contribuent à l’élaboration des états financiers.
 La citation suivante, qui émane de l’American Institute of Certified Public
Accountants (SAS, n° 1, 1973), exprime ce que doivent être les préoccupations
de l’auditeur : « lorsqu’il fait un audit normal, l’auditeur est conscient des
possibilité de fraude. Une altération des documents financiers peut résulter soit
de détournements de fonds ou d’une irrégularité similaire, soit de manœuvre
imputable à la direction soit même des deux à la fois. L’auditeur sait bien que la
fraude, si elle a des conséquences significatives, peut influencer son opinion sur
les états financiers. Et, ses contrôles réalisés en conformité avec les diligences
normales en matière d’audit, prennent en considération cette possibilité. Mais un
audit normal, qui doit permettre l’expression d’une opinion sur des états
financiers, ne peut avoir pour objectif premier ou spécifique- il ne faut d’ailleurs
rien à attendre de tel - la découverte des détournements de fonds et autres
irrégularités… ou des altérations intentionnelles des états financiers par la
direction ».
 3. Audit et amélioration de la gestion
 Un des effets possibles de l’audit est le perfectionnement général des procédures
de la société. On s’y réfère généralement en parlant d’audit constitutif. Au cours
de sa démarche, en effet, l’auditeur peut être conduit à relever des imperfections
dans l’organisation et dans les procédures de la société et à les communiquer à la
direction.
 L’amélioration des résultats est la conséquence d’une démarche qui vise
fondamentalement à vérifier les documents financiers. L’amélioration des
procédures résulte, nous le verrons, de la mise en œuvre d’un audit ; mais elle
n’est pas pour autant l’objectif qui détermine l’action de l’auditeur. Il est
d’ailleurs évident que si ce n’était pas le cas, l’auditeur devrait être à la fois
comptable, expert juridique, contrôleur de gestion. Or le rôle de l’auditeur n’est
pas d’apporter un guide aux décisions de la direction, mais d’émettre une opinion
sur la régularité et la sincérité des documents financiers. De plus il est clair que si
le praticien participait directement à la prise de décisions incombant à la
direction, il mettrait en péril l’indépendance.
 Il résulte de tout ceci que :
 L’intervention de l’auditeur a normalement des aspects constructifs : les contrôles
réalisés amènent le praticien à déceler des imperfections et à identifier des
problèmes qu’il devrait naturellement faire profiter aux dirigeants de l’entreprise.
C’est ainsi qu’en France les organisations professionnelles reconnaissent au
réviseur légal la possibilité de présenter des avis et des conseils dans le cadre de
ses contrôles. On peut, sur ce plan, se référer à la recommandation n°7 des
Recommandations diverses du Conseil national : « le Commissaire aux comptes a
intérêt à maintenir des relations fréquentes avec les dirigeants. A l’occasion de
ces contacts, le Commissaire aux comptes n’est pas tenu de refuser de répondre à
une question qui lui serait posée sur la régularité et la traduction sincère des
comptes d’une opération envisagée sous le prétexte que celle-ci n’est pas encore
réalisée et que le Commissaire aux comptes ne se prononce que sur des documents
déjà établis ».
 Et encore, toujours dans cette recommandation, « le Commissaire aux comptes ne
peut se désintéresser des conditions de fonctionnement de la société, au sens le
plus large, qui peuvent avoir une incidence sur la régularité et la sincérité des
comptes,
 Il est utile qu’il signale aux dirigeants les points sur lesquels une amélioration est
nécessaire. Parce que son contrôle est permanent, il est souhaitable que le
Commissaire aux comptes ne l’exerce pas seulement a posteriori et dans une
optique « répressive », mais lui donne un caractère au regard de sa mission de
protection des actionnaires et des tiers ».
 Lorsqu’il agit dans un cadre légal, l’auditeur doit se tenir à l’écart des décisions
prises par les dirigeants. Cette interdiction est formalisée en France par une série
de dispositions contenues dans la loi du 21 juillet 1966 :
 L’article 228 interdit au Commissaire aux comptes, toute immixtion dans la gestion de
l’entreprise ; ce sont les dirigeants, et personne d’autre, qui sont chargés de gérer la
société. Il en résulte que le Commissaire aux comptes ne peut participer à une décision
de gestion ; il ne peut se substituer aux organes de la société, par exemple, pour
redresser, ou refaire une comptabilité ; il n’a pas d’avantage le droit de donner des
informations sur la gestion ou de la critiquer ;
 Les dispositions de l’article 220-4 de la même loi prévoient que la mission de
Commissaire aux comptes est incompatible avec le fait de recevoir « un salaire ou une
rémunération quelconque, à raison des fonctions autres que celles de Commissaire aux
comptes » : soit de la société elle-même soit d’une société possédant 1/10 du capital,
soit des fondateurs, apporteurs en nature, administrateurs (ou membres du directoire ou
du conseil de surveillance) de la société ou de ses filiales.
 C) Lorsqu’il agit dans un cadre contractuel, l’auditeur ne rencontre pas
évidemment les limitations que nous venons de définir. Il peut intégrer dans sa
mission des aspects supplémentaires, tels que des réorganisations comptables ou
des études de gestion, mais il déborde alors de l’objectif fondamental de l’audit,
qui est la vérification des documents financiers.
 4. La confiance des bailleurs de fonds
 Lorsqu’un pays ou une entreprise a sollicité un prêt auprès d’un organisme
(IDA, FMI, BANQUE MONDIALE) ou d’une banque pour financer un projet, un
audit peut être demandé par le bailleur.
 L’objectif de l’audit est de demander à un auditeur la formulation d’opinion
professionnelle sur la situation financière présentée dans les états financiers.
L’audit permettra aux bailleurs de s’assurer que les fonds ont été utilisés
conformément à leur objet pour éventuellement décider de poursuivre la
coopération.
 5. Fondements juridiques de l’audit contractuel
 L’auditeur est lié à l’entreprise par un contrat considéré par les juristes
comme un contrat de louage d’ouvrage par lequel l’une des parties s’engage
à faire quelque chose pour l’autre, moyennant un prix convenu entre elles.
 Elément du contrat : Les quatre conditions fixées par le code civil doivent
être respectées pour que la convention passée entre l’auditeur et son client
soit valable. Ce sont : le consentement des parties qui s’obligent, la capacité
de contracter, un objet certain qui est à la base de l’engagement, une cause
licite dans l’obligation.
 Formation du contrat : Bien que la forme non écrite soit parfois usité compte
tenu de la confiance qui existe entre le client et l’auditeur, il est conseillé
par les normes professionnelles que l’Expert-comptable et son client
définissent leurs obligations réciproques par un écrit ou une lettre de mission.
 La lettre de mission doit comporter les éléments suivants :
 L’identité des parties ;
 La présentation globale de la mission ;
 Les obligations de l’auditeur ; en fin de mission, l’auditeur sera tenu de faire un
rapport. Si la demande est faite par un tiers, il sera utile de prévoir si un
exemplaire du rapport pourra être communiqué à l’entreprise ;
 Les obligations du client, dont l’absence d’exécution pourra dégager l’auditeur de
son engagement ;
 Des clauses diverses, possibilité de réalisation du contrat, clause de responsabilité,
extension possible de la mission, fixation des honoraires, exercice du secret
professionnel…
 Obligations de l’auditeur et de son client : Il est important de vérifier
l’exactitude de toutes les informations communiquées par le client.
Cependant le professionnel a une obligation de diligence en matière d’audit
contractuel. Il s’agit d’une obligation de moyens et non d’une obligation de
résultat. Il ne doit pas rechercher systématiquement toutes les erreurs ou
fraudes. Mais, compte tenu de son obligation à s’assurer de la régularité et de
la sincérité des comptes, son travail devra être organisé en conséquence pour
l’établissement de son opinion.
 Le client, quand à lui, a une obligation de coopération et de facilitation de l’exécution de la
mission dans la mesure de ses moyens.
 Responsabilité de l’auditeur contractuel : La responsabilité qu’assure un expert-comptable
trouve sa source dans les textes légaux, la réglementation professionnelle et les clauses
contractuelles. Elle peut être civile, pénale, fiscale ou disciplinaire.
 La responsabilité civile est contractuelle. Elle a pour fondement une obligation générale de
diligence, contrepartie de la confiance accordée par le client, que la loi impose à l’expert-
comptable.
 La responsabilité pénale de l’auditeur pourra être engagée s’il a enfreint certaines
dispositions du droit des affaires (Acte uniforme OHADA portant sur le droit des sociétés
commerciales et du groupement d’intérêt économique) ou de la législation fiscale, soit comme
auteur principal, soit comme complice (faux en écriture, banqueroute, escroquerie, abus de
confiance, infraction aux lois sur les sociétés).
 La responsabilité disciplinaire de l’expert-comptable peut être engagée devant l’Ordre
auquel il est inscrit.
III- Typologie d’audit
III-1- Audit externe / Audit interne
III-1-1- Audit externe
L’audit externe est une expertise professionnelle effectuée par un agent
indépendant extérieure à l’entreprise aboutissant à un jugement par
rapport :
▪ à une norme sur les états financiers,
▪ le contrôle interne,
▪ l'organisation,
▪ la procédure,
▪ ou une opération quelconque d'une entité.
« L’audit externe est une fonction indépendante de l’entreprise dont la
mission est de certifier l’exactitude des comptes, résultats et les états
financiers ».J. RENARD (2000 : 65)
De même l’indépendance de l’intervenant et l’objectif de certification ont
été réaffirmés dans la définition de l’audit externe de l IFACI (2000 : 34) :
« Examen de l’exactitude des comptes et des résultats d’une organisation
par un prestataire externe habilité à cet effet, en vue d’aboutir à leur
certification éventuelle ».
Notons toutes fois que L’audit externe peut être un audit
comptable et financier (audit contractuel et audit légal), un
audit organisationnel, un audit de gestion ou un audit fiscal.
 Audit Comptable et financier
L’audit comptable et financier a pour objectif de permettre à
un professionnel de formuler une opinion, exprimant si ces
comptes sont établis dans tous leurs aspects significatifs
conformément au référentiel comptable qui leur est
applicable.
 Audit Comptable et financier
L’audit comptable et financier est un examen critique des
informations comptable et financière d’une entreprise afin
de s’assurer de leur fiabilité et sincérité dans le but de
donner une opinion motivée.
La fonction de l’audit financier et comptable est d’apporter
aux états financiers établis et publié par ceux qui en ont la
charge, un regard extérieur et une assurance indépendante qui
renforcent leur crédibilité.
 Audit organisationnel
L’audit organisationnel consiste dans l’examen systématique des
activités d’une entité au regard des objectifs qu’elle poursuit, en
vue d’évaluer son organisation, d’identifier ses pratiques
improductives, inefficaces et d’en tirer des recommandations
d’amélioration.
L’audit organisationnel a pour objectif d’évaluer les structures, les
procédures et les systèmes d’informations de l’entité. Elle est
effectuée pour aider la direction générale à maitriser les
opérations de l’entité.
 Audit organisationnel
L’audit organisationnel est la photographie d’une
organisation ou d’un département au regard d’une
problématique à un instant T. Réaliser un audit
organisationnel consiste donc à comprendre le fonctionnement
d’une organisation pour en déterminer les points faibles, les
points forts et les dysfonctionnements.
 Audit de gestion
L’audit de gestion a pour objectif d’évaluer les
performances de l’entité par rapport à son environnement, Il
consiste également à évaluer les méthodes et instruments de
gestion et les conditions d’exploitation.
 Audit fiscal
L’audit fiscal est un examen critique de la situation fiscale
d’une entreprise. C’est l’ensemble des opérations de contrôle,
des recoupements et des vérifications effectuées au sein d’une
entreprise. Il permet ainsi de faire le point sur la stratégie
fiscale, afin de proposer d’éventuelles solutions de nature à
rendre la gestion fiscale plus performante. Il permet
également de diminuer la charge et de minimiser le risque
fiscal que l’entreprise peut subir à cause de sa gestion.
III-1-2- Audit interne
L’audit interne est à l’intérieur d’une société, une fonction
« indépendante » d’appréciation et d’évaluation des autres
contrôles. Elle joue à ce titre le rôle de contrôle et est au
service de la direction générale.
L’Audit Interne est une activité indépendante et objective qui
donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.
III-1-2- Audit interne
Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité .
Les missions d’audit interne sont de typologie variées :
régularité, efficacité ou de management et concernent soit
des fonctions, soit des services, soit des procédures.
III-1-2-1 – Classification par fonction
 Audit de régularité / Audit de conformité
L’Audit de régularité consiste en l’application des règles,
procédures, description de postes, organigrammes et systèmes
d’information. Il compare la règle et la réalité, ce qui «
devrait être » et « ce qui est » par rapport à un référentiel.
L’audit de régularité est aussi appelé audit de conformité :
dans le premier cas, on observe la régularité par rapport aux
règles internes de l’entreprise et dans le second cas la
conformité avec les dispositions légales et réglementaires.
Dans ce type de missions d’audit interne, le travail de l’auditeur
consiste à :
✓ Signaler les irrégularités,
✓ Analyser les causes et conséquences,
✓ Proposer et à formuler les recommandations.
En résumé, l’audit de régularité ou de conformité a pour objet
de vérifier que le fonctionnement réel ainsi que les pratiques
de gestion usuelles correspondent aux règles, règlements et
procédures établies par l’organisation.
 Audit d’efficacité et de performance
En plus de la conformité et de la régularité, l’auditeur devra apprécier la
qualité du référentiel proposé. Il se doit de répondre à un certain nombre
de questions comme « telle procédure est-elle opportune ? superflue ?
désuète ? compliquée à appliquer ? inutile ? incomplète ? inexistante ? ». A
ce stade, il n’y a pratiquement pas de référentiel, l’auditeur est guidé par
un souci de performance et c’est son expérience et sa bonne connaissance
de l’organisation qui le guident dans sa démarche.
 Audit de management
Il ne s’agit pas, comme certains peuvent le penser encore, d’auditer la
Direction Générale en portant un quelconque jugement sur ses options
stratégiques et politiques. En aucun cas, l’auditeur ne peut s’intéresser au
fond des choses : ce ne sont pas ses objectifs et il n’a pas la compétence
pour le faire. Il faut donc dire et répéter que l’existence d’un service
d’Audit Interne n’altère en rien la liberté de choix et de décision des
Directions Générales.
En revanche, observer les choix et les décisions, les comparer, les
mesurer dans leurs conséquences et attirer l’attention sur les
risques ou les incohérences relève bien de l’Audit Interne.
Pratiquer l’audit de management c’est donc toujours, et quelle
que soit la définition retenue, observer la forme et non le fond.
L’audit de management peut s’apprécier aujourd’hui de trois façons
différentes.
- Dans la première conception; l’auditeur interne se fait présenter par le
responsable du secteur audité la politique qu’il doit conduire. En d’autres
termes il doit solliciter de son interlocuteur « Monsieur le responsable de
l’entretien, quelle est votre politique d’entretien? » ou « Monsieur le
responsable du recrutement quelle est votre politique de recrutement? »
L’audit de management peut s’apprécier aujourd’hui de trois façons
différentes.
« Monsieur le responsable des ventes , quelle est votre politique des
ventes? » ou en d’autres termes, « Comment concevez vous la mission qui
vous est assignée? »
L’exposé étant fait ,et la connaissance de cette politique étant acquise,
l’auditeur va regarder dans quelle mesure cette politique est en ligne avec
la stratégie de l’entreprise ou avec les politiques qui en découlent.
La politique d’entretien est elle cohérente avec la politique
d’investissement? La politique de publicité est elle cohérente avec la
politique de marketing et celle dans la ligne stratégique définie avec la
Direction Générale? Ainsi se définit l’audit de management : à l’occasion de
chaque audit une réflexion de type « audit de conformité » mais portant
sur ce domaine spécifique et d’application délicate qu’est le domaine
stratégique.
- La deuxième conception de l’audit de management : dans cette optique
l’auditeur ne porte plus son regard vers le haut mais vers le bas, non plus
vers les aspects politiques et stratégiques de l’entreprise compris dans leur
globalité mais vers la mise en œuvre sur le terrain. Dans cette démarche en
effet, l’auditeur s’étant fait expliquer comme dans le premier cas quelle est
la politique du responsable audité quelle est sa mission, il va ensuite se
rendre sur le terrain pour examiner dans quelle mesure cette politique est
connue , comprise et appliquée et si ceux qui sont chargés de la mettre en
œuvre ont bien en main les moyens pour le faire.
Là encore, nous avons à faire à une sorte d’audit de conformité mais
conformité non plus entre une politique et la stratégie globale , conformité
cette fois entre une politique et sa mise en oeuvre.
- La troisième conception de l’audit de management est évoquée pour
mémoire car peu utilisée. Elle existe dans certains grands groupes
internationaux dans lesquels on doit respecter un processus formalisé
d’élaboration de la stratégie de l’entreprise. En d’autres termes, la
direction générale locale doit suivre un certain processus de concentration
de propositions et d ’approbation avec la direction générale du groupe: au
terme de ce processus , la stratégie à retenir est définie et approuvée.
- L’audit de management va consister à réaliser l’audit de ce processus
d’élaboration de la stratégie , donc là audit de conformité mais portant sur
une matière noble dans laquelle la direction générale est impliquée au
premier au premier chef savoir le respect des règles définies pour
l’élaboration de la stratégie.
III-1-2-1 – Classification par destination
La classification par destination se résume au regard de la
vérification sur les fonctions ou activités de l’entreprise. Pour
exemple, on a :
✓ l’audit de la fonction achat,
✓ l’audit de la paie,
✓ l’audit du service recrutement,
✓ l’audit du cycle achat/fournisseur,
✓ l’audit du cycle ventes/clients,
 etc.
III-1-3- Comparaison Audit interne – Audit externe
Les différences principales qui peuvent être relevées entre ces deux
fonctions sont les suivantes :
 Le statut
L’auditeur interne appartient au personnel de l’entreprise alors que
l’auditeur externe est un prestataire indépendant ;
 Les bénéficiaires :
L’auditeur interne travaille pour le bénéfice des responsables de
l’entreprise (Direction Générale, Managers, Comité d’audit), tandis
que l’auditeur externe certifie les comptes à l’intention de tous ceux
qui en ont besoin (actionnaires, banquiers, Fisc, clients, fournisseurs
…) ; l’auditeur externe peut aussi travailler pour la Direction Générale
en faisant du conseil.
Les différences principales qui peuvent être relevées entre ces
deux fonctions sont les suivantes :
 Les objectifs
L’objectif de l’audit interne est d’apprécier la bonne maîtrise des activités
de l’entreprise et de recommander les actions pour l’améliorer, alors que
celui de l’audit externe est de certifier la régularité, la sincérité et l’image
fidèle des comptes, résultats et états financiers. Contrairement à l’auditeur
interne qui ne peut pas certifier les états financiers, l’auditeur peut quant à
lui apprécier la bonne maîtrise des activités de l’entreprise.
Les différences principales qui peuvent être relevées entre ces
deux fonctions sont les suivantes :
 La prévention de la fraude
L’audit externe est intéressé par toute fraude dès lors où elle est susceptible
d’avoir une incidence sur les résultats. En revanche, une fraude peut
concerner l’audit interne mais non l’audit externe : exemple, la
confidentialité des dossiers du personnel ;
Les différences principales qui peuvent être relevées entre ces deux
fonctions sont les suivantes :
 L’indépendance
L’indépendance de l’auditeur externe est celle du titulaire d’une
profession libérale (juridique, statutaire), alors que l’indépendance de
l’auditeur interne est restreinte au sein de l’entreprise où il est
salarié ;
 La périodicité de l’audit :
L’auditeur interne travaille en permanence dans son entreprise alors
que l’auditeur externe intervient de façon intermittente, à des
moments privilégiés pour la certification des comptes (fin de
trimestre, fin d’année) ;
III-2-1- Audit légal (cadre juridique)
Cet audit est dit légal parce qu’exigé par une loi. Si on se réfère à l’acte
uniforme du droit des sociétés commerciales et des GIE, les Sociétés
Anonymes ont une obligation de nommer un commissaire aux comptes ,
celles qui font appel public à l’épargne sont tenues de désigner deux
commissaires aux comptes.
Les SNC et SARL qui atteignent (total bilan, effectif salariés, total chiffres
d’affaires) confère article 289-1 et 376 du droit des sociétés OHADA.
Aussi l’article 312 du droit des sociétés OHADA fait obligation que
l’évaluation des apports en nature soit faite par un commissaire aux apports
dès lors que la valeur des apports en nature est supérieure à 5 000 000
FCFA .
Article 289-1 du droit des sociétés OHADA « Les sociétés en nom collectifs
qui remplissent à la clôture de l’exercice social deux des conditions
suivantes :
-Total du bilan supérieur à deux cent cinquante millions (250 000 000) de
francs CFA
- Chiffre d’affaires annuel supérieur à Cinq cent millions (500 00 000) de
francs CFA
- Effectif permanent supérieur à cinquante (50) personnes
Sont tenus de désigner au moins un (1) Commissaire Aux Comptes
Article 376 du droit des sociétés OHADA « Les sociétés à Responsabilité qui
remplissent à la clôture de l’exercice social deux des conditions suivantes :
- Total du bilan supérieur à cent vingt-cinq millions (125 000 000) de francs
CFA
- Chiffre d’affaires annuel supérieur à deux cent cinquante cent millions
(250 00 000) de francs CFA
Sont tenus de désigner au moins un (1) Commissaire Aux Comptes
La société n’est plus tenue de désigner un Commissaire Aux Comptes dès lors
qu’elle n’a pas rempli deux des conditions fixées ci-dessus pendant les deux
exercices précédents l’expiration du mandat du Commissaire Aux
Comptes . »
Article 853-13 du droit des sociétés OHADA «Sont tenus de désigner au moins
un (1) Commissaire Aux Comptes les sociétés par Actions Simplifiés qui
remplissent à la clôture de l’exercice social deux des conditions suivantes :
- Total du bilan supérieur à cent vingt-cinq millions (125 000 000) de francs
CFA
- Chiffre d’affaires annuel supérieur à deux cent cinquante cent millions
(250 00 000) de francs CFA
La société n’est plus tenue de désigner un Commissaire Aux Comptes dès lors
qu’elle n’a pas rempli deux des conditions fixées ci-dessus pendant les deux
exercices précédents l’expiration du mandat du Commissaire Aux
Comptes . »
Article 853-13 du droit des sociétés OHADA «Sont également tenu de
désigner au moins un commissaire aux comptes, les SAS qui contrôlent au
sens de l’article 174, qui contrôlent une ou plusieurs sociétés ou qui sont
contrôlées par une ou plusieurs société.
Même si les conditions prévues aux alinéas précédents, ne sont pas
atteintes, la nomination du CAC peut être demandée en justice par un ou
plusieurs associés représentant au moins le dixième du capital social. »
La finalité de l'audit légal est d'émettre une opinion sur la sincérité des états
financiers d'une entreprise et de valider la pertinence de l'information
financière délivrée aux actionnaires.
Cet audit se déroule dans le cadre du commissariat aux comptes et du
commissariat aux apports et/ou à la fusion.
Les missions d'audit légal se basent sur le respect de règles d'indépendance
et de conflits d'intérêts fondées sur l'application des normes d'audit
internationales.
Les missions d'audit légal se basent sur le respect de règles
d'indépendance et de conflits d'intérêts fondées sur l'application
des normes d'audit nationales et internationales.
✓ avec toute activité ou tout acte de nature pouvant nuire à son
indépendance ;
✓ avec tout emploi salarié, à l'exception de l'enseignement ou
d'un emploi rémunéré chez un commissaire aux comptes ou un
expert-comptable ;
✓ avec toute activité commerciale, qu'elle soit exercée
directement ou par personne interposée.
III-2-1- Audit contractuel
Cet audit n’est pas imposé par la loi, elle résulte d’un accord
entre le professionnel et son client. L'audit contractuel consiste
en un examen et un contrôle mené́ par un professionnel des
informations sur une activité de l'entreprise. L'examen et
l'analyse des informations est effectuée selon des critères et par
des méthodologies précises.
L'audit comptable et financier est le plus connu des audits
contractuels mais il existe aussi l'audit organisationnel, l'audit de
gestion, l'audit fiscal.
IV- Distinction de l’audit interne avec des notions proches
La définition de l’audit interne vue précédemment peut
ne pas éclairer suffisamment sur les limites de son
action ; il convient de lever toute confusion avec certes
notions proches de l’audit interne. Il s’agit notamment
de :
✓ L’audit interne et l’inspection
✓ L’audit interne et le contrôle de gestion
✓ L’audit interne et le consultant externe
IV- Distinction de l’audit interne avec des notions proches
IV-1 L’audit interne et l’inspection
S’il est vrai que l’inspecteur et l’auditeur interne sont tous
membres du personnel de leur entreprise, il demeure que
quelques différences existent entre ces deux fonctions :
✓ L’inspection n’a pas pour vocation d’interpréter ou de
remettre en cause les règles et directives ; en le faisant,
l’inspection exerce en partie une fonction d’audit ;
✓ L’inspection évalue le fonctionnement du système et
détermine les responsabilités et fait éventuellement
sanctionner alors que l’audit interne critique le système
et non les hommes.
IV-1 L’audit interne et l’inspection
✓ L’inspection s’en tient aux faits et identifie les actions
nécessaires pour les réparer alors que l’audit interne
remonte aux causes pour élaborer des recommandations.
✓ L’inspection réalise plus des contrôles exhaustifs que de
simples tests aléatoires
✓ L’inspecteur peut intervenir spontanément et de son
propre chef alors que l’auditeur interne effectue des
missions planifiées et sur mandat ;
✓ L’inspection peut se saisir éventuellement des révélations
de l’audit interne pour inspecter les opérateurs impliqués
IV-2 L’audit interne et le contrôle de gestion
Il existe de nombreuses ressemblances entre l’audit interne et le contrôle de
gestion .Le point de convergence des finalités de ces deux fonctions est la
maîtrise des opérations de l’entreprise.
Au titre des similitudes entre ces fonctions, on peut retenir :
✓ Ces deux fonctions ont un caractère universel, car s’intéressant à toutes
les activités de l’entreprise ;
✓ Comme l’auditeur interne, le contrôleur de gestion n’est pas un
opérationnel, car il attire l’attention, recommande ;
✓ .
Mais les différences entre ces fonctions sont relativement importantes pour
permettre de les distinguer :
✓ Différence quant aux objectifs : le contrôleur de gestion s’intéresse plus
à l’information qu’aux systèmes et procédures ; il veille au maintien
des grands équilibres de l’entreprise ; il est le concepteur du système
d’information de l’entreprise ;
✓ Différence quant au champ d’application : Le contrôleur de gestion
s’intéresse aux résultats réels ou prévisibles (chiffrés) alors que
l’auditeur interne va au-delà pour embrasser les domaines de la
sécurité, la qualité, les relations sociales, l’environnement etc.… ;
Mais les différences entre ces fonctions sont relativement importantes pour
permettre de les distinguer :
✓ Différence quant à la périodicité: lors que l’auditeur effectue des
missions diverses tout au long de l’année, selon une périodicité définie en
fonction du risque, le contrôleur de gestion a une activité largement
dépendante des résultats de l’entreprise et de la périodicité du reporting.
On peut ajouter « son activité est souvent bousculée par les priorités de la
Direction Générale » alors que l’activité de l’auditeur interne est
planifiée et systématisée.
Enfin, on constate que les deux fonctions sont complémentaires au niveau des aspects
suivants :
✓ L’audit interne apporte une contribution au contrôle de gestion en lui offrant la garantie
sur la qualité de l’information ;
✓ De la même façon, et inversement, l’audit interne va trouver auprès du contrôleur de
gestion des informations qui vont être des clignotants susceptibles d’attirer
l’attention des auditeurs sur les points de faiblesse à prendre en compte dans les
missions d’audit ;
✓ Comme les autres fonctions de l’entreprise, le contrôle de gestion peut être audité en
vue de s’assurer notamment :
si les indicateurs de gestion prévisionnels sont adéquats ?
les informations qui parviennent sont-elles exhaustives ?
les cohérences entre les grands équilibres sont –elles respectées ?
Autant de questions que se pose l’auditeur interne pour juger si le contrôleur de gestion a
une bonne maitrise de son activité.
Enfin, on constate que les deux fonctions sont complémentaires au niveau des
aspects suivants :
✓ L’audit interne apporte une contribution au contrôle de gestion en lui offrant la
garantie sur la qualité de l’information ;
✓ De la même façon, et inversement, l’audit interne va trouver auprès du
contrôleur de gestion des informations qui vont être des clignotants
susceptibles d’attirer l’attention des auditeurs sur les points de faiblesse à
prendre en compte dans les missions d’audit ;
✓ Comme les autres fonctions de l’entreprise, le contrôle de gestion peut être
audité en vue de s’assurer notamment :
si les indicateurs de gestion prévisionnels sont adéquats ?
les informations qui parviennent sont-elles exhaustives ?
les cohérences entre les grands équilibres sont –elles respectées ?
IV-3 L’audit interne et le consultant externe
Par rapport à la fonction de l’audit interne, les missions du consultant
externe présentent certaines spécificités telles que :
✓ Le consultant est sollicité pour un problème bien déterminé
correspondant à sa compétence technique ;
✓ Le consultant externe a une mission dont l’objectif est bien précis et la
durée de son intervention également bien limitée ;
✓ Selon les termes de sa mission, le rôle du consultant peut aller du simple
diagnostic de l’existant jusqu’à la préconisation de nouvelles
organisations et même sa participation à leur mise en œuvre.
Chapitre II: Finalités de l’audit interne : le contrôle interne
INTRODUCTION
L’audit interne est le service le mieux indiqué pour apprécier et
juger le contrôle interne. C’est pourquoi certains auteurs
considèrent le contrôle interne comme la finalité ou l’objectif de
l’audit interne. On peut donc parler au singulier de la finalité de
l’audit interne car il en existe qu’une seule.
Reprenons la définition de l’audit interne qui précise que : l’Audit
Interne est une activité indépendante et objective qui donne à
une organisation une assurance sur le degré de maîtrise de ses
opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
INTRODUCTION
Comment aider à mieux maitriser les activités ?
En examinant ce qui permet de faire pour l’exercice de
cette maitrise : le contrôle interne est ce qu’il convient
de suivre et d’améliorer. Le contrôle interne apparait
donc comme le socle sur lequel s’appuie la maitrise des
opérations d’une entité quelle qu’elle soit et la notion à
partir de laquelle se définit la fonction d’audit interne
dont la finalité est l’amélioration constante du contrôle
interne.
I- Définition
I-1- Définition du contrôle interne
Les définitions du contrôle interne sont nombreuses, mais
l’accord se fait sur l’essentiel.
En France, dès 1977, l’Ordre des Experts Comptables a défini le contrôle
interne en ces termes : « Le contrôle interne est l’ensemble des sécurités
contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer
la protection, la sauvegarde du patrimoine (éviter les pertes de
ressources et les catastrophes comme les incendies , les incendies) et la
qualité de l’information, de l’autre, l’application des instructions de la
Direction, et de favoriser l’amélioration des performances » .
III: LES NORMES DE L’AUDIT INTERNE
Les Normes ont pour objet :
1. de guider l’application des dispositions obligatoires du Cadre de
référence international des pratiques professionnelles de l’audit
interne ;
2. de fournir un cadre pour la réalisation et le développement d’un
large éventail d’activités d’audit interne à valeur ajoutée ;
3. d’établir les critères d’évaluation de l’audit interne ;
4. de favoriser l’amélioration des processus et des opérations de
l’organisation.
Les normes d’audit sont divisées en cinq grandes parties :
 Le code de déontologie
 Les normes de qualification
 Les normes de fonctionnement
 Les normes de mise en œuvre
 Les modalités pratiques
I- Le code de déontologie
Le code énonce quatre principes fondamentaux.
L’intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de
la crédibilité accordées à leur jugement.
Les auditeurs internes :
- Doivent accomplir leur mission avec honnêteté, diligence et
responsabilité.
- Ne doivent pas sciemment prendre part à des activités illégales ou
s’engager dans des actes déshonorants pour la profession d’audit
interne ou leur organisation.
- Doivent respecter et contribuer aux objectifs éthiques et légitimes
de leur organisation.
Objectivité
- Ne doivent pas prendre part à des activités ou établir des relations
qui pourraient compromettre ou risquer de compromettre le caractère
impartial de leur jugement. Ce principe vaut également pour les
activités ou relations d’affaires qui pourraient entrer en conflit avec
les intérêts de leur organisation.
Objectivité
- Ne doivent rien accepter qui pourrait compromettre ou risquer de
compromettre leur jugement professionnel.
- Doivent révéler tous les faits matériels dont ils ont connaissance et qui,
s’ils n’étaient pas révélés, auraient pour conséquence de fausser le
rapport sur les activités examinées.
I- Définition
Cette définition a été relayée par celle de « l’Américan Institute of

Cerified Public Accountants » : « Le contrôle interne est un ensemble de
Plans d’organisation , de toutes les méthodes et procédures adoptées à
l’intérieur d’une entreprise pour protéger ses actifs, contrôler
l’exactitude des informations fournies par la comptabilité, accroître le
rendement et assurer l’application des instructions de la Direction. »
J RENARD a pu faire la synthèse suivante définissant le contrôle interne
comme : « un ensemble de dispositifs mis en œuvre par les responsables
de tous les niveaux pour maîtriser le fonctionnement de leurs
activités. »
I- Définition
Dans la même perspective, la Compagnie Nationale Française des
Commissaires aux Comptes définit le contrôle interne comme suit :
« Le contrôle interne est constitué par l’ensemble des mesures de contrôle
et autres que la direction définit, applique et surveille sous sa
responsabilité, afin d’assurer :
• La protection du patrimoine ;
• La régularité et la sincérité des enregistrements comptables et des
comptes annuels qui en résultent ;
• La conduite ordonnée et efficace des opérations de l’entreprise ;
• La conformité des décisions avec la politique de direction ».
I- Définition
Ces définitions montrent bien que le contrôle interne s’étend à

l’ensemble des biens, touche toutes les informations et tous les
membres de l’entreprise et s’applique d’une manière
permanente.
I- Définition
I-2- Evolution du concept
En parallèle et pour répondre à ces attentes, des recherches ont été
entreprises pour approfondir la notion de contrôle interne et en
proposer une approche claire, universelle et améliorée. Ces recherches
sont encore en cours tant il est vrai que le contexte étant évolutif,
l’adaptation permanente est nécessaire.
Tout a commencé dans les années 1980 au cours desquelles le sénateur
Américain Treadway a initié une importante recherche sur le sujet.
Ainsi s’est créée aux Etats Unis la « commission Treadway » laquelle a
constitué un comité universellement connu sous le nom de COSO. Ce
dernier a initié une réflexion en quatre étapes : le COSO 1 dans les
années 1992 et le COSO 2 en 2004 ; le COSO 2013 et le COSO 2017.
I- Définition
I-2-1- Le COSO 1
Le COSO 1 « Committee of Sponsoring Organizations of the
Treadway Commission » a réuni les compétences d’un certain
nombre de professionnels représentant l’IIA, de quelques cabinets
d’audit externe et de grandes entreprises Américaines.
Le COSO 1 donne l’ossature d’un bon système de contrôle
interne à travers ses objectifs et ses composantes .Il définit le
contrôle interne à travers trois objectifs et le décrit par cinq
éléments ou composantes.
I- Définition
I-2-1- Le COSO 1
Le cadre intégré du contrôle interne constituant le référentiel
COSO est formé par :
1. Une définition large du contrôle interne englobant tous les
aspects liés à la maîtrise d'une activité basée sur le processus mis
en œuvre par des personnes et fournissant une assurance
raisonnable et la classification des objectifs du contrôle interne
en trois catégories (opérationnel, fiabilité des informations
financières et compliance).
I- Définition
I-2-1- Le COSO 1
Le cadre intégré du contrôle interne constituant le référentiel
COSO est formé par :
2.La décomposition du système de contrôle interne en cinq
éléments ou composantes (environnement de contrôle, évaluation
des risques, activités de contrôle, information et communication
et pilotage) et l'établissement des liens entre les objectifs et les
éléments du contrôle interne.
I- Définition
I-2-1- Le COSO 1
I- Définition
I-2-1- Le COSO 1
1 – Définition du contrôle interne
Le COSO 1 définit le contrôle interne comme étant «un processus mis en
œuvre par la direction générale, la hiérarchie et le personnel d'une
entreprise. Il est destiné à fournir une assurance raisonnable quant à la
réalisation des trois catégories d'objectifs suivantes :
✓ La réalisation et l’optimisation des opérations
Cette catégorie d'objectifs regroupe les objectifs de base de l'entreprise, y
compris ceux relatifs aux performances, à la rentabilité et à la protection
des ressources.
I- Définition
I-2-1- Le COSO 1
➢ La fiabilité des informations financières :
Cette catégorie d'objectifs couvre la préparation d'états financiers fiables
et pertinents, incluant les états financiers intermédiaires et les
informations publiées extraites des états financiers, telles que les
publications des résultats intermédiaires.
I- Définition
I-2-1- Le COSO 1
➢ La conformité aux lois et règlements en vigueur:
Cette catégorie d'objectifs se rapporte à la conformité aux lois et aux
règlements auxquels l'entreprise est soumise.
Tout en étant distinctes, les trois catégories d'objectifs de contrôle interne
se recoupent : elles répondent à des besoins différents et appellent à mettre
en place des contrôles répondant à chacun de ces besoins.
I- Définition
I-2-1- Le COSO 1
2 – Les éléments du contrôle interne
➢ L’environnement de contrôle :
Le référentiel COSO qualifie l'environnement de contrôle comme étant «un
élément très important de la culture d'une entreprise, puisqu'il détermine
le niveau de sensibilisation du personnel au besoin de contrôle. Il
constitue le fondement de tous les autres éléments du contrôle interne, en
imposant discipline et organisation.
I- Définition
I-2-1- Le COSO 1
Les facteurs ayant un impact sur l'environnement de contrôle comprennent
notamment : l'intégrité, l'éthique, la compétence du personnel, la
philosophie des dirigeants, la politique de délégation des responsabilités, la
politique d'organisation, la politique de formation, et, l'intérêt manifesté
par l'organe de direction et sa capacité à indiquer clairement les objectifs
I- Définition
I-2-1- Le COSO 1
Il a un impact sur : les activités de contrôle, les systèmes d'information et de
communication, ainsi que le système de pilotage (suivi des opérations).Cette
influence s'exerce non seulement au niveau de la conception des systèmes
mais également dans leur fonctionnement quotidien
I- Définition
I-2-1- Le COSO 1
Particulièrement, l'histoire et la culture de l'entreprise jouent un rôle sur
l'environnement de contrôle en ce qu'elles favorisent la sensibilisation du
personnel au besoin de contrôle. Les entreprises efficacement contrôlées
s'efforcent de s'entourer de personnel compétent et d'inculquer un esprit
d'intégrité.
I- Définition
I-2-1- Le COSO 1
Particulièrement, l'histoire et la culture de l'entreprise jouent un rôle sur
l'environnement de contrôle en ce qu'elles favorisent la sensibilisation du
personnel au besoin de contrôle. Les entreprises efficacement contrôlées
s'efforcent de s'entourer de personnel compétent et d'inculquer un esprit
d'intégrité.
I- Définition
I-2-1- Le COSO 1
La haute direction et le management de ces entreprises font preuve d'une
large conscience de la nécessité de montrer l'exemple par les dires, les
attitudes, les gestes et les actions.
I- Définition
I-2-1- Le COSO 1
➢ L’évaluation des risques :
Elle consiste d'abord à identifier et analyser les facteurs qui
peuvent compromettre la réalisation des objectifs et leur niveau de gravité
en vue de déterminer comment ces risques doivent être gérés.
I- Définition
I-2-1- Le COSO 1
Selon le référentiel COSO «les risques peuvent mettre en cause :
- la survie de l'entreprise,
- sa compétitivité au sein du secteur économique,
- sa situation financière,
- son image de marque,
- la qualité de ses produits,
- la qualité de ses services,
- et la qualité de son personnel.
I- Définition
I-2-1- Le COSO 1
Sur le plan pratique, il n'existe aucun moyen d'éliminer tous les risques (le
risque zéro n'existe pas). En effet, le risque est inhérent aux affaires. Il
appartient donc aux dirigeants de déterminer le niveau de risques
acceptable et de s'efforcer de les maintenir à ce niveau.
I- Définition
I-2-1- Le COSO 1
➢ Activité de contrôle:
Les opérations de contrôle permettent de s'assurer que les mesures
nécessaires sont conçues et mises en œuvre en vue de maîtriser les risques
susceptibles d'affecter la réalisation des objectifs de l'entreprise
I- Définition
I-2-1- Le COSO 1
Les activités de contrôle incluent notamment : procédures d’autorisation, d’approbation,
les vérifications, réconciliations, de séparation des tâches. Les activités de contrôle peuvent
être de deux natures : Contrôle de prévention (procédures d’autorisation, séparation des
fonctions) ou contrôle de détection (réconciliation).
Exemple :
Sécurité des actifs (accès, inventaires physique, suivi des transferts, mises au rebut).
Rapprochement bancaire
Rapprochement de caisse
I- Définition
I-2-1- Le COSO 1
En terme d’activité de contrôle on a également la séparation des tâches, elle
permet d’éviter les fraudes. Une même personne ne doit pas être du début à la fin
d’un processus. Les principales fonctions qui doivent faire l’objet d’une séparation
sont :
- l’autorisation et l’approbation d’une opération ( signer un bon de commande)
- La garde des actifs ( le magasinier ou la caissière)
- Enregistrement et reporting des opérations
- Activité de contrôle
I- Définition
I-2-1- Le COSO 1
➢ Information et communication:
L'information pertinente doit être communiquée de façon efficace aux personnes
qui en ont besoin, sous une forme intelligible et dans les délais adéquats leurs
permettant d'assumer leurs responsabilités et d'effectuer les contrôles qui leurs
incombent.
Exemple :
Informer la comptabilité en cas de mouvements dans les immobilisations
(transfert, mise au rebut ....)
I- Définition
I-2-1- Le COSO 1
➢ Le pilotage: Il repose sur :
- l’appropriation du contrôle interne par chaque responsable qui doit le conduire à définir,
mettre en place, piloter les dispositifs de maîtrise des risques dans son périmètre de
responsabilité ;
- une sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités)
et à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre cette
appropriation ;
- des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle interne ;
- des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par
l’audit interne).
I- Définition
I-2-1- Le COSO 1
➢ Le pilotage:
Le pilotage permet de vérifier que le contrôle interne fonctionne de façon
permanente efficacement. Les opérations de pilotage sont pratiquées à travers les
activités courantes et par le biais des évaluations ponctuelles.
Activités de surveillance permanente ou courante du contrôle interne :
L'idéal est que le système de contrôle interne soit structuré de façon à assurer sa
propre surveillance de façon permanente.
I- Définition
I-2-1- Le COSO 1
➢ Le pilotage:
Activités de surveillance ponctuelles du contrôle interne :
Les activités d'évaluation ponctuelles sont des contrôles additifs qui peuvent être
menées par le personnel responsable (il s'agit dans ce cas d'auto-évaluation) ou de
façon séparée par un professionnel externe. Même lorsque les opérations courantes
de surveillance sont efficaces et réalisées de façon rigoureuse, le système de
contrôle interne a besoin de se soumettre de temps en temps à une évaluation
ponctuelle pour assurer la maintenance de sa qualité et de ses performances et
bénéficier d'un benchmark avec les meilleures pratiques de contrôle interne.
I- Définition
I-2-1- Le COSO 1
Il existe un lien direct entre les trois catégories d'objectifs (ce que
l'entreprise cherche à atteindre) et les éléments du contrôle interne (qui
représentent ce qui est nécessaire pour réaliser les objectifs
Chaque élément du contrôle interne croise et couvre les trois catégories
d'objectifs. Par exemple, l’«information et communication», est
indispensable à la gestion efficace des opérations, à la préparation d'états
financiers fiables et pertinents et au contrôle de la conformité aux lois et
réglementations en vigueur. L‘élément «activités de contrôle» s'applique
également aux trois catégories d’objectifs.
I- Définition
I-2-1- Le COSO 1
De même, si l'on regarde les trois catégories d'objectifs, les cinq éléments
du contrôle interne s'appliquent à chacune d'elles. Par exemple, les cinq
éléments contribuent à l'accomplissement de la catégorie d'objectifs
«réalisation et optimisation des opérations».
En fin, le contrôle interne s'applique aussi bien à l'entreprise toute entière

qu'à chacune de ses unités»
I- Définition
I-2-2- Le COSO 2
En 2004, la commission élargit le périmètre de ses réflexions et
élabore un nouveau référentiel COSO 2 qui est axé davantage sur le
processus de management des risques en entreprise.
L’approfondissement des travaux du COSO 1 a en effet montré que
c’est ce processus , pris dans sa globalité qui peut le plus efficacement
permettre l’implantation d’un bon contrôle interne lequel ne saurait
exister sans une gestion globale des risques .
Le COSO 2 ne remet pas en cause le COSO 1.Il prend en compte les
trois objectifs du COSO 1 et y rajoute un quatrième à savoir la
stratégie.
I- Définition
I-2-2- Le COSO 2
I- Définition
I-2-2- Le COSO 2
1 – Les objectifs
Toute organisation détermine ses objectifs stratégiques dans le cadre de sa mission
et de sa vision, conçoit une stratégie et décline les objectifs qui en découlent à
tous les niveaux pertinents de l'entité. Le COSO 2 indique que les objectifs de
l'organisation sont:
- Les objectifs stratégiques ;
- Les objectifs opérationnels ;
- Les objectifs de reporting ;
- Les objectifs de conformité.
I- Définition
I-2-2- Le COSO 2
2- Les éléments du dispositif
➢ Une identification des objectifs
La détermination des objectifs appropriés pour toutes les activités de
l'organisation est un facteur essentiel de réussite. C'est par rapport aux
objectifs que l'organisation identifie les risques qui peuvent menacer,
justement, l'atteinte de ces objectifs.
I- Définition
I-2-2- Le COSO 2
En définissant des objectifs au niveau global de l'organisation et au niveau plus
détaillé des activités, une entité peut identifier les facteurs clés de succès, à savoir
les éléments indispensables à l'atteinte des objectifs. Ces facteurs clés de succès
existent au niveau d'une organisation, d'une unité, d'une fonction, d'un département
ou d'un individu.
Les objectifs doivent être clairs, intelligibles et mesurables. Lorsque les objectifs
d'une organisation, particulièrement les objectifs stratégiques et opérationnels,
manquent de clarté ou sont mal conçus, cela se traduit par un manque d'efficacité
et une mauvaise affectation des ressources.
I- Définition
I-2-2- Le COSO 2
La détermination des objectifs est tout naturellement influencé par le goût
du risque qui sévit dans l’organisation et dont il faut préciser les repères. On
sait bien que selon la culture, la politique les évènements et les hommes
l’organisation est plus ou moins aventureuse ou prudente. Ainsi on dira qu’on
prend le risque d’accroître la production de 15% quelles que soit les
conséquences financières , sociales parce qu’on pense que le bénéfice à
atteindre mérite cette prise de risque.
I- Définition
I-2-2- Le COSO 2
De même , la définition des objectifs implique de chiffrer la tolérance du risque,
quelles sont les limites fixées par le management à partir desquels il faut
prendre des dispositions protectrices. En d’autres termes, ou se situe en terme
financier la frontière entre risques acceptables et risques inacceptables.
Définir ces limites , c’est donc du même coup identifier les domaines ou la
nature et ou l’importance du risque ne justifie pas de préoccupations
particulières.
Les objectifs stratégiques et les limites de tolérance étant clairement définis, on
est alors en mesure d’identifier les évènements susceptibles d’avoir un impact
négatif.
I- Définition
I-2-2- Le COSO 2
➢ Une identification des évènements :
L'identification des événements, qui sont source de risque ou
d'opportunité, est à la base du management des risques. Selon le cadre
COSO 2, «un événement est un incident , ou occurrence d'origine interne ou
externe, qui affecte la mise en œuvre ou l'atteinte des objectifs. Les
événements peuvent avoir un impact positif, négatif ou les deux»
I- Définition
I-2-2- Le COSO 2
L'importance de l'identification de tous les événements importants justifie
que le cadre de management des risques en fait un élément autonome qui
doit être réalisé de façon indépendante des autres éléments de management
des risques et de recommander d'éviter particulièrement de confondre
l'identification des risques et leur évaluation.
I- Définition
I-2-2- Le COSO 2
FACTEURS EXTERNES FACTEURS INTERNES
Politiques Infrastructure
• Changement de gouvernement • Capacité des actifs
• Législation • Accès aux capitaux
• Politique publique
• Réglementation
I- Définition
I-2-2- Le COSO 2
Environnementaux - Naturels Personnel
• Energie • Compétence des employés
• Catastrophes naturelles • Activités frauduleuses
• Santé et sécurité
I- Définition
I-2-2- Le COSO 2
Sociaux Personnel
• Démographie • Compétence des employés
• Comportement des consommateurs • Activités frauduleuses
• Terrorisme • Santé
I- Définition
I-2-2- Le COSO 2
➢ Evaluation des risques :
Dans son lexique les mots de l’audit ,l’IFACI définit le risque comme
étant : « un ensemble d’aléas susceptibles d’avoir des conséquences
négatives sur une entité et dont le contrôle interne et l’audit ont
notamment pour mission d’assurer autant que faire se peut la
maitrise. »
Complétons cette définition par celle de DOMINIQUE VINCENTI « Le
risque c’est la menace qu’un évènement ou une action ait un impact
défavorable sur la capacité de l’entreprise à réaliser ses objectifs avec
succès.
I- Définition
I-2-2- Le COSO 2
Toutes ces définitions mettent en évidence les composantes du
risque:
- La gravité ou conséquence de l’impact
- La probabilité qu’un ou plusieurs évènements se produisent
C’est pourquoi toutes les tentatives pour mesurer le risque se
traduise par le produit de ces deux facteurs que l’on tente de
chiffrer avec plus ou moins d’aproximation.
I- Définition
I-2-2- Le COSO 2
Risque inhérent : risque d’erreurs inhérent à tout traitement
comptable , même si les procédures de contrôle interne sont à
priori satisfaisantes.
Risque lié au contrôle : risque qui survient du fait des mauvaises
procédures de contrôle interne.
I- Définition
I-2-2- Le COSO 2
➢ Evaluation des risques : cette phase aboutit à l’élaboration de
la cartographie des risques. La cartographie des risques se
définit comme la démarche d’identification, d’évaluation, de
hiérarchisation et de gestion des risques d’une organisation.
En gardant à l’esprit que les méthodes sont multiples allant du
plus élémentaire au plus complexe, retenons que toutes se
déroulent en cinq étapes successives :
I- Définition
I-2-2- Le COSO 2
Etapes de l’élaboration de la cartographie des risques
 Première étape : élaboration d’une nomenclature de risques
On liste toutes les natures de risques susceptibles d’être
rencontrées. Exemple d’une nomenclature de risques : risques
sociaux, risques financiers, risques informatiques, risques
juridiques, risques commerciaux. Mais on peut affiner en
détaillant telle ou telle rubrique. Ainsi risques financiers peut
devenir : risque de détournement de fond, risque de gestion de
trésorerie déficiente , paiement non autorisé.
I- Définition
I-2-2- Le COSO 2
 Deuxième étape : identification de chaque processus, fonction, activité
devant faire l’objet d’une estimation
Cette liste doit couvrir toutes les activités de l’organisation , elle sera plus
ou moins détaillée selon les objectifs
 Troisième étape : Estimation de chaque risque pour chacune des
fonctions / activités
Cette estimation va porter sur deux points : appréciation de la gravité du
risque et appréciation de la fréquence estimée. Cette appréciation se fait
en considérant le risque maximum possible également appelé risque
intrinsèque ou risque inhérent. Pour cette double évaluation l’auditeur
interne se contente en général d’une échelle à trois dimensions : faible ;
moyen ; élevée
I- Définition
I-2-2- Le COSO 2
 Quatrième étape : Appréciation globale du risque
Elle sera le résultat du produit de deux appréciations spécifiques. Ainsi, on dira
pour le risque informatique de la trésorerie : gravité 3 ; fréquence 1. D’où le risque
informatique de la trésorerie est de « 3X1= 3 »
 Cinquième étape : Calcul du risque spécifique de chaque activité / fonction
L’appréciation sera égale au cumul de tous les coefficients identifiés pour chaque
risque et concernant cette activité. Il est bien entendu que tous les risques figurant
dans la nomenclature n’existent pas dans toutes les activités .
I- Définition
I-2-2- Le COSO 2
 Quatrième étape : Appréciation globale du risque
Elle sera le résultat du produit de deux appréciations spécifiques. Ainsi, on dira
pour le risque informatique de la trésorerie : gravité 3 ; fréquence 1. D’où le risque
informatique de la trésorerie est de « 3X1= 3 »
 Cinquième étape : Calcul du risque spécifique de chaque activité / fonction
L’appréciation sera égale au cumul de tous les coefficients identifiés pour chaque
risque et concernant cette activité. Il est bien entendu que tous les risques figurant
dans la nomenclature n’existent pas dans toutes les activités .
I- Définition
I-2-2- Le COSO 2
 Traitement des risques : on distingue généralement 5 stratégies de
gestion des risques : l’évitement ; la prévention ; la réduction des
impacts ; le partage et l’acceptation
▪ L’évitement : cette stratégie consiste purement et simplement à
cesser l’activité. Elle peut conduire à l’abandon d’une ligne de
produit ou d’un type de client. Exemple : si un commerçant veut
totalement éliminer le risque de perte en espèce ; il refusera ce
mode de paiement, cette décision supprimera certes tout risque lié
à la détention d’espèces mais le chiffre d’affaires s’en trouvera très
probablement négativement impacté
I- Définition
I-2-2- Le COSO 2
 Traitement des risques : on distingue généralement 5
stratégies de gestion des risques : l’évitement ; la prévention ;
la réduction des impacts ; le partage et l’acceptation
La prévention : il s’agit par cette stratégie de réduire au
minimum la probabilité de survenance du risque. Exemple : mise
en place d’un système de vidéosurveillance (ou vigile) pour
protéger la caisse ; procédure d’ouverture de compte client avec
validation avant prise de commande ;
I- Définition
I-2-2- Le COSO 2
Réduction de l’impact : elle consiste à minimiser le préjudice en
cas de survenance du risque. Exemple : stratégie se concrétisant
par la décision de limiter à XFCFA le montant des encaissements
en espèces
Le partage : il s’agit de partager avec un tiers la perte
éventuelle. De manière concrète l’entreprise assure une partie ou
la totalité du risque. Exemple : assurance vol
I- Définition
I-2-2- Le COSO 2
L’acceptation : l’entreprise accepte purement et simplement les
conséquences potentiellement dommageables du risque donné
sans prendre aucune mesure à son égard.
I- Définition
I-2-3- Le COSO 3 (2013)
L’objectif de la mise à jour du Référentiel COSO sur le contrôle interne
est l’adaptation du dispositif de contrôle interne aux enjeux
d’aujourd’hui et de demain. Le projet a permis de prendre du recul
par rapport aux évolutions des vingt dernières années, depuis la
parution du référentiel d’origine. En particulier :
• Les risques nouveaux qui émergent et qui sont autant de nouveaux
enjeux de contrôle interne (la cyber-criminalité, etc.) ;
• Le rôle toujours plus important de la technologie (performance,
sécurité, continuité, etc.) ;
I- Définition
I-2-3- Le COSO 3
• Le recours intensifié à l’externalisation, avec un enjeu de bonne
définition des attentes en matière de contrôle interne vis-à-vis des
prestataires
• Les attentes accrues en matière de gouvernance (notamment les
rôles des comités au niveau du conseil mais aussi de la direction
générale sur des enjeux importants comme les risques, la conformité,
etc.) ;
• La responsabilisation du personnel à tous les niveaux de la
hiérarchie et dans toutes les entités de l’organisation;
• La nécessité de s’adapter en permanence à un environnement
interne et externe en mutation ;
I- Définition
I-2-3- Le COSO 3
• La nécessité de s’adapter en permanence à un environnement
interne et externe en mutation ;
• L’efficacité et l’efficience du dispositif de contrôle interne
(l’articulation entre les opérationnels, les fonctions support, et
l’audit interne) ; et
• Les exigences de reporting au-delà de la communication
financière (développement durable, environnement, qualité,
etc.).
I- Définition
I-2-3- Le COSO 3
Le référentiel de 2013 reprend les éléments essentiels du référentiel
COSO de 1992, en particulier la définition, les cinq composantes, et les
critères d’évaluation.
Les principales évolutions concernent :
1. L’élargissement du domaine d’application au-delà du reporting
financier (par exemple la responsabilité sociale et
environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par
exemple les rôles des comités d’audit) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple
plans de successions pour la direction générale) ;
I- Définition
I-2-3- Le COSO 3
Le référentiel de 2013 reprend les éléments essentiels du référentiel
COSO de 1992, en particulier la définition, les cinq composantes, et les
critères d’évaluation.
Les principales évolutions concernent :
4. La prise en compte des sous-traitants (par exemple leur adhésion
au code de conduite, au respect des contrôles au-delà du reporting
financier) ; et
5. L’exigence de l’adaptabilité et l’adéquation du dispositif par
rapport à l’évolution de l’organisation, liée par exemple à la mise en
place de nouveaux processus, rôles, structures, systèmes
d’information, etc
I- Définition
I-2-4- Le COSO 2017
Cette nouvelle version du COSO ERM est née d’un constat : les organes
de gouvernance des organisations sont de plus en plus matures et
exigeants en matière de retour sur investissements des démarches
de gestion de risques.
Intitulé « Une démarche à intégrer avec la stratégie et la performance
», le nouveau COSO a été mis à jour afin de répondre aux enjeux
actuels des organes de gouvernances:
Transparence et fiabilité demandé par les parties prenantes
Contexte de plus en plus complexe, axé sur les nouvelles technologies
Prise de conscience suite aux incident (crises, attaques,
cybercriminalité…)
I- Définition
I-2-4- Le COSO 2017
Volontairement aligné sur le cycle de vie des organisations, ce nouveau
COSO insiste par exemple sur :
 la prise en compte de la culture d’entreprise et des valeurs éthiques
comme paramètre de la gestion de risques
 l‘ intégration de la gestion de risques dans la définition et le suivi de
l’exécution de la stratégie
 la cohérence de la gestion de risques avec la définition des objectifs de
performance et leur atteinte
 la nécessité d’une approche globale, même si des spécificités
géographiques doivent être intégrées
 la prise en compte des risques liés à la prise de décision au regard des
évolutions technologiques et de l’explosion des données
I- Définition
I-3- Objectifs du contrôle interne
Le contrôle interne concourt à la réalisation d’un objectif général qui est la
continuité de l’entreprise.
Mais cet objectif général peut être décliné à travers quatre objectifs
spécifiques qui sont permanents et que l’on retrouve dans les définitions du
contrôle interne données par les experts comptables et l’IIA :
La sécurité des actifs : un bon système de contrôle interne doit viser à
protéger le patrimoine de l’entreprise (éléments matériels, ressources
humaines, l’image de marque, …) ;
I- Définition
I-3- Objectifs du contrôle interne
•La qualité des informations : l’image de l’entreprise dépend de la qualité
des informations qu’elle publie concernant ses activités et ses
performances. Le contrôle interne appliqué aux informations doit veiller
à ce qu’elles soient fiables et vérifiables, exhaustives, pertinentes et
disponibles ;
•Le respect des directives : la notion de directive englobe les dispositions
individuelles de source interne à l’entreprise (notes de service,
circulaires, etc.…) ;
•L’optimisation des ressources : elle est entendue comme l’utilisation
économique et efficace des ressources en vue de la réalisation des
objectifs fixés aux activités opérationnelles de l’entreprise.
II- Les principes généraux du contrôle interne
II-1- Principe d’organisation
FAYOL disait « On ne contrôle que ce qui est organisé ». Une entreprise ne
vit et se développe qu’en résolvant les problèmes d’organisation. Qui fait
quoi ? Comment ? Quand ? Qui rend compte à qui ? Quand ? Et Comment ? Les
réponses à ces interrogations, on doit les retrouver dans les manuels de
procédures.
Le manuel de procédures définit les tâches, les responsabilités,
les pouvoirs. Il décrit les procédures de circulation de
l’information. En règle générale, le manuel de procédures
contient l’organigramme de la société, c’est-à-dire l’architecture
de l’entreprise. Il indique la structure et les diverses liaisons
hiérarchiques et fonctionnelles qui existent entre les services et
les membres qui le composent.
Approfondissant l’idée de FAYOL, les Experts-Comptables estiment que
l’organisation doit être préalable, adaptée et adaptable, vérifiable,
formalisée et comporter une séparation convenable des fonctions :
✓ Organisation préalable
Au moment de la création de l’entreprise, il faut déjà concevoir
son organisation.
✓ Organisation adaptée et adaptable
A chaque entreprise correspondent l’organisation qui sied avec
ses objectifs, ses missions, sa culture et l’environnement de son
secteur d’activités.
Approfondissant l’idée de FAYOL, les Experts-Comptables estiment que
l’organisation doit être préalable, adaptée et adaptable, vérifiable,
formalisée et comporter une séparation convenable des fonctions :
✓ Organisation vérifiable et formalisée
Elle doit être écrite et matérialisée dans un document. Les
structures mises en place doivent exister réellement. Elles
doivent être fonctionnelles.
L’une des règles à respecter dans l’organisation de l’entreprise est celle de
la séparation des fonctions. Il est nécessaire de séparer les quatre fonctions
fondamentales suivantes et de les attribuer à quatre personnes ou
hiérarchies différentes :
 Fonction de décision (celui qui autorise) ;
 Fonction de détention de valeurs monétaires ou biens physiques ;
 Fonction de comptabilisation et d’enregistrement ;
 Fonction de contrôle et d’approbation.
✓ La fonction de décision assumée par ceux que autorisent, approuvent et
donnent le « bon pour » pour acheter, vendre, investir, embaucher, etc.
✓ La fonction de détention de biens physiques est exercée par les
magasiniers.
✓ La fonction de détention des valeurs monétaires est exercée par tous ceux
qui manipulent les traites, les chèques, l’argent liquide, etc.
✓ La fonction de comptabilisation est assumée par les comptables et d’une
manière générale par tous ceux qui peuvent entrer des informations liées
au circuit comptable.
✓ La fonction de contrôle est exercée par les supérieurs hiérarchiques et les
structures de contrôle
II-2- Principe d’intégration ou d’auto contrôle
Toute organisation doit générer des mécanismes d’auto-contrôle. Il s’agit de
toute vérification qui a lieu au cours du déroulement des procédures et est
prévue par elles. Ce sont les recoupements, les contrôles réciproques, etc.
Recoupement : Dans des documents différents ou va chercher à vérifier la

même information. Ainsi, le montant d’une facture doit être le même sur la
facture, le livre journal et le grand livre. En fait, la technique du
recoupement consiste à justifier une information à partir de sources
distinctes.
II-3- Principe de permanence
Le principe de permanence est à peu près le même que celui énoncé dans
les principes comptables. Ici, on insiste sur la nécessité de garder pérennes
les procédures. Mais elle ne veut point dire qu’il faut garder rigides les
structures et les procédures. On cherche à faire en sorte qu’une fois créée,
la procédure soit respectée en permanence.
II-4- Principe d’universalité
Ce principe veut qu’aucune structure, personne où qu’il soit à quelque niveau de la
hiérarchie qu’il se trouve ne doit être exclue du champ du contrôle interne.
Malheureusement, ce principe souffre beaucoup d’irrégularités dans son application
pour les raisons ci-dessous :
 la confidentialité de certaines informations,
 le pouvoir décisionnel,
 et même le chantage.
II-5- Le principe d’indépendance
Ce principe implique que les objectifs du contrôle interne doivent être atteints
indépendamment des méthodes, des procédés et des moyens de l’entreprise.
II-6- Principe d’information
L’information qui circule dans le circuit du contrôle interne doit avoir
certaines qualités. Elle doit être :
 Pertinente,
 Utile,
 communicable et
 vérifiable.
II-6- Principe d’information
▪ Une information pertinente est celle adaptée à son objet et à son utilisation.
▪ Utile : l’information doit servir à quelque chose, elle doit être consommable.
▪ Objective : elle ne doit pas être déformée volontairement dans un but
particulier.
▪ Communicable : c’est-à-dire que son destinataire peut l’exploiter, peut la
décoder.
▪ Vérifiable : toute information est vérifiable dès lors qu’il est possible d’en
déterminer les sources et de vérifier son authenticité. C’est au nom de cette
qualité de l’information qu’il est important de numéroter, classer et archiver les
documents et les pièces comptables. En effet, la conservation de l’information
est un élément important du système de contrôle interne.
II-7- Principe d’harmonie
Ce principe signifie l’adéquation du contrôle interne aux caractéristiques de
l’entreprise et de son environnement. A chaque entreprise doit correspondre
son système de contrôle interne.
C’est un principe de bon sens qui met en adéquation le contrôle interne et
les caractéristiques de la firme ainsi que son environnement pour éviter qu’il
ne soit une coquille vidée de tous objectifs adaptés à la réalité de la firme.
III- Les obstacles et limites du contrôle interne
III-1- Les obstacles
Tout contrôle quel que soit sa nature, ses moyens, ses buts engendre
nécessairement des réticences, déclenche des blocages et suscite des
mécontentements. Cela s’explique et se comprend ; en effet,
historiquement, les contrôles conduisaient à des sanctions négatives. Il
s’ensuit que les obstacles à la mise en place d’un système de contrôle
interne sont d’ordre :
 Managérial,
 Humain,
 et financier.
III-1-1- Les obstacles liés au style de management
Un style de management peu favorable au contrôle interne entrave sa mise

en place. Le staff est le premier responsable du système de contrôle
interne. A cet effet, il doit créer un environnement de contrôle positif. Ceci
implique :
• l’existence d’un manuel de procédures,
• l’autorisation de mission d’évaluation de contrôle interne,
•l’analyse des rapports des missions de contrôle,
• la mise en œuvre des recommandations pertinentes.
III-1-2- Les obstacles humains
La mise en place de procédures de contrôle interne peut être interprétée
comme une mise en cause du personnel par la Direction. En effet, on
pourrait entendre des propos du genre « si la Direction avait confiance en
nous, elle n’aurait pas introduit des procédures pour nous « coincer » ».
Il est donc important pour réussir la mise en place de sa structure de
contrôle interne que :
•le personnel soit clairement informé des objectifs recherchés,
•le personnel soit pris comme maillon essentiel du dispositif de contrôle.
La garantie d’une bonne structure de contrôle repose sur l’éthique et la
valeur morale du personnel. Il faut un personnel motivé et doté d’un sens
élevé du bien public et du bien d’autrui.
III-1-2- Les obstacles financiers
Les contrôles ont un coût. Toutefois, ce coût devrait être
interprété comme des coûts d'assurance, des coûts de limitation
des risques desquels on pourrait tirer des avantages en termes de
meilleure répartition des tâches et des responsabilités et
d’efficacité du système d’information. Le staff doit veiller à
trouver un bon équilibre et éviter de faire des contrôles excessifs
et coûteux.
PARTIE II
AUDIT INTERNE
Chapitre I: ORGANISATION DU TRAVAIL
INTRODUCTION
L’organisation du travail des auditeurs est
largement banalisée par les normes
professionnelles d’audit. Elle s’articule autour de
certains documents qui indiquent les grandes
orientations et les objectifs poursuivis. Il s’agit
essentiellement de la charte d’audit, du plan
d’audit et du manuel d’audit interne.
I- La charte d’audit
C’est le document constitutif de la fonction d’audit interne
destiné à la présenter et à la faire connaître par les autres
acteurs de l’entreprise. Ce document est considéré comme
important qu’il est exigé par les normes professionnelles. La
norme 1000 indique l’exigence de la définition de la mission, des
pouvoirs et des responsabilités dans une charte. La norme précise
également que le responsable de l’audit interne doit revoir
périodiquement la charte et la soumettre à l’approbation de la
Direction Générale et du Conseil.
Les normes professionnelles indiquent le contenu minima de la
charte :
❑ Définir la position du service d’audit interne dans
l’organisation ;
❑ Autoriser l’accès aux documents, aux services et aux biens
nécessaires à la bonne exécution de l’audit ;
❑ Définir l’étendue des missions d’audit.
C’est un document au contenu et formes divers qui peuvent
présenter parfois les éléments supplémentaires suivants :
❑ Le contrôle interne ;
❑ Le recrutement et la formation des auditeurs ;
❑ Le processus méthodologique d’une mission d’audit.
Il faut trouver le juste équilibre le trop d’informations qui décourageraient
la lecture et la pas assez qui laisserait sur sa faim.
On considère la charte à ce point important que la norme 1000 demande
qu’elle soit approuvée par de la Direction Générale et du Conseil.
A qui ce document doit être diffusé ? Les pratiques sont nombreuses
❑ Dans certains cas, on limite sa diffusion à l’élite des cadres
supérieurs
❑ Dans certains cas, on pratique une diffusion large
La sagesse commande de diffuser la charte à tous ceux qui sont
susceptibles d’être un jour audité. Sa publication peut être appuyée
par des réunions d’explication au sein des services de l’entreprise.
Après avoir l’élaboration et la diffusion de ce document de base,
l’organisation du travail va consister à définir la nature et
l’importance du travail à réaliser. C’est le plan d’audit.
II- Le plan d’audit
Le plan d’audit est exigé par la norme 2010 « le responsable de

l’audit interne doit établir une planification fondée sur les
risques afin de définir les priorités cohérentes avec les objectifs
de l’organisation.
Et pourtant tout le monde ne pratique pas le plan d’audit interne,

et on trouve à ce sujet des situations diversifiées qui sont le
reflet de l’état d’avancement et l’implantation de l’audit interne
dans l’entreprise.
Dans un premier temps, il n’existe aucune planification et les
ordres de missions sont données au coup par coup : le service
d’audit interne travaille alors à la demande sans organisation
préalable de son temps et sans que l’on soit assuré que ce qui est
fait correspond à ce qui devrait être fait s’il y ‘avait une
planification. On suit l’inspiration du moment, ou la mode, ou
l’urgence. On rencontre cette situation lorsque l’audit interne
vient d’être implanté en entreprise et que la direction générale
utilise le service à discrétion pour l’aider à résoudre des
problèmes ponctuels souvent urgents et imprévus.
Dans un second temps, les ordres de mission d’une année
calendaire sont collectés et le service d’audit interne est alors en
mesure de les planifier en les répartissant dans le temps, il y ‘ a
alors un début d’organisation du travail, mais la liste ainsi établie
reste irrationnelle dans son contenu : il s’agit plus de planning
que de plan.
Le plan exige en effet : un contenu exhaustif, un étalement sur
plusieurs années (3 à 5 ans) et une analyse globale des risques
pour y parvenir, une structure prédéterminée.
Le plan d’audit d’entreprise doit comporter tous les sujets
susceptibles d’être audités et donc qui doivent l’être un jour à
l’autre. Cette pétition de principe comporte trois conséquences :
 Première conséquence
Un plan d’audit intégral ne sera pas élaboré en une seule fois. Son
achèvement nécessite plusieurs années au cours desquelles on va
successivement l’enrichir, le compléter, le mettre à jour. Il faut
accepter de commencer avec un outil incomplet pour aboutir peu
à peu à un plan.
Le plan d’audit d’entreprise doit comporter tous les sujets
susceptibles d’être audités et donc qui doivent l’être un jour à
l’autre. Cette pétition de principe comporte trois conséquences :
 Deuxième conséquence
A l’inverse, on peut affirmer de façon paradoxale que le plan ne
sera jamais achevé. Chaque année, en effet va apporter son lot
de rectifications, modifications, suppressions correspondant à des
changements de structures, à des modifications de processus ou
d’environnement.
.
 Troisième conséquence
L’exhaustivité va exiger une approche multiforme des thèmes
d’audit afin de couvrir l’ensemble des activités de l’entreprise et
de ne laisser aucune interface en jachère.
On a vu que l’existence d’une cartographie implique
l’identification de chaque fonction / activité devant faire l’objet
d’une évaluation de risque. Et dès cet instant il est recommandé
pour les besoins de l’auditeur interne de faire coïncider chacune
de ces rubriques avec la dimension possible d’une mission
d’audit. Pour élaborer cette liste et lui donner autant que faire se
peut un caractère exhaustif on considère qu’il y’ a trois
approches possibles.
❑ l’approche par les métiers :
Cette approche découpe les sujets d’audit en fonction des grands
métiers de l’entreprise (acheter, vendre, embaucher, fabriquer,
décider, gérer,…). Chaque métier correspond à un ou plusieurs
services, on trouve sous ce chapitre les différentes directions, les
différents départements et services de l’entreprise. Elle
correspond exactement à l’organigramme dont chaque case
devrait être auditée sans descendre à un niveau trop bas de
détail.
❑ l’approche par les fonctions :
Elle prend en compte les grandes fonctions de
l’entreprise (production, achat/vente, trésorerie,
investissements, .. ;). La prise en compte de ces
fonctions comme mission d’audit va permettre d’analyser
les activités de l’entreprise de façon transverse et
passant d’un service à l’autre. C’est évidemment cette
approche qui est la plus riche, c’est elle qui a une vision
plus globale.
❑ l’approche par les thèmes :
(l’archivage, les contrats, la sécurité, la communication,
…). C’est une approche particulièrement riche car l’audit
d’un thème spécifique permet parfois de déceler une
faiblesse de contrôle interne propre à l’ensemble des
services ou à l’ensemble des fonctions alors découpé au
niveau de chaque unité le sujet n’apparaît pas
suffisamment important pour que l’on s’y attarde.
❑ l’approche par les thèmes :
L’illustration de ce propos peut être fort opportunément fournie par
l’archivage. Dans une entreprise, on archive à tous les étages et dans tous
les services : la conservation apparaît comme une exigence essentielle,
chacun étant persuadé que les informations qu’il manipule sont
fondamentales. Il en résulte le plus souvent une double accumulation dans
le temps et dans l’espace :
- Une accumulation dans l’espace car le document, envoyé à des
destinataires différents, sera conservé par chacun d’eux ;
- Une accumulation dans le temps car chacun pensant travailler pour
l’éternité va suggérer une conservation longue d’où des accumulations sans
fin de papiers.
Un audit global permet de prendre conscience de ce phénomène de les
mesurer, d’en identifier les causes et d’y apporter remède. Cet audit va
concentrer tous les services (donc tous les métiers) et toutes les fonctions
car tous sont générateurs de documents susceptibles d’être archivés.
❑ Une partie supplémentaire s ‘ajoute au plan d’audit mais elle
se résume en une seule ligne. « Audit à la demande du
management». Cette rubrique permet de prévoir du temps
disponible pour les audits imprévus, donc non planifiés.
Les méthodes
L’ensemble des services, fonctions, thèmes n’est pas à auditer
selon la même périodicité : certains le seront tous les ans ou tous
les deux ans, d’autres tous les quatre ou cinq ans. C’est
l’importance du risque qui va permettre de déterminer la
fréquence : risques élevés donc audits fréquents, à l’inverse
risque faible signifie audits espacés.
III- Le manuel d’audit interne
A la différence de la charte d’audit, le manuel est à usage
interne et est exigé par la norme 2040. Comme la charte d’audit,
le manuel d’audit est un document d’entreprise et qui va refléter
l’organisation et les habitudes de travail du service d’audit
interne. Ce document, une sorte de bible du service, doit remplir
trois objectifs :
 Définir de façon précise le cadre de travail
 Aider à la formation de l’auditeur indépendant
 Servir de référentiel
 Définir le cadre de travail
Pour atteindre ce but le manuel comporte l’organigramme du
service avec mention de son rattachement. Il contient les
analyses de poste de tous les membres de l’audit interne afin que
tous reconnaissent de façon précise la mission assignée à chacun
d’eux. Il comporte également l’indication des pouvoirs et
latitudes dévolus aux différents membres du service. Et bien
évidemment, il va comporter en guise d’introduction, une copie
de la charte.
 Aider à la formation de l’auditeur débutant
Le premier contact de celui-ci avec le service d’audit interne doit
être le manuel dont on lui remet un exemplaire. C’est la lecture
de ce document qu’il va découvrir les objectifs et spécificités de
fonctionnement du service : ce sont les procédures de travail de
l’audit interne.
Pour ce faire, le manuel doit comporter un rappel des normes IIA
qui s’imposent à tous, ou à défaut un renvoi aux documents sur
lesquels ces normes peuvent être consultées.
Apres ce rappel général, le manuel indique les normes spécifiques
au service d’audit de l’entreprise et plus précisément :
- Le rappel des règles d’engagement et de gestion du
personnel, c’est-à-dire des auditeurs. Sous cette rubrique, on
indique non seulement les exigences requises en compétences,
mais également les règles habituellement suivies pour la
formation professionnelle des auditeurs : formation générale et
formation permanente.
- Les règles appliquées pour les voyages et déplacements :
paragraphe important car les déplacements sont nombreux pour
les auditeurs internes. Il est indispensable qu’il y ait une règle et
qu’elle soit connue de tous : l’audit interne doit s’appliquer à lui-
même la transparence qu’il exige des autres. Sous cette rubrique
seront précisées les dispositions relatives aux classes à retenir
dans les trains ou les avions ; aux catégories d’hôtels, aux
conditions de restauration, aux locations de voiture, à
l’utilisation des taxis.
- L’élaboration et la révision du plan. La méthode retenue par le
service pour élaborer le plan d’audit et l’usage qui en est fait
seront ici décrits à l’intention des auditeurs internes.
- La méthodologie : c’est sous cette rubrique que sont décrites
les spécificités méthodologiques appliquées par le service.
IV- Les dossiers d’audit et papiers de travail
A chaque mission doit correspondre un dossier composé entre
autres éléments des papiers de travail les plus significatifs. Cette
exigence a une triple justification :
 Exigence de preuve
Elle permet de justifier et de prouver à l’égard des audités mais
éventuellement à l’égard des tiers toutes les affirmations
signalées dans le rapport d’audit interne. Ces justificatifs peuvent
être demandés et produits soit durant la mission d’audit soit
après l’audit lorsqu’un complément d’information est sollicité.
 Exigence d’efficacité
Elle permet également dans le cas d’audits récurrents, de se
référer à l’audit antérieur avec efficacité :
- On évite ainsi de rechercher ailleurs des informations figurant
dans le dossier
- On peut y trouver des explications et justifications à l’appui du
rapport précèdent
- On dispose d’une base de départ pour la nouvelle mission
L’auditeur utilise cette mine d’informations pour aller plus vite et
faire mieux encore.
 Exigence de formation
La consultation d’un bon dossier d’audit est un instrument
irremplaçable de formation de formation professionnelle pour
l’auditeur débutant. Il y trouve les questions que ses
prédécesseurs se sont posées, les moyens utilisés pour y répondre
et les conclusions qu’ils ont tirées.
IV- 1- Les dossiers d’audit
Que doit ‘on mettre dans un dossier d’audit ? Comment convient
’il de l’organiser ?
 Le contenu
On peut mettre dans le dossier deux catégories de documents :
- Les documents descriptifs : analyse de poste, organigrammes,
tableau de risques, diagramme de circulation ;
- Les documents explicatifs : feuille d’interviews, questionnaires,
FRAP, tableau de rapprochement significatifs, résultats des tests
 L’organisation
Du plus simple au plus complexe, le dossier d’audit n’est pas organisé
selon une norme universelle : chaque entreprise, chaque service
d’audit a la sienne. Certains préconisent un classement selon
l’importance des papiers, d’autres selon la chronologie. Il n’est pas de
méthode préférable à une autre mais il est essentiel de s’en tenir à la
méthode qui a été retenue et donc essentiel et d’en avoir une. A titre
d’exemple le propos peut être illustré par deux modèles de dossier
d’audit :
- Le premier en deux parties : dossier d’analyse et dossier de synthèse
- Le second plus global
Le premier modèle :
-Le dossier d’analyse qui est constitué au fur et à mesure que se
déroule la mission. Il comporte les papiers de travail explicatifs
élaborés au cours de l’audit : FRAP, feuilles d’interviews,
rapprochements, tableaux, compte rendus de réunions.
-Le dossier de synthèse qui regroupe les deux derniers rapports
d’audit sur le même sujet, les notes relatives au suivi et à la mise
en œuvre des recommandations.
Le deuxième modèle :
C’est un modèle de dossier en sept parties :
- Rappel et suivi des faiblesses graves constatées au cours de la mission
- Un exemplaire du rapport d’audit
- Le tableau des risques
- Indications à suivre pour les audits à venir sur le même thème
- Programme et planning de la mission réalisée
- Informations générales de base : notes de service, organigramme et
analyse de poste, documentation sur les objectifs de l’unité
- Papiers de travail
Quel que soit le modèle adopté et en résumé, ces derniers doivent être appréciés
selon six critères :
- Ils doivent être standardisés
- Ils doivent permettre la lisibilité du classement des pièces contenues à l’intérieur
- Ils doivent pouvoir être utilisés par des tiers
- Ils doivent contenir l’exhaustivité de la documentation indispensable
- Ils doivent comporter toutes les explications nécessaires à la compréhension
- Ils doivent faire l’objet du plan d’archivage
IV- 2- Les papiers de travail
Tout document écrit ou édité doit avoir un format standard
prédéfini. L’auditeur doit fuir les feuilles volantes diverses et
variées. Le papier de travail est le support obligatoire de tout
constat, de toutes observations : rien ne doit être laissé à la
mémoire, l’auditeur est celui qui note.
IV- 2- Les papiers de travail
Ces papiers de travail doivent être référencés. Chaque papier de
travail doit avoir un numéro de référence qui doit être croisé
avec les documents correspondants du dossier d’audit : c’est le
« cross référencement ». En sus de la référence chaque papier de
travail doit obligatoirement comporter les indications suivantes :
- Nom de la société auditée
- Désignation du service audité
- Nom de l’auditeur
- Date
Chapitre II: LES OUTILS DE TRAVAIL
I- Les outils d’interrogations
I-1- Les sondages statistiques ou sondages
C’est une méthode qui permet à partir d’un échantillon prélevé de
façon aléatoire dans une population de référence, d’extrapoler à la
population, les observations faites sur l’échantillon.
La population est donc l’ensemble sur lequel on veut effectuer . Cet
ensemble peut être composé d’individus, de chiffres , d’objets , de
factures …
L’échantillon est l’extrait de la population sur lequel on va travailler. Il
doit être prélevé de façon aléatoire. Pour ce faire , il existe plusieurs
techniques ,depuis les plus sophistiquées ( programme informatique )
jusqu’au plus élémentaire (tirage au sort )
Dans cet examen de l’échantillon on va analyser un caractère, qui
est l’élément à observer. En audit interne, ce sera le phénomène
constaté (erreur, dysfonctionnement etc..)
L’auditeur ne doit pas s’arrêter aux résultats statistiques, mais
rechercher les causes.
Pour l’auditeur, le sondage statistique n’est pas une fin en soi. Il
ne s’agit pas d’obtenir une information, mais également et
surtout de rechercher les causes du phénomène après avoir
mesuré son ampleur.
I-1- Les sondages statistiques ou échantillonnages
Modalités d’application
Les recherches de l’auditeur interne peuvent être de trois natures
différentes :
 Des sondages de dépistages : ce sont ceux que l’auditeur est
susceptible de réaliser lorsqu’il cherche une erreur sur
factures, des inexactitudes de données dans la paie. Le sondage
de dépistage est donc à considérer comme un test, une
recherche permettant de déceler des dysfonctionnements.
Modalités d’application
Les recherches de l’auditeur interne peuvent être de trois natures
différentes :
 Des sondages pour acceptation : dans quelle proportion une procédure
est-elle ou n’est-elle pas appliquée ? Est-ce que telle règle de sécurité est
ou n’est pas connue ? Ici le sondage a un rôle mixte : dépistage possible si
on ne connaît aucun élément de réponse ou appréciation de l’ordre de
grandeur si on a découvert un dysfonctionnement.
 Des sondages pour estimation des attributs : ils sont la plupart du temps
purement informatifs. Ainsi en est –il de la recherche du pourcentage
d’employés ayant plus de 20 ans d’ancienneté ou du pourcentage de
matériels (valeurs quantités) dont la durée de vie en stock est supérieur à
3 mois.
I-2- Les interviews
L’objectif de l’interview est de collecter des informations afin de
prendre connaissance des activités du domaine audité. Il est un outil
que l’auditeur interne utilise fréquemment. L’interview est coopératif
et doit respecter certaines règles dont les principales sont au nombre
de sept (7) :
1- le respect de la voie hiérarchique de l’interlocuteur ;
Sauf urgence exceptionnelle l’auditeur ne doit pas procéder à un
interview sans que le supérieur hiérarchique de son interlocuteur ne
soit informé. Lorsqu’il faut procéder à une interview qui n’était pas
programmé à l’avance, il est essentiel que cette règle puisse être
respectée;
I-2- Les interviews
L’interview est un outil que l’auditeur interne utilise fréquemment.
L’interview est coopératif et doit respecter certaines règles dont les
principales sont au nombre de sept (7) :
2- Rappeler clairement la mission et ses objectifs ;
L’interlocuteur de l’auditeur doit connaître le pourquoi et le comment
de l’interview. Il serait désastreux qu’il puisse s’imaginer que l’on va
lui tendre des questions pièges, que l’interview n’est en somme qu’un
interrogatoire déguisé. Donc, et c’est le plus grand principe de
transparence qui gouverne toute mission d’audit , on s’efforce de ne
rien cocher des objectifs poursuivis.
I-2- Les interviews
L’interview est un outil que l’auditeur interne utilise
fréquemment. L’interview est coopératif et doit respecter
certaines règles dont les principales sont au nombre de sept (7)
:
3- Evoquer avant toute chose les difficultés, les points faibles et
les anomalies rencontrés ;
Les difficultés, les points faibles, les anomalies rencontrées
seront évoqués avant toute autre chose. En d’autres termes, on
situe d’entrée de jeu le dialogue au niveau de connaissance où se
situe l’auditeur dans le déroulement de sa mission en rappelant le
résultat de toutes ses dernières investigations.
I-2- Les interviews
L’interview est coopératif et doit respecter certaines règles dont les
principales sont au nombre de sept (7) :
4- Adhérer aux conclusions de l’interview,
Les conclusions de l’interview , résumées avec l’interlocuteur, doivent
recueillir son adhésion avant d’être communiquées sous quelque forme
que ce soit à sa hiérarchie. Rien ne serait plus négatif que le résultat
d’une interview communiqué en confidence à la hiérarchie alors que
l’intéressé n’a pas encore véritablement donné son aval sur les
conclusions à tirer de ses propos.
I-2- Les interviews
L’interview doit respecter certaines règles dont les principales sont au
nombre de sept (7) :
5- Conserver l’approche système qui veut que l’auditeur ne s’intéresse
qu’aux hommes et donc interdit de poser une question subjective.
L’auditeur n’hésitera donc pas à ramener l’interviewé dans le droit
chemin si d’aventure ce dernier dérive dans ses réponses sur des
questions de personnes.
6- L’auditeur doit savoir écouter et éviter de parler plus qu’il n’écoute
7- L’auditeur doit considérer son interlocuteur comme son égal non pas
du point de vue hiérarchique, mais dans la conduite du dialogue.
I-2- Les interviews
Une interview ne s’improvise pas elle se prépare. Préparer un interview
c’est :
 Définir au préalable le sujet de l’interview
Quelles sont les informations que l’auditeur souhaite obtenir ? Ces
informations peuvent lui être nécessaires : pour parfaire sa connaissance du
domaine à auditer ou pour apprécier tel ou tel point de contrôle interne.
 Connaître son sujet
Cela recouvre deux éléments importants :
- Connaître la personne que l’on va rencontrer : quelles sont ses activités ?
ses responsabilités ? sa place dans la hiérarchie ?
- Connaître l’objet de l’entretien, disposer d’informations quantitatives sur
l’activité concernée
I-2- Les interviews
Les étapes de l’interview sont les suivantes :
 Elaborer les questions
Il s’agit, compte tenu de la personnalité de l’interlocuteur et du
contexte, de poser les bonnes questions pour obtenir pour obtenir la
réponse.
 Prendre rendez vous
Prendre RDV est un acte indispensable pour un bon déroulement de
l’interview. Même si l’entrevue a été prévue lors de la première
réunion de la mission, l’auditeur ne doit pas se présenter sans
prévenir. L’interview se déroule obligatoirement chez l’audité, dans
son bureau, l’interlocuteur se sent chez lui et le climat de confiance
s’instaure plus facilement.
I-2- Les interviews
 Début de l’interview
Il faut commencer par se présenter : l’auditeur rappelle qui il est ;
quel est l’objet de la mission et ce qu’il vient faire.
 Les questions
Si les questions ont été bien élaborées, et si elles sont posées à
quelqu’un qui est en état de réceptivité, l’auditeur va obtenir
l’information recherchée à condition de pas omettre deux
précautions : toujours vérifier que l’on a bien compris la réponse de
l’interlocuteur et toujours laisser l’audité s’exprimer. Les réponses
doivent être notées par écrit sans toutes fois casser le rythme de
l’interview.
I-2- Les interviews
 La conclusion de l’interview
Conclure c’est :
- Procéder à une validation générale en résumant les principaux points
notés pour s’assurer qu’il n’a ni erreur, ni interprétation, ni omission
- Demander à l’audité si quelques autres points ne méritent pas selon
lui d’être abordés. Cette simple question permet de pallier les lacunes
éventuelles du questionnaire.
- Lorsque tout est dit, remercier l’audité pour le temps qu’il a bien
voulu consacrer à l’interview.
I-3- Les outils informatiques
Ils sont de plus en plus nombreux et difficiles à inventorier. Nous nous
limiterons à un classement des différents outils utilisés:
 Les outils de travail de l’auditeur : les logiciels de traitement de
textes ; les logiciels de dessin (power point , flow charting) qui sont
utiles pour la réalisation des diagrammes de circulation ; les
tableurs qui sont utilisés pour mettre de l’ordre de les chiffres ; les
gestionnaires de bases de données qui sont utiles dans le traitement
automatique des résultats des missions.
 Les outils de réalisation des missions : On trouve dans ce
paragraphe à la fois des logiciels de marché et des logiciels conçus
par le service.
Ils sont de plus en plus nombreux et difficiles à inventorier.
 Les Outils méthodologiques
Ils permettent à l’auditeur interne de concevoir son tableau de
risques, d’établir et de suivre le déroulement de son QCI. Ce sont pour
la plus part des logiciels conçus par le service. Quelques logiciels du
marché sont de plus en plus utilisés et qui permettent la réalisation et
le suivi des missions et recommandations, mais ils ont l’inconvénient
de ne pas être adaptés aux spécificités de l’organisation « HORUS » est
le plus connu: logiciel de gestion des missions et recommandations. De
même, les auditeurs utilisent « SPHYNX » logiciel de mission et
d’évaluation du contrôle interne.
Ils sont de plus en plus nombreux et difficiles à inventorier.
 Les outils de gestion du service
Ils sont très largement conçus par le service lui-même, car ils sont
fonction de son organisation et de ses modalités de gestion. On trouve
dans cette rubrique : les logiciels d’élaboration du plan et de suivi de
sa réalisation ; les logiciels de suivi des temps de travail ; les bases de
données répertoriant constats et recommandations.
 L’informatique communicante
L’auditeur de par ses nombreux déplacements et son rôle de nomade
est donc l’un des premiers consommateurs d’informatique
communicante. Plusieurs technologies sont alors à disposition : les
réseaux d’entreprises ; l’internet
I-4- Vérifications et rapprochements divers
Ce ne sont pas des outils à proprement parler mas plutôt des
procédés et qui sont utilisés par l’auditeur au cour du travail sur
le terrain.
 Les vérifications
Elles sont extrêmement diverses : les plus nombreuses sont les
vérifications arithmétiques. Signalons à ce propos les erreurs
croissantes dues à la pratique des tableurs :il suffit qu’une erreur
initiale se soit glissée dans la logique de pour que celle-ci se
répète indéfiniment.
I-4- Vérifications, analyses et rapprochements divers
 Les rapprochements
Les rapprochements constituent pour l’auditeur interne une technique de
validation : on confirme l’identité d’une information dès l’instant qu’elle
provient de deux sources différentes : c’est le cross control
Par exemple :
- Effectif déterminé par le service du personnel et effectif connu de l’unité
- Stock comptable et stock réel
- Vente de produits à une filiale et achats de la filiale à la société mère
- Entrées et sorties dans les bureaux et états des heures supplémentaires
Ces techniques sont toujours riches d’enseignements, toute différence
révélant une anomalie.
I-4- Vérifications, analyses et rapprochements divers
 La confirmation par des tiers
Les auditeurs externes utilisent largement la confirmation par des tiers dans
la mesure où elle constitue une preuve de certification qu’ils fournissent. On
peut citer à titre d’exemples non limitatifs :
- La conservation des hypothèques et le cadastre pour les questions relatives
aux immobilisations ;
- Les tiers ayant un stock en dépôt dans l’entreprise ou les tiers chez
lesquels l’entreprise a un stock en dépôt ;
- Les clients / fournisseurs pour les problèmes de dettes et créances
- Les intermédiaires gestionnaires de portefeuilles pour les questions
relatives aux titres ;
- Les banques pour les questions bancaires
- Les avocats
II- Les outils de description
II-1- L‘observation physique
L’auditeur interne n’est pas quelqu’un qui reste dans son bureau : il saisit toutes les
occasions pour aller sur le terrain et pratiquer l’observation physique. Aller sur le
terrain ce peut être aller dans une usine, visiter un secteur commercial ou aller
dans un autre bureau. Dans tous les cas, il ne procède pas seulement à des
interviews, il va également observer. On peut observer :
 Les processus :
Comment se déroule une opération de recrutement
Comment se déroule la sortie des camions
Comment se déroule l’établissement , le contrôle et le règlement des notes de frais
Comment se déroule l’achat et l’approvisionnement des matières premières
Au cours de ces observations l’auditeur ne sera ni un guetteur ni un espion. Les
acteurs sont au courant de son observation : si elle est attentive, il décèlera
aisément les insuffisances ou les dysfonctionnements.
 Les biens :
L’observation élémentaire des biens c’est l’inventaire. Mais il n’y a pas que
l’observation quantitative des biens, il y’a aussi l’observation qualitative.
Citons le cas du fonctionnement des dispositifs de protection incendie : les
auditeurs n’hésiteront pas à demander un essai pour observer la qualité de
la mise en œuvre et du fonctionnement du processus d’extinction des
incendies.
 Les documents :
La gamme des observations possibles est quasi infinie : depuis les documents
comptables , jusqu’ aux notes, procédures et papiers divers. L’auditeur ne se
contente jamais de s’entendre affirmer ou expliquer que telle est la règle, il
demande toujours à observer le document.
Observer un document ce n’est pas seulement le lire, c’est aussi en regarder
la forme (signature des contrats par exemple).
 Les comportements :
Les comportements des personnes au travail : ainsi l’auditeur
observe (audit de la gestion du personnel) que personne ne
présente sa carte d’identification à l’entrée des bureaux ; ou
encore le port du casque ; ou l’interdiction de fumer dans les
lieux dangereux n’est pas respecté; ou encore qu’une entreprise
ramasse les déchets dans l’usine alors qu’un contrat forfaitaire et
à l’année a été conclu avec une autre.
Comment observer?
Il existe deux grandes catégories d’observations : l’observation
directe et l’observation indirecte
- L’observation directe est celle qui permet le constat immédiat
du phénomène: les employés ne présentent pas leur carte à
l’entrée des bureaux
- L’observation indirecte au contraire fait appel à un tiers qui va
observer pour le compte de l’auditeur et va lui communiquer le
résultat de son observation. C’est le cas des circularisations.
II-2- La narration
Il existe deux sortes de narration, toutes les deux utilisées en
audit interne : la narration par l’audité et le narration par
l’auditeur. La première est orale , la seconde est écrite. Elles ont
en commun de ne nécessiter aucune préparation et de n’exiger la
connaissance d’aucune technique. La narration par l’audité est la
plus riche , c’est elle qui apporte le plus d’enseignements. La
narration par l’auditeur n’est qu’une mise en ordre des idées et
des reconnaissances.
II-2- La narration
 La narration par l’audité
Dans son utilisation, l’auditeur est passif, il se contente
d’écouter et de noter le récit de son interlocuteur. A la différence
de l’interview, qui est préparé et réalisé dans un but précis, la
narration n’a pas d’autre d’objet que de faire décrire un cadre
général. C’est bien souvent le premier contact avec l’audité :
«Expliquez-moi ce que vous faites ».
L’inconvénient lié à ce outil est la difficulté à retrouver les
informations recherchées dans le discours de l’interlocuteur.
Cependant la narration crée un climat de confiance.
II-2- La narration
 La narration par l’auditeur
La transcription narrative d’une narration orale est déjà une
narration d’auditeur. Mais on trouve des transcriptions narratives
d’auditeurs à partir d’observations physiques, de constats, de
conclusions de tests dès l’instant que l’auditeur se limite à
« raconter » le phénomène ou le résultat ou le processus
constaté.
II-3- L’organigramme fonctionnel
L’auditeur dessine à partir des informations recueillies par
observations, interviews, narrations un organigramme
fonctionnel. Le dessin de l’organigramme fonctionnel permet
d’enrichir les connaissances obtenues à partir de l’addition :
organigramme hiérarchique + analyse de postes. C’est en général
le document qui permet de passer de l’un à l’autre car il révèle la
totalité des fonctions existantes et permet donc d’aller voir si on
trouve leur traduction dans les analyses des postes.
II-3- L’organigramme fonctionnel
Donc à ce stade initial d’analyse, l’organigramme fonctionnel
permet une première approche du problème de la séparation des
tâches, question importante que l’auditeur doit se poser. Mais
pour conduire une analyse plus fine sur cette question, l’auditeur
dispose d’un outil plus efficace : la grille d’analyse des tâches,
dont l’organigramme hiérarchique est en général le préalable.
II-4- La grille d’analyse des tâches
Elle va véritablement relier l’organigramme fonctionnel à
l’organigramme hiérarchique et justifier les analyses de postes.
Tous ces documents reflétant une situation à une date donnée, il
en est de même de la grille d’analyse des tâches qui est la
photographie à un instant T de la répartition du travail. Sa lecture
va permettre de déceler sans erreur possible les manquements à
la séparation des tâches et donc d’y porter remède. Elle permet
également de faire le premier pas dans l’analyse des charges de
travail de chacun. Comment est ‘elle structurée ? Comment la
remplie ‘on ?
Structure de la grille
On peut concevoir une grille pour chaque grande fonction ou
chaque processus élémentaire : chaque grille va comporter le
découpage unitaire de toutes les opérations relatives à la
fonction ou au processus concerné. On aura donc une grille
d’analyse des tâches pour la fonction achats ; ventes ;
trésorerie ; investissement. La colonne 1 mentionnera le détail
des tâches élémentaires de chaque fonction.
Dans la colonne 2, on indiquera la nature de la tâche en se
référant aux grandes catégories en principe inconciliables pour
une bonne séparation , on indique donc s’il s’agit :
- D’une simple tâche d’exécution
- Ou d’autorisation
- D’enregistrement comptable ou financière
- Ou de contrôle
- Garde des actifs
Les colonnes suivantes de la grille sont destinées à indiquer les
personnes concernées.
Mode d’emploi
Pour chaque tâche et en commençant par la première, l’auditeur
va chercher qui l’accomplit. A chaque fois qu’il rencontre un
personnage nouveau, il indique son nom entête d’une colonne et
fait une croix en face de la tâche concernée.
II-4- Le diagramme de circulation
Le diagramme de circulation ou flow chart , permet de représenter la circulation des
documents entre les différentes fonctions et centres de responsabilité, d’indiquer leur
origine et leur destination et donc de donner une vision complète du cheminement des
informations et de leurs supports .
La technique du diagramme de circulation va être le plus souvent utilisée pour tester
l’application d’une procédure. Ce sera donc au départ un audit de conformité et donc un
moyen précis et efficace de s’assurer par une synthèse rapide que la procédure examinée
est correcte ( ou de déceler les points sur lesquels elle ne l’est pas . Mais c’est aussi et
dans un second temps un audit d’efficacité car le diagramme est également un outil
d’analyse qui va permettre de déceler les faiblesses d’application de la procédure testée.
II-4- Le diagramme de circulation
Mais pour que le document joue bien son rôle, il est nécessaire de respecter un certain
nombre de règles :
-L’auditeur ayant défini les symboles qu’il utilise, adopte une approche séquentielle du
processus. Chaque apparition de document, chaque apparition de service va donner lieu à la
création d’un symbole et d’une colonne identifiée.
- Les informations recueillies pour dessiner le diagramme le sont auprès de toutes sources
possibles : documentation, narration, interviews, organigramme.
- Dans l’exécution du diagramme l’auditeur prend un certain nombre de précautions :
- Eviter les détails excessifs qui risquent de générer un diagramme trop complexe et des
confusions
- Veiller à ce que tout document ait un point final d’aboutissement
- Limiter à l’indispensable les notes complémentaires qui doivent rester l’exception
II-5- La piste d’audit
La piste d’audit est un ensemble de procédures internes permettant :
- De reconstituer les évènements de gestion dans un ordre
chronologique
- De justifier toutes informations en remontant du document de
synthèse à la source par un cheminement ininterrompu
- De conserver les mouvements permettant d’expliquer le passage
- On voit qu’il s’agit de remonter à l’envers les opérations qui ont
conduit à la détermination du résultat pour en trouver l’origine
(chemin de piste).
Elle permet une compréhension détaillée et circonstanciée des
mécanismes assurant la traçabilité des opérations.
Chapitre III: LES NORMES DE L’AUDIT INTERNE
INTRODUCTION
L’audit interne est exercé dans différents environnements
juridiques et culturels, au bénéfice d’organisations dont l’objet,
la taille, la complexité et la structure sont divers. Comme ces
différences peuvent influencer la pratique de l’audit interne dans
chaque environnement, il est essentiel de se conformer aux
Normes internationales pour la pratique professionnelle de l’audit
interne de l’IIA (ci-après « les Normes ») pour que les auditeurs
internes et la fonction d’audit interne s’acquittent de leurs
responsabilités.
INTRODUCTION
Les Normes ont pour objet :
1. de guider l’application des dispositions obligatoires du Cadre
de référence international des pratiques professionnelles de
l’audit interne ;
2. de fournir un cadre pour la réalisation et le développement
d’un large éventail d’activités d’audit interne à valeur ajoutée ;
3. d’établir les critères d’évaluation de l’audit interne ;
4. de favoriser l’amélioration des processus et des opérations de
l’organisation.
INTRODUCTION
Les normes d’audit sont divisées en cinq grandes parties :
 Le code de déontologie
 Les normes de qualification
 Les normes de fonctionnement
 Les normes de mise en œuvre
 Les modalités pratiques
Les quatre principes sont :
 L’intégrité
 L’objectivité
 La confidentialité impérative sauf obligation légale
 La compétence, impliquant la mise à jour des connaissances
 L’intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de la
crédibilité accordées à leur jugement.
- Doivent accomplir leur mission avec honnêteté, diligence et
responsabilité.
- Ne doivent pas sciemment prendre part à des activités illégales ou
s’engager dans des actes déshonorants pour la profession d’audit
interne ou leur organisation.
- Doivent respecter et contribuer aux objectifs éthiques et légitimes
de leur organisation.
 Objectivité
- Ne doivent pas prendre part à des activités ou établir des relations qui
pourraient compromettre ou risquer de compromettre le caractère impartial
de leur jugement. Ce principe vaut également pour les activités ou relations
d’affaires qui pourraient entrer en conflit avec les intérêts de leur
organisation.
 Objectivité
- Ne doivent rien accepter qui pourrait compromettre ou risquer de
compromettre leur jugement professionnel.
- Doivent révéler tous les faits matériels dont ils ont connaissance et qui,
s’ils n’étaient pas révélés, auraient pour conséquence de fausser le rapport
sur les activités examinées.
 Objectivité
- Doivent utiliser avec prudence et protéger les informations
recueillies dans le cadre de leurs activités.
- Ne doivent pas utiliser ces informations pour en retirer un
bénéfice personnel, ou d’une manière qui porterait préjudice aux
objectifs éthiques et légitimes de leur organisation.
 Compétence
- Ne doivent s’engager que dans des travaux pour lesquels ils ont
les connaissances, le savoir faire et l’expérience nécessaires.
- Doivent réaliser leurs travaux d’audit interne dans le respect
des Normes internationales pour la pratique professionnelle de
l’audit interne.
- Doivent toujours s’efforcer d’améliorer leur compétence,
l’efficacité et la qualité de leurs travaux.
II- Les normes de qualification et normes de mise en œuvre
associées
Les normes de qualification énoncent les caractéristiques des
entités et des personnes qui réalisent des activités d’audit
interne. Elles se composent de trois articles principaux :
II-1- Norme 1000 Mission, pouvoirs et responsabilités
Elle indique l’exigence de la définition de la mission, des pouvoirs
et des responsabilités dans une charte. C’est indiquer clairement
que ce document fondateur doit être le premier acte de la
création d’un service d’audit interne.
associées
Elles concernent les auditeurs internes et les services d’audit
II-1- Norme 1000 Mission, pouvoirs et responsabilités
✓ 1010 – Reconnaissance des dispositions obligatoires dans la
charte d’audit interne
Le caractère obligatoire des Principes fondamentaux pour la
pratique professionnelle de l’audit interne, du Code de
déontologie, des Normes et de la Définition de l’audit interne
doit être reconnu dans la charte d’audit interne.
II- Les normes de qualification et normes de mise en œuvre associées
Chapitre
Elles III: LES
concernent lesNORMES
auditeursDE L’AUDIT
internes INTERNE
et les services d’audit interne. Elles se
composent de trois articles principaux :
II-2- Norme 1100 Indépendance et objectivité
L’audit interne doit être indépendant et les auditeurs internes doivent
effectuer leurs travaux avec objectivité.
✓ 1110. Indépendance dans l’organisation
Le responsable de l’audit interne doit être rattaché à un niveau de
l’organisation qui permette à la fonction d’audit interne d’exercer ses
responsabilités. Le responsable de l’audit interne doit, au moins chaque
année, confirmer au Conseil, l’indépendance de l’audit interne dans
l’organisation.
La MPA 1110-1 insiste sur le rôle du conseil ou du comité d’audit dans le
rattachement du service, la nomination et la révocation du responsable.
Elles concernent les auditeurs internes et les services d’audit interne. Elles
se composent de trois articles principaux :
En termes d’organisation, l’indépendance est effectivement atteinte lorsque
le responsable de l’audit interne est fonctionnellement rattaché au Conseil.
Le rattachement fonctionnel implique, par exemple, que le Conseil :
• approuve la charte d’audit interne ;
• approuve le plan d’audit interne fondé sur une approche par les risques ;
• approuve le budget et les ressources prévisionnels de l’audit interne ;
• reçoive du responsable de l’audit interne des informations sur la
réalisation du plan d’audit et tout autre sujet afférent à l’audit interne ;
Elles concernent les auditeurs internes et les services d’audit interne. Elles
se composent de trois articles principaux :
En termes d’organisation, l’indépendance est effectivement atteinte lorsque
le responsable de l’audit interne est fonctionnellement rattaché au Conseil.
Le rattachement fonctionnel implique, par exemple, que le Conseil :
• approuve la nomination et la révocation du responsable de l’audit interne ;
• approuve la rémunération du responsable de l’audit interne ;
• demande des informations pertinentes au management et au responsable
de l’audit interne pour déterminer l’adéquation du périmètre et des
ressources de l’audit interne.
✓ 1111. Le responsable de l’audit interne doit pouvoir communiquer
directement avec le conseil
associées
Elles concernent les auditeurs internes et les services d’audit interne.
Elles se composent de trois articles principaux :
✓ 1120. Rappel de l’objectivité individuelle
La MPA 1120-1 apporte des précisions sur les problèmes de conflits d’intérêt.
Est considérée comme un conflit d’intérêts, une situation dans laquelle un auditeur
interne, qui jouit d’une position de confiance, a un intérêt personnel ou
professionnel en contradiction avec ses devoirs et responsabilités. De tels intérêts
peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale. Un
conflit d’intérêts peut exister même si aucun acte contraire à l’éthique ou
malhonnête n’a été commis. Un conflit d’intérêts peut créer une situation
susceptible d’entamer la confiance en l’auditeur interne, la fonction d’audit
interne et la profession. Un conflit d’intérêts peut compromettre la capacité d’une
personne à conduire ses activités et exercer ses responsabilités de manière
objective.
associées
✓ 1130. Atteintes à l’indépendance et à l’objectivité
Parmi les atteintes à l’indépendance dans l’organisation et à l’objectivité
individuelle, figurent :
les conflits d’intérêts personnels, les restrictions d’accès aux données, aux
personnes et aux biens, ainsi que les limitations de ressources notamment au
niveau du budget.
associées
La MPA 1130.A1 – Audit d’opérations dont l’auditeur a été
précédemment responsable
Les auditeurs internes doivent s’abstenir d’auditer les opérations dont ils
étaient auparavant responsables. L’objectivité d’un auditeur interne est
présumée altérée lorsqu’il réalise une mission pour une activité dont il a eu
la responsabilité au cours de l’année précédente.
II-3- Norme 1200 – Compétence et conscience professionnel
Les missions doivent être conduites avec compétence et conscience professionnelle.
✓ 1210 – Compétence
Il faut savoir faire pour faire. L’interprétation incite à posséder un diplôme
professionnel, en particulier le CIA. On peut rajouter le DPAI de l’IFACI. « Les
auditeurs internes sont encouragés à démontrer leurs compétences en
obtenant des certifications et qualifications professionnelles appropriées
telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par
l’IIA (The Institute of Internal Auditors) ou par d’autres organisations
professionnelles appropriées ».
La NMO 1210. A1 – Recherche de « personnes qualifiées » si besoin est
Le responsable de l’audit interne doit obtenir l’avis et l’assistance de
personnes
si les auditeurs internes ne possèdent pas les connaissances, les savoir-faire

et les autres compétences nécessaires pour s’acquitter de tout ou partie de
leur mission.
La NMO 1210. A2 – Cas de particulier de la fraude
Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer
le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois,
ils ne sont pas censés posséder l’expertise d’une personne dont la responsabilité
première est la détection et l’investigation des fraudes.
La NMO 1210. A3 – insiste sur les connaissances minimales en informatique
Les auditeurs internes doivent posséder des connaissances suffisantes des
principaux risques et contrôles relatifs aux systèmes d’information, et des
techniques d’audit informatisées susceptibles d’être mises en œuvre dans le cadre
des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas
censés posséder l’expertise d’un auditeur dont la responsabilité première est
l’audit informatique.
associées
La NMO 1210. C1 – Même exigences pour les missions de conseil
Le responsable de l’audit interne doit refuser une mission de conseil ou obtenir l’avis et
l’assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les
connaissances, les savoir-faire et les autres compétences nécessaires pour s’acquitter de
tout ou partie de la mission.
✓ 1220 – Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail la diligence et le
savoir-faire que l’on peut attendre d’un auditeur interne raisonnablement
averti et compétent. La conscience professionnelle n’implique pas
l’infaillibilité.
✓ 1220. A1 – Eléments à prendre en compte pour apprécier sa capacité
Les auditeurs internes doivent faire preuve de conscience professionnelle en
prenant en considération les éléments suivants :
• l’étendue du travail nécessaire pour atteindre les objectifs de la mission ;
• la complexité relative, la matérialité ou le caractère significatif des
domaines auxquels sont appliquées les procédures relatives aux missions
d’assurance ;
• l’adéquation et l’efficacité des processus de gouvernance, de management
des risques et de contrôle ;
• la probabilité d’erreurs significatives, de fraudes ou de non-conformités ;
• le coût de l’assurance fournie par rapport aux avantages escomptés
La NMO 1220. A2 – Envisager les techniques informatisées
Pour faire preuve de conscience professionnelle, l’auditeur interne doit
envisager l’utilisation de techniques d’audit informatisées et d’analyse des
données.
La NMO 1220. C1 –
Prendre en compte le coût par rapport aux résultats escomptés, la
complexité et les attentes du client y compris la nature de la mission, le
calendrier et la communication des résultats.
✓ 1230 – Formation professionnelle continue
Les auditeurs internes doivent améliorer leurs connaissances, leurs savoir-
faire et autres compétences par une formation professionnelle continue.

associées
II-4- Norme 1300 – Programme d’assurance et d’amélioration
qualité
Le responsable de l’audit interne doit concevoir et tenir à jour un programme d’assurance
et d’amélioration qualité portant sur tous les aspects de l’audit interne. Un programme
d’assurance et d’amélioration qualité est conçu de façon à évaluer :
• la conformité de l’audit interne avec les Normes ;
• le respect du Code de déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’audit
interne et d’identifier les opportunités d’amélioration.
associées
qualité
✓ 1310. Evaluation du programme qualité
Le programme d’assurance et d’amélioration qualité doit comporter des évaluations tant
internes qu’externes.
✓ 1311 – Évaluations internes
Les évaluations internes doivent comporter :
• une surveillance continue de la performance de l’audit interne ;
• des évaluations périodiques, effectuées par auto-évaluation ou par d’autres personnes
de l’organisation possédant une connaissance suffisante des pratiques d’audit interne.
associées
qualité
✓ 1311 – Évaluations internes
La surveillance continue comprend la supervision courante, la revue et le
pilotage des indicateurs de l’audit interne. La surveillance continue est
intégrée dans les procédures et les pratiques courantes de gestion de la
fonction d’audit interne. Elle s’appuie sur les processus, les outils et les
informations nécessaires pour évaluer la conformité avec le Code de
déontologie et les Normes. Les évaluations périodiques sont conduites pour
apprécier également la conformité avec le Code de déontologie et les
Normes.
associées
qualité
✓ 1312 – Évaluations externes
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur
ou une équipe qualifiés, indépendants et extérieurs à l’organisation. Le responsable de
l’audit interne doit s’entretenir avec le Conseil au sujet :
• des modalités et de la fréquence de l’évaluation externe ;
• des qualifications de l’évaluateur ou de l’équipe d’évaluation externes ainsi que de
leur indépendance y compris au regard de tout conflit d’intérêts potentiel
Les évaluations externes peuvent être effectuées par une évaluation entièrement
externalisée ou une auto-évaluation suivie d’une validation indépendante externe.
associées
II-4- Norme 1300 – Programme d’assurance et d’amélioration qualité
✓ 1312 – Évaluations externes
L’évaluateur externe doit statuer sur la conformité avec les Normes et le Code de
déontologie. Un évaluateur ou une équipe d’évaluation qualifiés possèdent des compétences
dans deux domaines : la pratique professionnelle de l’audit interne et le processus
d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison
d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans
des organisations de taille, de complexité, de secteur d’activité, et de problématiques
techniques similaires est à privilégier.
✓ 1320 – Communication relative au programme d’assurance et d’amélioration
qualité
Le responsable de l’audit interne doit communiquer les résultats du programme
d’assurance et d’amélioration qualité à la direction générale ainsi qu’au Conseil.
III- Les normes de fonctionnement et normes de mises en
œuvre associés
Elles concernent la nature des activités du service d’audit interne et ses critères de qualité.
III-1- Norme 2000 – Gestion de l’audit interne

L’audit interne apporte de la valeur ajoutée à l’organisation ainsi qu’à ses parties
prenantes, lorsqu’il prend en compte la stratégie, les objectifs et les risques de cette
organisation, s’efforce de proposer des moyens d’améliorer les processus de gouvernance,
de management des risques et de contrôle, et fournit avec objectivité une assurance
pertinente.
œuvre associés

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir
qu’elle apporte une valeur ajoutée à l’organisation.
L’audit interne est géré efficacement quand :
• les objectifs et responsabilités définis dans la charte d’audit interne sont atteints ;
• l’activité est exercée conformément aux Normes ;
• les membres de l’équipe d’audit respectent le Code de déontologie et les Normes ;
• les tendances et les problématiques émergentes susceptibles d’avoir un impact sur
l’organisation sont prises en compte.
œuvre associés

✓ 2010 – Planification
Le responsable de l’audit interne doit établir un plan d’audit fondé sur une approche par les
risques afin de définir des priorités cohérentes avec les objectifs de l’organisation.
La NMO 2010. A1
Le plan d’audit interne doit s’appuyer sur une évaluation des risques documentée et réalisée
au moins une fois par an. Les points de vue de la direction générale et du Conseil doivent
être pris en compte dans ce processus. Elle s’exprime le plus souvent sous la forme d’une
cartographie des risques.
œuvre associés

✓ 2010 – Planification
La NMO 2010.A2 –
Le responsable de l’audit interne doit identifier et prendre en considération les attentes de
la direction générale, du Conseil et des autres parties prenantes concernant les opinions et
d’autres conclusions de l’audit interne.
La NMO 2010.C1 –
Lorsqu’on lui propose une mission de conseil, le responsable de l’audit interne, avant de
l’accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la valeur
ajoutée, d’améliorer le management des risques et le fonctionnement de l’organisation. Les
missions de conseil qui ont été acceptées doivent être intégrées dans le plan d’audit.
œuvre associés

✓ 2020 – Communication et approbation
Le responsable de l’audit interne doit communiquer à la direction générale et au Conseil son
plan d’audit et ses besoins en ressources, pour examen et approbation, ainsi que tout
changement important susceptible d’intervenir en cours d’exercice. Le responsable de
l’audit interne doit également signaler l’impact de toute limitation de ses ressources.
✓ 2030 – Gestion des ressources
Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit
interne soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le
plan d’audit approuvé.
œuvre associés

✓ 2040 – Règles et procédures
Le responsable de l’audit interne doit établir les règles et procédures pour guider l’audit
interne. La forme et le contenu des règles et procédures dépendent de la taille, de la
manière dont est structuré l’audit interne et de la complexité de ses travaux.
✓ 2050 – Coordination et utilisation d’autres travaux
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de
l’audit interne devrait partager des informations, coordonner les activités, et envisager
d’utiliser les travaux des autres prestataires internes et externes d’assurance et de conseil.
œuvre associés

Dans le cadre de la coordination des activités, le responsable de

l’audit interne peut utiliser les travaux d’autres prestataires
d’assurance et de conseil. Un processus cohérent pour déterminer
le cadre d’une telle utilisation devrait être défini, et le
responsable de l’audit devrait prendre en considération les
compétences, l’objectivité et la conscience professionnelle de
ces prestataires.
œuvre associés

Le responsable de l’audit interne devrait également avoir une

compréhension précise du périmètre d’intervention, des objectifs
et des résultats des travaux réalisés par les autres prestataires.
Même quand des travaux d’autres prestataires sont utilisés, le responsable
de l’audit interne a toujours le devoir d’étayer de manière adéquate les
conclusions et les opinions de l’audit interne et d’en rendre compte.
œuvre associés
✓ 2060 – Communication à la direction générale et au Conseil
Le responsable de l’audit interne doit rendre compte périodiquement à la direction générale
et au Conseil des missions, des pouvoirs et des responsabilités de l’audit interne, du niveau
de réalisation du plan d’audit ainsi que de la conformité avec le Code de déontologie et les
Normes. Il doit notamment rendre compte :
• des risques significatifs, y compris les risques de fraude, et des contrôles correspondants
;
• des sujets relatifs à la gouvernance et ;
• de tout autre problème nécessitant l’attention de la direction générale et/ou du Conseil.
III- Les normes de fonctionnement et normes de mises en œuvre
associés
✓ 2060 – Communication à la direction générale et au Conseil
La communication et les rapports du responsable de l’audit interne à la direction générale et au
Conseil doivent inclure des informations concernant :
• la charte d’audit interne ;
• l’indépendance de l’audit interne ;
• le plan d’audit et son état d’avancement ;
• les ressources requises ;
• les résultats des activités d’audit ;
• la conformité avec le Code de déontologie et les Normes et le plan d’actions prévu en cas de
non-conformités significatives ;
• les actions du management face à des risques qui, selon le jugement professionnel du
responsable de l’audit interne, peuvent s’avérer inacceptables pour l’organisation.
œuvre associés
III-2- Norme 2100 – Nature du travail

✓ 2120 Management des risques
L’audit interne doit évaluer l’efficacité des processus de management des risques et
contribuer à leur amélioration.
Déterminer si les processus de management des risques sont efficaces relève du
jugement professionnel des auditeurs internes. Pour cela, ils évaluent si :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéquation
avec l’appétence pour le risque de l’organisation ;
œuvre associés
✓ 2120 Management des risques
La NMO 2120.A1 –
L’audit interne doit évaluer les risques afférents à la gouvernance, aux opérations
et aux systèmes d’information de l’organisation au regard de :
• l’atteinte des objectifs stratégiques de l’organisation ;
• la fiabilité et l’intégrité des informations financières et opérationnelles ;
• l’efficacité et l’efficience des opérations et des programmes ;
• la protection des actifs ;
• le respect des lois, règlements, règles, procédures et contrats
œuvre associés

La NMO 2120.A2 –
L’audit interne doit évaluer la possibilité de fraude et la manière dont ce
risque est géré par l’organisation.
✓ 2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle
approprié en évaluant son efficacité ainsi que son efficience et en
encourageant son amélioration continue
associés
✓ 2130 – Contrôle
La NMO 2130.A1 –
L’audit interne doit évaluer la pertinence et l’efficacité du dispositif de contrôle
choisi pour faire face aux risques relatifs à la gouvernance, aux opérations et
systèmes d’information de l’organisation. Cette évaluation doit porter sur les
aspects suivants :
• l’atteinte des objectifs stratégiques de l’organisation ;
• la fiabilité et l’intégrité des informations financières et opérationnelles ;
• l’efficacité et l’efficience des opérations et des programmes ;
• la protection des actifs ;
• le respect des lois, règlements, règles, procédures et contrats
œuvre associés
III-3- Norme 2200 – Planification de la mission

Cinq articles pour définir la planification de la mission et rappeler qu’on ne
part pas à l’aventure sans objectifs ni programme. La mission d’audit n’est
pas une partie de chasse. Tous les séminaires de méthodologie insistent sur
ce point.
✓ 2201 – Considérations relatives à la planification
Il est précisé sous cette norme que la planification exige que soient pris en
compte les objectifs de l’activité auditée, les risques et moyens utilisés pour
leur faire échec, l’efficacité des systèmes de contrôle et les opportunités
d’amélioration.
œuvre associés
✓ 2210 – Objectifs de la mission
Les objectifs doivent être précisés pour chaque mission.
La NMO 2210.A1 –
Nécessité d’identifier en premier les risques et de les évaluer pour fixer les
objectifs. Il s’agit de la « micro-évaluation », par opposition à la « macro-
évaluation » ou cartographie des risques de la norme 2010.
✓ 2220 – Périmètre d’intervention de la mission
Le périmètre d’intervention doit être suffisant pour atteindre les objectifs
de la mission.
œuvre associés
✓ 2230 – Ressources affectées à la mission
Les auditeurs internes doivent déterminer les ressources appropriées et
suffisantes pour atteindre les objectifs de la mission. Ils s’appuient sur une
évaluation de la nature et de la complexité de chaque mission, des
contraintes de temps et des ressources disponibles. La MPA 2230-1 insiste sur
la compétence et admet le recours à des ressources extérieures.
✓ 2240 – Programme de travail de la mission
Les auditeurs internes doivent élaborer et documenter un programme de
travail permettant d’atteindre les objectifs de la mission.
œuvre associés
III-4- Norme 2300 – Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les
informations nécessaires pour atteindre les objectifs de la mission.
✓ 2310 –Identification des informations
Les auditeurs internes doivent identifier les informations suffisantes, fiables,
pertinentes et utiles pour atteindre les objectifs de la mission.
✓ 2320 – Analyse et évaluation
Les auditeurs internes doivent fonder leurs conclusions et les résultats de
leur mission sur des analyses et évaluations appropriées.
associés

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les
informations nécessaires pour atteindre les objectifs de la mission.
✓ 2330 – Documentation des informations
Les auditeurs internes doivent documenter les informations suffisantes, fiables,
pertinentes et utiles pour étayer les résultats et les conclusions de la mission.
La NMO 2330.A1 –
Le responsable de l’audit interne doit contrôler l’accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l’accord de la direction générale et/ou l’avis d’un
juriste avant de communiquer ces dossiers à des parties extérieures.
œuvre associés
La NMO 2330.A2 –
Le responsable de l’audit interne doit arrêter des règles en matière de
conservation des dossiers de la mission et ce, quel que soit le support
d’archivage utilisé.
✓ 2340 – Supervision de la mission
Les missions doivent faire l’objet d’une supervision appropriée afin de
garantir que les objectifs sont atteints, la qualité assurée et le
développement professionnel des auditeurs effectué. La preuve de la
supervision doit être documentée et conservée dans les dossiers de travail.
associés
III-5- Norme 2400 –Communication des résultats
Les auditeurs internes doivent communiquer les résultats des missions.
✓ 2410 – Contenu de la communication
La communication doit inclure les objectifs, le périmètre d’intervention, et les
résultats de la mission.
La NMO 2410.A1 –
La communication finale des résultats de la mission doit inclure les conclusions ainsi
que les recommandations et/ou les plans d’actions appropriés. Le cas échéant,
l’opinion des auditeurs internes devrait être fournie. Une opinion doit prendre en
compte les attentes de la direction générale, du Conseil, et des autres parties
prenantes. Elle doit également s’appuyer sur une information suffisante, fiable,
pertinente et utile.
œuvre associés
III-5- Norme 2400 –Communication des résultats

Les auditeurs internes doivent communiquer les résultats des missions.
✓ 2420 – Qualité de la communication
La communication doit être exacte, objective, claire, concise, constructive,
complète et émise en temps utile.
✓ 2421 – Erreurs et omissions
Si une communication finale contient une erreur ou une omission
significative, le responsable de l’audit interne doit faire parvenir les
informations corrigées à tous les destinataires de la version initiale.
œuvre associés
✓ 2440 – Diffusion des résultats
Le responsable de l’audit interne doit diffuser les résultats aux destinataires
appropriés.
III-5- Norme 2500 – Surveillance des actions de progrès
Le responsable de l’audit interne doit mettre en place et tenir à jour un
système permettant de surveiller les suites données aux résultats
communiqués au management.
PARTIE III
METHODOLOGIE DE
CONDUITE D’UNE MISSION
D’AUDIT INTERNE
Chapitre I: LA PLANIFICATION DE LA MISSION
INTRODUCTION
Cette phase désigne l’ouverture de la mission
d’audit. Elle exige des auditeurs une capacité
importante de lecture, de recherche
documentaire, d’attention et d’apprentissage.
Il faut également une aptitude à apprendre et à
comprendre. L’auditeur doit avoir une bonne
connaissance de l’entreprise ou de la structure à
contrôler, il doit savoir où trouver la bonne
information et avec qui la trouver
I-1- Etape 1 Préciser les objectifs et le périmètre de la mission
La première étape consistera donc à préciser les objectifs, le
périmètre et les livrables de la mission, en fonction de
l’événement déclenchant la mission et conformément aux
attentes des clients de la mission.
❑ Déterminer les clients
Les clients habituels sont la direction générale, le comité d’audit,
les responsables de division, de processus, ou tout autre client
spécifique à la mission. Le produit de l’audit sera donc destiné à
la direction générale, au comité d’audit, au directeur des
achats ect...
Le Responsable de l’Audit Interne utilise comme outil au cours de
cette phase l’examen documentaire et l’entretien.
I-1- Etape 1 Préciser les objectifs et le périmètre de la mission
❑ Déterminer l’événement déclencheur
L’évènement déclencheur peut résulter du fait que :
- la mission ait été insérée au programme d’audit annuel, résultat de l’analyse
des risques de l’organisation ;
- une demande du management à la suite d’un événement externe inhabituel
(catastrophe naturelle, défaillance d’un client…) ;
- un changement majeur, interne ou externe, dans l’activité de l’organisation
Le Responsable de l’Audit Interne utilise comme outil au cours de cette phase
l’examen documentaire et l’entretien.
A titre d’exemple pratique : L’élément déclencheur d’un audit des achats peut
découler du fait qu’il ait été inséré au programme annuel d’audit en raison des
risques inhérents identifiés par le processus d’analyse des risques de
l’organisation.
I-1- Etape 1 Préciser les objectifs et le périmètre de la
mission
❑ Clarifier les attentes des clients
Les attentes des clients d’attente peuvent se traduire comme suit:
- évaluer la pertinence de l’organisation…
- évaluer l’efficacité opérationnelle de…
- s’assurer de la conformité à…
- déterminer l’efficacité et l’efficience de…
- évaluer l’avancement du projet…
A ce stade les acteurs sont les clients et le Responsable de l’Audit Interne. Les
outils que l’auditeur utilisés sont l’examen documentaire et les entretiens.
A titre d’exemple pratique l’objectif de la mission peut être d’évaluer la pertinence
et l’efficacité des activités de contrôle du processus achat.
I-1- Etape 1 Préciser les objectifs et le périmètre
de la mission
❑ Déterminer le périmètre de la mission
Les éléments définissant le périmètre peuvent être :
- Le processus et étapes du processus
- La localisation géographique
- La période (1 an, 6 mois…) – ...
A ce stade les acteurs sont les clients et le Responsable de l’Audit Interne.
Les outils qu’ils utilisent sont l’examen documentaire et les entretiens.
A titre d’exemple, on peut citer toute procédure manuelle ou automatisée
exécutée depuis l’élaboration de la demande d’achat jusqu’à la réception
des produits/ services. Ou les opérations réalisées depuis 12 mois.

de la mission
❑ Déterminer les livrables de la mission
A ce stade l’auditeur interne doit déterminer la forme, les destinataires et
le contenu de son rapport .
Comme exemples de contenus de rapport on peut avoir :
- Les déficiences de contrôle (tout type de dysfonctionnement constaté au
cours de la mission)
- Les freins à l’atteinte des objectifs fixés
- Les freins à l’efficience des opérations
- Non-conformités

de la mission
❑ Déterminer les livrables de la mission
A titre de forme et destinataires des rapports on peut avoir :
- diffusion large (rapport d’audit complet à l’ensemble des clients)
- destinataires spécifiques
Cette première étape est sanctionnée par l’élaboration d’un ordre de

mission qui formalise le mandat donné par la Direction Générale à l’audit
interne pour la réalisation d’une mission.
I-2- Etape 2 Conduire la réunion d’ouverture

L’objectif de cette étape est de matérialiser le démarrage officiel de la
mission et en expliciter le contenu et les modalités. Les facteurs clés de
succès de la réunion d’ouverture sont les suivants :
- Préparer un support de la réunion.
- Programmer la réunion en tenant compte des disponibilités des
participants.
- Commencer rapidement la mission après cette réunion.
- Présence des responsables du domaine audité.

❑ Présenter la charte d’audit, le service d’audit, les auditeurs
Cette présentation aura pour but de situer la mission par rapport au rôle de
l’audit interne au sein de l’organisation. La charte d’audit peut, à cette
occasion, être distribuée aux participants.
❑ Présenter les objectifs et le périmètre de la mission

A ce niveau, le responsable de l’audit interne pourra effectuer un
commentaire oral de l’ordre de mission.

❑ Présenter la méthodologie de conduite de la mission
Cette présentation aura pour but de :
- permettre aux audités de connaître leur rôle dans le processus d’audit
- préciser ce qu’ils sont en droit d’attendre au cours de chacune des étapes
- Favoriser les échanges autour des modalités de collaboration auditeurs /
audités et des différentes étapes de validation

❑ Présenter la méthodologie de conduite de la mission
On pourra présenter comme méthodologie que :
- la phase de planification de la mission sera centrée sur une analyse des risques de
la gestion des achats. Cette analyse des risques se fera en collaboration avec le
directeur des achats et les collaborateurs qu’il souhaitera y associer.
- Le programme de travail de la mission découlera de cette analyse des risques. La
phase de réalisation de la mission visera à tester les contrôles mis en place au sein
de la gestion des achats pour maîtriser les risques les plus importants.
- Les résultats de ces tests seront validés par les opérationnels.
- Si les résultats de ces tests font apparaître des dysfonctionnements, les actions
correctives à mettre en place feront l’objet de recommandations élaborées
conjointement par les auditeurs et les audités.
❑ Finaliser le calendrier de la mission et prendre les premiers rendez-
vous
Le calendrier s’inscrira à l’intérieur des dates de début et de fin de mission
fixées.
Comme exemple pratique : La mission sur la gestion des achats se déroulera
du ... au ... La phase terrain se déroulera du ... au ... Nous souhaitons
rencontrer ... le ... de ... à ... heures. Les tests d’audit commenceront le ...
La réunion de clôture se tiendra le ... Le rapport final sera publié le ...
❑ Répondre aux questions des audités
L’auditeur se prête aux questions des audités.
A la suite de cette étape, l’auditeur produira un compte rendu de réunion
d’ouverture et le calendrier des premiers entretiens sera élaboré.
I-3- Etape 3 Analyser les processus et leurs
objectifs
Norme correspondante : 2200 planification de la mission
❑ Comprendre les objectifs du domaine audité
La compréhension des objectifs du domaine audité nécessite de connaître la
déclinaison des objectifs de l’organisation dans le domaine audité. Cela peut
se traduire par exemple au niveau des achats en :
- Objectifs opérationnels : acheter des produits qui correspondent aux
critères de qualité de l’organisation, au moindre coût ;
- Objectifs stratégiques : acheter des produits qui permettent à
l’organisation de remplir sa mission ;
- Objectifs de conformité : acheter conformément à la politique de
l’organisation
I-3- Etape 3 Analyser les processus et leurs objectifs
❑ Identifier les processus
L’identification des processus par rapport au domaine audité (audit de la fonction
achat) peut se traduire par les processus suivants :
- Elaborer un cahier des charges
- Lancer une procédure d’appel d’offres
- Mettre les fournisseurs en concurrence
- Sélectionner les fournisseurs
- Établir une relation contractuelle avec les fournisseurs
- Émettre des commandes
- Réception de la marchandise
Les auditeurs utilisent comme outil au cours de cette phase l’examen documentaire
et l’entretien.
I-3- Etape 3 Analyser les processus et leurs

objectifs
❑ Collecter les informations sur les processus
Les sources d’informations sur les processus peuvent être :
- Le manuel de la procédure de sélection des fournisseurs
- L’organigramme du service des achats
- Les fiches de poste du responsable des achats et des acheteurs
- Les contrats avec les fournisseurs
- La réglementation en matière d’appel d’offres
A ce stade, les outils utilisés par les auditeurs sont l’examen documentaire,
l’entretien, la grille d’analyse des tâches, description narrative, flowchart.
I-4- Etape 4 Identifier et évaluer les risques

L’objectif de cette étape est de faire l’inventaire des événements qui
pourraient empêcher l’atteinte des objectifs du domaine audité, mesurer
leur probabilité de survenance et leur impact.
Cette étape de micro évaluation n’est que la mise en œuvre de la norme
2210.A1 : « En planifiant la mission, l’auditeur interne doit relever et
évaluer les risques liés à l’activité soumise à l’audit.. ». Il faut souligner que
cette étape est différente de la macro évaluation (réalisée à partir de la
cartographie des risques) préconisée par la norme 2010 qui va permettre la
réalisation du plan d’audit. La macro évaluation est une analyse globale où
sont appréciés les risques de l’entité entière. La micro évaluation quant à
elle est l’analyse des risques de chaque activité.
❑ Identifier les événements
Cette phase consistera à identifier les évènements susceptibles d’avoir un impact
négatif dans la réalisation de l’objectif du domaine audité.
La nature des événements peut être :
- Evénements internes (erreurs ; accidents ; malveillances / fraudes ; défaillances
humaines ; défaillances techniques) ;
- Evénements externes (phénomènes économiques ; Phénomènes naturels)
A titre d’exemples d’évènements internes qui pourraient empêcher l’atteinte des
objectifs du domaine audité on peut avoir : une erreur dans la rédaction d’un
cahier des charges ; une panne du système informatique de gestion des
fournisseurs ; une erreur de traitement d’une demande d’achat ; une création d’un
fournisseur fictif ; une collusion entre un acheteur et un fournisseur ; un
enregistrement d’une demande d’achat fictive...

❑ Evaluer les risques
 En face de chaque tâche et des objectifs qui lui sont assignés l’auditeur
interne va estimer les risques encourus. Que se passera-t-il si les objectifs
ne sont pas réalisés, si la tâche est mal faite ? Cette étape va consister en
la hiérarchisation des risques. Cette étape va se solder par la cartographie
des risques du domaine étudié.

❑ Evaluer les risques
Processus Objectifs Risques Evaluation

- Sécurité de la - Perte Moyen
Réception des réception - Avaries Faible
marchandises
-Conformité en qualité - Non-conformité Important
et en quantité -Contentieux Moyen
Expression des besoins

-Eviter les achats fictifs -Fraude Important
-Eviter les achats par -Non adéquation avec Moyen

du personnel non le besoin ; risque de
habilité non-conformité

❑ Identifier le ou les dispositifs de contrôle interne
En face de chaque risque on va rappeler quel est le dispositif ( ou quels sont
les dispositifs) de contrôle interne que l’on devrait en bonne logique
normalement trouver pour faire échec au risque identifié . Ici, on devrait
avoir une procédure, là une norme, ailleurs une action de supervision,
ailleurs encore un matériel adéquat ou un personnel qualifié etc. Soyons
précis : il ne s’agit pas ici d’aller voir comment est appliquée la procédure,
ou si le matériel fonctionne bien, ou si la norme est connue ou
respectée…en d’autres termes il ne s’agit pas de réaliser des opérations
d’audit : nous n’en sommes qu’aux prémices.

C’est la raison pour laquelle ce tableau nommé « tableau de risques »
ou « tableau d’identification des risques » et parfois désigné « tableau
des forces et faiblesses apparentes ».
L’auditeur interne vérifiera si le dispositif identifié comme important

existe (oui) ou n’existe pas (non). Incertitude, en effet, car il peut
exister et que tout marche de travers ou inversement ne pas exister
alors que l’on a trouvé d’autres moyens pour maîtriser
convenablement la tâche dont il s’agit.

Processus Objectifs Risques Evaluation Dispositif de Constat
contrôle
interne
- Sécurité de la - Perte Moyen Normes de Non
Réception des réception livraison et
marchandises d’entreposage
- Avaries Faible Procédure de Oui

vérification
-Conformité en - Non- Important Inspection Oui

qualité et en conformité technique
quantité
-Contentieux Moyen Procédure de

réserve
I-5-Etape 5- Sélectionner les objectifs d’audit

Cette étape a pour objectif de définir le périmètre des travaux à réaliser sur
le terrain.
❑ Sélectionner les contrôles clés à tester
Les contrôles clés peuvent ne pas être testés dans les cas suivants :
– existence d’un contrôle de niveau supérieur
– existence d’autres contrôles couvrant totalement le risque
– conception du dispositif de contrôle adaptée
– période au cours de laquelle le contrôle est mis en œuvre incompatible
avec le calendrier de la mission
Dans tous les autres cas les contrôles clés doivent être testés.

Cette étape a pour objectif de définir le périmètre des travaux à réaliser sur
le terrain.
❑ Exprimer les objectifs d’audit
L’expression des objectifs d’audit pour chacun des contrôles retenus
consistera à “s’assurer de l’efficacité et de l’efficience du contrôle”
Pour ce qui est de la gestion des achats les objectifs d’audit peuvent être :
– S’assurer de l’efficacité du dispositif de séparation des tâches entre les
différents acheteurs
– Évaluer l’efficacité et l’efficience des contrôles applicatifs de l’application
informatique de gestion des achats
Cette étape a pour objectif de définir le périmètre des travaux à réaliser sur le
terrain.
❑ Rapprocher les objectifs de l’ordre de mission des objectifs d’audit
Le rapprochement des objectifs de l’ordre de mission des objectifs d’audit peuvent
conduire à 3 cas.
1er cas : Les objectifs d’audit couvrent exactement les objectifs de l’ordre de
mission.
2e cas : Les objectifs d’audit sont plus larges que les objectifs de l’ordre de mission
du fait des travaux des auditeurs, ce qui peut conduire à la rédaction d’un avenant
à l’ordre de mission.
3e cas : Les objectifs d’audit ne couvrent pas les objectifs de l’ordre de mission
– exclusion justifiée par les travaux déjà réalisés par les auditeurs, cette exclusion
et ses raisons seront mentionnées dans le rapport d’audit
– oubli, qui conduira les auditeurs à revenir sur les travaux qu’ils ont déjà réalisés
I-6- Etape 6 Valider le référentiel d’audit

On l’appelle aussi, avec des variantes dans la forme « rapport
d’orientation » ou encore « plan de mission » ou encore « Terme de
référence » ; c’est le vocable « rapport d’orientation » qui sous l’influence
de l’IFACI, acquiert peu à peu droit de citer encore que parfois on y préfère
« Note d’orientation ».
Cette étape nécessite l’organisation d’une ou de plusieurs réunions avec les
audités. Le processus consiste à examiner avec les audités le découpage de
l’activité en processus, la cartographie des risques relatifs aux processus
étudiés et enfin le système de contrôle. Cette étape s’appuie sur les
contenus suivants : diagrammes de circulation, feuilles de travail, grilles
d’analyse des risques.

Le référentiel d’audit précise de façon concrète les différents dispositifs de
contrôle qui vont être testés par les auditeurs, qui tous se rapportent aux
zones à risques antérieurement identifiés.
Pour identifier ces zones à risques l’auditeur interne va devoir procéder à un
arbitrage ; et de cet arbitrage va dépendre le contenu de son rapport
d’orientation. Pour chaque tâche de l’activité à auditer l’arbitrage se fera
entre existence ou non existence d’un dispositif jugé nécessaire et
qualification importante, moyenne ou faible du risque correspondant.

 S’il y a absence de dispositif pour un risque jugé important le point sera
retenu comme devant faire l’objet et d’une er d’une recommandation .
 S’ il y’a dispositif alors que le risque est faible on pourra peut-être faire
l’impasse, sous réserve de ce qui sera dit ultérieurement.
 Si au contraire , le risque est important et qu’il y’a un dispositif le point
devra faire l’objet d’un examen approfondi
Cette formalisation acte la reconnaissance par les audités du référentiel sur
lequel s’appuiera la mission.
L e référentiel d’audit mentionne les objectifs d'audit déterminés à l’étape
5.
I-7-Etape 7- Elaborer le programme de travail

On l’appelle aussi « programme de vérification » ou encore « planning de
réalisation » quelle que soit sa dénomination, il s’agit du document interne
au service et dans lequel on va procéder à la détermination et à la
répartition des tâches.
Ce document répartit les tâches entre les différents membres de la mission :
aux auditeurs juniors les tâches élémentaires, aux auditeurs seniors les
analyses les complexes, à tel auditeur spécialisé l’exploration du domaine
qu’il connaît bien.

En sus de cette répartition en fonction des compétences, le travail est
organisé et planifié dans le temps. C’est un document qui va indiquer le
détail de ce qu’il convient de faire pour explorer les différentes zones à
risque identifiées lors de la phase préparatoire. En d’autres termes c’est à
partir de ce document et parallèlement à son élaboration que se construit,
dans tous ses éléments de détail le questionnaire de contrôle interne.
Le programme permet également au responsable de la mission de mieux
suivre et donc d’avoir les moyens d’apprécier le travail des auditeurs.
Globalement il permet de s’assurer du déroulement normal des opérations
dans le temps et donc d’anticiper les avances ou retards par rapport au
planning préétabli.

Il s’agira pour l’auditeur à cette étape de définir les procédures d’audit qui
permettront d’atteindre les objectifs d’audit.
Pour chaque objectif d’audit, l’auditeur déterminera la ou les techniques
d’audit appropriées. Déterminer les techniques d’audit, c’est déterminer la
nature des tests de sorte qu’on obtienne une preuve suffisante, pertinente
et fiable au regard des objectifs d’audit sélectionnés. Ces tests peuvent être
effectués à partir des outils suivants : entretiens, observations physiques,
Examens documentaires, piste d’audit, confirmation/ circularisation,
échantillonnages.

Pour finaliser son programme de travail l’auditeur déterminera l’étendue
des tests et le calendrier des tests de sorte à obtenir une preuve suffisante,
pertinente et fiable au regard des objectifs d’audit sélectionnés.
Ainsi, non seulement l’auditeur sait quelles tâches il doit accomplir (quoi ?)
selon quel planning (quand ?) mais également avec quels outils (comment ?)
I-8- Etape 8 -Ajuster le budget et allouer les

ressources
A cette étape le responsable de l’audit interne et le superviseur doit évaluer
les ressources nécessaires à la mise en œuvre du programme de travail,
identifier les ressources disponibles et les affecter à la mise en œuvre du
programme de travail.
I-8- Etape 8 -Ajuster le budget et allouer les ressources

❑ Estimer les ressources nécessaires
Le responsable de l’audit interne se pose les questions suivantes :
– De combien d’auditeurs avons-nous besoin ?
– De quelles compétences et expériences avons-nous besoin ?
L’estimation des ressources nécessaires à la mise en œuvre des tests d’audit doit :
– tenir compte de la nature, de la complexité de la mission et des contraintes de
temps ;
– prendre en compte le temps, les frais de déplacements, les coûts informatiques,
les fournitures diverses ...;
– être réaliste.
On peut tenir compte des événements imprévus, dans l’estimation des ressources.
I-8- Etape 8 -Ajuster le budget et allouer les ressources

❑ Identifier les ressources disponibles
Les questions que le RAI (Responsable de l’Audit Interne) se posera sont les
suivantes :
– Qui dans le service d’audit interne dispose des compétences et expériences
nécessaires et est disponible ?
– Si certaines des compétences nécessaires ne sont pas disponibles dans le service
d’audit, comment (formation des auditeurs, recours à des prestataires externes) et
à quel coût peut-on les acquérir ?
❑ Affecter les ressources
La répartition des travaux à réaliser s’effectue en fonction des compétences et des
disponibilités. L’affectation devra également tenir compte des disponibilités des
personnes clés du domaine audité.
I-9- Etape 9 -Valider l’organisation de la mission

Il s’agira pour le Responsable de l’Audit Interne de valider :
– que les procédures d’audit permettront d’atteindre les objectifs d’audit
– que les ressources affectées aux travaux d’audit disposent des
compétences requises
– que le calendrier prévisionnel est pertinent et réaliste (par rapport aux
contraintes du département d’audit interne et du domaine audité)
Cette validation constitue le “feu vert” donné à l’équipe d’audit pour
commencer les travaux sur le terrain.
Chapitre II: LA REALISATION DE LA MISSION
I-1- Etape 1 Collecter les informations et constituer les preuves
d’audit
❑ Le questionnaire de contrôle interne
Le QCI est le guide de l'auditeur pour réaliser son programme de travail et il
doit donc permettre de réaliser l'observation la plus complète possible.
L'objectif est d'évaluer le dispositif de contrôle interne pour chaque
opération " à risques ".
Le QCI comporte les questions visant à analyser les opérations " à risques " et
à vérifier l'existence et l'efficacité des contrôles définis dans le référentiel
d’audit. Ce ne sont pas des questions que l'auditeur pose mais les questions
qu'il va se poser et pour lesquelles il déterminera les outils qui permettront
d'y répondre tel que les entretiens, l'analyse de documents…
d’audit ( Norme2300 accomplissement de la mission 2310-1
identification des informations/2320-1 analyse et Évaluation/
2330-1 documentation des informations)
Le QCI est le guide de l'auditeur pour réaliser son programme de travail et il
doit donc permettre de réaliser l'observation la plus complète possible.
L'objectif est d'évaluer le dispositif de contrôle interne pour chaque
opération " à risques ".
Le QCI comporte les questions visant à analyser les opérations " à risques " et
à vérifier l'existence et l'efficacité des contrôles définis dans le référentiel
d’audit. Ce ne sont pas des questions que l'auditeur pose mais les questions
qu'il va se poser et pour lesquelles il déterminera les outils qui permettront
d'y répondre tel que les entretiens, l'analyse de documents…
d’audit
Cinq questions fondamentales universelles permettent de regrouper
l’ensemble des interrogations concernant les points de contrôle en couvrant
tous les aspects :
- Qui ? Regroupe les questions relatives à l'opérateur qu'il faut identifier
avec précision et déterminer quels sont ses pouvoirs et dans quelle mesure il
y’a identité entre la réalité et le référentiel. Pour répondre à ces questions
on utilise les organigrammes hiérarchiques et fonctionnels, les analyses de
postes...
d’audit
- Quoi ? Permet de regrouper toutes les questions permettant de savoir de
quoi il s’agit, quel est non plus le sujet mais l’objet de l’opération : quelle
est la nature du produit fabriqué, quelles sont les installations mises en
œuvre ou quels sont les personnels concernés.
- Où ? Pour ne pas omettre de tester tous les endroits où l’opération se
déroule : lieux de stockage, lieux de traitement, sites industriels.
- Quand ? Regroupe les questions relatives au temps : début, fin, durée,
périodicité, planning...
d’audit
- Comment ? Regroupe les questions relatives à la description du mode
opératoire, comment se fabrique le produit, comment est-il distribué,
comment recrute-t-on, comment achète-t-on ? L’utilisation de la piste
d’audit est parfois utile pour suivre, comprendre et apprécier toute une
chaîne de traitement.
Ces cinq questions ouvertes qui regroupent tous les points de contrôle
susceptibles d’être observés peuvent être utilisées à d’autres fins car elles
constituent un moyen intéressant pour ne rien omettre. Il s’agit de formuler
la meilleure question pour savoir si la tâche élémentaire est bien faite et
bien maîtrisée.

d’audit
❑ Réaliser les tests d’audit
La réalisation des tests d’audit vise à mettre en œuvre les tests définis dans
le programme de travail. Il sera nécessaire, à ce stade, de s’assurer de la
qualité (pertinentes, fiables, suffisantes) des preuves collectées.
Au cours de cette phase, l’auditeur va procéder au déroulement de son QCI
à travers des entretiens, des vérifications physiques ou documentaires, des
inventaires, des tests de conformité et de régularité. Il effectue aussi des
visites de site et fait recourt à des circularisations.
d’audit
❑ Élaborer des conclusions
Un point fort est identifié lorsque le résultat d’un test d’audit montre qu’un
contrôle :
– est bien conçu ;
– fonctionne correctement (tel que conçu) ;
– permet de maîtriser les risques sous-jacents à un niveau acceptable ;
– permet au processus d’atteindre ses objectifs.
Un dysfonctionnement est identifié lorsque le résultat d’un test d’audit montre
qu’un contrôle :
– n’est pas bien conçu ;
– ne fonctionne pas correctement (tel que conçu) ;
– ne permet pas de maîtriser les risques sous-jacents à un niveau acceptable ;
– ne permet pas au processus d’atteindre ses objectifs.
I-2- Etape 2 Valider les preuves d’audit
À l’occasion de la validation des résultats des tests d’audit, les auditeurs
peuvent être conduits à :
– vérifier avec les audités que les informations sur lesquelles ils se sont
appuyés pour conclure sur le caractère satisfaisant ou non d’un dispositif de
contrôle sont fiables, pertinentes et suffisantes
– expliquer aux audités la nature des tests
I-3- Etape 3 Analyser les causes, élaborer les recommandations
Cette étape se fait à partir de l’élaboration de la FRAP (Feuille de
Révélation et d’Analyse des Problèmes). Chaque FRAP est un document ou
un écran de micro (sur une ou deux pages) divisé en cinq parties : problème,
constat, causes, conséquences, recommandations. La FRAP est rempli par
l’auditeur à chaque fois qu’il rencontre un dysfonctionnement, une erreur,
une malversation, une insuffisance …bref, à chaque fois qu’une observation
révèle un problème, une difficulté, l’auditeur utilise ce moyen pour
conduire son raisonnement.
A la fin de son audit, il est alors en possession d’une grande quantité de
FRAP, relatives à tous les domaines explorés dans l’ordre chronologique et
logique du questionnaire de contrôle interne et d’importance plus ou moins
grande selon les conséquences du phénomène analysé. L’auditeur va
collectionner ses FRAP au rythme de ses constats et en déroulant le
questionnaire de contrôle interne.
❑ Constats
L’auditeur doit énoncer sous cette rubrique l’erreur, l’anomalie, le
dysfonctionnement constaté :
Un seul fait, c’est la règle : un constat = une FRAP. Exceptionnellement on
peut regrouper plusieurs s’ils sont très étroitement liés, de même nature,
même cause, même conséquences.
Un énoncé bref et synthétique. On évite toute illustration qui, partant du
souci de mieux présenter le propos pourrait être un mauvais commencement
de recherche des conséquences. Si, dans une entreprise ; l’auditeur constate
que le contenu des extincteurs à poudre n’est pas renouvelé conformément
à la réglementation, il ne dit pas « à l’occasion de notre visite dans les
bureaux nous avons pu constater que… » .
❑ Constats
Peu importent l’occasion et les circonstances. Il n’écrit pas davantage « le
problème important du renouvellement du contenu des extincteurs ». A ce
stade de la FRAP, on ignore si le problème est important et ii ne servirait à
rien de l’affirmer sans dire pourquoi. On écrit donc, sans fioritures, sans
périphrases et en recherchant la concision maximale :
Constat : aucun des extincteurs à poudre n’a eu son contenu renouvelé
depuis 2009. On peut alors passer à la recherche de la cause ou des causes
de ce constat.
❑ Causes
Ainsi la FRAP va obliger l’auditeur à marquer le pas, à s’arrêter sur son
constat et à ne plus le quitter tant qu’il n’aura pas épuisé totalement ce qui
peut être dit sur ce point particulier. On ne s’arrête pas au premier degré,
combien de fois les jeunes auditeurs n’ont-ils pas écrit sous cette rubrique
des explications telles que : « la procédure n’a pas été respectée » ce qui
induit des recommandations inefficaces du style « Il faut respecter la
procédure ».
Dans la recherche de la cause du phénomène, l’auditeur doit déceler le
point dont l’amélioration évitera au phénomène de se reproduire, et non pas
le point qui remettrait simplement les choses en l’état de mais
n’empêcherait pas la répétition. Dans notre cas précis : la cause peut être
une absence de supervision, une procédure inapplicable, une procédure
inconnue.
❑ Conséquences
On distingue les conséquences financières ; juridiques ; économiques et
techniques.
❑ Recommandations
La recommandation est impérativement l’exacte contrepartie de la cause.
C’est la raison d’être de l’audit interne, d’élaborer des recommandations
telles qu’elles vont éviter au phénomène de se reproduire à l’avenir. Que
faut-il faire pour que ceci ne se reproduise plus ? Quels éléments du contrôle
interne doivent être améliorés, modifiés, ajoutés ?
Modèle de FRAP : contrôle sur les comptes….
Référence du papier de travail FRAP N°
Problème :
Faits :
Causes :
Conséquences :
Recommandations :
Auditeur : Approuvé par :

Bien avant la fin de la mission c’est pour chaque constat que l’audité a son
mot à dire : explications nécessaires à l’élaboration de la FRAP, validation.
Lui aussi est ainsi informé pas à pas, suit le travail des auditeurs d’où un
sentiment de participation qui va contribuer à une bonne communication
entre les parties en présence et donc favoriser l’impact positif des
recommandations.
Chapitre III: LA PHASE DE CONCLUSION
INTRODUCTION
L’auditeur revient à son bureau avec l’ensemble de ses FRAP et de ses
papiers de travail. Pour permettre la validation générale, il rédige un
document : c’est le projet de rapport d’audit. Puis a lieu la réunion de
clôture et validation, d’où sort le rapport d’audit en son état final et auquel
il faut assurer un suivi.
I-1- Etape 1 Le projet de rapport d’audit
Il est ainsi nommé pour trois raisons :
Raison 1
Les observations qu’il contient n’ont pas encore fait l’objet d’une validation
générale ; elles ne peuvent donc être considérées comme définitives, même
si chaque FRAP a fait l’objet d’une validation spécifique.
Raison 2
Ce document s’il comporte déjà les recommandations des auditeurs, ne
comprend pas les réponses des audités à ces recommandations.
C’est un document incomplet et qui peut se présenter sous deux aspects:
- Ou bien il est constitué de l’ensemble des FRAP que l’on a pris soin de
classer de façon logique et par ordre d’importance. Un sommaire est rédigé
qui résume les différents chapitres abordés et renvoie aux FRAP concernés
I-1- Etape 1 Le projet de rapport d’audit
Il est ainsi nommé pour trois raisons :
- Ou bien c’est le cas le plus fréquent , le projet se présente déjà en une
forme relativement élaborée. On y trouve un sommaire , une
introduction, une synthèse, la mention des destinataires.
Et surtout c’est un document déjà rédigé: il reprend certes les différentes
FRAP mais avec un effort de rédaction.
Raison 3
Il ne comporte pas encore le plan d’action qui est ce document joint au
rapport définitif et sur lequel l’audité indique quand et par qui seront mises
en œuvre les recommandations qu’il a acceptées.
I-2- Etape 2 La réunion de clôture
Elle réunit exactement les mêmes participants que la réunion d’ouverture,
lesquels après s’être entendu dire ce que les auditeurs internes avaient
l’intention de faire, vont s’entendre commenter ce qu’ils ont fait. Cette
réunion de clôture obéit à quartes principes :
✓ Le principe du « livre ouvert »
Il est fondamental et découle directement du principe de transparence.
C’est l’affirmation que rien ne saurait être écrit dans le rapport d’audit
interne qui n’ait pas été au préalable présenté et commenté aux audités.
Tous les documents, tous les éléments de preuve qui ont permis les
observations contenues dans le projet de rapport doivent être mis sur la
table.
Elle réunit exactement les mêmes participants que la réunion d’ouverture,
lesquels après s’être entendu dire ce que les auditeurs internes avaient
l’intention de faire, vont s’entendre commenter ce qu’ils ont fait. Cette
réunion de clôture obéit à quatre principes :
✓ Le principe de la file d’attente
Le premier servi en matière d’information, c’est et ce doit être l’audité, le
responsable direct, avec lequel les informations sont validées. C’est
pourquoi le projet de rapport et son contenu ne sont ni diffusés ni divulgués
tant que la réunion de clôture (et de validation) n’est pas achevée. Rien
n’est pire que la divulgation anticipée à la hiérarchie des constats d’audit et
qui arrivent ensuite sur l’audité en forme de reproches alors qu’il n’a pas
été informé par les auditeurs et ne sait de quoi il retourne.
✓ Le principe du « ranking »
Les recommandations des auditeurs figurant dans le projet de rapport sont
présentées en fonction de leur importance. On effectue donc un classement des
constats énoncés dans les FRAP, classement effectué à partir de l’analyse des
conséquences. Si les conséquences réelles ou potentielles sont secondaires, on se
garde bien d’insister longuement sur ces questions, si par contre les conséquences
sont importantes les auditeurs ouvrent largement le débat.
✓ Le principe de « l’action immédiate »
C’est le corollaire pratique de l’information totale et complète donné à l’audité. En
vertu de ce principe, dès que l’audité est informé, on va l’encourager sans attendre
la publication du rapport officiel à prendre immédiatement les mesures correctives,
s’il en a les moyens. Si tel est le cas, le rapport d’audit mentionne que des
dispositions ont été prises aussitôt et ont déjà porté leurs fruits.
Les contestations
Si le travail a été bien fait, si les constats ont été validés pas à pas, la
validation générale ne doit pas poser de problème quant à la réalité des
faits. Les contestations les plus délicates sont relatives aux
recommandations figurant dans le projet de rapport. Elles sont délicates
parce que l’audité a toujours la faculté de refuser une recommandation. La
contestation à la prise de connaissance du projet de recommandation n’est
pas une anomalie en soi : cette contestation peut conduire les auditeurs
internes à modifier le contenu de leur texte. L’auditeur qui n’est pas un
spécialiste du sujet audité peut parfois ne pas percevoir la meilleure des
solutions possibles .Si un bon climat de collaboration s’est établi, les audités
font alors des propositions pour enrichir la recommandation initiale.
Les contestations
Cette situation reste exceptionnelle et est à proscrire car elle témoigne d’un
doute que l’audit interne entretient sur ses capacités à proposer des
solutions pour la qualité du contrôle interne.
Ne saurait être écrit dans le rapport d’audit interne qui n’ait été au
préalable présenté et commenté aux audités. Il peut être demandé aux
auditeurs de produire les preuves collectées pour soutenir telle ou telle
observation. Discussion sur les mesures correctives à mettre en place :
ébauche du plan d’action.
I-3- Etape 3 Finaliser le plan d’action
❑ Affecter les ressources et responsabilités nécessaires à la mise en œuvre du
plan d’action
Les moyens nécessaires devront être évalués pour la mise en place de chaque
recommandation. Un responsable devra être nommé pour chaque mesure
corrective. La mise en œuvre effective des mesures correctives est garantie
par une affectation rigoureuse des ressources et des responsabilités.
❑ Élaborer le calendrier de mise en œuvre du plan d’action
Une date d’échéance devra être fixée pour chaque mesure corrective. Le
calendrier de mise en œuvre du plan d’action devra tenir compte de
l’importance des risques à maîtriser et donc de l’urgence qu’il y a à en
améliorer la maîtrise. L’évolution de l’état d’avancement des actions de
progrès entraînera une mise à jour périodique du plan d’action. Le plan
d’action mis à jour devra être communiqué à l’audit interne.
I-4- Etape 4 Le rapport d’audit interne
Le rapport d’audit obéit à un certain nombre de principes, il respecte une
certaine forme et son contenu obéit à des normes.
Les quatre principes
✓ Pas d’audit interne sans rapport d’audit interne
De même que l’auditeur externe doit en tout état de cause porter un
jugement sur les comptes de l’entreprise, de même l’auditeur interne doit
fournir une appréciation sur les contrôles internes de la fonction auditée.
Cette appréciation est donnée même s’il faut conclure que l’ensemble des
tests démontre une parfaite adéquation entre les contrôles internes et les
objectifs. La norme 2440 est sans équivoque sur ce point : « Le responsable
de l’audit interne doit diffuser les résultats ».
Le rapport d’audit obéit à un certain nombre de principes, il respecte une certaine
forme et son contenu obéit à des normes.
✓ Document final
Ce document est le dernier acte de la mission d’audit : c’est le deuxième principe.
La mission d’audit interne ne se termine qu’avec la mise en œuvre des
recommandations. En affirmant ce principe les normes professionnelles (norme
2500) signifient que l’auditeur interne a encore un rôle à jouer après la publication
du rapport.
Mais quoi qu’il en soit le document final est bien le rapport d’audit interne. On
verra que des contacts peuvent se poursuivre ; il est de même souvent souhaitable
que des relations de travail perdurent entre les intéressés, mais on doit avoir tout
dit dans le rapport et la validation générale en ayant été faite avec les audités, il
ne peut être question d’y apporter des retouches de façon unilatérale et à
posteriori.
Le rapport d’audit obéit à un certain nombre de principes, il respecte une certaine
forme et son contenu obéit à des normes.
✓ Présentation préalable aux audités
Rappelons ici que c’est un document final parce que la précaution a été prise au
cours de la réunion de clôture, d’en présenter et d’en expliciter le texte.
✓ Droit de réponse de l’audité
Le caractère définitif du document et sa présentation impliquent un droit de
réponse qui s’exerce d’une double façon : de façon orale et informelle au cours de
la réunion de clôture ; de façon écrite et formelle. Sur le rapport lui-même et avant
sa diffusion, l’audité est invité à communiquer ses « réponses aux
recommandations » : chaque réponse est insérée dans le rapport d’audit à la suite
de chaque recommandation.
La forme
✓ Page de garde et lettre d’envoi
Selon les règles de l’entreprise et sa culture, le rapport est accompagné d’une
brève lettre d’envoi. Très souvent la lettre d’envoi est absente, et on fait figurer
sur la page de garde l’essentiel des mentions à ne pas omettre. Dans l’ordre
- Le titre de la mission et la date d’envoi du rapport ;
- Les noms des auditeurs ayant participé au travail, avec ceux des chefs de mission ;
- Les noms des destinataires du rapport d’audit ; une mention particulière indique
quel est l’audité, destinataire principal et responsable du suivi des
recommandations ;
- Une mention obligatoire de « confidentialité ». Cette exigence de confidentialité
conduit à numéroter les différents exemplaires et à indiquer le numéro en face du
nom de chaque destinataire. Les règles internes au service d’audit doivent
normalement interdire édition ou photocopie en dehors des exemplaires numérotés.
La forme
✓ Sommaire – introduction et synthèse
L’introduction est en général assez brève. Elle doit obligatoirement
comporter deux informations :
- Le rappel du champ d’action et des objectifs de la mission. En le lecteur
n’ a pas nécessairement eu connaissance de l’ordre de mission ni du
rapport d’orientation
- Un très bref historique de l’organisation de l’unité ou de la fonction
auditée
.
La forme
✓ Sommaire – introduction et synthèse
Enfin vient la synthèse.
La synthèse doit être brève et précise. C’est dans cette synthèse que
l’auditeur apprécie la qualité du contrôle interne. Pour ce faire, elle ne doit
pas être un simple résumé du corps du rapport lequel ne contient que des
observations négatives. La note de synthèse rétablit l’équilibre en mettant
en corrélation les aspects positifs et les aspects négatifs. Ainsi peut être
appliquée la norme 2410.A2 : « Les auditeurs internes sont encouragés faire
état des forces relevées ».
.
La forme
✓ Le corps du rapport – ou « rapport détaillé »
C’est le document intégral destiné en premier lieu à l’audité et qui
comporte : constats, recommandations et réponses aux recommandations, le
tout présenté dans l’ordre logique et cohérent du sommaire.
✓ Conclusion – plan d’action – Annexes
La conclusion d’un rapport d’audit ne s’improvise pas : la véritable
conclusion est la note de synthèse du document. On peut toutefois prévoir
une courte conclusion (15 lignes) ; non pas pour répéter ce qui est dit dans
la synthèse, mais ouvrir deux autres directions possibles :
.
La forme
- Ou bien pour annoncer ou suggérer d’autres missions dont l’intérêt aurait
été révélé par la présente mission d’audit
- Ou bien pour rappeler en se référant au plan d’audit approuvé à quelle
date se situera la prochaine mission de l’audit interne sur le même thème.
Le document suivant, cette brève conclusion est un papier qui a été rempli
par l’audité, envoyé avec les réponses aux recommandations et joint au
rapport : c’est le plan d’action. C’est un simple formulaire, dessiné par
l’audit interne, et qui permet à l’audité d’indiquer pour chaque
recommandation, qui fera quoi et quand. .
La forme
La forme la plus simple et la plus traditionnelle est la suivante :
Recommandati Personnes responsables de Date limite de

ons la mise en œuvre réalisation
N° 1 Chef du magasin 30- 06- 2018
N° 2 M. X- acheteur 15- 03- 2018

Chapitre IV: LE ROLE DE L’AUDIT INTERNE DANS L’ELABORATION
DU MANUEL DES PROCEDURES
INTRODUCTION
Le manuel des procédures constitue pour l’entreprise le concentré de son
organisation, sa mémoire capitalisant les savoir-faire individuels et
collectifs. Pour l’auditeur interne, c’est le référentiel sur la base duquel il
réalise ses missions de vérification et de contrôle, particulièrement en
matière de conformité et de régularité.
Cependant, l’élaboration de ce manuel requiert une méthodologie, une
technique et un travail d’équipe où chaque responsable de l’entreprise a sa
partition à jouer.
Dans ce processus, quel est le rôle de l’Audit Interne ?
Pour répondre à cette question, nous présenterons d’abord le manuel des
procédures.
I- Présentation générale du manuel des procédures

I-1- Définition
Le manuel des procédures peut être défini comme étant un référentiel à
usage commun pour tous les acteurs au sein de l’entreprise :
- la Direction Générale ;
- les services opérationnels ;
- les auditeurs internes.

I-1- Définition
Le manuel des procédures est un document qui, sous la forme d’instructions claires
et précises, contient l’ensemble des opérations courantes de l’entreprise.
Le manuel des procédures indique le circuit de traitement de ces opérations en
spécifiant notamment les :
- tâches à faire (quoi ?) ;
- niveaux de responsabilités (qui ?) ;
- différentes étapes de traitement (quand ?) ;
- lieux de réalisation (où ?) ;
- modalités d’exécution (comment ?).
I-2- Objectifs
Les objectifs du manuel des procédures sont :
✓ Expliquer les modalités d’application des différentes procédures suivant
les activités ou cycles de l’entreprise : techniques ; comptables ;
financiers ; administratifs.
✓ Assurer l’uniformité des modalités d’exécution en les formalisant. Ce qui
exclut les disparités dans la manière de traiter les opérations qui, en
l’absence de manuel, dépendent le plus souvent : du style ; de
l’expression personnelle déjà acquise ; mais aussi de la culture des
opérationnels.
✓ Sauvegarder les actifs de l’entreprise par des procédures de contrôle
interne performantes.

I-2- Objectifs
Les objectifs du manuel des procédures sont :
✓ Sauvegarder les actifs de l’entreprise par des procédures de contrôle
interne performantes.
✓ Former le personnel
✓ Favoriser l’assimilation rapide des techniques spécifiques de l’entreprise
pour le personnel nouvellement affecté à un poste de travail. Ce qui se
traduit par un gain de temps considérable notamment lors des passations
de service ou lors de la phase d’intérim pour le commissariat aux
comptes ou les Audits Externes.

I-3- Structure et présentation du manuel des procédures
Dans le manuel des procédures, l’ensemble des opérations traitées dans
l’entreprise est découpé en :
✓ Cycles : qui correspondent aux activités de l’entreprise ;
✓ Procédures ou sous–procédures (quand les procédures sont longues elles
peuvent être découpées). Elles décrivent l’ensemble des opérations qui
sont traitées dans un cycle ;
✓ Opération : elles sont numérotées de 1 à N selon leur nature pour chaque
procédure.

CYCLE
PROCEDURES PROCEDURES PROCEDURES
SP SP SP SP SP SP SP SP
OPERATIONS

SP : Sous–Procédures
Le document physique est constitué souvent de plusieurs tomes selon la
nature et l’importance des cycles. Il se présente sous la forme, pour chaque
tome, d’un classeur à feuillets amovibles, pour des besoins de mise à jour.
Pour chaque feuillet, il est mentionné la date d’élaboration de la procédure,
la date d’approbation et la date de modification (éventuellement).
I-4- Importance du manuel des procédures
✓ Comme élément constitutif du dispositif de contrôle interne de l’entreprise.
Le manuel des procédures est la forme la plus achevée de la normalisation et de
l’uniformisation des procédures. En plus de son aspect descriptif, il intègre les
points de contrôle couvrant tous les espaces de risques potentiels et offre ainsi une
sécurité dans le dispositif de contrôle interne de l’entreprise.
✓ Importance pour l’utilisateur
L’utilisateur, en s’appropriant le manuel des procédures, s’affranchit des
interprétations possibles sur telle ou telle procédure. Il trouve en effet dans le
manuel un bréviaire, un guide pratique qu’il entretient lui-même en l’enrichissant,
le cas échéant, pour l’adapter à ses besoins.
Exemple : L’utilisateur peut demander la modification d’une procédure en vue d’en
améliorer l’efficacité pratique.

I-4- Importance du manuel des procédures
✓ Importance pour l’auditeur
On contrôle toujours sur la base de quelque chose. Un contrôle ne se fait pas
exnihilo. Dans l’appréciation du contrôle interne de l’entreprise, la phase
préliminaire consiste en la revue des procédures. A ce niveau, l’existence
d’un manuel des procédures permet une rapide et meilleure prise de
connaissance du système de contrôle interne. Un manuel des procédures
régulièrement mis à jour et appliqué constitue une présomption favorable de
l’existence d’un dispositif de contrôle interne efficace et donc une garantie
que les opérations ou transactions qu’elles soutiennent sont fiables.
II -Le rôle de l’Auditeur Interne dans l’élaboration du manuel

des procédures
Le rôle de l’auditeur interne se situe à toutes les phases du processus
d’élaboration et de mise en œuvre du manuel des procédures.
II-1- Phase d’élaboration du manuel des procédures
Elle commence par la description par les opérationnels eux-mêmes, de la
manière dont ils traitent leurs transactions. Les auditeurs internes
définissent le cadre et l’architecture selon lesquels les opérationnels
formalisent les opérations qu’ils traitent. Le cadre se présente sous la forme
d’ateliers sectoriels (par service) regroupant tous les agents d’un même
service où sont discutés les « avant-projets de procédures ».

des procédures
Le rôle de l’auditeur interne se situe à toutes les phases du processus
d’élaboration et de mise en œuvre du manuel des procédures.
II-1- Phase d’élaboration du manuel des procédures
L’auditeur ne décrit pas les procédures, son rôle se limite à mettre en
évidence les zones de risques qui doivent être couverts par des points de
contrôle que les opérationnels définissent eux-mêmes. Le rôle de l’auditeur
interne est un rôle de conseiller vis-à-vis des opérationnels.

des procédures
II-3- Synthèse et validation des avant-projets discutés en
ateliers
Chaque service envoie, après discussion en atelier, son avant- projet à
l’Audit Interne qui centralise tous les avant-projets.
L’Audit Interne s’assure à ce niveau du respect de l’architecture déjà définie
(cycle, procédures, sous-procédures, opérations).

des procédures
II-3- Synthèse et validation des avant-projets discutés en
ateliers
Une réunion de synthèse regroupant l’ensemble des services opérationnels
est convoquée à l’initiative de l’Audit interne pour l’examen des avant-
projets. L’avantage est une mise à niveau des opérationnels qui, de ce fait,
vont prendre connaissance de l’ensemble des procédures de l’entreprise. Ils
acquièrent également une polyvalence ce qui peut leur être utile au cas où
ils seraient affectés à un autre service opérationnel.
des procédures
II-4- La rédaction et la mise en forme du manuel
La rédaction du document de synthèse qui sera le projet de manuel des
procédures est souvent confiée à un comité de rédaction composé des
opérationnels et de l’Audit Interne.
La mise en forme est du ressort de l’Audit Interne, mais compte tenu de la
dimension esthétique qu’elle renferme, cette tâche peut être sous-traitée à
des cabinets d’étude externes qui disposent souvent de logiciels
performants. Ce qui peut constituer un gain de temps pour l’audit.
Une fois rédigé et mis en forme, le manuel est approuvé par la Direction
Générale.
II -Le rôle de l’Auditeur Interne dans l’élaboration du manuel des
procédures
II-5- La vulgarisation et la mise en œuvre du manuel des procédures
Cette phase est la plus importante dans l’utilisation du manuel des procédures.
En effet, il ne suffit pas d’élaborer un manuel des procédures, fut-il le plus adapté,
il faut le diffuser à grande échelle pour assurer sa mise en œuvre correcte.
Une fois le manuel des procédures en possession des directeurs et chefs de service ,
le responsable doit en accuser réception officiellement et procéder à une diffusion
très large au sein du service.
Pour ce faire, il doit lui-même animer des séminaires internes de formation des
exécutants sur la mise en œuvre effective des procédures qu’ils sont chargés
d’appliquer.
Dans la phase de diffusion et de mise en œuvre des procédures, l’Audit Interne peut
être sollicité pour l’animation des séminaires internes de formation (rôle
d’assistance et de consultance interne).
II -Le rôle de l’Auditeur Interne dans l’élaboration du manuel des
procédures
II-6- L’évaluation des procédures
L’évaluation des procédures est du ressort exclusif de l’Audit Interne. L’auditeur
interne, dans ses missions, s’assure notamment que :
1°) les procédures préalablement définies sont effectivement appliquées,
2°) les procédures sont efficaces et répondent aux objectifs de contrôle interne qui
sont :
- la sauvegarde du patrimoine de l’entreprise,
- la fiabilisation des informations,
- l’amélioration des performances,
- le respect des lois, des règlements en vigueur et les directives de la Direction
Générale.

des procédures
II-6- L’évaluation des procédures
Si les procédures comportent des points faibles, l’auditeur les relève et
propose des solutions dans ses recommandations. Ces dernières sont
discutées avec les opérationnels. Si les recommandations sont approuvées
par la Direction Générale, elles aboutissent à une mise à jour du manuel.

des procédures
II-7- Les procédures de mise à jour
Les procédures ne sont pas statiques, elles sont dynamiques et doivent
toujours s’adapter à l’organisation mise en place et aux besoins évolutifs de
l’entreprise.
C’est pourquoi, dans les manuels de procédures, il est prévu une procédure
spéciale de mise à jour.
a) Qui prépare la mise à jour ?
Le chef d’unité chargé de l’application de la procédure,
des procédures
II-7- Les procédures de mise à jour
b) Quand fait-on la mise à jour ?
Dès lors qu’une procédure est identifiée comme étant :
- incomplète,
- désuète,
- inadaptée,
c) Comment fait-on la mise à jour ?
En préparant une note explicative claire et une note de procédure conforme
au style du manuel.
III -Conclusion
Le rôle de l’Audit Interne dans l’élaboration du manuel des
procédures est un rôle actif, mais qui n’est pas simple pour
autant. En effet, il lui faut éviter d’être juge et partie, tout en
restant le maître d’œuvre.
Il y a donc une limite à ne pas franchir entre :
- d’une part, aider en tant que professionnel de l’audit à
confectionner un manuel des procédures, tout en évitant d’être
co-auteur (première phase).
- d’autre part, s’assurer de la pertinence des procédures et
veiller à leur application correcte (2e phase).
III -Conclusion
Le pari n’est pas facile à tenir car un glissement lors de la première
phase peut affecter l’objectivité de l’auditeur qui sera juge lors de la
(2e phase). En tout état de cause, l’auditeur interne ne crée pas de
procédures. Il ne les explique pas non plus. Son rôle est de les évaluer
et de s’assurer qu’elles sont correctement appliquées.
Enfin, la préparation d’un manuel des procédures n’est pas facile et sa
réalisation prend souvent beaucoup de temps. Le rôle de maître
d’œuvre de l’auditeur interne requiert de sa part organisation et
méthode en vue de maîtriser les délais. L’objectif final étant de
produire des procédures de qualité dans un délai raisonnable.
MERCI POUR
VOTRE ATTENTION

Support de Formation Fondamentaux de L'audit-Complet-Cpacg

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Support de Formation Fondamentaux de L'audit-Complet-Cpacg

Transféré par

Droits d'auteur :

Formats disponibles

AUDIT INTERNE ET ORGANISATIONNEL

(Document préparé et présenté par TOURE ABOUBAKAR,

EXPERT EN AUDIT COMPTABLE ET FINANCIER

Ces dispositions se retrouvèrent avec des décalages certes, dans la

 Plusieurs raisons poussent les opérateurs économiques à commander une

Cette définition a été relayée par celle de « l’Américan Institute of

Ces définitions montrent bien que le contrôle interne s’étend à

En fin, le contrôle interne s'applique aussi bien à l'entreprise toute entière

Recoupement : Dans des documents différents ou va chercher à vérifier la

Un style de management peu favorable au contrôle interne entrave sa mise

Le plan d’audit est exigé par la norme 2010 « le responsable de

Et pourtant tout le monde ne pratique pas le plan d’audit interne,

si les auditeurs internes ne possèdent pas les connaissances, les savoir-faire

II- Les normes de qualification et normes de mise en œuvre

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

III-1- Norme 2000 – Gestion de l’audit interne

Dans le cadre de la coordination des activités, le responsable de

III-1- Norme 2000 – Gestion de l’audit interne

Le responsable de l’audit interne devrait également avoir une

III-2- Norme 2100 – Nature du travail

III-2- Norme 2100 – Nature du travail

III-3- Norme 2200 – Planification de la mission

III-4- Norme 2300 – Accomplissement de la mission

III-4- Norme 2300 – Accomplissement de la mission

III-5- Norme 2400 –Communication des résultats

I-1- Etape 1 Préciser les objectifs et le périmètre

I-1- Etape 1 Préciser les objectifs et le périmètre

Cette première étape est sanctionnée par l’élaboration d’un ordre de

I-2- Etape 2 Conduire la réunion d’ouverture

I-2- Etape 2 Conduire la réunion d’ouverture

❑ Présenter les objectifs et le périmètre de la mission

I-2- Etape 2 Conduire la réunion d’ouverture

I-2- Etape 2 Conduire la réunion d’ouverture

I-3- Etape 3 Analyser les processus et leurs

I-4- Etape 4 Identifier et évaluer les risques

I-4- Etape 4 Identifier et évaluer les risques

I-4- Etape 4 Identifier et évaluer les risques

Processus Objectifs Risques Evaluation

Expression des besoins

-Eviter les achats par -Non adéquation avec Moyen

I-4- Etape 4 Identifier et évaluer les risques

I-4- Etape 4 Identifier et évaluer les risques

L’auditeur interne vérifiera si le dispositif identifié comme important

I-4- Etape 4 Identifier et évaluer les risques

- Avaries Faible Procédure de Oui

-Conformité en - Non- Important Inspection Oui

-Contentieux Moyen Procédure de

I-5-Etape 5- Sélectionner les objectifs d’audit

I-5-Etape 5- Sélectionner les objectifs d’audit

I-6- Etape 6 Valider le référentiel d’audit

I-6- Etape 6 Valider le référentiel d’audit

I-6- Etape 6 Valider le référentiel d’audit

I-7-Etape 7- Elaborer le programme de travail

I-7-Etape 7- Elaborer le programme de travail

I-7-Etape 7- Elaborer le programme de travail

I-7-Etape 7- Elaborer le programme de travail

I-8- Etape 8 -Ajuster le budget et allouer les

I-8- Etape 8 -Ajuster le budget et allouer les ressources