Audit Interne

- Support n°1 -

Virginie Beauvisage 1
 1ère partie :
FONCTION D’AUDIT INTERNE ET NOTION DE RISQUE

Objectif : appréhender le métier d’auditeur interne et se

familiariser avec la notion de risque

Le plan I – LES DÉFINITIONS ET L’ENVIRONNEMENT LÉGAL ET

PROFESSIONNEL DE L’AUDIT INTERNE

du Les principales définitions

cours
Le cadre réglementaire
Les normes professionnelles

II – LE RISQUE
La définition du risque
La mesure du risque
Quelques acteurs du risque
Virginie Beauvisage 2
 2ème partie :
DEROULEMENT D’UNE MISSION ET METHODOLOGIE D’AUDIT

Objectif : connaître et mettre en pratique les techniques

professionnelles pour réaliser une mission d’audit.

Le plan I – LE PLAN D’AUDIT ET LA PREPARATION DE LA MISSION

Le plan d’audit
du L’ordre de mission

cours L’étape de prise de connaissance

L’élaboration du référentiel de mission

II –LA PHASE DE REALISATION : LES ENTRETIENS ET LES

CONTRÔLES SUR PIECES
Les entretiens d’audit
Les contrôles sur pièces
Virginie Beauvisage 3
 III – LA PHASE DE REALISATION : LES CONSTATS ET LES
RECOMMANDATIONS
Les constats
Les recommandations

Le plan IV – LA PHASE DE RESTITUTION ECRITE DES TRAVAUX

D’AUDIT

du L’établissement du rapport d’audit

cours
La constitution du dossier d’audit

V – LA CONCLUSION DE LA MISSION D’AUDIT

Les entretiens de restitution et l’acceptation des
recommandations
La validation du rapport d’audit
La diffusion du rapport d’audit
Virginie Beauvisage 4
 Et pour terminer …

VI – LE SUIVI DE LA MISE EN ŒUVRE DES

Le plan RECOMMANDATIONS D’AUDIT

Le processus de suivi
du
cours
VII – SYNTHESE DE LA METHODOLOGIE D’AUDIT
Présentation des étapes et outils d’une mission d’audit sous
forme de frise chronologique

Virginie Beauvisage 5
Audit, vous avez dit
Audit ?
Alors il s’agit des Non ! Ce sont les Mais à quoi servent-ils ?
comptes ! auditeurs
INTERNES !

Mettons fin aux préjugés fâcheux !

Internes … c’est-à- Comme vous et moi …

dire ? N’exagérons rien !
Des collaborateurs,
comme vous et moi ?

Ils ne font pas …

Par contre, ils ne se
gênent pas pour
donner leur point de
vue !

Virginie Beauvisage 6
Posons les bases !

🧱
Virginie Beauvisage 7
 Qu’est-ce que l’audit interne ?

Les
Définition officielle de l’Institute of Internal Auditors (IIA) :

définitions : « L’audit interne est une activité indépendante et objective qui

donne à une organisation une assurance sur le degré de maîtrise de

L’audit interne ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée. Il aide cette organisation à
atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de
contrôle et de gouvernement d’entreprise, et en faisant des
propositions pour renforcer leur efficacité. »
Virginie Beauvisage 8
 Qu’est-ce que l’audit interne ?

Les
Plus simplement,

définitions : L’audit interne EST :

- une fonction de l’entreprise : les auditeurs internes sont des

salariés de l’entreprise ;
L’audit interne
- une fonction indépendante des autres fonctions/directions : pour
garantir son indépendance, l’audit interne est rattaché au niveau
le plus haut de la hiérarchie ;

Virginie Beauvisage 9
 Qu’est-ce que l’audit interne ?

Plus simplement,

Les L’audit interne EST :

définitions : - une fonction ayant pour missions :

• d’évaluer le degré de maîtrise des risques, dans le cadre

de missions d’audit sur des sujets donnés,
L’audit interne • et d’améliorer cette maîtrise.

Pour les mener à bien, l’audit interne n’est pas partie

prenante dans les activités ni intégré aux processus
opérationnels, qu’il examine, évalue et sur lesquels il rend un
avis, au regard de la seule maîtrise des risques.
Virginie Beauvisage 10
 Qu’est-ce que l’audit interne ?

Les
Plus simplement,

définitions : L’audit interne N’EST PAS :

- l’audit externe,

L’audit interne - l’audit légal,

- l’audit qui certifie les comptes,

- un service de « contrôleurs » se limitant à vérifier le respect

des procédures.

Virginie Beauvisage 11
 Qu’est-ce que le contrôle interne ?

Les
définitions : « Le contrôle interne est l’organisation des processus, des
procédures et des contrôles mis en œuvre par le management,
ayant pour finalité d’assurer la maîtrise globale des risques et
Le
donner une assurance raisonnable que les objectifs stratégiques
contrôle interne
fixés seront atteints. »

C’est-à-dire ?
Virginie Beauvisage 12
 Qu’est-ce que le contrôle interne ?

Les Pour mieux comprendre cette notion, nous pouvons faire le parallèle

définitions : suivant :

Dans les médias, évoquant la tenue de tel sommet ou de telle

rencontre sportive qui rassemble de très nombreux participants ou
Le
spectateurs, on lit ou on entend : « d’importants moyens, contrôles,
contrôle interne
de nombreux agents … ont été déployés afin d’assurer la sécurité. »

Autrement dit, il est alors question :

d’un important DISPOSITIF de sécurité !

Virginie Beauvisage 13
 Qu’est-ce que le contrôle interne ?

Les Le contrôle interne est un DISPOSITIF, soit un ensemble de

définitions : moyens mis en œuvre dans un objectif, celui de maîtriser les

risques de l’organisation. L’audit interne en fait d’ailleurs partie.

Le
Cet ensemble de moyens est mis en œuvre par l’ensemble des
contrôle interne
opérationnels, managers et collaborateurs de tous niveaux. Ces
moyens sont définis en fonction des risques, dans le but de les
maîtriser. Ce peuvent être des procédures prévoyant des contrôles,
les contrôles eux-mêmes, des installations/matériels spécifiques,
une politique de sensibilisation des collaborateurs …
Virginie Beauvisage 14
 Qu’est-ce que le contrôle interne ?

Les
définitions : Le contrôle interne est la réponse à la question « comment faire
pour maîtriser au mieux ses activités ? »

Le
contrôle interne Car on ne le rappellera jamais assez, le contrôle interne est une
« mauvaise » traduction du terme « internal control », puisque « to
control » signifie « maîtriser » et non « contrôler » !

Virginie Beauvisage 15
 Les composantes du dispositif de contrôle interne
(source : ACPR)

Les
définitions :
Le
contrôle interne

Virginie Beauvisage 16
 Les 3 niveaux de contrôle
du dispositif de contrôle interne

Les
définitions :
Le
contrôle interne

Virginie Beauvisage 17
 Audit interne Contrôle interne

✓ Fonction de l’entreprise ✓ Dispositif

✓ L’audit interne évalue la ✓ Le dispositif de contrôle

Les définitions : qualité du dispositif de interne est l’ensemble des
contrôle interne et propose moyens mis en œuvre par les
audit interne des recommandations pour opérationnels de tous niveaux
& l’améliorer. pour assurer la maîtrise des
contrôle interne risques.

✓ L’audit interne fait partie du ✓ Le contrôle interne est la

dispositif de contrôle réponse à la question
interne, dont il est le 3ème « comment faire pour
niveau de contrôle. maîtriser au mieux ses
activités ? »

Virginie Beauvisage 18
 Dans le secteur bancaire, qu’appelle-t-on ?

• Le contrôle périodique : il recouvre les contrôles de troisième

niveau réalisés a posteriori par l’audit interne ou « audit
Les périodique », et par les autorités de tutelle.
définitions : • Le contrôle permanent : il recouvre les contrôles au quotidien
réalisés par les opérationnels et leur hiérarchie dans le cadre du
Autres traitement des opérations, par le contrôle interne, la gestion des
terminologies risques et la conformité (spécificité bancaire). Il recouvre ainsi
les contrôles de premier et de deuxième niveau.

• L’inspection générale : elle se positionne au troisième niveau et

correspond à l’audit interne du Groupe, tandis que chacune des
filiales est dotée de sa propre direction d’audit interne.
Virginie Beauvisage 19
Le métier d’auditeur interne s’est développé sous l’effet de
la pression des législateurs. Voici donc une revue des
principales réglementations qui concernent la profession,
afin de mieux cerner son rôle.

Virginie Beauvisage 20
 Cadre réglementaire : le socle historique

✓ Le Sarbanes-Oxley Act

Cette loi américaine a fait suite aux scandales financiers qui se

L’environnement sont produits aux Etats-Unis au début des années 2000 (affaires
légal : Enron, Worldcom). Le SOX date de 2002, et s’applique à toutes les
sociétés américaines cotées à New York et à leurs filiales, même
SOX
situées à l’étranger. Ses dispositions concernent essentiellement
l’information financière, mais certaines intéressent plus
particulièrement les auditeurs internes. Notamment, le SOX impose
à ces sociétés la publication d’un rapport du management sur le
contrôle interne.

Virginie Beauvisage 21
 Cadre réglementaire : le socle historique

✓ La Loi sur la Sécurité Financière (LSF)

La LSF fut publiée le 1er août 2003. Elle est le pendant du SOX
L’environnement Act, et constitue la réponse legislative française aux questions du
légal : contrôle légal des comptes, et de la transparence dans les
entreprises. Elle s’applique à toutes les sociétés faisant appel à
la LSF
l’épargne publique, et a complété le code du Commerce comme suit :

- « Le président du Conseil d’Administration rend compte dans un

rapport (…) des conditions de préparation et d’organisation des
travaux du conseil, ainsi que des procédures de contrôle interne
mises en place par les sociétés. »

Virginie Beauvisage 22
 Cadre réglementaire : le socle historique

✓ La Loi sur la Sécurité Financière (LSF)

- « (…) Les commissaires aux comptes présentent, dans un rapport

L’environnement joint (…), leurs observations sur le rapport du président, pour
légal : celles des procédures de contrôle interne qui sont relatives à
l’élaboration et au traitement de l’information comptable et
la LSF
financière. »

Ainsi apparaît dans le monde législatif le terme de contrôle interne.

Virginie Beauvisage 23
 Cadre réglementaire

✓ La 8ème directive européenne sur l’audit légal

La 8ème directive européenne sur l’audit légal, émise le 17 mai 2006,

L’environnement légal
a été transposée en droit français en décembre 2008. Elle rend
:
obligatoire la mise en place d’un « comité spécialisé », le comité
la 8ème d’audit, pour les sociétés cotées, et donne une définition légale de
directive la mission du comité d’audit.
européenne
sur L’Article 39 de la directive porte ainsi sur les attributions du
l’audit légal comité d’audit, à savoir :

- La supervision du reporting financier et de la révision IFRS,

- L’examen et le suivi de l’indépendance des contrôleurs légaux,

- Le contrôle de l’efficacité du dispositif de contrôle interne.

Virginie Beauvisage 24
 Cadre réglementaire

✓ La loi Sapin II

La loi Sapin II est entrée en vigueur le 1er juin 2017. Elle concerne
des thèmes variés, dont un qui intéresse particulièrement les
L’environnement professions de l’audit interne et du contrôle interne : la lutte
légal : contre la corruption.

En synthèse, la loi Sapin II prévoit, entre autres mesures, la

Sapin II
création de l’Agence Française Anti-Corruption, mais surtout, elle
rend obligatoire la mise en place d’un dispositif de prévention et de
détection des faits de corruption et de trafic d’influence
(autrement dit un dispositif de contrôle interne ciblant le risque de
corruption), pour toute société réalisant les 2 seuils de 500
employés et 100 M€ de CA.
Virginie Beauvisage 25
 Cadre réglementaire

✓ La loi Sapin II

L’application de la loi se traduit par la mise en place du dispositif,

et son contrôle régulier.
L’environnement Il s’agit donc bien de sujets de contrôle interne et d’audit interne.
légal :
L’implication pour la profession d’auditeur interne est que ses

Sapin II conclusions sont attendues sur le risque de corruption, sur lequel

elle se focalise davantage. Son rôle est de s’assurer de la
conformité du dispositif anti-corruption, et ainsi de donner une
« assurance » sur la responsabilité pénale des dirigeants.

Sur ces aspects, à visionner : La loi Sapin 2 et nos professions

(source : IFACI), https://www.youtube.com/watch?v=adfbrOLkO7g
Virginie Beauvisage 26
Si le cadre réglementaire s’impose de manière obligatoire
aux sociétés concernées, passons aux normes, qui
s’adressent aux professionnels de l’audit interne.

Ce sont les bonnes pratiques de la profession, qui ne

revêtent aucun caractère obligatoire.

Virginie Beauvisage 27
 Normes professionnelles de l’audit interne

La profession d’auditeur interne est organisée au plan international

(IIA ou Institute of Internal Auditors, IFACI ou Institut Français
de l’Audit et du Contrôle Interne). Elle s’est structurée, en
définissant ses règles spécifiques, qu’il convient que les auditeurs
L’environnement
professionnel : respectent pour être de bons professionnels.

Ce sont les normes professionnelles de l’audit interne.

Les normes
Leurs objectifs sont :

✓ de définir les principes de base de la profession ;

✓ de lui fournir un cadre de référence ;

✓ d’établir des critères d’appréciation ;

✓ d’être un facteur d’amélioration.

Virginie Beauvisage 28
 Normes professionnelles de l’audit interne

Pour atteindre ces objectifs ambitieux, l’IIA a élaboré un

document en 5 parties.

Les normes professionnelles de l’audit interne comprennent donc :

L’environnement
professionnel : • Le code de déontologie

Les normes • Les normes de qualification

• Les normes de fonctionnement

• Les normes de mise en œuvre (cas particuliers)

• Les modalités pratiques d’application (conseils

pour l’application des normes).
Virginie Beauvisage 29
 Normes professionnelles de l’audit interne

L’environnement Les normes sont donc le document de référence de la

professionnel : profession, elles ont vocation à guider les auditeurs
internes dans la réalisation de leurs missions et la gestion
Les normes
de leur activité.

Virginie Beauvisage 30
 Normes professionnelles de l’audit interne

➢ Le code de déontologie

Pour le consulter :

L’environnement https://global.theiia.org/translations/PublicDocuments/Code-of-
professionnel : Ethics-French.pdf

Comme dans le secteur médical, l’audit interne a son code de

Les normes
déontologie, soit en d’autres termes son “code de bonne conduite”.
Ce court document est à considerer comme un guide. Il énonce
quatre principes fondamentaux, qui sont comme les qualités
nécessaires de l’auditeur d’un point de vue déontologique.

Quelles sont ces qualités ?

Virginie Beauvisage 31
 Normes professionnelles de l’audit interne

➢ Les normes de qualification et de fonctionnement

Pour les consulter :

L’environnement https://na.theiia.org/translations/PublicDocuments/IPPF-
professionnel : Standards-2017-French.pdf

- Les normes de qualification concernent les auditeurs internes et

Les normes
les services d’audit interne ;

- Les normes de fonctionnement concernent la nature des

activités du service d’audit interne et leurs critères de qualité.

Virginie Beauvisage 32
 Normes professionnelles de l’audit interne

Les normes professionnelles de l’audit interne tracent le

L’environnement
fil directeur des activités d’audit, et structurent la
professionnel :
profession en la positionnant et en lui fournissant des
Les normes pratiques communes.

Elles constituent les bonnes pratiques de la profession.

Virginie Beauvisage 33
 Qu’est-ce qu’un risque ?

Une réponse : l’angle de vue de l’auditeur !

Définition de l’IFACI :

« Le risque est un ensemble d’aléas susceptibles d’avoir des

Le risque : conséquences négatives sur une entité et dont le contrôle interne et
l’audit ont notamment pour mission d’assurer autant que faire se peut
les définitions la maîtrise ».

En complément, la définition de D. Vincenti (auteur de Dresser

une cartographie des risques) est tout aussi intéressante :

« Le risque, c’est la menace qu’un événement ou une action ait un

impact défavorable sur la capacité de l’entreprise à réaliser ses
objectifs avec succès. »
Virginie Beauvisage 34
 La mesure du risque

Ces deux définitions mettent en évidence les deux composantes du

risque (qui font qu’un risque est faible ou qu’au contraire, il est
critique) :

✓ D’une part, la probabilité que le risque se produise ;

Le risque :
✓ D’autre part, l’impact ou les conséquences du risque.

sa mesure Le risque se mesure donc en termes de probabilité et d’impact !

C’est pourquoi la mesure du risque se traduit par le produit de ces

deux facteurs. Si le risk manager, dont c’est le métier, se livre à de
savants calculs de probabilités, l’auditeur interne, lui, ne va pas jusqu’à
ce niveau de détail, et se contente en général d’une évaluation selon
une echelle à plusieurs positions (de faible à critique, par Ex.).
Virginie Beauvisage 35
 Quelques acteurs du risque

Ouvrons une parenthèse et faisons un point sur le rôle de quelques

acteurs du risque :

✓ Le risk manager : il identifie les risques, en dessine la cartographie,

les mesure et, à partir de là, propose la politique de gestion des
Le risque : risques ;

✓ Le manager opérationnel : il applique cette politique et met en place

quelques acteurs les moyens pour maîtriser les risques ;

✓ Quant à l’auditeur interne, il apprécie la qualité des moyens mis

en place pour maîtriser les risques (autrement dit, le dispositif
de contrôle interne). Il en détecte les lacunes et les
insuffisances, et formule des recommandations pour y mettre
fin. Mais il n’est pas concerné par l’élaboration et la mise en
place du dispositif de contrôle interne, et d’une gestion globale
des risques.
Virginie Beauvisage 36