I.

S’initier à l’Audit Interne

L’objectif du module est de décrire la fonction de l’Audit Interne au métier d’audit interne. Il
s’agit donc :
 D’identifier la fonction d’audit interne
 De cerner son champ d’évaluation
 D’identifier les clients et ses processus clés
 De comprendre ses exigences qualité
 D’identifier les normes professionnelles en termes de déontologie et de compétence d’un
auditeur interne
 D’identifier les qualités relationnelles indispensables à un auditeur interne

I - INTRODUCTION
1/ Une entreprise est une entité qui met en œuvre des moyens divers pour atteindre des objectifs.
Les objectifs sont fixés en fonction des moyens (humains, financiers, etc.) disponibles.
2/ L'atteinte de ces objectifs ne va pas de soi, car il y a des risques internes et externes ainsi que
la fraude qui peuvent empêcher leur réalisation
3/ Ces risques sont identifiés en termes de probabilité et d'impact
4/ L'entreprise peut décider d'ignorer, de transférer, de minimiser, de partager, ou éviter
carrément le risque
5/ Pour minimiser ces risques l'entreprise met en place un dispositif de sécurité qui s’appelle
CONTROLE INTERNE. Il y a 5 fonctions de contrôle ou de défenses (contrôle Interne ;
Contrôle de Gestion ; Audit qualité ; Inspection et Audit Interne). Les 5 fonctions ne jouent pas
le même rôle donc on ne peut pas les comparer. Chaque fonction a sa méthodologie mais toutes
ont le même champ de travail qui le Contrôle Interne. L’Audit Interne a le champ le plus vaste.
6/ A la suite de nombreux scandales financiers, il a été décidé de perfectionner et harmoniser le
Contrôle Interne. Le modèle de contrôle interne, le plus connu s'appelle le COSO
7/ Le COSO est composé de 5 éléments qui sont :
• la mise en place d'un environnement favorable
• le management des risques
• la mise en place des activités de contrôle
• la mise en place d'un système d'information efficace
• le suivi évaluation du dispositif de pilotage de l'entreprise
8/ L'audit interne est la fonction chargée de vérifier la bonne marche du contrôle interne dans
l'entreprise. L’auditeur doit donc vérifier les 5 éléments du COSO
9/ Le contrôle de gestion fait des analyses à travers des indicateurs pour renseigner sur la
performance de l'entreprise et guider la prise de décision
10/ Les analyses du contrôle de gestion sont basées sur les informations venant de la
comptabilité.
II – L’AUDIT INTERNE

A - Définition

C’est une activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.

L’activité d’audit interne aide cette organisation à atteindre ses objectifs en évaluant, par
une approche systématique et méthodique, ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer
leur efficacité.

B - Rôle et missions de l’audit interne

 Missions (conseil et assurance), rôle et place de l’audit interne dans l’organisation

 La charte d’audit et la déontologie de l’auditeur

C - Mise en place du service d’audit interne

 Créer et animer un service d’audit interne

 Définir les objectifs en collaboration avec la direction ou le comité d’audit

D - Planification des missions d’audit

 Construire le plan d’audit

 Planifier les missions d’audit

E - Conduire une mission d’audit

 Les différentes étapes de la mission d’audit

 Les postures et livrables de l’audit interne

II - LES NORMES ET LE RÔLE DES TROIS LIGNES DE DEFENSE DE

L’AUDIT INTERNE
A - Les normes et exigences professionnelles
L’audit interne est exercé dans différents environnements juridiques et culturels, au bénéfice
d’organisations dont l’objet, la taille, la complexité et la structure sont divers.

Les normes ont pour objet :

 De guider l’application des dispositions obligatoires du CRIPP (Cadre de Référence
International des Pratiques Professionnelles) de l’audit interne
 De fournir un cadre pour la réalisation et le développement d’un large éventail d’activités
d’audit interne à valeur ajoutée
 D’établir les critères d’évaluation de l’audit interne
 De favoriser l’améliorer des processus et des opérations de l’organisation.

Les normes, ainsi que le Code de déontologie, intègrent toutes les dispositions obligatoires du
CRIPP (Cadre de Référence International des Pratiques Professionnelles).
Les normes sont les exigences professionnelles sur le métier de l’Audit Interne en terme de
déontologie et de compétence. Elles retracent les qualités relationnelles indispensables à un
Audit Interne, qui est une activité indépendante et objective.

B - Le rôle des trois lignes de défense

L’origine « guerrière » du terme ligne de défense illustre parfaitement son rôle contre les
événements néfastes et les risques. Leur survenance peut être réduite si l’organisation est bien
définie et que chaque ligne joue son rôle efficacement.
La première ligne de défense représente la gestion des risques et les contrôles traités par les
collaborateurs opérationnels. Ces contrôles de premier niveau sont essentiels car ils sont
directement liés à la fourniture de produits ou services aux clients : c’est le Contrôle Interne. Le
Contrôle vérifie si les objectifs sont atteints.
La deuxième ligne de défense représente la gestion des risques et les contrôles réalisés par les
fonctions de support telles que le Responsable du Contrôle interne, le Risk Manager ou le
Responsable Compliance. Ils initient les contrôles et s’assurent de leur bonne exécution par la
première ligne : Contrôle de gestion ; Inspection et Audit qualité. Cette ligne de défense
vérifie le Contrôle Interne.
La troisième ligne de défense est l’audit interne de l’entreprise qui aura la charge de
l’administration des contrôles et plus globalement la gestion de la démarche de maîtrise des
risques : Audit Interne. L’audit Interne vérifie les 2 lignes précédentes.
Les deux premières lignes sont directement pilotées par la Direction Générale qui initie la
stratégie et fixe des objectifs. Régulièrement, ces deux lignes doivent rapporter à la Direction le
résultat des contrôles et des actions mises en place.
La troisième ligne de défense est, quant à elle, plus indépendante et fournit une assurance et des
conseils auprès de la Direction Générale et du Conseil d’Administration.
Ces trois lignes de défense sont internes à l’entreprise.
La quatrième ligne de défense est l’audit externe effectué par les Commissaires Aux Comptes
(CAC) ou Cabinets d’audit. Cette ligne est externe à l’entreprise.
Toutes ces lignes doivent coopérer étroitement.

III - LES 3 CHAMPS D’EVALUATION DE L’AUDIT INTERNE

La gouvernance ; le management et le contrôle interne

A - Le processus de gouvernance

1 - Définition selon OCDE

2 - Qualification d’une bonne organisation :

Une bonne organisation doit avoir :
 Une mission
 Un système de Contrôle Interne efficace et moins coûteux
 Un management de gestion des risques
 Un processus de gouvernance

B - Le processus de contrôle interne

1 - Définition selon OECCA :
L’activité de contrôle fait partie du Contrôle Interne car le Contrôle Interne est composé de :
activités de contrôle – opérations – supervision.
Le Contrôle Interne est une maîtrise des opérations ou activités d’une entité pour atteindre ses
objectifs.
Les enjeux du Contrôle Interne sont : il est adapté à chaque entité donc tient compte de la
culture ; il est universel ; avec des finalités ; ayant des composants et n’est pas une fin en soi,
donc pas de garantie absolue mais une assurance raisonnable (c’est un moyen préventif).

C - Le processus de management des risques

1 - Typologie des risques :
Les risques peuvent être endogènes ou exogènes et peuvent se décliner en risques avérés ; risques
potentiels ou risques non identifiés.
2 - Activités d’Audit Interne et risques
L'activité d'audit interne est intrinsèquement liée à l'identification, à l'évaluation et à la gestion des
risques, y compris les risques de contrôle et les risques de non-détection.
1. Risque de contrôle :
Le risque de contrôle fait référence au risque que les contrôles internes d'une organisation ne fonctionnent
pas comme prévu, ce qui peut entraîner des erreurs, des fraudes ou des inefficacités.
L'audit interne vise à évaluer l'efficacité des contrôles internes en place pour minimiser ce risque. Voici
quelques exemples de risques de contrôle :
- Le risque que les procédures de contrôle des stocks ne détectent pas les vols ou les erreurs comptables.
- Le risque que les contrôles financiers ne préviennent pas les manipulations frauduleuses des états
financiers.
- Le risque que les politiques de sécurité des données ne soient pas suffisamment robustes pour protéger
les informations sensibles.
L'audit interne identifie ces risques de contrôle en évaluant les processus, les politiques et les systèmes de
l'organisation, puis en recommandant des améliorations pour renforcer les contrôles internes.

2. Risque de non-détection :
Le risque de non-détection, quant à lui, fait référence au risque que l'audit interne ne détecte pas des
problèmes, des fraudes ou des erreurs qui existent réellement au sein de l'organisation.
Ce risque peut résulter d'une planification inadéquate de l'audit, de l'insuffisance des tests ou de la
méconnaissance des auditeurs internes des enjeux importants. Voici quelques exemples de risques de
non-détection :
- Le risque que l'audit interne ne détecte pas une fraude complexe dans les comptes de l'entreprise.
- Le risque que des lacunes dans la conformité réglementaire ne soient pas identifiées lors de l'audit.
- Le risque que des problèmes opérationnels importants passent inaperçus lors de l'audit.;

Pour réduire le risque de non-détection, l'audit interne doit être planifié de manière rigoureuse, en
identifiant les domaines à haut risque, en utilisant des techniques d'audit appropriées et en garantissant
que l'équipe d'audit possède les compétences nécessaires.
L'audit interne joue un rôle essentiel dans la gestion des risques de contrôle et de non-détection en
identifiant, évaluant et recommandant des actions correctives pour atténuer ces risques au sein de
l'organisation.

Les professionnelles d'audit interne doivent donc être dans une dynamique de formation continue afin de
renforcer leurs compétences afin de mener de façon efficace.

Les mesures des risques

- La probabilité d’occurrence ou fréquence
- Les effets ou gravité
Le produit de ces 2 mesures donne la criticité du risque. Donc un risque se mesure par sa criticité.

La gestion des risques

- Les risques de fréquence sont des risques dont la fréquence est très forte avec des effets faibles. Leur
gestion portera sur la prévention.
- Les risques de gravité sont des risques dont la gravité (ou effets) est très forte avec une fréquence faible.
Leur gestion portera sur l’assurance.
- Les risques négligeables sont des risques dont la fréquence et les effets sont faibles. Leur gestion portera
sur le laisser faire, donc apprendre à vivre avec.
- Les risques intolérables sont des risques dont la fréquence et les effets sont très forts. Il faut éviter ces
risques.
- Les risques modérés sont des risques dont la fréquence et les effets sont moyens. C’est la zone de
gestion des risques.

IV – EXERCICES ET QCM