VIII.

Maitriser la méthodologie de la
conduite d’une mission d’Audit Interne
Les objectifs du module sont :

 S’approprier les différentes étapes d’une mission d’audit

 Identifier les objectifs de la mission en fonction des risques de l’activité auditée
 Collecter les informations permettant de répondre à ces objectifs
 Evaluer la qualité des informations recueillies
 Elaborer des recommandations, levier du changement
 Assurer la traçabilité des travaux de la mission
 Suivre les plans d’actions correctives

I - Positionner l’audit

1 – Les acteurs de l’évaluation

 Audit Externe : Il évalue la Production des états financiers

 Etats financiers
 Professionnel comptable indépendant
 Opinion
 Fidélité de l’image
 Audit Qualité : Il évalue le Système de Management Qualité (SMQ)
 Système de Management Qualité (SMQ)
 Efficacité
 Opportunités d’amélioration
 Internes
 Externes
 Contrôle Interne (CI)
 Toute mesure prise par le management, le Conseil et d’autres parties afin de gérer
les risques et d’accroitre la probabilité que les buts et objectifs fixés seront atteints
 Les managers planifient, organisent et dirigent la mise en œuvre de mesures
suffisantes pour donner une assurance raisonnable que les buts et objectifs seront
atteints
 Audit Interne : Il évalue le Contrôle Interne (CI)
 Activité indépendante et objective qui donne à une organisation une assurance sur
le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer et
contribue à créer de la valeur ajoutée.
 L’activité d’audit interne aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle et de gouvernement d’entreprise et en faisant
des propositions pour renforcer leur efficacité.
 Evaluateurs des politiques publiques : Ils évaluent les Politiques Publiques. Dans sa mise
en œuvre et de ses effets au regard de :
 Sa cohérence
 L’atteinte des objectifs
 Son efficacité
 Son efficience
 Son impact
 Sa pertinence

2 – La relation entre l’audit interne et les autres acteurs (ou évaluateurs)

 Nécessaire coordination des travaux

 Coopération
 Réutilisation de leurs respectifs

3 – Le positionnement de l’Audit Interne

 Rattachement à un niveau suffisamment élevé pour remplir sa mission, idéalement :

 Fonctionnement au Conseil
 Hiérarchiquement à la Direction Générale
 Le rattachement à la Direction Financière ne doit pas compromettre l’indépendance de
l’AI

II - Démarche méthodologique

1 – La cartographie d’un service d’Audit Interne pour créer une valeur ajoutée

 Processus support
 Etablir les règles et les procédures (2040)
 Gérer des ressources (2030)
 Processus produit
 Planifier le programme d’audit (2010)
 Réaliser des missions (2200, 2300)
 Suivre les actions de progrès (2500)
 Processus client
 Communiquer le programme d’audit (2020)
 Communiquer les résultats de la mission (2400)
 Rendre compte des résultats du programme (2060)
 Coordonner les activités d’assurance et de conseil (2050)
2 – Le résultat de l’AI

3 – Le processus de l’AI

 Planification de la mission : en partant d’une enquête préliminaire

 Programme de travail
 Accomplissement de la mission
 Résultats (normes 2200, 2300)
 Communication des résultats
 Rapport (s) (normes 2400)
 Suivi des actions de progrès (normes 2500)

4 – La collaboration Auditeur / Audité

 Validation des Référentiels : l’auditeur interne détermine, en liaison avec le management

audité, les critères de contrôle adéquats pour apprécier si les objectifs et les buts ont été
atteints
 Valider les Preuves d’audit : l’auditeur interne débat des conclusions et
recommandations de la mission avec les responsables appropriés
 Analyser les causes, élaborer les recommandations : l’auditeur interne débat des
conclusions et recommandations de la mission avec les responsables appropriés

5 – La fiche de suivi de mission

III - Les différentes composantes d’audit
1 – Les type de missions
 Des missions d’assurance
 Evaluer
 Périmètre : réduction des risques
 3 intervenants
 Des missions de conseil
 Conseiller
 Périmètre : défini avec le client
 2 intervenants

2 – La nature des missions de conseil

 Les missions de conseil formelles

 Les missions de conseil informelles
 Les missions de conseil exceptionnelles
 Les missions de conseil en situation de crise

3 – La mission d’assurance
 Les missions d’assurance de conformité : l’évaluation de la conformité
 Vise à vérifier le respect des lois, règlements, politiques, procédures et directives
internes d’une organisation
 Suppose l’existence d’un référentiel prédéterminé
 Contrôles
 Les missions d’assurance d’efficacité : l’évaluation de l’efficacité
 Vise à donner à l’organisation une évaluation du niveau de maitrise de l’atteinte de
ses objectifs
 Les objectifs de l’organisation, de ses entités et de ses processus constituent le point
d’entrée d’élaboration du référentiel
 Analyse des risques : d’identifications des objectifs de l’activité, d’identification des
risques (à priori / à posteriori), de détermination de la fréquence et de la gravité des
risques (les conséquences)
 Démarche participative
 Légitimité forte de l’audit interne : le rattachement hiérarchique le plus élevé
possible, la charte, …

4 – L’assurance et les risques

IV - Le travail sur terrain
1 – Les contrôles incontournables

 Existence d’un organigramme

 Formalisation des procédures dans un manuel avec description explicite des
 Fonction de décision
 Fonction de trésorerie
 Fonction comptable
 Fonction de contrôle
 Attribution à des personnes (ou services) différent(e)s des
 Fonction de décision (d’autorisation, d’approbation)
 Fonction de détention : de trésorerie, de stocks
 Fonction de comptabilisation
 Fonction de contrôle
 Mise en place de moyens matériels de protection et de restriction d’accès aux
 Biens physiques
 Valeurs monétaires
 Aux pièces et documents comptables
 Les contrôles de cohérence et de vraisemblance
 Les recoupements
 Comparer des informations qui doivent être semblables alors qu’elles figurent dans
des documents différents
 Justifier une information à partir de sources différentes
 En environnement informatisé
 Sécurité des installations informatiques
 Protection contre les phénomènes naturels
 Accès physique contrôlé
 Sécurité logique des données et des applications
 Règles de sauvegarde des données et des applications
 Plans de secours
 Maintien d’une piste d’audit ou d’un chemin de révision
 Séparation des tâches (Etude / Exploitation)
 Quels que soient les contrôles, ils doivent concerner
 Toutes les personnes de l’activité auditée
 En tout temps
 Et en tout lieu

2 – Les procédures d’audit

 Les différentes procédures

 Entretiens
 Examens analytiques
 Circularisation
  Diagrammes de flux
 QCI
 Définition CIA : un QCI est généralement très structuré et détaillé et prend la
forme de questions fermées ou nécessitant des réponses courtes
 Evaluation du dispositif de contrôle interne
 Outil d’analyse pour identifier les dysfonctionnements et en discerner les causes
 Outil pour préparer le programme de travail
 Echantillonnages
 Observations
 Grille d’analyse de tâches
 Outil d’aide au management et à l’organisation
 Nécessite l’identification des tâches du processus
 Synthétise les pouvoirs et responsabilités des personnes (tâches / individus)
 Permet à l’auditeur d’identifier l’éventuel cumul des tâches incompatibles
 Rapprochements
 Graphiques
 Les sources
 Personnes
 Objets physiques
 Documentation
 Déroulement réel des opérations
 Indicateurs de mesure
 Logiciel, bases de données, …

3 – La qualité de la preuve d’audit

 Le lien ‘‘caractère probant / caractère significatif / coût d’une information’’

 Les critères de qualité d’une preuve d’audit
 Pertinente
 Suffisante
 Fiable

4 – Le programme de travail

 Description des modalités d’intervention sur le terrain

 L’affectation des objectifs
 Les tests à réaliser pour chaque objectif d’audit
 Le budget – les ressources
 Le planning prévisionnel
 L’intendance
 Le programme de travail pourra évoluer en cours de mission à la lumière des résultats
intérimaires
 Nature des tests
  Les tests de contrôle évaluent la conception et l’efficacité potentielle des contrôles
mis en place pour maitriser un processus
 Les tests de corroboration visent à vérifier que le résultat produit par un processus
correspond à celui attendu
 L’étendue du test dépendra de
 L’importance du contrôle à tester
 La nature des contrôles
 La fréquence du contrôle à tester
 Les critères de la qualité du programme de travail sont
 Compréhension de la conception des contrôles spécifiques de l’activité auditée
 Evaluation de la conception des contrôles de l’activité
 Evaluation de la permanence du contrôle et de l’autorité et la compétence de la
personne qui réalise le contrôle

V - La nécessité de l’analyse des risques

1 – Les limites des Référentiels de Contrôle Interne (RCI) existants
L’utilisation sans discernement des référentiels existants comporte des limites, elle

 Ne remet pas en cause l’environnement de contrôle de l’activité

 N’est pas précédé d’une analyse des risques associés à l’activité
 Ne prend pas en compte la stratégie des contrôles face à ces risques

VI - Clarifier la demande
C’est une étape essentielle car elle permet :
1 – Identifier les clients de l’audit : ils ont des attentes distinctes, explicites ou implicites

 La Direction Générale (DG)

 Le Conseil d’Administration
 Le Comité d’audit
 Les services audités
 Les autorités de tutelle

2 – Le rôle du RAI vis-à-vis des clients

 La charte d’audit
 Le plan d’audit
 La formalisation des attentes des commanditaires (l’ordre de mission)
 Le résultat des missions

VII - Analyse des risques et stratégie de contrôle

1 – Définition du risque

 Possibilité que se produise un évènement qui aura un impact sur la réalisation des
objectifs. Le risque se mesure en termes d’impact et de probabilité
 Cause : c’est la probabilité de survenance du risque
 Conséquence : c’est l’impact du risque

2 – Identification du risque

 Pas de méthode idéale

 Quelques principes
 Une méthode en phase avec l’environnement de la structure
 Partir des travaux déjà réalisés par l’activité évaluée
 Participation et adhésion des acteurs évalués

3 – Les différentes démarches

 A priori : identification des objectifs de l’activité : l’approche processus

 Définition : c’est un ensemble d’activités liées, qui transforment des éléments
entrant en éléments sortant (ISO 9000 :2000)
 Analyser et décrire chaque processus : un nom, une finalité (ou objectif), des
entrées, des sorties
 Exemples : processus achat
 Entrées : cahier de charges, proposition de prix, contrats, choix des fournisseurs,
indicateurs de qualité sur les produits / fournisseurs
 Sorties : proposition de nouveaux fournisseurs, proposition de prix, demandes
de prix, contrats, notation qualité des produits / fournisseurs
 Finalités : sélectionner les fournisseurs afin de garantir la fourniture de matières
premières de la qualité voulue, au moment voulu et au meilleur prix (coût,
qualité, délais)
 Identifier tous les processus du domaine audité
 Ceux qui fournissent des produits ou services
 Ceux qui fournissent les ressources
 Ceux qui réalisent le pilotage
 Ceux qui réalisent la mesure
 A posteriori : identification des risques qui ont eu un impact sur les objectifs de l’activité :
l’historique des incidents
 Sources
 Les risques identifiés par les opérationnels et communiqués à l’encadrement
 Les risques identifiés par les différentes instances professionnelles
 Les réclamations et plaintes exprimées par les clients
 Les risques identifiés par la démarche qualité
 Les bases incidents informatiques
 Les audits
4 – Exemples de classification des risques

 Classification HAS
 Les défaillances techniques
 Les erreurs humaines
 De routine
 D’activation de connaissance
 De possession de connaissance
 Les déviances
 Les erreurs liées à l’organisation
 Classification CLUSSIF
 Accidents
 Erreurs
 Erreurs de conception
 Erreurs de réalisation
 Erreur d’utilisation
 Malveillances

5 – Les stratégies de contrôle

On effectue des contrôles
 Préventifs pour les causes de risque
 Détectifs pour les manifestations
 Correctifs pour les conséquences (ou impacts)

6 – Le questionnaire de prise de connaissances

 Sert à mettre en évidence et à valider les enjeux et les pistes d’investigation

 Demande la définition d’objectifs, les risques majeurs et les facteurs clés de succès
 Utilise des mots-clés pour canaliser la réflexion
 Objectifs
 Se familiariser avec l’organisation auditée
 Permettre l’orientation de la mission
 Prévoir les moyens
  Présélectionner les cibles
 Mise en œuvre
 Interviews
 Analyse du SI
 Analyse des procédures et documents
 Observation

7 – Le diagramme de flux (flowchart)

 Graphique représentant un processus (flux)

 Objectifs
 Faciliter la compréhension d’un processus
 Identifier les différentes étapes, les flux et les contrôles associés
 Mettre en évidence les faiblesses, les discontinuités, les redondances, les lourdeurs,
…
 Les plus
 Flexibilité
 Outil de communication
 Outil opérationnel
 Les limites
 Représentation des notions de temps, délai, simultanéité
 Le support de matérialisation

8 – Le référentiel e contrôle interne

9 – L’analyse causale :
Le diagramme cause-effet (diagramme d’Ishikawa) : les 5 M

 Méthode
 Matière
 Main d’œuvre
 Matériel
 Milieu
10 – La hiérarchisation des risques

 Risque inhérent : probabilité forte et impact fort

 Risque résiduel : probabilité modérée et impact modéré

11 – Le choix des objectifs d’audit

 Positionner ‘’objectivement’’ les risques les uns par rapport aux autres
 Converger de manière collégiale vers les risques majeurs qui feront l’objet d’objectifs
d’audit
 Justifier les choix réalisés

VIII - Référentiels à la disposition des auditeurs

1 – Deux (02) cadres incontournables

 Des critères de contrôle à partir de deux référentiels principaux

 COSO
 COBIT

2 – Processus d’évaluation du Contrôle Interne (CI) par la Direction

 Planifier la mission
 Identifier les objectifs de contrôle significatifs
 Vérifier la documentation des contrôles
 Tester la conception des contrôles
 Tester l’efficacité opérationnelle des contrôles
 Préparer le rapport

3 – Objectifs du contrôle Interne selon COSO

 Optimisation de l’utilisation des ressources (Efficacité et efficience de l’exploitation)

 Fiabilité des états financiers
 Respect de lois et réglementations (conformité)
 Les 5 composantes

4 – Le COSO 2 et le RCI

5 – le COBIT

 Composantes

 Cycle de vie du logiciel

6 – SOX : identifier les contrôles significatifs

 Au niveau de l’entité
 Culture de l’entreprise
 Politique en matière de ressources humaines
 Contrôles informatiques généraux
 Adéquation entre objectifs et structure de l’organisation
 Identification des risques
 Contrôles et programmes anti-fraude
 Processus de déclarations financières
 Suivi du système de contrôle interne
 Au niveau de l’activité : identifier les différents cycles les plus significatifs en tenant
compte
 Des postes correspondants les plus importants
 De critères qualitatifs
 Du risque inhérent
 Des politiques comptables affichées par l’entité

7 – La documentation des contrôles significatifs

 Chaque contrôle significatif doit être documenté

 Un lien doit exister entre objectif de contrôle et la procédure de contrôle
 Description du mode opératoire de la procédure de contrôle
 Détermination de sa fréquence de mise en œuvre
 Identification du responsable de la procédure

8 – L’évaluation au niveau des contrôles de l’activité

 La matrice de recueil de l’information

 La matrice d’évaluation par processus de la conception des contrôles
 La matrice d’évaluation par assertion d’audit de la conception des contrôles

9 – L’évaluation au niveau des contrôles de l’entité

 Les 5 niveaux de maturité du contrôle interne

 Initialisé
 Non formalisé
 Systématique
 Intégré
 Optimisé

10 – Technologie de l’Information
 Les contrôles généraux
 Développements
 Maintenance
 Exploitation
 Accès aux programmes et aux données
 Les contrôles applicatifs
 Exhaustivité
 Exactitude
 Validité
 Autorisation
 Séparation des tâches

IX - ISO 9000 et audit interne

Des critères de contrôle constituent un critère de qualité :
 L’engagement de la Direction au regard de la qualité
 L’identification des clients externes et internes de l’organisation
 La définition des processus de l’organisation
 Formalisation du ‘’qui fait quoi ?’’
 L’organigramme
 La définition de fonction
 La matrice de responsabilités
 Définition et gestion du système documentaire
 Les procédures qualité
 La traçabilité
 Les règles d’archivage
 Maitrise des non-conformités
 Prévention et correction des causes de non-conformité
 Evaluation du système de management de la qualité

X - Objectif d’audit et programme de travail

1 – Référentiel de Contrôle Interne : planification de la mission (norme 2200)
2 – Programme de travail

Objectifs de contrôle Objectifs d’audit Techniques d’audit

Communiquer la stratégie S’assurer que la stratégie a été Entretien avec l’encadrement
afin qu’elle soit comprise communiqué et est comprise visant à s’assurer que la

Décliner les procédures en
conformité avec la stratégie
Justifier les dossiers par des
informations suffisantes
Mettre les fournisseurs en
concurrence
Payer les factures pour les
biens reçus et au prix prévu
Exécuter des traitements
automatisés qui
fonctionnent bien
stratégie est connue et
comprise
S’assurer que les procédures
déclinées par l’encadrement
Examen de la procédure au
supérieur l’ont été en
regard de la stratégie
conformité avec la stratégie de
la direction
Consulter un échantillon
S’assurer que les dossiers sont
représentatif et procéder à
justifiés par des informations
examen des pièces
suffisantes
justificatives des dossiers
S’assurer que les fournisseurs Examiner un échantillon
sont mis en concurrence d’appel d’offres
Examiner un échantillon de
S’assurer que les factures sont
demandes d’achats, les
payées pour des biens reçus et
rapprocher des factures et
au prix prévu
des bons de réception
S’assurer du bon
Jeu d’essai ou simulation
fonctionnement d’un
parallèle
programme informatique

XI - Rédiger des recommandations à valeur ajoutée

1 – Recommandations à valeur ajoutée : tout se passe entre l’auditeur et l’audité

 Identifier les causes du dysfonctionnement en collaboration avec les audités

 Pour chaque recommandation : un objectif mesurable + un plan d’action de la part des
audités avec un délai et un responsable
 Ce plan d’action doit mettre fin au dysfonctionnement de façon totale et durable

2 – la fiche d’observation

 Outil synthétique qui regroupe les composantes d’un ‘’problème’’

 Outil forçant l’auditeur à structurer sa pensée et son discours
 Outil de communication vis-à-vis des audités
 Outil démontrant la logique du raisonnement de l’audit interne

XII - Rapport d’audit et suivi des actions correctives

1 – Rapport d’audit

 Les résultats de la mission

 Les objectifs de la mission
  Le champ de la mission
 Les observations
 L’opinion de l’auditeur
 Les plans d’actions
 Critères de qualité
 Fidèle aux faits sous-jacents
 Résulte d’une évaluation équitable
 Facilement compréhensible
 Va droit à l’essentiel et évite tout développement inutile
 Aide l’audité et l’organisation
 Intègre toute information significative et pertinente
 Est émise en temps utile
2 – Suivi des actions correctives

 Le responsable de l’audit interne doit établir des procédures couvrant les aspects
suivants
 Un délai dans lequel le management doit répondre aux observations et
recommandations de l’audit
 Une appréciation de la réponse du management
 Une vérification de la réponse (si nécessaire)
 Une mission de suivi (si nécessaire)
 Une procédure pour porter, à l’attention du niveau approprié de management, les
réponses / actions non satisfaisantes et l’acceptation du risque qui en résulte
 Les modalités de suivi varient en fonction de
 L’importance des recommandations
 L’effort nécessaire pour corriger des écarts
 L’impact que pourrait avoir l’échec de la mise en œuvre de l’action corrective
 La complexité de la correction
 Les délais

XIII - Le dossier d’audit

1 – Contenu du dossier d’audit

 Consignation des informations obtenues et des analyses faites

 Support des observations et recommandations
 Au minimum, les éléments liés
 à la planification RCI)
 aux procédures d’audit (programme de travail)
 aux travaux sur le terrain e aux informations obtenues
 aux conclusions
 à la révision du dossier
 à la communication des résultats
 au suivi de la mission
2 – Techniques de préparation
 Chaque papier de travail
 Nom de la mission
 Description du contenu ou de l’objet
 Signé et daté par l’auditeur
 Index ou n° de référence
 Symboles de vérification expliqués (‘’ticks marks’’)
 Sources des données précisées