Copyright

Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux.
Le fait de partager vos documents limiterait l'utilité du programme. L'IIA investit de nombreuses
ressources pour proposer à ses membres des perspectives professionnelles de qualité. En
conséquence, merci de respecter le copyright.
Table of Contents

Section III : Conduite des missions d'audit —Outils et techniques d'audit

Introduction

Chapitre A : Collecte des données et cartographie des processus

Introduction du chapitre
Rubrique 1 : Examiner les rapports d'audit antérieurs et tout autre
document pertinent dans le cadre d'une enquête préliminaire du
domaine de la mission (Niveau P)
Rubrique 2 : Élaborer des listes de vérification/questionnaires de
contrôle interne dans le cadre d'une enquête préliminaire sur le domaine
de la mission (Niveau P)
Rubrique 3 : Effectuer des entretiens et des tests de cheminement dans
le cadre d'une enquête préliminaire sur le domaine de la mission (Niveau
P)
Rubrique 4 : Observer pour recueillir des données (Niveau P)
Rubrique 5 : Effectuer l'évaluation des risques de la mission pour
assurer l'identification des principaux risques et contrôles (Niveau P)
Rubrique 6 : Réaliser l’échantillonnage (Niveau P)
Rubrique 7 : Effectuer la cartographie des processus, y compris par des
diagrammes de circulation (Niveau P)

Chapitre B : Évaluation de la qualité d'une preuve : pertinence, suffisante,

concluante
Introduction du chapitre
Rubrique 1 : Identifier les sources potentielles de la preuve (Niveau P)
Rubrique 2 : Évaluer la pertinence et le caractère suffisant et probant
de la preuve (Niveau P)

Chapitre C : Analyse de données et interprétation

Introduction du chapitre
Rubrique 1 : Utiliser des outils et techniques d'audit informatisés
 (Niveau P)
Rubrique 2 : Analyser des feuilles de calcul (Niveau P)
Rubrique 3 : Mettre en pratique les analyses statistiques/techniques de
contrôle de processus (Niveau A)
Rubrique 4 : Mettre en pratique les techniques de revue analytique
(Niveau P)
Rubrique 5 : Effectuer des analyses comparatives (Niveau P)

Chapitre D : Documentation / Papiers de travail

Introduction du chapitre
Rubrique 1 : Élaborer la documentation / les papiers de travail (Niveau
P)
Rubrique 2 : Évaluer la documentation/les papiers de travail (Niveau P)

Chapitre E : Restitution de données

Introduction du chapitre
Rubrique 1 : Communiquer les résultats à l'auditeur responsable
(Niveau P)
Rubrique 2 : Élaborer les conclusions concernant les contrôles (Niveau
P)

Bibliographie
 Section III : Conduite des missions d'audit
—Outils et techniques d'audit
Cette section a pour objectif de vous aider à :
Effectuer une étude préliminaire du domaine de la mission en commençant par un
examen des rapports d'audit antérieurs et de tout autre document pertinent.
Indiquer comment les listes de vérification/questionnaires de contrôle interne, les
entretiens, les tests de cheminement et les observations peuvent être employés
efficacement pour recueillir des informations d'audit.
Identifier les risques et les contrôles clés en évaluant les risques de la mission.
Décrire les différentes méthodes d'échantillonnage ainsi que leur objectif.
Décrire des techniques d'échantillonnage d'utilisation courante, statistiques et
raisonnées (non statistiques).
Démontrer l'utilisation de diagrammes de circulation pour faciliter la cartographie des
processus.
Identifier et évaluer les différents types de données d'audit et utiliser la meilleure
information pour soutenir les résultats d'audit.
Évaluer la pertinence et le caractère suffisant et probant (fiabilité) de la preuve d'audit.
Explorer les progiciels disponibles utilisés, par exemple, pour l'audit continu,
l'extraction de données, l'analyse de feuilles de calcul et l'automatisation de papiers de
travail.
Explorer l'utilisation des statistiques inférentielles et des statistiques descriptives pour
analyser les données d'audit, notamment les différentes utilisations de cartes de
contrôle de processus statistiques.
Mettre en pratique des techniques de revues analytiques telles que le test du caractère
raisonnable, l'analyse du ratio, les comparaisons, l'analyse de l'écart, la détection des
tendances ou l'analyse de régression.
Effectuer une analyse comparative en utilisant des données internes, des données
concurrentielles, des données fonctionnelles ou des données génériques.
Tirer des conclusions des efforts d'analyse de données.
Élaborer et passer en revue des documents/papiers de travail clairs et complets pour
soutenir les conclusions et recommandations de l'audit ;
Communiquer les résultats des tests et les conclusions provisoires concernant les
contrôles de manière professionnelle à l'auditeur responsable afin qu'ils soient étudiés
minutieusement.
Formuler des conclusions solides et des recommandations convaincantes sur la base
de constatations d'audit bien organisées et fondées sur des recherches poussées.

Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de
cette section représentent environ 28% à 38% de la totalité des questions relatives à la
partie 1. L'un de ces sujets est couvert au niveau « A-Awareness » (A-Conscience), ce qui
signifie que vous devez bien comprendre et mémoriser les informations. Cependant,
presque toutes les rubriques sont traitées au niveau de compétence « P-Proficiency »,
c'est-à-dire qu'il vous incombe non seulement de comprendre et de mémoriser les
informations, mais également de les maîtriser à un niveau plus élevé, notamment par
l'application, l'analyse, la synthèse et l'évaluation.

Introduction
Cette dernière section de la Partie 1 est consacrée aux outils disponibles pour la collecte et l'analyse
des informations d'audit. Les outils présentés couvrent aussi bien des outils très traditionnels, comme
les questionnaires et les entretiens, que des méthodes encore en pleine évolution, comme l'auto-
évaluation des contrôles (CSA) et les modules d'audit intégrés au niveau d'outils d'audit informatisés.
 Chapitre A : Collecte des données et
cartographie des processus
Introduction du chapitre
Ce chapitre sur la collecte des données et la cartographie des processus traite des éléments
d'information que l'auditeur interne recueille lors de l'enquête préliminaire sur le domaine de la
mission et au cours de la mission. Comme dans tout processus, la qualité des éléments d'information
est directement liée à la qualité des résultats, et dans le cas présent à la formulation de conclusions et
de recommandations fiables. Lorsqu'il s'agit de déterminer le type et la quantité de données
nécessaires et appropriées, il est important de commencer par la fin. Il faut d'abord déterminer les
objectifs de la mission et ensuite œuvrer à trouver les sources appropriées d'information pour
atteindre ces objectifs.

Enquête préliminaire
La planification est essentielle à la réussite d'un audit interne. Au cours du processus de planification
de la mission, les enquêtes préliminaires représentent l'un des outils les plus importants à la
disposition des auditeurs internes. Elles les aident en effet à recueillir des informations pertinentes
sur la fonction à auditer : les objectifs, le personnel, les processus et les systèmes impliqués.

La plupart des enquêtes préliminaires comprennent des questions traditionnelles relatives à la

collecte d'informations et à l'établissement des faits. Certaines organisations utilisent également des
techniques telles que des ateliers de contrôle des risques, des communications continues avec le
client, une surveillance permanente et une coordination avec le service de gestion des risques de
l'entreprise (ERM - « Enterprise risk management »).

La Modalité pratique d'application 2210.A1-1, « Évaluation des risques dans la planification de la

mission », inclut la recommandation ci-après, approuvée et fortement conseillée, au sujet des
enquêtes préliminaires : « Le cas échéant, les auditeurs internes doivent réaliser une enquête afin de
se familiariser avec les activités, les risques et les contrôles, pour identifier les domaines où la
mission devra être approfondie et pour inviter les clients de la mission à fournir leurs commentaires
et suggestions. »

Une enquête préliminaire de qualité offre à l'équipe d'audit interne bien plus qu'une simple
familiarisation avec l'activité auditée. Une enquête préliminaire correctement menée peut
raisonnablement fournir des précisions sur les sujets suivants :
Objectif de l'audit interne ;
Objectifs, périmètre et calendrier de la mission ;
Processus à auditer ;
Objectifs de l'activité auditée, risques et contrôles associés ;
 Ressources d'audit interne à utiliser ;
Normes pertinentes à respecter.

Les étapes d'une enquête préliminaire dépendent de la nature de l'audit et d'autres facteurs, tels que :
La formation de l'auditeur interne, son expérience et ses connaissances sur l'activité auditée
Le type de mission à réaliser.
Si l'enquête fait partie d'une mission de suivi ou récurrente.
La taille et la complexité de l'activité auditée. la dispersion géographique de l'activité peut
également influencer la durée et le calendrier de l'enquête.

Par exemple, un audit interne relatif à des problèmes nouveaux sera généralement basé sur des
considérations différentes, par rapport à une mission faisant partie d'activités d'audit interne
régulières (où les processus et les normes sont connus).

Les différents éléments d'information liés à l'enquête préliminaire traités dans ce chapitre incluent les
rapports d'audit antérieurs, des listes de vérification/questionnaires, des entretiens et des tests de
cheminement.

Mission d'audit
Ce chapitre examinera ensuite les aspects de l'information recueillie au cours de la mission d'audit –
l'observation, l'évaluation des risques de la mission, l'échantillonnage et la cartographie des
processus, y compris à l'aide de diagrammes de circulation.

Rubrique 1 : Examiner les rapports d'audit

antérieurs et tout autre document pertinent dans le
cadre d'une enquête préliminaire du domaine de la
mission (Niveau P)
Les auditeurs internes peuvent beaucoup apprendre de la consultation des divers documents d'audit et
afférents. Il est d'ailleurs rare qu'un grand nombre de documents ne soient pas disponibles. Si l'audit
fait partie d'un processus récurrent, l'auditeur interne doit commencer par consulter les dossiers
permanents de la fonction auditée. Un dossier permanent contient les documents constants, rarement
modifiés. Il permet à l'auditeur interne de consulter les papiers de travail de l'audit précédent, les
constatations, les rapports, les réponses, les commentaires des auditeurs, les photographies et autres
informations afférentes.

Il est également possible que d'autres activités d'assurance externes ou internes aient été réalisées sur
le domaine audité. L'auditeur devrait également consulter ces rapports, le cas échéant.
Il est important de consulter la documentation des audits précédents car :
Elle permet de se familiariser avec le domaine à auditer.
Elle donne une idée de ce qui attend l'auditeur lors de la mission.
Elle présente la manière dont les autres auditeurs ont abordé leur mission.
Elle indique les problèmes spécifiques précédemment identifiés et les domaines risquant de
présenter des problèmes continus ou répétés.
Elle révèle le statut des actions correctives ou des promesses faites précédemment pour résoudre
les éventuels problèmes de non-conformité.
Elle indique les points forts précédemment identifiés, dont l'existence doit à nouveau être vérifiée.
Elle peut permettre d'identifier des activités supplémentaires à évaluer durant l'audit.

L'étude des dossiers et fichiers des audits précédents n'implique pas nécessairement que la même
approche sera adoptée lors de l'audit à venir. Un auditeur interne doit déterminer les changements
survenus dans le fonctionnement de l'organisation cliente, les objectifs organisationnels, l'émergence
de nouveaux risques importants et l'activité d'audit interne depuis l'audit précédent. Les nouvelles
technologies et autres facteurs d'atténuation pouvant avoir une influence sur la mission en cours
doivent être pris en compte. Et même si les circonstances diffèrent, la documentation des missions
antérieures permet de progresser plus rapidement dans le processus de planification.

Après avoir consulté la documentation des missions d'audit précédentes, les auditeurs internes
doivent ensuite se concentrer sur l'audit en cours. Bien que ces documents d'historique fournissent des
renseignements intéressants, les résultats et conclusions doivent être définis durant l'activité de l'audit
en cours.

Qu'il s'agisse d'un projet récurrent ou non, cette phase dans la planification de la mission devrait
également inclure une étude approfondie d'autres documents. Les autres informations à recueillir
dépendent de la nature de l'audit.

Les documents pertinents incluent généralement :

Les données organisationnelles (p. ex., organigrammes, nombre d'employés et noms, employés
clés).
Les détails relatifs aux changements récents survenus au sein de l'organisation, notamment des
changements de système importants.
Les descriptions de poste.
Les déclarations d'autorité et de responsabilité du domaine audité.
Les objectifs ciblés.
Les directives, instructions et manuels de procédures.
Les plans de projet.
Les rapports physiques.
Les rapports de performances.
Les certificats de conformité.
Les plannings de production, de projet, du personnel, etc.
Les informations budgétaires, les résultats d'exploitation et les données financières de l'activité à
 auditer.
Les résultats des autres missions, y compris les travaux en cours des auditeurs externes.
Les fichiers de correspondance pour déterminer les problèmes potentiels graves dans le cadre de
la mission.
Les données nécessaires aux évaluations de management des risques de l'entreprise pour
l'organisation
Les statuts du conseil et du comité et les comptes-rendus relatifs aux activités de gouvernance
pertinentes.
Les sites Internet et intranet associés au domaine audité.
Les documents publics générés par le domaine audité, tels que les brochures, rapports, plans,
affiches, publicités et instructions.

Une autre activité intéressante consiste à consulter les documents techniques et de référence relatifs à
l'activité, notamment les documents d'audit interne, les méthodes et pratiques industrielles et les
pratiques commerciales. Ceci est particulièrement utile si la mission concerne un premier audit ou a
été décidée en réponse à une mesure d'urgence. L'IIA propose un volume important de données
pratiques sur son site Web et via la librairie de sa fondation de recherche (IIA Research Foundation).

Formats documentaires
En principe, on peut utiliser tous types de formats documentaires (papier, audio, vidéo) ; de plus en
plus, les auditeurs internes peuvent accéder électroniquement à des informations à distance. Ceci leur
permet de réaliser une grande partie du processus de révision avant même d'arriver sur le site de la
mission. Si une documentation papier ou conservée sur support physique doit être consultée sur un
site spécifique, elle ne doit jamais être déplacée. Si nécessaire, des copies peuvent être réalisées.

Sources tierces
Il faut noter que, en général, les preuves obtenues de sources tierces sont considérées comme plus
fiables que les éléments de preuve obtenus du personnel du client contrôlé. Le terme « confirmation »
est utilisé pour décrire le fait d'obtenir une vérification écrite directe de l'exactitude des informations
par des parties tierces indépendantes. Ce type de preuve est généralement considéré extrêmement
fiable car l'auditeur interne la reçoit directement de sources indépendantes.

Une confirmation positive demande aux personnes interrogées de répondre, qu'elles croient les
informations correctes ou non. Une confirmation négative demande aux personnes interrogées de
répondre uniquement lorsqu'elles croient que les informations sont incorrectes.

Rubrique 2 : Élaborer des listes de

vérification/questionnaires de contrôle interne dans
le cadre d'une enquête préliminaire sur le domaine
de la mission (Niveau P)
Listes de vérification
Une liste de vérification est un outil que les auditeurs internes utilisent pour établir et maintenir
l'ordre durant la mission d'audit. Elle permet à l'auditeur interne de travailler de manière organisée et
efficiente. Les listes de vérification sont mises au point durant la phase de planification, généralement
à la fin de l'enquête préliminaire.

Une liste de vérification est en fait un questionnaire compact de questions auxquelles répondre par
oui ou par non. Elle comprend une liste d'éléments, qui peuvent prendre ou non la forme de questions,
et des cases ou des espaces à cocher, indiquant que l'élément correspondant est présent. Plus
simplement, un élément coché équivaut à un « oui ». Un élément non coché équivaut à un « non ». Les
listes de vérification peuvent être utilisées dans des situations variées.
En tant qu'aide-mémoire, elles permettent à l'auditeur d'être certain d'avoir posé toutes les
questions ou fait toutes les observations prévues.
Elles constituent une méthode rapide pour recueillir des informations auprès d'une personne (par
exemple un médecin interrogeant un nouveau patient sur ses antécédents médicaux).
Elles permettent également de contrôler que toutes les activités correctes sont effectuées afin de
terminer l'audit avec des informations correctes et précises. (La liste de vérification du médecin
ne sert pas uniquement à obtenir des informations ; elle est aussi employée en tant que technique
de contrôle pour éviter certaines erreurs comme l'administration de médicaments auxquels le
patient est allergique ou le fait de ne pas tenir compte d'antécédents génétiques qui nécessitent une
procédure particulière).

Lorsque les listes de vérification sont utilisées en tant qu'aide-mémoire, elles sont aussi utiles pour
effectuer le suivi des activités, du début à la fin de la mission d'audit. Dans la pratique, elles revêtent
une importance cruciale dans la planification de la mission.
Elles peuvent contribuer à des tâches administratives importantes, telles que l'organisation des
déplacements liés à l'activité d'audit interne (horaires, hébergement, etc.) et l'accès au système.
Elles aident à mettre en place un fonctionnement homogène au sein de l'équipe d'audit qui réalise
la mission et garantit que tous les membres de cette équipe respectent le plan d'audit planifié pour
la réalisation des tests, la remise des résultats à l'auditeur responsable ou à la direction du client,
la rédaction des papiers de travail et la réalisation de diverses autres tâches.
Elles aident à garantir que l'activité d'audit interne aborde tous les sujets appropriés et recueille
les données requises pour chacun d'eux, lors de la réalisation de l'audit.

Format
Certains éléments de liste de vérification sont présentés sous forme de liste d'activités, par exemple :
« Révision des organigrammes applicables ». D'autres peuvent être indiqués sous forme de question,
par exemple « La recherche en cours concernant le sujet à auditer a-t-elle été révisée ? ».
De manière générale, le format réel d'une liste de vérification dépend principalement des préférences
de l'auditeur interne. Parmi les formats couramment utilisés figure une liste des activités ou des
questions avec des cases ou autre pour cocher les éléments exécutés et un espace vierge pour noter
remarques, preuves, références et commentaires.

Enfin, les listes de vérification guident l'activité d'audit interne et aident à définir le périmètre de la
mission d'audit.

Questionnaires
Les questionnaires peuvent être un outil efficace permettant de documenter le respect des règlements
ou toute autre information parmi plusieurs participants à l'enquête. Dans certains cas, un
questionnaire prévoyant uniquement des réponses du type oui / non peut être approprié. Les
questionnaires peuvent également tester la pertinence ou non des activités du processus et des
contrôles existants. Utilisés de cette façon, ils sont appelés questionnaires sur le contrôle interne. Les
auditeurs internes utilisent également des questionnaires lors d'études préliminaires et lors d'auto-
évaluations des contrôles.

Si un questionnaire est utilisé dans l'un de ces buts, l'auditeur interne devrait étudier la façon la plus
efficace de formuler les questions et d'organiser les réponses. Par exemple, les personnes interrogées
peuvent être autorisées à répondre aux questions en cochant les réponses préalablement définies,
comme oui ou non, ou en incluant des textes descriptifs de longueur limitée ou illimitée. Elles peuvent
également noter des déclarations (par exemple de 1 à 5 ou de 1 à 10) ou les commenter sous forme
verbale (toujours, parfois, jamais ; tout à fait d'accord, d'accord, sans opinion, pas d'accord, pas
d'accord du tout ; etc.). Le choix du format approprié des questions et des réponses peut faire toute la
différence entre des informations utiles et des informations sans intérêt.

Certains participants refusent de répondre aux questionnaires, quels qu'ils soient, par crainte des
conséquences de formuler leur opinion par écrit sur un thème donné. Parfois, les personnes
fournissent des réponses positives quelle que soit leur opinion, simplement pour que l'audit soit plus
court.

En raison de ces limitations, il convient de réserver les questionnaires à la collecte d'informations

sur les éléments suivants :
Plusieurs unités, telles que des filiales, qui utilisent les mêmes processus et les mêmes procédures
d'exploitation standard et qui sont exposées aux mêmes risques. Dans de telles situations, les
questionnaires fournissent des informations uniformes qui peuvent être utilisées dans des
comparaisons.
Le respect des réglementations et d'autres sujets où la réponse est oui ou non.

Questionnaires oui / non

Ces questionnaires appellent une réponse par « oui » ou par « non » et peuvent convenir dans
certaines circonstances seulement (en fonction du format).

Voici quelques avantages des questionnaires oui ou non :

Ils sont faciles à diffuser.
Les informations provenant de toutes les personnes interrogées sont uniformes et peuvent donc être
comparées de façon précise.
Ils peuvent être donnés à un grand nombre de personnes, y compris dans différentes filiales,
différents pays, etc.
Les résultats d'un large ensemble de réponses peuvent être rassemblés et analysés facilement.

Toutefois, ces questionnaires présentent, entre autres, les inconvénients suivants :

Ils ne sont pas appropriés à tous les types de situations ou de problèmes.
Ils ne conviennent pas à l'acquisition de connaissances approfondies.
Ils réduisent les possibilités pour l'auditeur d'observer le comportement et l'environnement de la
personne interrogée.

Questionnaires sur le contrôle interne (ICQ - « Internal control

questionnaire »)
Le questionnaire sur le contrôle interne (ICQ) présente un éventail de questions pré-établies utilisé
pour obtenir des informations clés sur le contrôle interne, en particulier lors de la documentation
des réponses initiales aux questions sur les contrôles internes. Ce type de questionnaire est parfois
appelé « enquête type ». Ils ne permettent pas de poser des questions de suivi, ni d'observer des
indices de comportement du client d'audit. Mais ils permettent de recueillir des informations avec
efficience auprès d'un grand nombre de personnes, alors que des entretiens nécessiteraient un temps
beaucoup plus long (ou de nombreux auditeurs supplémentaires).

Un ICQ commence par une réponse connue ou souhaitée (oui ou non), puis recherche des
commentaires spécifiques. Dans ce sens, la structure de base d'un ICQ diffère de celle des
questionnaires ouverts, qui sont utilisés pour solliciter des réponses élaborées. Les ICQ peuvent être
utilisés dans différents secteurs d'activité pour répondre à diverses questions relatives au contrôle.

Les ICQ peuvent être renseignés par l'auditeur, comme illustré ci-dessous, ou complétés directement
par l'activité concernée.

L'illustration III-1 présente un extrait d'ICQ destiné à un processus de paiement.

L'auditeur interne ou le client enregistre les commentaires dans l'espace prévu. Il est préférable
d'observer l'événement plutôt que de poser la question au client (méthode d'interrogation) ou de
laisser le client entrer directement ses commentaires mais moins intéressant encore que d'examiner
les preuves obtenues par des tests.
L'ICQ est efficace et facile à gérer. Ils fournissent une liste de contrôle qui facilite l'évaluation
réalisée après l'évaluation initiale des risques. Il est intéressant d'appliquer des ICQ sur plusieurs
unités avec les même processus, risques et contrôles prévus. L'une des principales contraintes de
l'ICQ est qu'il se limite aux questions de procédure appelant une réponse binaire oui/non et ne permet
pas une étude approfondie.

L'utilisation d'un ICQ suppose que l'auditeur interne connaisse chaque procédure telle qu'elle doit
être. Une révision continue permet de garantir que les questions posées et les informations recueillies
restent pertinentes. Nombre de ces questions peuvent identifier les activités à tester durant le travail
d'audit sur le terrain.

Rubrique 3 : Effectuer des entretiens et des tests

de cheminement dans le cadre d'une enquête
préliminaire sur le domaine de la mission (Niveau
P)
L'auditeur recueille également des informations directement auprès des personnes. La qualité de ces
informations dépend de l'utilisation compétente d'outils tels que des entretiens et des tests de
cheminement.

Entretiens
Un entretien est généralement décrit comme une discussion structurée au cours de laquelle une
personne est interrogée sur son opinion, ses activités et d'autres sujets pertinents. Un entretien d'audit
se trouve à égale distance entre une conversation polie et un interrogatoire. Comme pour une
conversation, un entretien doit être plaisant et détendu. La plupart d'entre nous parlons volontiers et
ouvertement de nos activités professionnelles, et il s'agit là justement de l'objet central d'un entretien
d'audit. Cependant, contrairement à une conversation ordinaire, un entretien d'audit doit (ou devrait)
être formellement structuré par l'auditeur. En outre, contrairement à la plupart des conversations, un
entretien d'audit peut impliquer un certain risque pour la personne répondant aux questions de
l'auditeur. L'auditeur doit donc développer des compétences très approfondies pour mettre les
personnes à l'aise durant les entretiens.

Les entretiens sont généralement réalisés sur une base individuelle. Il est également préférable qu'ils
se fassent en personne. Toutefois, pour des raisons de coût et de planning, il est parfois nécessaire
d'organiser des entretiens par petits groupes et par téléphone, en téléconférence interactive ou par
vidéoconférence via une technologie Web.

Lors du processus de planification de la mission, des entretiens sont souvent organisés pour :
Obtenir le point de vue de la direction de l'activité auditée.
Clarifier les informations relatives au domaine à auditer.
Recueillir les informations complémentaires nécessaires.
Fournir une observation des activités de l'organisation à auditer.

Collecte d'informations auprès du client de la mission

L'autre aspect important des entretiens lors de la planification de la mission est de faciliter les
discussions de haut niveau avec le client concernant l'audit interne en cours de planification.

L'activité d'audit interne s'efforce de fournir des services d'audit conçus pour aider une organisation à
atteindre ses objectifs. Face à l'importance croissante de la gestion des risques et de la gouvernance,
la plupart des fonctions d'audit interne adoptent une approche à valeur ajoutée et, comme l'explique
Sawyer, attachent davantage d'importance à satisfaire les clients d'audit et à démontrer les avantages
de l'activité d'audit interne pour l'organisation.
L'une des méthodes les plus faciles pour démontrer son engagement dans la sauvegarde des intérêts
de l'organisation et pour recueillir des informations contextuelles importantes sur la mission consiste
à discuter avec le client durant l'enquête préliminaire. Quel que soit le domaine audité ou le type
d'audit réalisé, ce dialogue permet souvent d'obtenir des renseignements précieux.

Les données recueillies peuvent aider l'auditeur interne à mieux cerner certains éléments :
Objectifs opérationnels ;
Niveau de conformité avec les lois, politiques et procédures en vigueur ;
Processus clés ;
Structure de l'organisation (p. ex., rattachement hiérarchique et supervision) ;
Systèmes d'information ;
Principaux risques identifiés ;
Contrôles actuellement en place.

De simples questions ouvertes, de type « Quels sont vos objectifs ? » ou « Quelles sont vos
inquiétudes ? » peuvent être très révélatrices. Par exemple, il est important que des objectifs
opérationnels adéquats soient définis. L'absence d'objectifs opérationnels ou un problème
d'alignement entre ces objectifs opérationnels et les objectifs organisationnels justifierait une
attention particulière lors de la planification de la mission et lors des travaux sur le terrain.

Il est donc logique d'impliquer la direction du service audité dans le processus de planification. En
effet, les membres de la direction sont proches des processus à examiner. Ils peuvent fournir des
renseignements utiles pour les examens analytiques, tests et analyses comparatives ultérieurs. En
outre, poser des questions au client de la mission dès le début du processus de planification place
l'auditeur interne dans le rôle de « celui qui cherche des informations et non dans le rôle de
l'inquisiteur », selon les propres termes de Sawyer.

Éléments d'un entretien

Comme toute bonne histoire, un entretien a un début, un développement et une conclusion. Il peut être
difficile pour les experts de définir exactement les différentes étapes de l'entretien mais il est
généralement admis qu'un entretien réussi contient les éléments suivants :
Planifiez l'entretien.
La planification et la préparation sont essentielles pour réussir l'entretien. Les entretiens réussissent à
recueillir des informations complètes, pertinentes, factuelles et utiles uniquement s'ils ont été
soigneusement planifiés. Lors de la planification, l'auditeur interne doit tenir compte de l'objet de
l'entretien, car son approche peut varier considérablement s'il souhaite, par exemple, rassembler des
informations sur des activités et des responsabilités professionnelles, ou alors confirmer ou éliminer
un soupçon de fraude.

La planification peut être décomposée en sept étapes.

1. Obtenez des informations de fond.

Apprenez-en davantage sur les activités à discuter en examinant les papiers de travail
d'audits antérieurs, la documentation sur les systèmes, les organigrammes de l'organisation,
les manuels de procédures et d'autres documents pertinents.
Informez-vous sur la personne à interroger, y compris sa personnalité, son expérience, ses
connaissances et les responsabilités de son poste.
Recherchez toute modification d'organisation ou d'exploitation qui pourrait la concerner.
2. Définissez clairement le but de l'entretien avec des objectifs précis.
3. Préparez des questions visant à réaliser les objectifs. Utilisez à la fois des questions ouvertes et
fermées (oui/non). La différence entre les questions ouvertes et fermées est présentée
ultérieurement dans cette rubrique.
4. Organisez les questions dans un ordre logique pour éviter de s'écarter du sujet et pour créer une
bonne impression. Passez des questions générales à des questions plus spécifiques ; commencez
par des questions faciles. (En cas de suspicion de fraude, on peut utiliser une approche
différente.)
5. Préparez un ordre du jour écrit pour les entretiens plus formels, comme les entretiens d'entrée,
de sortie et avec la direction.
6. Adaptez les objectifs et les questions au rôle de la personne dans l'organisation. Les questions
seront différentes selon que vous interrogez des membres de la direction, des directeurs
opérationnels ou le personnel opérationnel.
7. Programmez l'entretien. Définissez un horaire qui convienne. Indiquez l'objet de l'entretien et
communiquez une estimation réaliste du temps qui sera nécessaire pour l'entretien. Arrivez à
l'heure.

Engagez l'entretien.
Commencez à l'heure.

Pour établir un bon rapport, commencez par une introduction chaleureuse et quelques
commentaires ou questions sur un sujet qui intéresse probablement la personne interrogée. Vous
 pouvez peut-être commenter les photos présentes dans son bureau. Toutefois, les personnes ont
plus ou moins d'intérêt pour les propos anodins, vous devez donc adapter soigneusement leur
durée et les sujets abordés à la personnalité de votre interlocuteur. Avant tout, soyez vrai. Il est
rare qu'une gentillesse simulée mette quelqu'un à l'aise.

Veillez à prononcer le nom de la personne interrogée correctement. Écrivez-le, discrètement.

Vous pouvez donner une carte de visite à votre interlocuteur, si cela vous semble approprié.

Après ces préliminaires, déclarez clairement les objectifs de l'audit et le but exact de l'entretien.

Continuez (si possible) d'établir un bon rapport avec la personne, jusqu'à ce que les barrières
entre auditeur et personne interrogée tombent.

Conduisez l'entretien.
Faites preuve de confiance en vous, sans intimider.

Évitez les sarcasmes, les plaisanteries trop subtiles, le jargon et tout autre langage qui pourrait
être offensant ou déroutant.

Prenez le moins de notes possible et concentrez-vous sur le comportement de la personne

interrogée. Les gestes en disent toujours beaucoup plus que les mots. Notez les gestes qui ne
semblent pas appropriés aux propos de votre interlocuteur ou qui révèlent une gêne.

Intéressez-vous à ce que la personne interrogée a à dire. Invitez-la à exprimer ses préoccupations

sur les sujets abordés et pas seulement les faits.

Utilisez un questionnaire de suivi si la personne interrogée doit clarifier des passages trop
généraux ou confus. Demandez : « Pouvez-vous me donner des exemples ? » ou « Pouvez-vous le
dire d'une autre façon ? » Résumez ou répétez les informations difficiles en utilisant des mots
familiers afin d'être sûr de bien comprendre. Ne pensez pas que vous aurez l'air stupide et veillez
à ne pas donner l'impression à la personne interrogée qu'elle s'exprime mal. Lorsqu'un auditeur et
son interlocuteur ont développé un bon rapport, ces techniques les aideront tous deux à rester
confiants dans l'efficacité de l'entretien et à produire des informations plus approfondies et de
meilleure qualité. Un entretien productif et professionnel consiste rarement à lire une liste de
questions et à noter les réponses, alors que les participants évitent d'engager un dialogue et de se
regarder dans les yeux.

Établissez la différence entre les faits et les opinions, au cours de l'entretien ou au moyen de tests
d'audit ultérieurs.

Si nécessaire, venez à l'entretien avec un second auditeur.

Offrez une image professionnelle.

 Regardez l'autre personne dans les yeux sans pour autant la fixer. Évitez un regard trop
concentré et trop intense. Veillez au langage de votre corps.
Exprimez-vous clairement et distinctement. Respirez profondément afin de rester détendu,
de maintenir un rythme posé et de garder une voix claire. Une voix résolue donne une
impression de confiance et de professionnalisme.

Prenez des notes de façon appropriée.

Demandez tout d'abord l'autorisation de prendre des notes et expliquez vos raisons de le
faire.
Ne prenez pas trop de notes. Notez des mots clés et utilisez-les ensuite pour compléter le
dossier dès la fin de l'entretien.
Il vous faut au moins un mot clé pour chaque idée importante. Il est facile d'oublier, ce qui
oblige à poser deux fois la même question.
Respecter l'espace de la personne interrogée. N'utilisez pas son bureau pour prendre des
notes.
Ne cachez pas vos notes. Utilisez-les comme une base pour paraphraser ce que la personne
interrogée a dit. Cela améliore la précision de ses réponses et contribue à établir un bon
rapport.

Lorsque les enquêteurs transcrivent les réponses, ils devraient éviter les silences et les ruptures
du contact visuel prolongés. C'est l'une des raisons pour lesquelles la présence de deux enquêteurs
dans une pièce peut s'avérer utile. Tandis que l'auditeur pose les questions, la seconde personne
peut consigner les réponses et les observations.

Terminez l'entretien.
Ne laissez pas l'entretien se prolonger au delà de l'heure convenue.

Lorsque cette heure approche, demandez à votre interlocuteur l'autorisation de conclure et, le cas
échéant, de programmer un autre entretien pour les questions non couvertes.

Récapitulez les points clés à partir de vos notes.

Décrivez l'étape suivante du processus.

Fournissez vos coordonnées à la personne interrogée et demandez-lui de vous appeler ou de vous

envoyer un courrier électronique si d'autres informations lui viennent à l'esprit.

Remerciez votre interlocuteur du temps qu'il vous a consacré.

Documentez l'entretien.
Dès la fin de l'entretien, révisez et organisez vos notes, et rédigez-les au format final pour les papiers
de travail. Plus vous attendrez, plus vous oublierez de points clés.
Évaluez les informations obtenues au cours de l'entretien.
Selon vous, l'entretien s'est-il bien passé ?

Avez-vous atteint vos objectifs et enregistré toutes les informations nécessaires ? Si tel n'est pas
le cas, quels obstacles avez-vous rencontrés ?

Votre planification présentait-elle des défauts ?

Avez-vous rencontré des surprises en raison d'une insuffisance d'informations de fond ?
Avez-vous établi l'équilibre adéquat entre les questions ouvertes et fermées ?
Vos questions étaient-elles bien organisées ?
Le lieu, l'heure et la durée de l'entretien étaient-ils appropriés ?

Avez-vous réussi à établir un bon rapport avec votre interlocuteur dès le début de l'entretien, au
moyen d'échanges anodins d'une durée appropriée ? Avez-vous réussi à établir un bon rapport
avec cette personne, à quelque moment que ce soit ? Sinon, pourquoi ?

Avez-vous réussi à mettre la personne interrogée à l'aise en lui expliquant le but de l'audit et les
objectifs de votre entretien ?

Après avoir évalué les informations, déterminez les modifications à apporter au prochain entretien et
à sa planification, afin de mieux atteindre ses objectifs.

Techniques d'entretien
Le but de l'entretien est que la personne interrogée réponde à toutes les questions librement et de
manière détaillée et,dans l'idéal, qu'elle fournisse des informations spontanément. L'auditeur interne
doit donc chercher à établir une relation avec la personne interrogée, montrer qu'il partage les
intérêts de son interlocuteur, être compréhensif, empathique et ne pas porter de jugement. Des
compétences verbales et non verbales peuvent être utilisées pour établir ces bonnes relations. En
outre, les enquêteurs doivent écouter et observer attentivement, et poser les bonnes questions, dans le
bon ordre.

Établir de bonnes relations

De bonnes relations sont établies dans une situation d'entretien lorsque la personne interrogée pense
que l'enquêteur comprend et partage ses sentiments, son raisonnement et ses valeurs. Il est alors
important pour l'auditeur de créer une atmosphère caractérisée par de la considération, de la
courtoisie et un sincère désir de rassembler des informations et d'écouter ce que la personne
interrogée a à dire.

Le comportement et l'apparence permettent d'établir de bonnes relations. Un auditeur peut commencer

à établir de bonnes relations avec une personne interrogée en suivant les recommandations suivantes :

Donner rendez-vous à une heure qui tient compte des besoins de la personne interrogée, arriver à
 l'heure pour l'entretien et faire bon usage du temps de la personne interrogée.

Choisir un lieu pour l'entretien qui convient à la personne interrogée et qui permet l'intimité et la
confidentialité. (C'est également un avantage pour l'auditeur, étant donné que la discrétion lors de
l'entretien risque moins d'alerter et d'avertir les fraudeurs éventuels et leurs complices.)

Limiter le nombre de personnes présentes lors de l'entretien. (Bien qu'il puisse être judicieux
qu'une autre personne assiste à l'entretien, les auditeurs ne veulent pas que le sujet de l'entretien se
sente en infériorité numérique. Les employés peuvent également avoir le droit d'avoir un
représentant syndical lors des entretiens.)

S'habiller, aussi raisonnablement que possible, en phase avec la personne interrogée. (Porter une
tenue professionnelle lors d'un entretien avec un membre de la direction véhicule du respect ;
toutefois, cette même tenue peut intimider un employé horaire.)

Adopter une posture qui véhicule l'ouverture d'esprit et l'attention : p. ex., se tenir droit, face à la
personne interrogée.

Les auditeurs internes devraient veiller à ne pas créer de situation dans laquelle les personnes
interrogées peuvent avoir l'impression d'être retenues contre leur volonté. Cela peut inclure des
actions telles que fermer une porte à clé ou bloquer la sortie de la personne interrogée. Ces actions
pourraient être interprétées comme de la détention abusive et devenir gênantes du point de vue légal
pour l'organisation.

Écoute active
Pour qu'un entretien soit efficace, il faut utiliser des techniques de base d'écoute active. Pour
encourager les personnes à parler librement, les auditeurs doivent :
Maintenir le contact visuel avec l'interlocuteur lorsqu'il parle mais sans le pénétrer du regard.
Exprimer de l'intérêt en montrant des expressions faciales de compréhension, comme un signe de
tête affirmatif.
Observer de brefs silences après une question ou une réponse. (Parfois, pour briser le silence, la
personne interrogée ajoutera quelque chose de nouveau.)
Paraphraser les déclarations de l'interlocuteur pour les clarifier et pour démontrer une volonté de
comprendre ses propos.

Questions ouvertes ou fermées

Une question ouverte appelle une description, une opinion ou un récit. Une question fermée peut avoir
une réponse en un mot ou une brève déclaration factuelle.

Un entretien peut présenter des questions ouvertes et fermées. En général, les questions ouvertes sont
un bon moyen pour lancer la conversation, tandis que les questions fermées sont efficaces lorsque les
personnes interrogées n'ont pas l'air de comprendre la question, ne veulent pas y répondre ou lorsque
des informations spécifiques sont requises comme compléments d'une précédente réponse. Une
question ouverte invite la personne interrogée à en dire autant qu'elle le souhaite ; une question
fermée limite la conversation. Étant donné que les auditeurs internes interrogent pour rassembler et
découvrir des informations, il est généralement plus efficace d'utiliser des questions ouvertes.

La différence entre les questions ouvertes et fermées est présentée à l'illustration III-2.

Illustration III-2 : Questions ouvertes et fermées

Style d'interrogation
Dans un entretien, par opposition à un interrogatoire, l'objectif est d'obtenir des informations, pas des
aveux. Comme suggéré dans l'illustration ci-dessus, les questions peuvent être utilisées en séquences
stratégiques. Une question fermée peut suivre une question ouverte pour obtenir des informations plus
ciblées. Pour favoriser l'ouverture plutôt qu'une attitude défensive, il faut éviter de poser des
questions qui pourraient être suggestives, biaisées ou pourraient prêter à confusion. Poser des
questions biaisées est probablement l'erreur la plus fréquente que les auditeurs commettent au cours
des entretiens.

Les questions sont donc généralement posées d'une manière qui encourage la neutralité et la clarté :

Elles devraient être posées dans un ordre logique – par exemple, commencer par des
présentations générales, puis se concentrer sur des problèmes spécifiques. Elles ne doivent pas
être laissées au hasard. Cela pourrait non seulement s'avérer improductif lorsqu'il s'agit de
découvrir des informations mais également entraîner la confusion de la personne interrogée ou la
mettre sur la défensive. Si vous posez une question qui semble sans rapport, la personne
interrogée peut se sentir manipulée, sous pression, ou dupée.

Les questions ne devraient pas être présomptueuses, suggestives ou biaisées. Une question
impartiale ne donne aucune indication sur la réponse attendue par l'auditeur. La question « Vous
avez oublié de verrouiller les classeurs, n'est-ce pas ? » est une question tendancieuse. En
revanche, la question « Parlez-moi des procédures quotidiennes de sécurité des fichiers. » est
 impartiale (et ouverte).

Elles ne doivent pas être construites d'une manière qui prête à confusion : par exemple, en posant
plusieurs questions en même temps ou en utilisant une syntaxe ou une structure de phrase
déroutante (comme l'utilisation de doubles négations).

Pour résumer, les compétences d'un auditeur interne en matière d'entretiens doivent comporter
notamment :
Le développement d'un plan pour un entretien ordonné, efficient et productif.
L'établissement d'un bon rapport (d'une relation harmonieuse) avec la personne interrogée.
L'empathie avec la personne interrogée (la capacité à s'identifier à l'autre, à ses sentiments et ses
idées), et la distinction entre les faits et les opinions qui peuvent survenir au cours de la
discussion.

Tests de cheminement
Les tests de cheminement sont des démonstrations ou des explications étape par étape d'un processus
ou d'une tâche mené(e) par le responsable du processus ou de la tâche en la présence de l'auditeur
interne. Les auditeurs internes utilisent des tests de cheminement pour mieux comprendre un flux de
processus et pour vérifier l'état réel des contrôles dans une organisation ; par exemple, quels
contrôles sont inclus dans le cadre des activités normales et quels contrôles sont véritablement
exécutés.

L'illustration III-3 à la page suivante montre que les tests de cheminement peuvent aider à révéler la
cause d'une faiblesse ou d'une défaillance de contrôle.

Pour aider les auditeurs internes à ajouter de la valeur, il est important de faire une distinction entre
les défaillances au niveau de la conception des contrôles et les défaillances au niveau de leur
exécution. Lorsque les employés sont mieux informés en matière de contrôles, ils sont plus proactifs
dans leur mise en œuvre. Lorsque les contrôles sont conçus de manière plus efficace, en particulier
lorsque le travailleur participe à la conception des procédures, cela permet de réduire la frustration
des travailleurs et de favoriser l'engagement du personnel ainsi qu'un bon comportement.

Illustration III-3 : Les tests de cheminement peuvent révéler

Résultats de l'enquête préliminaire
Les informations contextuelles précieuses recueillies lors d'une enquête préliminaire aident l'auditeur
interne à planifier la mission. Les résultats de l'enquête aident également la fonction d'audit interne à
se crédibiliser auprès du client de la mission, en démontrant que l'auditeur interne prend la mission
au sérieux et la prépare de manière approfondie. Il est généralement conseillé de synthétiser les
résultats de l'enquête préliminaire pour la fonction d'audit interne.

La modalité pratique d'application 2210.A1-1 apporte les précisions suivantes.

Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée par le management, des éléments de
contexte et de toute revue préliminaire. Ce résumé comprend :
Les problèmes importants relatifs à la mission et les raisons justifiant de les examiner de manière plus approfondie.
Les objectifs et les procédures de la mission.
Les méthodologies à utiliser, par exemple les techniques d'échantillonnage et les techniques d'audit informatisées.
Les potentiels points de contrôle critiques, défaillances de contrôle et/ou contrôles excessifs.
si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significativement les objectifs de la mission.

Un rapport d'une à deux pages synthétisant le domaine étudié, le travail effectué, une opinion initiale
sur les risques et les contrôles et des recommandations pour l'affectation du personnel de la mission
suffit. Toute documentation complémentaire peut être ajoutée en annexe.

Disposer de toutes ces informations dès les premières étapes de la mission établit une base solide,
pour un programme de travail et un travail d'audit de qualité.

Ensuite, nous nous pencherons sur les principes d'observation, d'évaluation des risques de la mission,
d'échantillonnage et de cartographie des processus au cours de la mission d'audit.

Rubrique 4 : Observer pour recueillir des données

(Niveau P)
Bien qu'un auditeur ait accès à des outils de collecte de données tels que l'interrogation, la
vérification, les tests et l'analyse, il peut également avoir recours à la méthode la plus ancienne de
toutes : l'observation.

Dans une conversion normale, le mot « observation » a une signification donnée, et tout le monde
utilise ses sens pour noter les événements et les personnes rencontrées dans la vie de tous les jours.
Pour un auditeur, cependant, l'observation implique une discipline plus stricte que simplement
« regarder autour de soi ». Plus un auditeur acquiert de connaissances, d'expérience et de
compétences, plus il est à même de collecter des informations d'audit importantes par un examen
visuel déterminé des personnes, des activités, des installations, des stocks, des systèmes de sécurité,
de la disposition des bureaux et de l'équipement, entre autres. En tant qu'observateur, l'auditeur ne se
limite pas à voir toutes ces personnes et tous ces éléments ; il note mentalement ses observations et
les inclura, le cas échéant, dans ses papiers de travail afin qu'elles deviennent la base de ses
constatations et de ses recommandations.

Les tests de cheminement, comme indiqué dans la rubrique précédente, sont une forme d'observation,
mais l'observation peut s'effectuer sous de nombreuses autres formes. Dans certains types d'audits,
les observations effectuées et enregistrées par une caméra peuvent constituer une part importante des
tests. Ces photos ou vidéos peuvent devenir des résultats d'audit pour la documentation et les
rapports. Cette approche est particulièrement appropriée aux audits environnementaux ainsi qu'aux
audits d'hygiène et de sécurité.

Choix des éléments à observer

Une observation efficace implique davantage que de remarquer des faits et de les mémoriser. Un
inspecteur préparé sait ce qu'il recherche.

Les observations deviennent significatives lorsque l'auditeur les place dans leur contexte. Cela peut
signifier comparer mentalement un fait observé avec des observations antérieures, des affirmations
du client de l'audit, des normes industrielles, des règlements, etc. Plus un auditeur peut s'appuyer sur
son expérience antérieure, sur ses études réalisées et sur sa préparation pour la mission en cours,
plus il est à même de comparer mentalement ce qui est à ce qui devrait être.

Lors d'une observation rigoureuse, on remarque ce qu'il manque et ce qui est présent : l'absence de
dispositifs de sécurité, l'absence d'inspecteur, la présence de matériel inutilisé.

Confirmation d'une observation

Les observations en elles-mêmes constituent généralement des preuves peu solides. Pour qu'elles
aient plus de force dans un rapport d'audit, les observations d'un auditeur doivent souvent être
confirmées par d'autres preuves et d'autres analyses. Dans certains cas, si le client participe aux
observations et accepte les conclusions (lors d'un test de cheminement, par exemple), cela peut
permettre de confirmer les observations. Si cela n'est pas possible, le rapport doit signaler les
informations qui ont été observées.

Sawyer fournit un exemple de la façon dont l'observation et la recherche de suivi peuvent être
utilisées pour formuler une recommandation permettant de faire des économies. Au cours de l'audit,
un auditeur note une absence surprenante de palettes en bois vides dans un entrepôt. Une fois
interrogé à ce sujet, le responsable de l'entrepôt confirme que les palettes cassées sont simplement
jetées. L'auditeur recommande de les recycler et découvre au cours d'un audit de suivi que l'entrepôt
a adopté sa recommandation, si bien que le budget des palettes est considérablement réduit.

Pièges
Bien que l'observation puisse donner des informations, comme dans le cas des palettes en bois
manquantes, elle peut également fournir des données trompeuses si elle n'est pas effectuée avec
précaution et vérifiée par recoupement avec d'autres méthodes. Pourquoi ? Le simple fait d'être
observée peut entraîner une personne à se comporter différemment dans son travail. Si l'auditeur est
visiblement présent, l'inspecteur qui laisse généralement passer un peu trop de pièces sans les
vérifier devient très soucieux du respect des quotas d'inspection requis. Les employés et les
superviseurs qui ignorent d'habitude les règles de sécurité parce qu'elles ne sont pas pratiques ou
qu'elles coûtent cher deviennent des modèles de précaution. Malgré cela, le fait d'observer permet de
compléter d'autres informations avec des perspectives précieuses.

Rubrique 5 : Effectuer l'évaluation des risques de la

mission pour assurer l'identification des principaux
risques et contrôles (Niveau P)
La Définition de l'Audit interne stipule qu'il a pour but d'améliorer les opérations d'une organisation
et de créer de la valeur ajoutée. Lors de la planification de la mission, les auditeurs internes doivent
prendre en compte la manière dont cette mission individuelle peut soutenir ces deux objectifs. Une
approche fondée sur les risques dans toutes les activités est une composante importante dans la
réalisation de ces objectifs, car elle centre l'audit sur les domaines cruciaux.

En fait, les Normes précisent que l'évaluation des risques du domaine audité devrait faire partie du
processus de planification. Selon la norme de fonctionnement 2201, « Considérations relatives à la
planification » :

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :

Les objectifs de l'activité auditée et les moyens de contrôle de ses performances.
Les risques importants associés à l'activité, à ses objectifs, ses ressources et ses procédures, et les mesures mises en place pour
maintenir leur impact potentiel à un niveau acceptable.
La pertinence et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle de l'activité,
en référence à un cadre ou modèle de contrôle approprié ; et
Les opportunités d'améliorer de manière significative les processus de gouvernement d’entreprise, de management des risques et
de contrôle de l'activité.

Les auditeurs internes peuvent s'aider des informations fournies dans le Guide pratique « Audit des
relations avec d'autres entreprises » pour réaliser l'évaluation des risques de la mission et mettre au
point un programme. Le paragraphe suivant tiré de ce guide traite des relations d'affaires externes ou
étendues (EBR).

Les auditeurs internes doivent comprendre tous les éléments associés aux EBR, depuis l'établissement de la relation, l'élaboration du
contrat et la définition de la relation, l'approvisionnement, la gestion et le suivi continu de la relation (y compris les considérations
d'objectivité et d'indépendance des responsables de la gestion et du suivi, en matière d'environnement de contrôle), et enfin l'arrêt de la
relation. Lorsqu'ils ont bien intégré les attentes des deux parties, ainsi que les processus adéquats de gestion et de suivi de la relation,
les auditeurs internes mettent au point un programme d'audit approprié incluant des objectifs d'audit pertinents pour l'audit interne des
relations avec d'autres entreprises. En outre, les procédures d'audit interne peuvent inclure des éléments permettant d'évaluer la
conformité aux conditions contractuelles, afin de déterminer si les obligations, monétaires ou non, ont été remplies.

Nous avons appris que les missions d'audit interne étaient destinées à fournir une assurance aux
membres de la direction et du conseil. Les missions sont choisies en grande partie en réponse à une
évaluation des risques à l'échelle de l'entreprise. L'évaluation des risques dans le domaine de la
mission fait avancer la gestion des risques organisationnels, en aidant à garantir que :
La planification de la mission est alignée sur l'évaluation des risques à l'échelle de l'entité.
La planification de la mission tire parti des informations provenant l'évaluation des risques à
l'échelle de l'entité.
La mission est centrée sur les risques.

Des informations complémentaires sur l'évaluation des risques dans le cadre de la planification sont
disponibles dans les normes et modalités pratiques d'application suivantes.

Modalité pratique d'application 2210-1, « Objectifs de la mission. » Une section de ce guide

approuvé et fortement recommandé stipule : « Les auditeurs internes établissent les objectifs de la
mission pour aborder les risques liés à l'activité auditée. Concernant les missions planifiées, les
objectifs découlent et sont conformes à ceux qui ont été initialement identifiés lors du processus
d’évaluation des risques qui a permis d’établir le plan annuel d'audit. Pour les missions non
 planifiées, les objectifs sont établis avant le début de la mission et sont conçus pour traiter les
problèmes spécifiques à l'origine de la mission. »

Norme de mise en œuvre 2210.A1 (Missions d'assurance). « L'auditeur interne doit procéder à
une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la
mission doivent être déterminés en fonction des résultats de cette évaluation. »

Modalité pratique d'application 2210.A1-1, « Évaluation des risques dans la planification de

la mission. » Bien que cette modalité traite principalement de l'enquête préliminaire sur le
domaine de la mission, elle inclut les suggestions suivantes, qui permettront aux auditeurs internes
de garantir avec une certitude suffisante que les risques pertinents sont identifiés pour la mission
donnée :

Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le management pour l’activité examinée. L’auditeur
interne prend aussi en compte les éléments suivants :
La fiabilité de l'évaluation des risques réalisée par la direction.
Le processus établi par la DIRECTION pour surveiller, signaler et résoudre les problèmes de contrôle et de risque.
Le système mis en place par la direction pour signaler les événements dépassant les limites d'appétence pour le risque de
l'organisation, et la réponse de la direction aux rapports ainsi générés.
Les risques des activités connexes s'avérant pertinents pour l’activité examinée.

Norme de mise en œuvre 2210.A2 (Missions d'assurance). Cette norme met en garde les
auditeurs internes en stipulant que les objectifs de mission ne devraient pas se limiter
exclusivement à l'évaluation des risques de l'entité. Dans les termes de la norme, la probabilité est
à prendre en compte : « En détaillant les objectifs de la mission, l'auditeur interne doit tenir
compte de la probabilité qu'il existe des erreurs, irrégularités, cas de non-conformité et autres
risques importants. »

Norme de mise en œuvre 2210.C1 (Missions de conseil). De par la nature vague des missions de
conseil, la planification est essentielle pour éviter tout malentendu avec le client. Cette norme
stipule que « les objectifs d'une mission de conseil doivent porter sur les processus de
management des risques, de contrôle et de gouvernement d'entreprise dans la limite convenue avec
le client ».

Norme de mise en œuvre 2210.C2 (Missions de conseil). Les missions de conseil devraient être
alignées avec les intérêts généraux de l'organisation. Selon cette Norme, « les objectifs de la
mission de conseil doivent être en cohérence avec les valeurs, la stratégie et les objectifs de
l'organisation ».

Utilisation d'une matrice de contrôle des risques

Une matrice de contrôle des risques (également appelée évaluation des risques d'audit ou des risques
au niveau de la mission) est un outil utile pour aider les auditeurs internes à prendre en compte de
manière adéquate les risques au niveau de la mission et garantir que tous les risques importants
identifiés sont traités dans le travail de terrain effectué ultérieurement. Chaque matrice est unique,
mais les caractéristiques les plus courantes sont présentées dans l'exemple de l'illustration III-4, page
suivante. À nouveau, gardez à l'esprit que ces étapes s'étalent de la phase de planification au travail
d'audit sur le terrain. Des diagrammes de circulation et des techniques descriptives sont parfois
utilisés conjointement avec une matrice de contrôle des risques.

Avantages d'une matrice de contrôle des risques

Une matrice de contrôle des risques peut prendre beaucoup de temps à élaborer. Mais ses avantages
sont également importants. Outre le fait qu'elle aide généralement à prendre en compte les risques au
niveau de la mission et à identifier tous les risques importants, la création d'une matrice durant la
phase de planification permet de :
Jeter les bases d'un audit plus efficace, en le centrant sur les domaines les plus à risque ;
Homogénéiser l'audit en documentant l'ensemble du processus réfléchi, depuis l'identification des
risques jusqu'à la création du programme d'audit ;
Favoriser l'apprentissage du processus réfléchi d'évaluation des risques ; la direction du domaine
audité est davantage impliquée dans le contrôle ;
Mettre en place un audit participatif.

De nombreuses organisations utilisent la matrice de contrôle des risques comme outil pour dresser
une liste de tous les contrôles à tester durant l'audit interne. Lorsque ce niveau de détail est inclus (ce
qui donne un document de taille conséquente), la matrice peut également servir de programme de
travail/d'audit pour la mission. En outre, intégrer les résultats des tests au document peut permettre de
faire de la matrice de contrôle des risques le principal papier de travail pour chaque domaine de la
mission.

Illustration III-4 : Caractéristiques d'une matrice de contrôle des risques

Rubrique 6 : Réaliser l’échantillonnage (Niveau P)
Il n'est généralement pas possible d'effectuer toutes les tâches nécessaires à l'évaluation de chaque
élément soumis à un audit, notamment pour des raisons de coût. L'auditeur interne doit donc
sélectionner un échantillon d'éléments à examiner. Dans la plupart des cas, l'échantillonnage a pour
objectif de sélectionner un sous-ensemble d'éléments qui reflète l'intégralité de la population avec
une précision raisonnable. (Le nombre total d'éléments est souvent appelé la « population », mais il
peut également être appelé l'« univers » ou le « champ ».)

Grâce à l'utilisation d'ordinateurs il est possible de stocker et d'analyser des informations, ce qui
rend l'audit de chaque élément de la population de plus en plus pratique puisque les tests d'audit
peuvent être automatisés. Toutefois, un auditeur peut encore décider que l'échantillonnage constitue
l'approche la plus économique et la plus efficiente.

Les auditeurs internes utilisent différentes techniques pour décider du nombre et de la nature des
éléments susceptibles de fournir les conclusions les plus fiables sur la population dans son ensemble,
et ils emploient des techniques d'échantillonnage variées. Le nombre d'éléments dans un échantillon
et la technique particulière à utiliser varient d'une organisation à l'autre.

Les techniques d'échantillonnage se répartissent en deux grandes catégories : l'échantillonnage

statistique et l'échantillonnage non statistique (ou raisonné). La sélection de l'échantillon est
influencée par l'objectif de l'audit, le type de données, la nature de la population et certaines
considérations pratiques telles que le coût et le temps disponible. Pour choisir une méthode
d'échantillonnage, l'auditeur doit tenir compte de l'objectif et de la conclusion souhaitée, puis définir
clairement la technique d'échantillonnage dans la proposition de périmètre. Les techniques les plus
répandues sont décrites ci-dessous, en commençant par la distinction de base entre les approches
statistiques et non statistiques.

Concepts de base de l'échantillonnage statistique

Les méthodes d'échantillonnage statistique produisent un échantillon scientifiquement aléatoire, et les
résultats des tests peuvent être quantifiés en termes de niveau de confiance et de précision. Par
exemple, un auditeur peut décrire les résultats du test d'un échantillon aléatoire comme suit : « Nous
sommes confiants à 95 % que le taux d'erreur de la population est de 6 %, plus ou moins 3 %. »

Cela signifie que l'auditeur a testé un nombre sélectionné d'éléments, par exemple 100 transactions
sur une population de 1 000 transactions, et a découvert que six d'entre elles contenaient des erreurs.
Étant donné la taille de l'échantillon par rapport au nombre total de transactions, l'auditeur est
confiant à 95 % (il n'est pas certain à 100 %) qu'entre 30 et 90 transactions (de 3 % à 9 % du total de
1 000 transactions) contiennent des erreurs. Inversement, cela signifie que la probabilité que plus de
90 transactions ou moins de 30 transactions contiennent des erreurs est de 5 %.

Sans garantie de perfection

Notez qu'un échantillonnage statistique ne garantit pas la perfection. Pour prendre un exemple peut-
être extrême, pensez aux prévisions météorologiques brièvement déclarées sous forme statistique.
Lorsque la prévision déclare une probabilité d'averses de 30 %, par exemple, un pourcentage plus ou
moins est implicite. De même, lorsqu'un sondage politique estime que 46 % de la population en âge
de voter préfère le candidat X, il comporte une marge d'erreur en plus ou en moins qui n'est pas
toujours précisée. En fait, le sondeur estime une valeur de 46 % plus ou moins 3 %, par exemple.
Comme nous pouvons le constater par une promenade dans le parc ou au cours d'une élection, ni les
prévisions météorologiques, ni les sondeurs politiques ne sont entièrement fiables. Le sondeur, par
exemple, peut impliquer en fait que dans 95 % des tentatives, les sondages tels que celui effectué
produisent une estimation fiable pour la population totale. Mais il existe également une probabilité de
5 % que les résultats du sondage ne soient pas fiables. En d'autres termes, le candidat X pourrait être
soutenu par 50 % des vrais votants ou être complètement écrasé, mais la probabilité de ces deux cas
est très réduite.

Considérations sur la sélection de la taille d'un échantillon

Quatre concepts statistiques sont essentiels pour déterminer la taille d'un échantillon.

Le niveau de confiance ; La probabilité, en pourcentage, que les résultats de l'échantillon

fournissent une estimation raisonnable des caractéristiques de la population totale. Il s'agit là de la
probabilité de 95 % des exemples précédents. Plus la confiance souhaitée est élevée, plus
l'échantillon doit être étendu. Pour obtenir une confiance de 100 %, l'échantillon devrait inclure
100 % des éléments (mais même dans ce cas, des erreurs de comptage restent possibles).

La précision ; La plage d'erreur, par exemple plus ou moins (±) 3 %. Plus la plage d'erreur
acceptable rétrécit, plus la taille de l'échantillon requis augmente.

La variabilité ; L'ampleur de la différence parmi les éléments de la population. En général, une

population relativement uniforme exige un échantillon plus petit pour obtenir le niveau souhaité de
confiance et de précision. Dans les sondages d'opinion politiques, par exemple, la variabilité est
faible en cas de question demandant si le votant est pour ou contre un candidat ou une position
donnés. Mais si les personnes interrogées doivent classer les candidats par préférence de 1 à 10,
la variabilité des réponses possibles est considérablement plus importante.

La taille de la population ; Le nombre total d'éléments parmi lesquels l'échantillon est extrait. En
général, plus la population est importante, plus l'échantillon doit être grand. Toutefois, le
pourcentage de population représenté dans l'échantillon est souvent plus grand pour des
populations très petites que pour des populations importantes. Par exemple, un test de 10 % des
éléments d'une population de 10 000 produit un échantillon important et probablement adéquat de
1 000 éléments. En revanche, dans la plupart des cas, un test de 10 éléments d'une population de
100 ne produit pas un échantillon suffisant. (Toutefois, si la variabilité dans la population est de
zéro, le test d'un seul élément suffit à démontrer que tous les éléments sont vrais ou faux.)

Avantages/ inconvénients d'un échantillonnage statistique

Un échantillon sélectionné statistiquement :
Peut produire les résultats souhaités à partir d'un nombre minimal d'éléments ;
Produit des données quantifiées ;
Inclut une mesure du risque d'échantillonnage, du niveau de confiance et de la précision ;
Est bien adapté aux tests informatisés ;
Soutient des conclusions et des recommandations de façon plus crédible.

Toutefois, un échantillonnage statistique :

Peut être cher et prendre beaucoup de temps ;
 Peut exiger une formation du personnel et des coûts en logiciel ;
Risque d'exclure les perceptions d'auditeurs expérimentés sur la population.

Malgré sa précision quantitative, l'échantillonnage statistique n'est pas couramment utilisé par l'audit
interne. D'une part, les tests statistiques sont souvent trop longs pour être rentables. D'autre part, les
tests d'audit exigent souvent des jugements qui ne peuvent pas être convertis en quantités de façon
significative.

Concepts de base de l'échantillonnage non statistique

(raisonné)
Tous les échantillons non statistiques sont appelés des échantillons raisonnés. Au lieu d'être basés sur
une randomisation soigneuse et sur des déclarations de probabilité explicites, les échantillons
raisonnés sont sélectionnés d'après l'évaluation informée de l'auditeur sur le nombre d'échantillons
requis pour produire un résultat raisonnablement fiable, étant donné le type de la population et
l'objectif de l'audit.

Les échantillonnages raisonnés peuvent être effectués :

Systématiquement (par exemple tous les n éléments, en commençant par le nombre x).
Sans règle (par exemple en retirant les dossiers d'un classeur sans critère de sélection).
Selon l'opinion de l'auditeur (par exemple en choisissant des éléments particulièrement grands ou
inhabituels dans un rapport informatique).

Dans ces cas, la proposition de périmètre devrait comporter la mention suivante : « X éléments
sélectionnés de façon raisonnée », puis décrire comment ces éléments ont été sélectionnés. (Notez
que les termes utilisés pour décrire l'échantillonnage raisonné peuvent prêter à confusion. Bien que
toutes les approches non statistiques soient appelées raisonnées, seul le troisième élément de la liste
précédente est appelé spécifiquement un « échantillonnage par jugement ».)

Un échantillonnage sans règle (également appelé échantillonnage à l'aveuglette) n'est pas la même
chose qu'un échantillonnage aléatoire. Techniquement, lors d'un échantillonnage aléatoire, des
techniques statistiques sont utilisées pour assurer, avec un niveau de confiance raisonnable, que la
probabilité de sélection est la même pour chaque élément de la population. Une sélection sans règle,
ou « à l'aveuglette », ne fournit pas de certitude raisonnable que la sélection soit réellement aléatoire
et ne peut pas justifier une déclaration de niveau de confiance et de marge d'erreur.

Un échantillonnage par jugement est particulièrement approprié lorsque la population ne présente pas
de variabilité. Par exemple, si l'auditeur pense qu'un logiciel particulier a toujours raison ou a
toujours tort, il peut suffire de tester un seul élément.

Avantages/ inconvénients d'un échantillonnage non statistique

Un échantillonnage non statistique, ou raisonné :
 Donne à l'auditeur la flexibilité d'utiliser son opinion professionnelle pour sélectionner les
éléments qui ont le plus besoin d'être testés ;
Peut être conçu pour obtenir économiquement des résultats raisonnablement fiables.

Toutefois :
Il ne peut pas produire des résultats statistiquement valides.
Il ne peut pas déclarer un risque d'échantillonnage mesurable.
Il risque de conduire à l'audit de trop d'éléments ou de trop peu.
Son efficacité dépend de l'expérience et de la perspicacité de l'auditeur.

Types de techniques d'échantillonnage statistique

Les techniques d'échantillonnage statistique incluent les échantillonnages d'attributs et les
échantillonnages de variables, mais nous analyserons d'autres variantes plus loin dans cette rubrique.

Échantillonnage d'attributs
L'échantillonnage d'attributs, parfois appelé échantillonnage d'attribut, est un type d'échantillonnage
statistique qui permet aux auditeurs internes de tester un échantillon de type « l'un ou l'autre », comme
par exemple le respect ou le non-respect d'un contrôle, et d'élaborer des conclusions quant à la
fréquence parmi la population. Un échantillonnage d'attributs est justifié lorsque l'audit a pour
objectif d'estimer le nombre d'occurrences d'une caractéristique donnée dans une population, quelle
que soit la taille de cette caractéristique (par exemple la caractéristique existe ou n'existe pas). Il est
particulièrement adapté aux audits de conformité, lorsqu'il s'agit de rechercher un nombre ou un
pourcentage de non-conformités : les éléments qui n'ont pas été inspectés, les entrées qui n'ont pas été
effectuées, etc.

Des tableaux sont disponibles pour aider à déterminer la taille correcte de l'échantillon en se basant
sur les spécifications suivantes de l'auditeur :
La taille de la population ;
Le niveau de confiance (par exemple 95 %) ;
La précision (la plage de variation, par exemple plus ou moins 3 %) ;
Le taux d'erreur prévu (tel que le taux d'erreur considéré acceptable par la direction).

Par exemple, l'auditeur peut spécifier :

Population totale de 10 000 ;
Niveau de confiance de 95 % ;
Précision de plus ou moins 3 % ;
Taux d'erreur prévu de 4 %.

Lorsqu'il est utilisé pour tester l'efficacité du contrôle, le taux de conformité par rapport à la non-
conformité est évalué relativement au taux prévu d'erreurs pour permettre à l'auditeur interne de
déterminer si le contrôle est fiable ou non.
Si aucun tableau n'est disponible pour un jeu donné de spécifications, des formules permettent de
calculer la taille de l'échantillon.

Lorsque les tableaux statistiques ne prennent pas en compte de nombreuses variables, les auditeurs
internes utilisent parfois des méthodes non statistiques pour modifier la taille de l'échantillon dans le
cadre d'un échantillonnage d'attributs. La taille de l'échantillon requis pour obtenir une estimation
raisonnable du nombre total d'erreurs (ou d'autres attributs) dépend des circonstances. L'auditeur peut
examiner la situation et décider que la probabilité d'erreur est très faible, car les calculs sont
simples, les procédures sont effectuées par des logiciels fiables, les inspecteurs sont tous bien formés
et expérimentés, les audits précédents ont détecté peu d'erreurs, etc.

Inversement, l'auditeur peut soupçonner que de nouveaux employés, de nouvelles méthodes, de

nouveaux produits, de nouvelles procédures ou de nouveaux logiciels augmentent la possibilité
d'erreurs. Dans ce cas, un échantillon plus grand peut être justifié.

En l'absence d'autres moyens d'estimer la taille du problème potentiel, l'auditeur peut demander
l'opinion d'un expert ou tester un certain nombre d'éléments dans un échantillon pilote.

Échantillonnage de variables
L'échantillonnage de variables, également appelé échantillonnage de variables classique, est une
technique d'échantillonnage statistique qui nécessite de calculer une distribution normale (par
exemple une courbe en cloche) et l'écart-type associé pour un ensemble de données ; cette technique
utilise donc des calculs assez complexes pour déterminer la taille de l'échantillon et évaluer les
résultats de l'échantillon. L'échantillonnage de variables s'applique aux audits au cours desquels la
taille est prise en compte, et pas seulement les chiffres (lorsqu'il ne s'agit pas seulement d'un taux
d'occurrence ou de non-occurrence). Il est parfois appelé estimation des dollars en raison de sa
pertinence évidente dans certaines situations monétaires. Un audit a pour objectif, par exemple, de
déterminer le montant de la différence entre les valeurs des comptes déterminées par l'audit et leur
valeur comptable. Un écart d'un cent constitue un moindre problème qu'un écart de 1 000 USD. Mais
les échantillonnages de variables peuvent également s'appliquer à d'autres variables, telles que des
mesures de taille, de poids, de durée ou des valeurs moyennes. Par exemple, si un auditeur souhaite
mesurer l'exactitude d'une compagnie aérienne, il ne peut pas se limiter au nombre ou au pourcentage
d'arrivées et de départs ne survenant pas à l'heure exacte. La durée du retard concerné a également
son importance.

Lorsqu'il détermine la taille appropriée de l'échantillon pour un échantillonnage de variables,

l'auditeur a besoin d'un échantillon suffisamment important qui serve de base pour estimer la taille
réelle (par opposition à la taille enregistrée) de la population. Par exemple, si 2 000 créances clients
doivent être auditées et si leur valeur comptable est de 200 000 USD, combien de récépissés
l'auditeur doit-il inspecter pour déterminer le total réel ?
Dans certains cas, un échantillonnage de variables peut être effectué de façon non statistique. Par
exemple, l'auditeur peut être convaincu que les erreurs sont très réduites ou même inexistantes. Dans
ce cas, un échantillonnage très réduit peut suffire. Toutefois, si l'auditeur soupçonne que le total des
erreurs est important, il peut effectuer un petit échantillonnage pilote pour confirmer ce soupçon puis
recommander de passer en revue toutes les transactions.

Si l'auditeur décide de sélectionner l'échantillon statistiquement, il peut procéder de différentes

façons. Des formules, des logiciels et des tableaux permettent de déterminer la taille de l'échantillon
appropriée. Pour utiliser ces méthodes, l'auditeur doit spécifier :
La taille de la population ;
Le niveau de confiance ;
La précision ;
L'écart-type.

Notez que les trois premières données sont identiques à celles nécessaires pour un échantillonnage
d'attribut. La quatrième, l'écart-type, remplace le taux d'erreur comme mesure pertinente de
variabilité. L'écart-type est une mesure statistique de la variabilité des valeurs dans un échantillon.
La signification, les utilisations et le calcul de l'écart-type sont présentés dans le Chapitre C,
Rubrique 3.

Il existe trois types courants d'échantillonnage de variables : l'estimation de la moyenne par unité,
l'estimation de la différence et l'estimation du ratio. Nous utilisons l'exemple suivant pour montrer
comment appliquer chaque méthode : Un auditeur sélectionne un échantillon de 100 créances sur une
population de 1 500 créances clients d'une valeur comptable totale d'un million d'USD. La valeur
comptable des 100 créances s'élève à 66 666,67 USD. L'examen des 100 créances échantillonnées
détermine que leur valeur totale atteint 69 350,00 USD.

Estimation de la moyenne par unité

Pour appliquer la méthode de la moyenne par unité, l'auditeur suit les étapes ci-après.
Étape 1 : Calculer la valeur d'audit moyenne des créances échantillonnées (69 350,00 USD /
100 créances = 693,50 USD par créance). Il s'agit là de la valeur moyenne par unité.
Étape 2 : Multiplier la valeur moyenne par unité de l'échantillon par le nombre de créances dans
la population, afin d'estimer le montant correct des créances clients (693,50 USD x
1 500 créances = 1 040 250,00 USD). L'estimation de l'audit indique que l'organisation a sous-
évalué le montant dû par ses clients.

Estimation de la différence
Pour appliquer la méthode d'estimation de la différence, l'auditeur doit pouvoir trouver la différence
moyenne entre la valeur d'audit et la valeur comptable de l'échantillon. Cela nécessite l'accès aux
informations suivantes :
Valeur comptable de la population (1 000 000 USD)
Nombre d'unités de population (1 500 créances).
Valeur comptable de chaque unité (66 666,67 USD / 100)
 Valeur d'audit de chaque unité d'échantillon (69 350 USD / 100)
Taille de l'échantillon (100 créances).

L'estimation de la différence s'effectue comme suit.

Calculer la différence moyenne entre la valeur d'audit et la valeur comptable de l'échantillon
(69 350,00 USD– 66 666,67 USD = 2 683,33 USD), puis diviser par le nombre d'unités de
l'échantillon (2 683,33 USD / 100 = 26,83 USD). Il s'agit là de différence moyenne entre la valeur
comptable et la valeur d'audit de chaque créance dans l'échantillon.
Estimer une différence totale en multipliant la différence moyenne entre les valeurs comptables et
d'audit par le nombre d'unités de la population (26,83 USD × 1 500 créances = 40 245,00 USD).
Ajouter l'estimation de la différence totale à la valeur comptable de la population pour estimer la
valeur réelle (40 245,00 USD + 1 000 000 USD = 1 040 245,00 USD).

La méthode d'estimation de la différence est utile uniquement si la population contient suffisamment

d'erreurs pour produire une estimation d'échantillon fiable et si les différences ne sont pas
proportionnelles aux valeurs comptables.

Estimation du ratio
Lorsque les différences entre les valeurs comptables et les valeurs de l'échantillon sont
proportionnelles aux valeurs comptables, l'estimation du ratio est appropriée, alors que l'estimation
de la différence ne l'est pas. Dans le cas contraire, l'application des deux méthodes est similaire.

L'estimation du ratio s'effectue comme suit.

Calculer la valeur d'audit de l'échantillon (69 350,00 USD dans ce cas).
Déterminer la valeur comptable de l'échantillon (66 666,67 USD).
Déterminer le ratio de la valeur d'audit sur la valeur comptable (69 350,00 USD / 66 666,67 USD
= 1,04).
Estimer la valeur réelle de la population en multipliant le ratio de la valeur d'audit sur la valeur
comptable par la valeur comptable de la population (1,04 x 1 000 000 USD = 1 040 000,00 USD).
Si le ratio de l'échantillon est le même que celui de la population, la valeur réelle est de
1 040 000 USD au lieu d'une valeur comptable de 1 000 000 USD.

Autres variantes de sélection de l'échantillon

Que l'auditeur s'appuie ou non sur des procédures statistiques pour déterminer un niveau de confiance
et une précision numériques, il peut choisir plusieurs méthodes pour sélectionner un échantillon qui
comprenne suffisamment d'éléments de type approprié en vue de produire un résultat crédible aux fins
de l'audit. à savoir :
Échantillonnage aléatoire de l'intégralité de la population.
Échantillonnage aléatoire stratifié (c'est à dire que la population est répartie en groupes, ou
strates, avec des caractéristiques distinctes).
Échantillonnage par intervalles (sélection d'éléments à des intervalles prédéterminés dans une
liste).
 Échantillonnage en blocs, par exemple des éléments contenus dans un tiroir ou une autre unité de
stockage.
Échantillonnage à l'aveuglette d'éléments sélectionnés sans se préoccuper de leur caractère
représentatif ou non.
Échantillonnage arrêt-départ (une forme d'échantillonnage d'attributs utilisée pour éviter de
sélectionner un échantillon plus grand que nécessaire).
Échantillonnage par découverte (une forme d'échantillonnage d'attributs conçue pour rechercher
une seule instance d'un problème possible plutôt que pour fournir une estimation qui s'applique à
toute la population échantillonnée).
Échantillonnage d'unité-dollar (lorsque l'objectif de l'audit suggère d'associer un échantillonnage
d'attributs et un échantillonnage de variables, afin d'estimer le montant monétaire d'erreurs dans un
compte d'actif, par exemple une créance client, ou un compte d'investissements ou de stock).
Échantillonnage par jugement (pour tester une portion sélectionnée de la population sans tenter de
caractériser la population dans son ensemble).

Échantillonnage aléatoire
Dans un échantillonnage aléatoire, les éléments d'audit sont choisis à partir de l'échantillon défini
sans prêter attention à des caractéristiques systématiques, telles que la séquence ou la taille.

Voici un exemple du choix d'une organisation pour effectuer un échantillonnage particulier.

Un auditeur interne peut examiner les écarts entre les commandes et les confirmations. La taille des commandes habituelles varie
énormément. À partir d'un ensemble d'environ 2 000 commandes, l'auditeur détermine qu'un échantillon de 40 confirmations satisfera
le niveau de risque acceptable de la société, qui est un taux de fraude de 4 %. L'auditeur sélectionne ensuite 40 confirmations en
utilisant un logiciel pour générer une liste aléatoire de 40 nombres dans la plage appropriée des numéros de confirmation. L'auditeur
extrait les enregistrements pour ces confirmations, compare les créances clients avec les commandes confirmées et ne trouve aucun
écart. L'auditeur peut signaler que le taux de fraude est inférieur à 2 %.

Le moyen le plus fiable de sélectionner un échantillon qui représente une population consiste à
utiliser des nombres aléatoires pour choisir les éléments. Par exemple, un groupe de
1 000 transactions peut être numéroté de 0001 à 1000 et les éléments peuvent être sélectionnés à
partir d'un tableau de nombres aléatoires ou d'une autre source. Un tableau de nombres aléatoires est
un tableau de nombres qui sont aléatoires le long des lignes et des colonnes. À partir de n'importe
quel point de départ, la personne utilisant le tableau peut avancer latéralement ou vers le bas. Le
tableau peut ensuite être utilisé pour sélectionner des numéros de 0001 à 1000 en partant de n'importe
quel point du tableau et en progressant quatre numéros à la fois, afin de sélectionner les éléments de
l'échantillon.

Les tableaux de nombres aléatoires sont utilisés par les statisticiens depuis plus d'un demi-siècle et
sont disponibles auprès de RAND Corporation et d'autres sociétés. Les tableurs les plus répandus
produisent également des nombres aléatoires. Par exemple, si vous entrez la fonction
« =ALEA()*1000 » dans un tableau Microsoft Excel, un nombre aléatoire compris entre 0 et 1 000
est généré dans la cellule sélectionnée. Il est également possible de générer un tableau de nombres
aléatoires au moyen de services disponibles en ligne. (Une entrée judicieusement choisie dans
google.com produit une liste de sites.)

L'utilisation de nombres aléatoires pour choisir les éléments d'un échantillon devient difficile ou
impossible si les éléments de la population ne peuvent pas être numérotés facilement. Et, dans
certains cas, la méthode d'échantillonnage peut (aléatoirement) manquer des erreurs importantes. Par
exemple, il est possible que les 40 transactions de l'échantillon concernent accidentellement des
montants relativement faibles. Elles peuvent ne pas refléter cinq commandes beaucoup plus
importantes dans lesquelles des écarts pourraient être constatés. Bien que l'échantillon soit
statistiquement sûr, il risque de ne pas détecter certaines fraudes représentant plus de risque que le
risque acceptable par la société.

Échantillonnage aléatoire stratifié

Une population peut parfois contenir des telles variations dans ses caractéristiques qu'elle doit être
répartie en unités plus cohérentes avant qu'un échantillon aléatoire ne soit sélectionné dans chaque
unité. Bien qu'il existe des logiciels facilitant la stratification, le jugement de l'auditeur est
généralement considéré comme fiable. Par exemple, il existe peut-être une catégorie de dépenses
dont la direction est responsable ou une ou plusieurs catégories nécessitant un niveau d'autorisation
plus élevé. L'échantillonnage aléatoire stratifié pourrait être utilisé pour évaluer séparément chaque
catégorie puisque chacune possède différents contrôles et risques.

Échantillonnage par intervalles

Au lieu d'utiliser des nombres aléatoires, un auditeur peut décider de choisir des éléments éloignés
d'un certain intervalle dans une liste. Par exemple, pour sélectionner un échantillon de 50 éléments
dans une population de 1 000 éléments, l'auditeur peut sélectionner chaque vingtième élément, en
commençant à un point sélectionné aléatoirement, par exemple les éléments numéro 10, 30, 50, 70,
etc. (Le point de départ doit être inférieur à 20.)

Cette méthode d'échantillonnage ne peut pas générer d'éléments aléatoires si la liste présente une
tendance. Pour une raison donnée, une liste pourrait constituer des groupes de 20 où chaque
vingtième élément aurait la même caractéristique (par exemple un superviseur suivi de 19 employés).
Pour contrôler cette possibilité, l'auditeur peut prendre trois échantillons d'éléments séparés de 60
numéros, en commençant à partir de trois points sélectionnés aléatoirement dans la liste (inférieurs au
numéro 60).

Échantillonnage en blocs
L'échantillonnage en blocs ressemble à l'échantillonnage stratifié car une grande population
d'éléments est répartie en groupes, ou blocs. Toutefois, dans ce cas, les blocs existent déjà et
l'auditeur ne sélectionne pas les caractéristiques permettant d'y regrouper les éléments. Un bloc peut
être constitué d'un tiroir, d'une boîte, d'une pièce ou même d'un bâtiment contenant une partie des
enregistrements ou des autres éléments qui constituent la population. Au lieu de tenter de collecter
tous les éléments avant l'échantillonnage, l'auditeur sélectionne les blocs à tester, puis décide
éventuellement d'échantillonner les éléments d'un bloc plutôt que de les tester tous.

Pourquoi procéder à un échantillonnage en blocs ? Collecter tous les éléments de tous les blocs,
lesquels peuvent être répartis dans différents bureaux d'une région ou même du monde, coûterait trop
cher et prendrait trop de temps.

Échantillonnage à l'aveuglette
Le nom même de cette technique d'échantillonnage indique qu'elle manque de crédibilité. Au lieu
d'utiliser un échantillonnage aléatoire ou raisonné pour sélectionner les éléments, l'auditeur prend
ceux qui peuvent être obtenus commodément. Il ne s'agit pas d'un échantillonnage aléatoire, bien qu'en
langage courant il puisse être décrit comme une « sélection d'éléments au hasard ». Les éléments
sélectionnés à l'aveuglette risquent, en fait, de ne pas être aléatoires et de représenter une tendance
non reconnue de la part de l'auditeur ou de contenir certains éléments non représentatifs qui peuvent
fausser les résultats. Par exemple, un échantillonnage à l'aveuglette a lieu lorsqu'un sondeur envoie
des questionnaires à un groupe sélectionné, par exemple les lecteurs d'un magazine donné, puis utilise
les réponses des personnes ayant volontairement renvoyé le questionnaire pour caractériser
l'intégralité des abonnés au magazine (ou, ce qui est pire, tous les lecteurs ou, ce qui est pire encore,
l'ensemble de la communauté). Comme l'échantillon sélectionné contient uniquement les lecteurs
suffisamment motivés pour répondre, il n'est absolument pas aléatoire et reflète très probablement
une caractéristique partagée par tous les participants.

Échantillonnage arrêt-départ
Pour éviter de tester un nombre d'éléments plus élevé que nécessaire lors des échantillonnages
d'attributs, les auditeurs ont développé la méthode arrêt-départ. Cette méthode s'applique aux
situations où l'auditeur soupçonne que la population est relativement exempte d'erreurs. L'auditeur
commence par un petit échantillon et si celui-ci confirme le faible taux d'erreur prévu, l'auditeur peut
décider d'arrêter l'échantillonnage. Toutefois, si le taux d'erreur est plus élevé que prévu, l'auditeur
continue d'échantillonner. Il peut extraire un ou plusieurs petits échantillons supplémentaires qui
confirment la perception d'origine de la population ou qui continuent d'indiquer un taux d'erreur plus
élevé que prévu. Dans ce dernier cas, l'auditeur revient à un échantillonnage statistique à pleine
échelle pour déterminer le taux d'erreur réel avec le niveau de confiance et la précision requis.

Des tableaux sont disponibles pour aider l'auditeur à évaluer les résultats de petits échantillons arrêt-
départ. Si l'auditeur utilise un échantillon de 25 éléments sur une population totale de 10 000, un
tableau peut fournir des informations corrélant différents nombres d'erreurs dans l'échantillon et la
probabilité de différents taux d'erreur dans la population. Par exemple, le tableau peut indiquer que
zéro erreur dans l'échantillon correspond à une probabilité de 95 % que la population contienne
moins de 5 % d'erreurs.

Échantillonnage par découverte

L'échantillonnage par découverte, à l'opposé d'autres méthodes d'échantillonnage d'attributs, n'a pas
pour objectif de caractériser une population sur la base d'un échantillon. Au contraire, il est conçu
pour révéler au moins une occurrence d'un problème sérieux soupçonné, par exemple une fraude, une
erreur importante ou une non-conformité. Cette approche d'échantillonnage est la plus appropriée
lorsque le niveau prévu d'écart (écart par rapport aux contrôles prévus, politiques ou lois) est faible
et que l'auditeur interne souhaite concevoir un échantillon d'après la probabilité de trouver une
occurrence. Elle convient également lorsque la direction impose une politique de tolérance zéro en
matière de non-conformité ou d'erreur dans un domaine donné. La décision de l'audit est prise à la
première erreur détectée.

L'une des principales difficultés de l'échantillonnage par découverte dans le but de confirmer ou
d'atténuer les soupçons concernant un problème grave est de déterminer une taille d'échantillon qui a
la capacité de prévoir les événements avec précision tout en étant raisonnable. L'échantillonnage
statistique permet à l'auditeur interne de prouver la vraisemblance, ou « caractère raisonnable », en
garantissant que l'échantillon est suffisant pour inclure au moins un exemple de problème sérieux ou
de fraude présumée (comme des ventes exagérées, des stocks volés, des paiements volés à des clients
ou la création d'un employé ou d'un compte fournisseur fictif), mais assez restreint pour que l'enquête
ne soit pas trop coûteuse.

Par exemple, l'auditeur a des raisons de soupçonner que sur 5 000 transactions de ventes, 25
constituent des achats frauduleux par des clients inexistants. Au lieu d'examiner toutes les factures,
l'auditeur peut sélectionner un échantillon suffisamment grand pour avoir une probabilité satisfaisante
de révéler au moins une occurrence de la fraude présumée. Heureusement, des tableaux sont
disponibles pour faciliter cette sélection. Si l'objectif est de déterminer avec une précision de 95 %
que l'échantillon est suffisamment important pour trouver au moins une des 25 factures frauduleuses,
le tableau pourrait indiquer de sélectionner 300 échantillons, par exemple. Si les 300 factures sont
correctes, l'auditeur peut signaler à la direction qu'il existe également une probabilité de moins de
5 % que le niveau de fraude suspecté soit atteint dans le domaine audité. Néanmoins, un
échantillonnage supplémentaire peut être nécessaire en raison du montant de la fraude potentielle.

Deux méthodes couramment utilisées pour l'échantillonnage par découverte sont l'échantillonnage
aléatoire et l'échantillonnage par découverte en unité monétaire (comme on le verra ci-après). Dans
les deux cas, la taille de l'échantillon est influencée par la théorie statistique et le coût et/ou les
objectifs de l'audit. Les objectifs de l'organisation peuvent varier. Certaines organisations peuvent
calculer qu'elles tolèrent un pourcentage ou un montant donné de fraude ; la taille de l'échantillon
sélectionné pour cet audit reflète alors ce niveau de risque accepté. Par exemple, une perte de 1 %
provenant de larcins dans un entrepôt peut être acceptable. En revanche, le niveau d'exposition
judiciaire et publique associé aux allégations de fraude dans les états financiers peut conduire
d'autres organisations à réduire le pourcentage d'erreur acceptable dans les états financiers. Les
auditeurs internes peuvent utiliser des tableaux statistiques pour définir la taille de leurs échantillons,
une fois que l'organisation a défini sa tolérance au risque.

L'échantillonnage par découverte en unité monétaire (DUDS, dollar-unit

discovery sampling)
Lors de l'audit de transactions monétaires, l'échantillonnage par découverte en unité monétaire
(DUDS, dollar-unit discovery sampling) est particulièrement utile en tant qu'alternative à
l'échantillonnage aléatoire. L'échantillonnage DUDS ajoute une variable à la définition de
l'échantillon en pondérant les éléments par leur taille. Dans le plan d'échantillonnage aléatoire décrit
ci-dessus, l'unité d'échantillonnage est chaque confirmation. Dans un plan d'échantillonnage DUDS
pour la même situation, l'unité d'échantillonnage est chaque dollar (ou toute autre unité monétaire) du
montant des commandes au cours de la période concernée. L'auditeur sélectionne un échantillon
aléatoire de la même façon, en utilisant un tableau ou un logiciel pour sélectionner 40 nombres
aléatoires (dans ce cas, des montants en dollars) entre 1 et 500 000. L'auditeur examine ensuite la
transaction qui contient ce nombre. Par
exemple :
Le premier nombre aléatoire est 824, qui se trouve dans la confirmation n° 1 dont le montant est
1 000 USD.
Le deuxième nombre aléatoire est 1 173, qui se trouve dans la confirmation n° 2 dont le montant
est 876 USD.
Le troisième nombre aléatoire est 23, qui se trouve dans la confirmation n° 1 dont le montant est
1 000 USD.

La probabilité de sélectionner une grosse transaction est statistiquement plus élevée en raison de la
pondération statistique plus élevée des transactions d'un montant important.

Lorsque la valeur des transactions risque d'être significative, un échantillonnage DUDS peut être
associé à un filtrage préalable de toutes les transactions supérieures à un montant donné. Par
exemple, dans ce cas, l'auditeur peut filtrer dans l'ensemble des confirmations celles d'un montant
dépassant 5 000 USD. Supposons que 15 commandes présentent cet attribut. L'auditeur examine
chacune de ces confirmations et sélectionne, au moyen d'un échantillonnage DUDS, 25 autres
nombres pour compléter l'échantillon statistique. Cela lui permet de s'assurer qu'il est possible
d'identifier aussi bien une seule fraude de commande particulièrement coûteuse, que de nombreuses
instances de fraudes moins importantes qui sont éventuellement tout aussi coûteuses une fois
cumulées.

Échantillonnage d'unité-dollar
Un modèle d'échantillonnage statistique plus récent, appelé échantillonnage d'unité-dollar (MUS -
« monetary-unit sampling » ou DUS - « dollar-unit sampling »), associe les fonctions des modèles
d'échantillonnage d'attributs et d'échantillonnage de variables ; pour cette raison, ce modèle est
parfois appelé échantillonnage d'attributs et de variables combinés (CAV - « combined attributes
variables »). Il est également appelé sondage de montant monétaire cumulé (CMA - « cumulative
monetary amount »), probabilité proportionnelle à la taille (PPS - « probability proportionate to
size ») et sondage proportionnel à la taille (SPS - « sampling proportionate to size »).

Dans le cadre d'un échantillonnage DUS, plus la valeur d'un élément en dollar est élevée, plus il est
susceptible d'être sélectionné pour évaluation, ce qui signifie que la probabilité de sélection est
proportionnelle à la taille relative de l'élément (ce qui explique que l'on utilise aussi l'expression
« probabilité proportionnelle à la taille » pour cette méthode).

Comme il s'agit d'une approche hybride, l'échantillonnage d'unité-dollar offre certains des avantages
des deux approches plus répandues. Comme un échantillonnage d'attributs, il peut être appliqué aux
audits de conformité. Mais, comme un échantillonnage de variables, il exprime ses résultats sous
forme de variables, par exemple en unités monétaires, plutôt qu'en taux d'erreur oui/non. Il peut donc
également être utilisé pour les contrôles substantifs.

La caractéristique distinctive de cette méthode s'exprime dans son nom, « échantillonnage d'unité-
dollar ». Alors que les approches traditionnelles répartissent la population de l'audit en unités
physiques, par exemple des récépissés ou des factures, l'échantillonnage d'unité-dollar considère que
l'unité d'audit est le dollar (ou une autre unité monétaire). Ainsi, l'auditeur considère une pile de
1 000 créances, d'une valeur (comptable) de 10 000 USD, comme 10 000 unités d'un dollar chacune
plutôt que comme 1 000 unités de valeur monétaire variable. Chaque unité a la même valeur dans
cette méthode, si bien que ces unités ne présentent pas de variabilité et qu'il est donc inutile de tenir
compte de l'écart-type de l'échantillon, ce qui représente un avantage certain. Comme nous le verrons,
il devient également inutile de stratifier les populations dont les éléments présentent de grandes
variations de valeur.

Voici comment cela fonctionne. Reprenons ce fichier de 1 000 créances clients d'une valeur réelle
variable de 15 à 1 500 USD. Un échantillonnage traditionnel, traitant les créances directement,
devrait stratifier la population afin d'assurer que l'échantillon ne fausse pas les résultats en omettant
tous les éléments d'un montant élevé. Dans un échantillonnage d'unité-dollar, cette stratification n'est
pas nécessaire. Au lieu de sélectionner un échantillon de reçus, l'auditeur choisit un montant à partir
d'un total cumulé de 10 000 USD. Chaque dollar, peu importe la créance dont il est tiré, a des
chances identiques d'être inclus dans l'échantillon, et toutes les unités sont de la même taille : un
dollar.

Bien sûr, l'auditeur ne teste pas des billets d'un dollar ; les tests sont effectués sur la créance qui
comporte le dollar sélectionné. Qu'il s'agisse d'un dollar provenant d'une créance de 15 USD ou de
1 500 USD, c'est la créance qui est soumise à l'audit. Cela signifie qu'une créance de 1 500 USD a
100 fois plus de chance d'être auditée qu'une créance de 15 USD. Non seulement cette possibilité est
plus simple que la stratification, mais elle reflète également le fait que les auditeurs sont plus
intéressés par les éléments d'un montant monétaire élevé que par les éléments moins importants. Un
échantillonnage strictement aléatoire de tous les éléments de la population court le risque d'inclure
trop d'éléments d'un faible montant et pas assez d'éléments d'un montant élevé.

Le résultat d'un échantillonnage DUS est une estimation du montant maximal des erreurs, en dollars, à
un niveau de confiance donné.

La méthode DUS ne convient pas dans tous les cas. Elle est généralement envisagée dans les
circonstances d'audit suivantes :
Population de 2 000 éléments ou plus (éléments, et non unités monétaires) dans laquelle le taux
d'erreur prévu est faible (moins de 10 %) et le montant d'une erreur de compte est inférieur à la
valeur du compte.
Soldes de comptes d'actifs, par exemples créances clients, investissements, stocks, etc., et non de
passifs. Un échantillonnage DUS a pour objectif de détecter les surévaluations, ce qui ne constitue
pas une préoccupation lors de l'audit de passifs. Un échantillonnage DUS n'est pas sensible aux
sous-évaluations (le problème des audits de passifs) et il est incapable de détecter des éléments
non enregistrés.

Échantillonnage par jugement

Un échantillonnage par jugement dépend de l'expérience et des connaissances de l'auditeur pour
déterminer la taille et la nature de l'échantillon. Bien que l'absence de technologie de pointe suggère
une faiblesse de ce processus, les auditeurs se basent avec succès sur leur opinion professionnelle
pour sélectionner des échantillons depuis pratiquement le début de la pratique de l'audit.

Par exemple, si la population à échantillonner est très uniforme ou si les contrôles semblent
particulièrement efficaces, il convient parfois de ne pas dépenser une somme importante à la
vérification d'un échantillon étendu. Un échantillon d'un seul élément peut représenter une population
entière, si l'auditeur pense que chaque élément est juste ou que chaque élément est faux.

Si la population comporte un sous-ensemble d'éléments qui semblent être soumis à des contrôles
moins stricts ou qui présentent d'autres signaux d'alerte, l'opinion professionnelle de l'auditeur
indiquera que le test devrait se concentrer sur ces éléments alors que le reste de la population peut
être ignoré ou testé très superficiellement.

Par exemple, l'auditeur peut rechercher des cas de fraude et choisira d'étudier uniquement les
éléments qui présentent une caractéristique douteuse. Il est clair qu'un échantillon d'éléments douteux
ne représente pas l'intégralité de la population.

Rubrique 7 : Effectuer la cartographie des

processus, y compris par des diagrammes de
circulation (Niveau P)
Avant qu'une mission d'audit interne ne débute, l'auditeur interne doit avoir parfaitement intégré et
compris les processus opérationnels de l'organisation. Sans cette compréhension il pourra
difficilement, voire pas du tout, effectuer un audit de qualité.

Sawyer souligne que les auditeurs internes doivent personnellement examiner chaque aspect physique
d'une activité, dans le cadre d'une mission planifiée. Une visite ou un test de cheminement sur le site à
auditer révèle le flux physique des documents et des éléments matériels et permet de mieux
comprendre les processus opérationnels et les points de contrôle de ces processus. Un test de
cheminement peut concerner un processus ou une transaction et être documenté sous forme de carte de
processus ou de texte descriptif. (Notez que les tests de cheminement ont été abordés plus haut, dans
la Rubrique 3 de ce chapitre).

Une carte de processus peut être toute représentation, sous forme graphique ou tabulaire, des étapes
d'un processus. Le plus souvent, cela implique un diagramme de circulation.

Diagrammes de circulation
Outre une inspection personnelle, la documentation du processus s'effectue le plus souvent à l'aide de
diagrammes de circulation. Un diagramme de circulation est une représentation graphique du chemin
réel ou idéal suivi par un service ou un produit. Il fournit une séquence visuelle des étapes du
processus, illustre la relation entre les différents éléments et identifie ce que fait ou devrait faire le
processus.

Les diagrammes de circulation peuvent être créés de façons variées, depuis un simple schéma
crayonné au dos d'une enveloppe jusqu'à des graphiques informatisés d'une technicité sophistiquée.
Une façon efficace de construire un diagramme de circulation consiste à rassembler toutes les parties
prenantes du processus afin d'identifier les étapes. Chaque étape peut être décrite sur un Post-it™, et
ceux-ci peuvent être déplacés à volonté jusqu'à obtenir la séquence qui convient à tous. Les logiciels
permettant d'établir des diagrammes de circulation s'étendent de Microsoft Word ou Excel (qui
incluent des symboles standard de diagrammes de circulation) à des applications graphiques
spécialisées telles que Microsoft Visio, SmartDraw et Edraw, entre autres.

L'auditeur peut développer le diagramme de circulation de n'importe quel processus, du processus de

l'audit lui-même aux processus à auditer. Dans tous les cas, les avantages sont les mêmes : le fait de
tracer chaque étape d'un processus fournit une carte facile à suivre, du début à la fin. Lorsque chaque
étape proposée ou existante est placée sur la « carte », l'auditeur et d'autres évaluateurs peuvent
déterminer plus rapidement les étapes cruciales, celles qui peuvent être omises et celles qui
devraient être effectuées dans un ordre différent, tout en identifiant certains emplacements où en
ajouter de nouvelles.

Les utilisations des diagrammes de circulation sont nombreuses et incluent notamment le

développement, l'affinement et l'audit de processus. Lors de la création d'un diagramme de
circulation, les participants peuvent découvrir des points faibles dans les contrôles, par exemple un
manque de supervision, l'attribution de responsabilités à un niveau incorrect de l'organisation ou un
conflit d'intérêts provenant de fonctions mal séparées. Parfois, les participants s'accordent pour
déclarer qu'un diagramme de circulation décrit la réalité avec exactitude, mais lorsque l'auditeur les
compare à ses observations sur le terrain, il constate que c'est faux.

La représentation graphique d'un processus aide à obtenir une vision globale de toutes les étapes du
processus, du début à la fin, y compris les points de contrôle. Le diagramme de circulation permet
d'éliminer les abstractions concernant les flux de travail d'un système.

Lors de la phase de planification d'une mission, les auditeurs internes peuvent réviser les diagrammes
de circulation existants ou en créer de nouveaux. Lors de la révision d'un diagramme de circulation
existant, l'auditeur interne peut effectuer une évaluation préliminaire sur l'identification des risques,
l'adéquation des contrôles ou la présence de contrôles inutiles au sein du processus. Il doit également
vérifier que le diagramme de circulation est à jour et qu'il reflète le processus tel qu'il est
actuellement. Dans la pratique, beaucoup de processus changent, mais les diagrammes de circulation
ne sont pas toujours mis à jour.

Comme les diagrammes de circulation sont répandus depuis longtemps dans beaucoup
d'organisations, ils utilisent un vocabulaire de symboles standard qui représentent les parties typiques
d'un processus, telles que les opérations, les documents, le stockage des données, les points de
décision et de nombreux autres jalons de procédures. Les symboles les plus couramment utilisés par
les auditeurs internes sont présentés dans l'illustration III-5.

Illustration III-5 : Symboles standard des diagrammes de circulation

Les diagrammes de circulation peuvent être très simples ou très complexes, suivant le niveau de
détail affiché. Il existe également plusieurs formats pour différents types de diagramme de
circulation. Chaque type peut être utilisé pour souligner différents aspects d'un processus ou d'une
tâche. Divers logiciels sont également disponibles pour la création de diagrammes de circulation.

Formats des diagrammes de circulation

Les diagrammes de circulation peuvent être présentés verticalement ou horizontalement. Bien que le
meilleur format soit déterminé par de simples considérations pratiques d'espace, d'autres éléments
plus importants peuvent avoir une influence sur ce choix. Par exemple, un format donné peut souligner
le flux de processus passant par des unités (ou fonctions) spécifiques de l'organisation, tandis qu'un
autre mettra l'accent sur le flux de processus en ne faisant que peu ou pas référence aux unités
organisationnelles.

Dans l'illustration III-6 ci-après, vous découvrirez le même processus présenté de trois manières
différentes. Le processus illustré comprend la planification, le pressage, l'assemblage et l'inspection
des composants. Notez que la fonction d'inspection apparaît en deux points du processus, ce qui
complique le diagramme.

Seuls deux symboles standard sont nécessaires pour schématiser ce processus relativement simple :
le rectangle, qui indique un processus, et le losange, qui indique un point de choix. Le diagramme
comprend aussi des flèches directionnelles. Notez qu'à chacun des deux points de choix (situés sur
les nœuds d'inspection), une décision « Non » renvoie le processus une étape ou deux en arrière,
tandis qu'une décision « Oui » fait avancer le processus d'une étape vers l'avant.

Le diagramme horizontal met l'accent sur le flux horizontal des étapes dans le processus global,
lequel progresse de gauche à droite. Il fait référence aux fonctions impliquées dans le processus,
mais celles-ci ne sont pas mises en avant et sont placées tout à gauche du diagramme. Le diagramme
de circulation vertical, qui met l'accent sur le flux entre les services, utilise une combinaison des
structures horizontale et verticale, avec les noms de fonction (planification, pressage, assemblage et
inspection) placées en haut, dans une position plus visible. Le troisième diagramme place toutes les
étapes du processus dans un flux vertical et ne fait référence à aucune fonction. Le processus lui-
même est plus facile à suivre dans ce format, mais certaines informations importantes relatives aux
fonctions n'apparaissent pas.

Tous ces formats représentent des approches utiles en matière de cartographie, suivant les éléments à
mettre en avant. Des processus bien plus complexes peuvent être illustrés sous forme de diagramme
de circulation et de nombreuses autres informations incluses, directement dans le diagramme ou en
référence dans une note de bas de page. Par exemple, un diagramme vertical qui souligne le flux du
processus contient suffisamment d'espace libre extérieur pour inclure une description des étapes du
processus. Dans les trois diagrammes proposés, il est possible d'inclure des notes de bas de page qui
dirigent l'évaluateur vers des textes descriptifs présentant les étapes du processus ou vers des
informations relatives à l'audit.
Illustration III-6 : Diagrammes de circulation interfonctionnels
Une opération devrait utiliser le type de diagramme de circulation le plus adapté au processus à
définir. Ceci s'applique également aux auditeurs internes s'ils doivent créer un diagramme de
circulation et cartographier un processus. Ils doivent aussi veiller à documenter précisément le
processus réel et éviter de le complexifier plus que nécessaire.

Les diagrammes de circulation peuvent fournir des informations très utiles pour les auditeurs internes.
Ils donnent en effet une vision claire de la façon dont le processus fonctionne, en illustrant la relation
entre les différentes étapes et les différents points de contrôle. Ils servent aussi de point de référence
commune et de langage standard pour parler d'un processus ou d'un projet existant, lors d'une mission
d'audit.

Autres méthodes
Toutes les organisations et tous les groupes d'audit interne n'utilisent pas de diagrammes de
circulation pour documenter leurs processus ou activités. Le type d'organisation et la nature des
opérations effectuées influencent généralement la méthode utilisée. Ainsi, des textes descriptifs et des
schémas fonctionnels sont parfois utilisés à la place ou en complément des diagrammes de
circulation.

Textes descriptifs
Le texte descriptif présente un processus étape par étape, à l'aide d'un document unique, sans
utilisation de symboles ou d'indications détaillés. L'objectif d'une description narrative, qui est
similaire à celui d'un diagramme de circulation, est d'identifier les contrôles clés et les situations de
sous- ou de sur-contrôle, ainsi que la redondance des processus.

Le texte descriptif est la méthode de documentation préférée de nombreuses organisations pour

décrire des processus et des activités simples, exécutés pour atteindre les objectifs du processus.
Comparés aux diagrammes de circulation, les textes descriptifs peuvent fournir des informations plus
détaillées sur les étapes d'un processus et sont donc souvent utilisés pour compléter un diagramme de
circulation et établir un contexte et des nuances. Ils sont plus flexibles d'utilisation et favorisent les
interrogations ouvertes. Cependant, il n'existe aucune discipline ou procédure normalisée pour
rédiger un texte descriptif ; plusieurs interprétations sont donc possibles. Pour certaines
organisations, les textes descriptifs fonctionnent bien et fournissent des informations utiles ; pour
d'autres, ce format n'est pas suffisamment complet et l'absence de normalisation augmente le risque de
passer à côté de problèmes ou de points faibles importants. En outre, l'auditeur interne peut avoir des
difficultés à les suivre.

Schémas fonctionnels
Un schéma fonctionnel est la représentation graphique d'un procédé ou d'une activité ; il est
généralement composé de cadres et de lignes indiquant les associations, les directions et/ou la
hiérarchie. Simple et rapide à créer, il peut être utilisé pour illustrer le flux d'informations et la
structure de l'organisation. Des schémas fonctionnels sont parfois utilisés à la place des diagrammes
de circulation, en raison de cette simplicité. Un exemple de schéma fonctionnel est présenté à
l'illustration III-7, pour l'évaluation des descriptions de poste.

Illustration III-7 : Exemple de schéma fonctionnel pour l'évaluation des descriptions de poste
Dans certaines représentations, il est possible d'utiliser d'autres formes géométriques (par exemple
des cercles).

Les schémas fonctionnels sont utiles dans les représentations de haut niveau. Ce type d'informations
aide à déterminer où les activités d'audit interne doivent être réalisées pour valider l'efficacité et
l'efficience de l'opération et vérifier que les objectifs organisationnels sont atteints. Les schémas
fonctionnels ne sont pas adaptés à une analyse détaillée.
 Chapitre B : Évaluation de la qualité d'une
preuve : pertinence, suffisante, concluante
Introduction du chapitre
À l'occasion d'une action en justice, d'un débat ou de la remise d'un rapport d'audit final, le cas le
plus convaincant est fondé sur des faits solides. Bien sûr, il ne s'agit pas simplement de faits, mais
des faits opportuns, organisés de manière à étayer l'affaire, l'argument ou les conclusions et
recommandations de l'audit. Le chemin le plus sûr vers la vérité et la crédibilité est pavé de faits.

Comme l'indiquent les Normes, il est important que les objectifs de l’audit soient soutenus par des
faits pertinents.
Norme 2300, « Accomplissement de la mission » : Les auditeurs internes doivent identifier,
analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la
mission.
La Norme 2310, « Identification des informations », indique que : Les auditeurs internes doivent
identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de
la mission.

Dans la Rubrique 1 de ce chapitre, nous nous concentrerons sur les types de preuve qui peuvent être
utilisés comme élément de base pour les audits ; ensuite, dans la Rubrique 2, nous établirons
comment évaluer la pertinence et le caractère suffisant et probant de la preuve.

Rubrique 1 : Identifier les sources potentielles de la

preuve (Niveau P)
Types de preuve
Les informations recueillies pour étayer les conclusions et recommandations dans le rapport d'audit
final (preuve d'audit) présentent des ressemblances avec les preuves juridiques, mais restent
différentes. Au cours d'enquêtes de fraude, cette différence peut être cruciale, car les preuves
recueillies pour démontrer la fraude pourront être utilisées au tribunal.

Nous allons évoquer la preuve d'audit et la preuve légale.

Preuve d'audit
Une preuve d'audit (faits utilisés pour étayer des opinions, des conclusions et des recommandations
d'audit) peut être matérielle, documentaire, par témoignage ou analytique.
Preuve matérielle
Une preuve matérielle est généralement considérée comme plus fiable que le témoignage d'une
personne. Il peut s'agir de déclarations d'observateur, de photographies, de schémas, de cartes, de
graphiques ou d'autres images. Ces dernières, comme la photographie ou la vidéo d'un acte ou d'une
situation, constituent la preuve la plus irréfutable de faits matériels, mais les processus et objets
observés font également office de preuve matérielle. Notez qu'une simple observation faite par un
auditeur interne ou le témoignage d'une seule personne ne représentent pas une preuve solide (preuve
faible). On parle de preuve solide lorsque deux auditeurs ou plus ou bien un superviseur de secteur
observent une situation, tandis que tout type d'enregistrement rend ce type de preuve très solide. Les
preuves documentaires (voir ci-dessous) peuvent également renforcer les preuves matérielles. Par
exemple, le comptage physique d'un parc de véhicules peut être renforcé en documentant le numéro
d'identification (NIV) de chaque véhicule afin de s'assurer qu'aucun véhicule n'a été frauduleusement
échangé.

Preuve documentaire
La preuve documentaire est le type de preuve d'audit le plus courant. Elle peut être enregistrée sur
des supports autres que le papier et inclure, par exemple :
Les courriers ;
Les notes de service ;
Les courriers électroniques ;
Les factures (documents externes) et les registres comptables ;
Les flux de processus, y compris des diagrammes de circulation ;
Les listes de programmes ;
Les journaux d'activité et de contrôle ;
La documentation liée au développement des systèmes.

Bien entendu, les documents peuvent être contrefaits, sans compter d'autres situations pesant sur la
fiabilité de la preuve documentaire. Par exemple, une note de service peut fournir la preuve qu'une
information a été communiquée un jour donné, mais il se peut qu'il s'agisse d'une fausse déclaration
ou que la date ait été falsifiée ; par conséquent, ce type de preuve n'est pas plus fiable que la preuve
par témoignage. De même, les enregistrements contenus dans les systèmes informatiques sont aussi
fiables que le contrôle informatique de ces enregistrements Une tierce personne aurait pu les
manipuler ou ils pourraient contenir des erreurs de traitement. Les tests de contrôles et les pistes
d'audit permettent de répondre à ces risques et d'obtenir des preuves externes pour corroborer la
documentation interne, en particulier lorsque l'auditeur interne entre en contact avec des sources
extérieures pour éviter certains problèmes comme par exemple un fraudeur qui fournirait une fausse
facture établie par un faux fournisseur.

Déclarations (preuve par témoignage)

Les déclarations, également appelées preuves par témoignage, incluent les réponses écrites ou les
déclarations effectuées dans le cadre d'une enquête ou d'un entretien, les questionnaires, etc. Les
déclarations sont considérées comme les preuves d'audit les plus faibles ; elles devraient donc être
étayées par un support documentaire, par exemple un diagramme de circulation du système ou les
politiques et procédures écrites. La source de la déclaration est également importance : Ce sera le
responsable de processus, et non pas son superviseur, qui sera en mesure de fournir un témoignage
adéquat sur la façon dont le processus est effectivement réalisé ; le superviseur, lui, pourrait être
seulement capable d'expliquer comment le processus devrait être effectué. Le témoignage des
responsables de processus est aussi considéré comme une preuve faible parce que la personne peut
vouloir décrire comment un processus est supposé être exécuté plutôt que la façon dont elle l'exécute
réellement. Les questions ouvertes qui omettent certains détails concernant les contrôles spécifiques
peuvent aider à identifier les contrôles qui sont réellement exécutés. Par exemple, au lieu de
demander comment sont réparties les tâches relatives au traitement des transactions, l'auditeur interne
pourrait se montrer plus vague et demander comment les transactions sont traitées et laisser le client
répondre en expliquant les étapes suivies. Pour rendre ce type de preuves plus fiable, il serait utile
d'obtenir le témoignage de deux personnes ou plus.

Preuve analytique
La preuve analytique comprend des calculs, différents types de comparaisons, des raisonnements, des
analyse effectuées par l'auditeur interne et ainsi de suite. Elle peut montrer qu'il existe une relation,
un rapport ou une divergence (écart) entre deux ensembles de données à un moment précis ou tout au
long d'une période spécifique. La preuve analytique devra être évaluée plus en détail pour vérifier sa
pertinence, son caractère significatif et sa cause fondamentale – en d'autres termes, pourquoi une telle
relation existe.

Preuve juridique
Il n'est pas nécessaire que les auditeurs internes soient experts dans la collecte de preuves destinées à
être présentées devant un tribunal ; toutefois, ils peuvent être appelés à recueillir des données qui
seront utilisées par un avocat. Dans un tel cas, les auditeurs doivent être familiarisés avec les
principaux types de preuve juridique.

La meilleure preuve ou preuve primaire est généralement de type documentaire.

La preuve secondaire, de fiabilité moindre que la meilleure preuve, peut être la copie d'un
document ou le compte rendu oral d'un document.

La preuve directe prouve un fait sans présomptions ni interférences. Le témoignage oculaire est
un exemple de preuve directe.

La preuve concluante mène à une seule conclusion.

La preuve circonstancielle atteste d'un fait intermédiaire, à partir duquel un fait principal peut
logiquement être déduit.

On considère que les avis ne sont généralement pas acceptés comme témoignages devant un
tribunal sauf s'ils sont exprimés par des experts neutres.
 La rumeur est une preuve « de seconde main » et est généralement irrecevable devant un tribunal :
« Jones m'a dit qu'il a été témoin d'une fraude » est une rumeur, tandis que « j'ai été témoin d'une
fraude » est une preuve directe et devrait être recherchée.

Autres considérations
Le type de preuve n'est pas toujours la seule considération que l'auditeur doit prendre en compte
lorsqu'il décide de la meilleure méthode pour étayer ses conclusions et ses recommandations. Il doit
également tenir compte de la source, de la disponibilité et du calendrier.

Prendre en compte la source

Comme le montrent certaines discussions concernant les types de preuve d'audit, la provenance de la
preuve peut renforcer ou amoindrir sa crédibilité. Une preuve d'audit corroborante provenant
directement d'un tiers indépendant peut être plus fiable qu'une preuve d'audit provenant de
l'organisation auditée. Une preuve apportée par une tierce partie est appelée « preuve externe », pour
la distinguer de la « preuve interne » fournie par le client d'audit.

La valeur d'une preuve dépend de sa crédibilité. Une source est convaincante et crédible si elle
permet à l'auditeur interne de formuler des conclusions fondées et de donner des conseils informés en
toute confiance. Pour être convaincante, la source de la preuve doit être suffisante, fiable, pertinente
et utile, comme décrit dans la rubrique suivante.

Disponibilité des preuves d'audit

L'auditeur interne devrait évaluer le temps durant lequel la preuve sera disponible à des fins de test.
Ceci est tout particulièrement important lorsque la preuve est stockée sur un support électronique.
Une preuve d'audit traitée par un échange de données informatisées (EDI), un processus de
numérisation des documents (DIP) ou un système dynamique de type tableur ne restera peut-être pas
disponible indéfiniment, si les fichiers sont révisés sans avoir été préalablement contrôlés ou
sauvegardés. Les enregistrements de sécurité et autres peuvent se trouver sur un système en boucle,
où les données sont écrasées par de nouvelles informations si elles ne sont pas recueillies en temps
opportun.

Confidentialité des preuves

L'auditeur interne ne devrait jamais oublier l'obligation stipulée dans le Code de déontologie, selon
laquelle il doit respecter les exigences de confidentialité des propriétaires des données auditées.
Cette obligation risque d'être encore plus difficile à respecter à l'avenir, car les données d'audit se
trouvent de plus en plus souvent sur des serveurs connectés à l'ensemble de l'organisation et, très
probablement, au reste du monde câblé. Lorsqu'il extrait des informations des bases de données
informatisées au moyen d'outils informatiques d'aide à l'audit, l'auditeur doit tout particulièrement
veiller à ne pas divulguer d'informations sensibles à des sources non autorisées ou à ne pas
corrompre les données au cours de l'extraction.

Accès aux preuves nécessaires

L'autre volet de la confidentialité des données concerne l'accès aux données. D'après la
Norme 1110.A1, « l'activité d'audit interne doit être exempte de toute interférence lors de la
définition du périmètre d'audit, de la réalisation de l'audit et de la communication des résultats ».

Rubrique 2 : Évaluer la pertinence et le caractère

suffisant et probant de la preuve (Niveau P)
La Norme 2310, « Identification des informations », indique que « les auditeurs internes doivent
identifier des informations suffisantes, pertinentes, fiables et utiles pour atteindre les objectifs de la
mission. » (Le terme « probant » peut apparaître dans les modalités d'application avec la même
signification que « fiable » ; Dans ce cas, ou dans tout autre cas similaire, la norme a l'autorité
finale.)

La preuve d'audit devrait toujours être la meilleure preuve disponible pour l'auditeur en termes de
caractère suffisant, de fiabilité, de pertinence et d'utilité. Le texte en italique définissant chacune de
ces qualités est tiré de l'interprétation de la norme 2310.

Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne
prudente et informée pourrait parvenir aux mêmes conclusions que l’auditeur. Le terme
« suffisante » signifie que l'auditeur doit posséder des preuves suffisantes et différentes, mais qui
sont liées de manière à se corroborer mutuellement. Le caractère suffisant est donc évalué sur la
base de l'ensemble des éléments de preuve. Le caractère suffisant de la preuve dépend
nécessairement de l'interprétation des différents observateurs, en fonction de facteurs tels que
l'étendue de leurs connaissances pertinentes et, éventuellement, leur partialité. Des échantillons
statistiques peuvent ainsi être considérés par certains observateurs comme une preuve insuffisante
des caractéristiques de la population dont ils sont extraits. De tels conflits liés aux preuves
peuvent survenir à l'initiative de personnes disposant d'une expertise spéciale (comme des
statisticiens confirmés) ou de personnes dépourvues de compétences dans le domaine mais
simplement sceptiques. Parfois, la preuve ne doit pas seulement suffire, elle doit également être
présentée de telle manière que son caractère suffisant est évident pour le public.

Une information fiable est une information concluante et facilement accessible par l’utilisation
de techniques d’audit appropriées. « Fiable » implique que la preuve doit provenir d'une source
crédible. Ceci tient compte du fait que l'auditeur interne a obtenu la preuve de manière directe ou
non. La fiabilité (ou le caractère probant) de l'information d'audit dépend aussi du type de preuve.
Sawyer souligne qu'un document original est plus fiable qu'une copie, qu'une déclaration orale
corroborée est plus fiable qu'une déclaration indépendante, et qu'une preuve directe est plus fiable
 qu'un témoignage apparenté à la rumeur. Le caractère fiable des techniques d'échantillonnage peut
être contesté lorsqu'elles doivent servir de base pour des conclusions concernant une population
plus large. Le scepticisme traditionnel concernant la fiabilité de la preuve photographique s'est
encore accentué avec l'avènement de logiciels informatiques comme Photoshop, grâce auxquels
les photographies peuvent facilement être modifiées. Par conséquent, les photographies sont
considérées comme des rumeurs et devraient être corroborées par des témoignages probants. La
preuve utilisée pour étayer les conclusions d'un audit devrait être la preuve la plus fiable à la
disposition de l'auditeur.

Une information pertinente conforte les constatations et recommandations de l’audit, et

répond aux objectifs de la mission. La preuve peut être fiable en elle-même, mais elle n'est
d'aucune utilité en l'absence de pertinence quant à l'affaire traitée. Se fonder sur des preuves
présentant peu ou pas de pertinence augmente le risque d'audit, c'est-à-dire le risque d'arriver à
des conclusions erronées et de fournir un conseil invalide. Dans les exemples de Sawyer, un bon
de commande, bien que correctement approuvé et émis, n'est pas pertinent pour prouver que les
biens commandés ont réellement été reçus, pas plus qu'un mémorandum de réception ne fournit une
preuve pertinente que les biens reçus sont conformes aux spécifications.

Internal Auditing: Assurance and Consulting Services (Audit interne : activités d'assurance et de
conseil), est disponible auprès de la librairie de l'IIA et donne l'exemple suivant pour illustrer la
pertinence: « Un auditeur interne doit déterminer l'existence ou non d'un véhicule précis,
répertorié dans le grand livre des actifs immobilisés d'une organisation. Le repérage du véhicule
dans le parking permet à l'auditeur de conclure que le véhicule existe vraisemblablement.
Toutefois, pour pouvoir conclure que l'organisation possède vraisemblablement ce véhicule
précis, l'auditeur interne doit contrôler les preuves documentaires pertinentes, comme le titre de
propriété. »

Une information utile aide l’organisation à atteindre ses objectifs. L'utilité de l'information est
fonction de la pertinence ou non de l'information pour l'organisation. Le caractère d'actualité de
l'information peut affecter son utilité (par exemple l'information pourrait influencer les décisions
actuellement prises).

Il n'existe pas de règles strictes concernant le caractère suffisant, la fiabilité, la pertinence et l'utilité
de la preuve. Par exemple, même si une preuve obtenue auprès de tiers indépendants (externes) est
plus fiable qu'une preuve provenant du personnel interne et même si une preuve corroborée offre plus
de poids qu'une preuve non corroborée ou contradictoire, il est rare que l'auditeur interne fasse
directement appel à des sources externes avant de rechercher des preuves internes. La preuve interne
représente une base fondamentale sur laquelle la corroboration externe se fonde.

Collecte de preuves d'audit

Les preuves d'audit peuvent être collectées de nombreuses manières, et l'auditeur devrait sélectionner
la procédure la plus appropriée pour collecter les preuves. Les méthodes courantes de collecte de
preuves incluent l'enquête, l'observation, l'inspection, la confirmation, la réexécution et la
surveillance. D'autres pratiques répandues comptent la vérification, le traçage et les procédures
analytiques. Ensemble, ces méthodes peuvent être appliquées par le biais de procédures d'audit
manuelles, d'outils d'audit assisté par ordinateur ou d'une combinaison des deux.

L'illustration III-8 présente un résumé des procédures manuelles d'audit mentionnées dans Internal
Auditing: Assurance and Consulting Services. (Audit interne : activités d'assurance et de conseil).

Illustration III-8 : Procédures d'audit manuelles

La technique la plus courante est l'enquête. Pourtant, la procédure de collecte des informations est
parfois imposée par la preuve, comme lorsque des données stockées électroniquement ne sont pas
disponibles sous forme imprimée et qu'elles doivent être extraites par le logiciel d'audit. La
meilleure méthode pour collecter des informations quantitatives utiles peut consister à recalculer les
données de transaction afin de confirmer leur précision. La preuve matérielle peut être présentée plus
efficacement sous forme de photographies qu'au moyen d'une description verbale.

Pour les auto-évaluations des contrôles (décrites plus en détail dans la Section II, Chapitre A), la
méthode de collecte et d'évaluation des preuves combine généralement un questionnaire et un atelier
animé. Lors d'une CSA, de nombreuses parties prenantes importantes dans le processus audité
participent à l'enquête.

L'analyse est traitée séparément dans ce module, à la prochaine rubrique de cette section.
 Chapitre C : Analyse de données et
interprétation
Introduction du chapitre
L'analyse et l'interprétation des données impliquent la comparaison des informations recueillies lors
d'une mission avec les attentes concernant cette information. Lors de la planification de l'audit,
l'auditeur interne établit des prévisions en se basant en partie sur les audits antérieurs ou sur d'autres
sources qui indiquent ce que l'on peut attendre d'un processus ou d'une fonction, comme par exemple
les politiques et procédures ; ces prévisions sont aussi basées sur des attentes prospectives comme
les objectifs organisationnels, les objectifs du processus ou de la fonction, les risques importants et
l'appétence pour le risque de l'organisation.

Lorsque les données ne sont pas conformes à ce que l'on pourrait raisonnablement attendre et
montrent par exemple une anomalie, un écart ou une corrélation inattendue, l'auditeur interprète alors
cette différence comme la preuve qu'il existe une situation ou une force qui n'a pas été prise en
compte et qui influence sur la relation en question. L'auditeur devrait former ses propres conclusions
concernant les causes de ces différences et établir s'il s'agit d'événements isolés ou de tendances. Il
est important de réaliser cette interprétation indépendante avant de rechercher les interprétations du
client d'audit ou de toute autre source, comme les tendances industrielles ou économiques, car cela
peut aider à éviter tout préjugé provenant de ces sources. Si ces sources permettent de corroborer les
conclusions, cela prouve la fiabilité de l'interprétation. Si d'autres interprétations sont divergentes, il
sera nécessaire d'analyser l'interprétation plus en détail.

Les rubriques de ce chapitre traient des techniques et outils d'audit informatisés, de l'analyse de
feuille de calcul, des analyses statistiques/techniques de contrôle de processus, des techniques de
revue analytique, des analyses comparatives et de la façon de tirer des conclusions.

Rubrique 1 : Utiliser des outils et techniques

d'audit informatisés (Niveau P)
Dès que les bases de données informatiques sont devenues suffisamment économiques, fiables et
conviviales (et même peut-être un peu avant), de nombreuses organisations, petites et grandes, ont
migré toutes leurs informations stockées dans des fichiers papier vers des bases de données
numériques. Cette transformation s'est tellement généralisée que même les bibliothèques municipales
ont cédé aux antiquaires les meubles qui contenaient leurs catalogues papier.

Dans un environnement aussi profondément numérisé, un auditeur interne n'a pas d'autre choix que de
se familiariser avec les outils d'audit assisté par ordinateur (TAAO). En effet, il n'est pas très
rationnel d'obtenir des informations d'audit en demandant au client de l'audit d'imprimer des
documents qui ne l'ont peut-être jamais été.

Un audit informatique a l'avantage (mais pose aussi les défis) d'utiliser des logiciels d'audit pouvant
effectuer, du moins en théorie, d'innombrables recherches différentes, pour tout motif imaginable,
dans des fichiers stockés dans des bases de données ou dans d'autres fichiers informatiques. Cela
suppose bien sûr que les bases de données soient correctement construites, que le logiciel d'audit soit
compatible avec les logiciels de production et de stockage, et que les auditeurs soient expérimentés
dans l'utilisation de leur progiciel d'audit.

Il existe aujourd'hui un choix varié de programmes d'audit assisté par ordinateur : par exemple ACL
(Audit Command Language) et IDEA (Interactive Data Extraction and Analysis, extraction et analyse
de données interactives) ont été développés par des organismes d'audit au Canada pour fournir un
reporting quotidien, hebdomadaire ou mensuel sur les activités ou les contrôles ; on peut aussi citer
SAS (Statistical Analysis System, Système d'analyse statistique) et d'autres programmes d'analyse de
données, y compris les tableurs de type Excel (voir rubrique suivante), les programmes d'analyse tels
que Crystal Reports, etc.

Modules d'audit intégrés

Nous avons déjà étudié dans cette section des méthodes de sélection d'échantillons de données, à
utiliser pour estimer de façon raisonnablement fiable les attributs ou la variabilité de populations
plus importantes. Nous avons noté à ce stade que des logiciels, grâce à leur puissance et leur vitesse
toujours plus grande, permettent parfois aux auditeurs d'examiner chaque transaction de la population
totale (ou plutôt de laisser l'ordinateur le faire) au lieu d'utiliser des échantillons.

Les modules d'audit intégrés (il s’agit de programmes s'exécutant en même temps que le logiciel qui,
par exemple, enregistre les données) permettent parfois de surveiller les transactions à mesure
qu'elles surviennent. Au lieu de rechercher des erreurs, des irrégularités et des fraudes plusieurs
semaines ou plusieurs mois après qu'elles aient été commises, les responsables et les auditeurs
peuvent être avertis de problèmes potentiels ou d'exceptions pratiquement dès qu'ils se produisent. Si
une révision immédiate semble inutile ou difficile d'un point de vue pratique, il est possible de
programmer une surveillance quotidienne, hebdomadaire ou mensuelle, selon le type d'activité
concerné.

Cela présente un avantage tant pour la direction que pour l'auditeur. Au lieu de devoir compenser les
erreurs accumulées depuis l'audit précédent, les responsables peuvent réagir à temps pour éviter les
conséquences graves de problèmes laissés sans solution. Cela répond à la demande toujours plus
pressante des parties prenantes des processus organisationnels, qui souhaitent accéder en temps voulu
à des données fiables, tout en rassurant les membres de la direction qui, depuis la loi Sarbanes-
Oxley, peuvent être tenus personnellement responsables d'états financiers frauduleux et/ou de
contrôles inadéquats.

Les programmes intégrés comparent les données entrantes à des critères spécifiques afin de détecter
toute divergence qui pourrait révéler des erreurs, des fraudes ou d'autres problèmes. Ces critères
peuvent être déterminés par des indicateurs de performance clés ou pour des raisons de conformité.
Au-delà de ces considérations internes, des programmes intégrés tels que les pare-feu vérifient et
marquent les virus entrants et autres attaques éventuelles, et envoient immédiatement des
avertissements aux utilisateurs.

Dans la publication GTAG-3 de l'IIA intitulée « Continuous Auditing: Implications for Assurance,
Monitoring, and Risk Assessment » (Audit continu : répercussions sur l’assurance, le pilotage et
l’évaluation des risques), on établit une distinction entre la surveillance continue et l'audit continu.
Selon le COSO, la surveillance continue fait partie de la surveillance des contrôles, qui est de la
responsabilité de la direction. En revanche, l'audit continu est de la responsabilité de l'auditeur, qui
doit analyser et évaluer l'efficacité des contrôles mis en place par la direction pour réduire les
risques identifiés à des niveaux acceptables.

Les programmes intégrés de surveillance ou d'audit continu peuvent être difficiles à installer au sein
du logiciel ou conjointement à celui-ci. Toutefois, leur popularité croissante indique qu'ils finiront
par devenir la norme plutôt que l'exception. En effet, les programmeurs continuent de développer des
progiciels de gestion intégrés (ERP - « Enterprise resource planning ») et les organisations continuent
de les installer pour intégrer la (quasi) totalité des applications gérant leurs processus de bout en
bout. Il semble donc probable que des modules d'audit intégrés seront finalement inclus pour
surveiller des événements clés, à mesure que ceux-ci surviennent tout au long de ces processus.

Logiciels d'audit généralisés

L'extraction de données s'effectue grâce à un logiciel d'audit généralisé (GAS, generalized audit
software). Selon le vendeur qui le propose, un logiciel d'audit généralisé peut effectuer une ou
plusieurs des tâches suivantes.

Lecture de fichiers numériques. En fait, un logiciel d'audit extrait des fichiers en « lecture
seule », car l'auditeur n'a pas à modifier des fichiers ou des contrôles mais à évaluer leur
exactitude, leur efficacité dans la réalisation des objectifs de l'organisation, etc. Les modifications
des données et des contrôles sont effectuées sur ordre de la direction.

Examen d'enregistrements particuliers selon des critères définis par l'auditeur. (En d'autres
termes, le logiciel GAS peut effectuer des extractions de données ciblées.) Par exemple, ce
logiciel peut vérifier dans des comptes la présence d'exceptions spécifiées, telles que des
transactions fractionnées (la tentative par le titulaire d'une carte bancaire, dans le service des
approvisionnements, de diviser une transaction en plusieurs parties qui, au total, dépassent la
limite de la carte). De même, un logiciel d'audit peut rechercher des mots clés dans des données
de transaction, tels que « comité de campagne électorale », « jouet » ou « casino ». Lorsque les
titulaires d'une carte pour les approvisionnements apprennent que leurs achats sont soumis à des
vérifications informatiques, ceux qui utilisent abusivement leur carte peuvent soudain devenir
beaucoup plus éthiques. Les logiciels GAS peuvent extraire des informations sensibles, par
 exemple des créances en retard.

Tests de certains calculs ou calculs indépendants. Un logiciel d'audit peut également préparer un
bilan d'essai, à comparer aux bilans créés par le logiciel de production.

Analyse, synthèse, ou reséquençage des données. Un logiciel d'audit peut être utilisé pour
stratifier des échantillons et effectuer des analyses statistiques, parmi d'autres tâches.

Tester l'efficacité des contrôles. Le logiciel d'audit peut être utilisé pour tester les contrôles et
peut effectuer des tests substantifs comme évaluer l'étendue des erreurs au niveau des soldes de
comptes.

Avantages des logiciels d'audit généralisés

Les logiciels d'audit généralisés proposent :
Un examen de 100 % des transactions suspectes, plutôt que des vérifications aléatoires.
La possibilité de cibler les transactions intéressantes, même au sein de populations énormes.
La réduction de la durée d'audit à une fraction du temps nécessaire avec les méthodes manuelles
traditionnelles, offrant ainsi à l'auditeur plus de temps pour l'analyse et l'interprétation.
Une interface uniforme pour toutes les tâches, quels que soient les formats et les systèmes sous-
jacents, pour une facilité et une exactitude toujours plus grandes de l'audit.
Des révisions plus faciles pour d'autres auditeurs et superviseurs, grâce à la gestion de journaux
de test.

Obstacles à l'adoption des GAS

Tous les auditeurs n'ont pas adopté de logiciel d'audit pour chacune des tâches d'audit interne.
Certains obstacles empêchent l'acceptation immédiate de ces nouveaux outils, notamment :
La réticence du personnel informatique à adopter de nouveaux systèmes, à mettre en place des
formations, etc.
La difficulté à obtenir des droits d'accès aux données sensibles et récentes.
Le blocage à l'accès aux données par du personnel craignant que le logiciel d'audit interfère avec
le logiciel de production.
La difficulté à obtenir des données utilisables (formatage, stockage et extraction).
Les coûts supplémentaires du nouveau logiciel et de la formation associée.

Papiers de travail automatisés

Bien que le bureau « sans papier » n'existe pas encore, les papiers de travail de l'audit ne sont tout de
même plus limités à leur version papier traditionnelle et se présentent désormais sous de nombreux
formats électroniques. Ils peuvent être créés dans des modèles logiciels, stockés sur des serveurs ou
sur des ordinateurs centraux et transférés à différents ordinateurs de bureau ou portables au moyen de
réseaux informatisés. S'ils prennent une forme physique, il s'agit le cas échéant de CD, de DVD, de
vidéos, de diffusions sur le web ou d'autres supports.

Les papiers de travail de l'audit sont traités plus en détail dans le prochain chapitre de cette section.

Rubrique 2 : Analyser des feuilles de calcul (Niveau

P)
Selon Sawyer, et al. : « Parmi différentes applications, la feuille de calcul électronique est l'outil le
plus utilisé par l'auditeur. . . . On l'utilise pour les calendriers comptables, les fichiers "plats" de
base de données (par opposition aux bases de données relationnelles plus flexibles), la présentation
de valeurs numériques sous forme graphique et la modélisation hypothétique. » En outre, les feuilles
de calcul sont devenues des outils clés pour aider les organisations à atteindre leurs objectifs et sont
donc soumises à des révisions de conformité et d'efficacité. L'auditeur interne doit comprendre le
fonctionnement des feuilles de calcul, non seulement parce qu'elles constituent un outil d'audit
essentiel, mais aussi parce qu'elles font l'objet d'audits internes et externes.

Que rechercher dans une feuille de calcul

Une feuille de calcul est essentiellement un tableau, une suite de lignes et de colonnes qui forment des
cellules à leur intersection. Dans ces cellules, l'utilisateur peut entrer des mots, des nombres, d'autres
caractères tels qu'un signe de devise, des équations et d'autres instructions logiques.

Comme il s'agit d'un tableau, une feuille de calcul peut être utilisée pour stocker des informations
verbales et numériques, et pour manipuler ces informations. Par exemple, dans Excel, un menu
déroulant permet à l'utilisateur de trier un tableau de données par ordre alphabétique croissant ou
décroissant de l'une de ses colonnes. D'autres options de menu permettent aux utilisateurs de suivre
les modifications apportées par différents évaluateurs, de rechercher des mots dans des
encyclopédies en ligne, de vérifier l'orthographe, de protéger des données, de synthétiser de la parole
à partir de texte et d'autres opérations encore.

Les feuilles de calcul permettent de stocker et d'organiser les données ; elles permettent aussi
d'effectuer des calculs et de créer des graphiques d'analyse de données tels que des graphiques à
secteurs, à barres et linéaires en un seul clic.

Excel peut être complété de modules d'extension pour des objectifs commerciaux précis tels que les
transactions financières ou la gestion des opérations (Excel OM).

Lors de la sélection d'un tableur approprié à une organisation donnée, voici certaines des
caractéristiques à privilégier :
Liaison des feuilles de calcul entre elles et à d'autres programmes : une modification dans la
feuille de calcul est propagée automatiquement dans les feuilles de calculs et les documents de
 traitement de texte associés.
Création et exécution de macros : ces petits programmes établis à l'intérieur de la feuille de calcul
facilitent la répétition d'opérations clés.
Conversion de données en graphiques (comme illustré précédemment).
Exécution d'opérations analytiques telles que la corrélation, l'analyse de régression, l'analyse de
rentabilité, etc.
Fonctions couper-coller, mais aussi glisser-déposer.
Accès à des didacticiels complets et faciles à comprendre.
Calcul de totaux et autres opérations de base d'un simple clic (comme c'est le cas dans Excel pour
produire des sommes et des graphiques).
Possibilité de joindre des notes écrites ou orales séparées du document tout en restant facilement
accessibles.
Ouverture et lecture d'autres tableurs et d'autres bases de données.

Comme de nouvelles fonctions apparaissent constamment, une telle liste est incomplète pratiquement
dès sa rédaction. Elle fournit toutefois des conseils sur les caractéristiques souhaitables d'un tableur.

La feuille de calcul reste un outil commercial courant

soumis à l'audit
La feuille de calcul n'est pas seulement un outil d'audit omniprésent, elle constitue également un outil
commercial que l'auditeur interne doit examiner dans le cadre de son travail. D'après l'article de
Ralph Baxter tiré du journal ITAudit de l'IIA daté du 10 décembre 2006, les organisations utilisent
généralement les feuilles de calcul de deux façons : pour modéliser les processus d'affaires et
soutenir les processus transactionnels, tels que les créances et les dettes, dans le cadre d'usages
opérationnels. Lorsqu'elle est utilisée pour modéliser un processus, par exemple une fusion ou une
acquisition possible, la feuille de calcul est, selon Baxter, « une calculatrice complexe », utilisée de
la même façon par un auditeur pour une modélisation par simulation. En soutien opérationnel, une
feuille de calcul contient et manipule des données transactionnelles.

Lorsque les feuilles de calcul sont apparues, elles étaient peut-être destinées à faciliter des
processus, un peu comme une calculatrice très puissante ; désormais, elles sont devenues des
logiciels commerciaux à part entière. Les données qui y sont entrées et manipulées, peut-être tout
d'abord à des fins temporaires, y restent à plus long terme, soit sous leur forme d'origine, soit après
d'autres manipulations. (Les feuilles de calcul mettent à jour les calculs automatiquement lorsque de
nouvelles données sont entrées.)

Au fil du temps, les données d'une feuille de calcul peuvent se corrompre, ce qui conduit à une chaîne
d'erreurs, chacune découlant de l'erreur précédente. Les utilisateurs qui mettent à jour les calculs
périodiquement, par exemple à la fin de chaque mois, peuvent avoir oublié comment utiliser les
fonctions de la feuille de calcul. Les nouveaux utilisateurs n'en ont peut-être jamais maîtrisé la
logique.
Comme les feuilles de calcul peuvent contenir des données clés, explique Baxter, elles peuvent se
trouver au centre des audits de conformité, en particulier depuis que la loi Sarbanes-Oxley a attiré
l'attention sur les opérations de finance de bout en bout. Il est donc essentiel que l'auditeur interne
surveille l'exactitude des feuilles de calcul et aide l'organisation à les utiliser de façon appropriée.

Pour se protéger contre les risques de dégradation des données d'une feuille de calcul au fil du temps,
Baxter identifie des solutions manuelles et automatiques. L'approche manuelle est rarement fiable, en
raison de la taille même de nombreuses feuilles de calcul. En effet, une feuille de calcul peut contenir
des dizaines ou même des centaines de lignes et de colonnes, et donc des milliers de cellules dont les
données peuvent être modifiées. Cela ouvre un immense champ libre pour les erreurs et même les
fraudes.

L'informatique peut aider à préserver l'exactitude et la logique des feuilles de calcul. Certains
contrôles sont intégrés, par exemple lorsqu'un utilisateur entre une formule illogique, Excel peut
corriger automatiquement la formule et en informer l'utilisateur ou marquer la cellule erronée d'une
façon évidente. Par exemple, si un calcul est incorrect, la mention « #NOM? » apparaît à la place de
la solution attendue. Toutefois, en raison de l'étendue des options disponibles dans une feuille de
calcul, il devient impossible, même pour les contrôles intégrés, de couvrir toutes les exceptions et
toutes les erreurs possibles. D'autres types d'outils informatiques vérifient l'exactitude et la logique
des données des feuilles de calcul de différentes façons, une fois les données de la transaction
entrées. De nouveaux contrôles automatisés continuent d'être développés pour aider les utilisateurs et
les auditeurs à surveiller les modifications apportées aux données des feuilles de calcul.

Une meilleure solution à long terme pour de nombreuses applications commerciales serait de
s'éloigner des feuilles de calcul et d'utiliser une application conçue à cet effet, qui consolide
automatiquement diverses analyses dans un système de stockage de données partagé pour éviter
certains problèmes tels que des données corrompues dans les cellules de la feuille de calcul.
Souvent, ces systèmes peuvent avoir la forme de feuilles de calcul ou permettre aux utilisateurs de
télécharger des données vers un tableur, d'effectuer une analyse plus approfondie et de renvoyer les
données dans le système. Si le processus commercial rencontre plusieurs problèmes liés aux feuilles
de calcul, l'entreprise peut décider de suivre les recommandations d'un auditeur interne et de trouver
une meilleure solution à long terme pour ses besoins commerciaux.

Rubrique 3 : Mettre en pratique les analyses

statistiques/techniques de contrôle de processus
(Niveau A)
L'audit peut être considéré comme un processus de comparaison entre ce qui est et ce qui devrait être.
Exprimé de cette façon, cela semble très simple. Toutefois, les concepts de simplicité et de facilité
peuvent être diamétralement opposés.
Il existe plusieurs aspects complexes de l'audit. Tout d'abord, décrire « ce qui est » peut être délicat,
comme nous l'avons constaté dans l'explication précédente sur l'échantillonnage. Parfois, « ce qui
est » comporte trop de parties pour qu'un auditeur puisse toutes les compter ou les observer. Et
parfois, des parties sont masquées ou manquantes.

Il n'est pas toujours facile non plus de décrire « ce qui devrait être », sauf si les règles, règlements et
politiques le décrivant sont clairement documentés. Soit l'organisation est en conformité, soit elle ne
l'est pas : une répartition aussi simple que celle entre les fumeurs et les non fumeurs. (Toutefois,
observer et prouver qu'un individu, un groupe ou un processus n'est pas conforme n'est pas toujours
simple et peut ressembler à tenter de surprendre un fumeur en flagrant délit.)

Lors de l'audit de l'efficience ou de l'efficacité d'une opération, des difficultés peuvent se présenter à
la fois pour déterminer ce qui est et ce qui devrait être. Un processus est-il effectué avec efficience et
efficacité ? Comment définir une efficience ou une efficacité appropriée ? En dernier lieu, il revient à
la direction de répondre à la deuxième question, bien que le rapport d'audit interne puisse proposer
des recommandations d'amélioration si elles semblent nécessaires.

Heureusement, la statistique permet de décrire ce qui est et de le comparer à ce qui devrait être dans
les tâches d'évaluation d'un processus opérationnel. Cela s'appelle le contrôle statistique des
processus (SPC - « Statistical process control »). Avant de décrire son fonctionnement, il est
cependant nécessaire de réviser certains concepts statistiques de base.

Concepts statistiques de base

Il existe deux types de statistiques : descriptive et inférentielle. La statistique inférentielle (ou
l'inférence statistique) permet de déduire des inférences sur une population en observant des
échantillons de cette population, un processus décrit plus haut dans cette section. La statistique
descriptive utilise des techniques variées et un vocabulaire spécifique pour donner forme et
signification aux données brutes dérivées d'une observation. Sur la base de ces descriptions, les
observateurs peuvent déduire des inférences sur la population dans son ensemble.

Courbe en cloche et distribution normale

La forme statistique la plus importante est la familière courbe en cloche qui représente de façon
visuelle ce que les statisticiens appellent la distribution normale de valeurs liées et quantifiables
dans une population.

L'illustration III-9 présente une courbe en cloche.

Illustration III-9 : Courbe en cloche

La courbe en cloche illustre une caractéristique remarquable des populations à grande échelle.
Quelles que soient les valeurs individuelles dans la population, elles ont tendance à se répartir
symétriquement autour d'un point central. Cela est vrai pour des populations aussi variées que les
populations suivantes :
Le poids de toutes les voitures en sortie d'une chaîne de montage.
La durée requise pour produire des puces mémoire d'ordinateurs.
La différence entre le nombre de clients masculins et féminins dans toutes les succursales d'une
chaîne de magasins.
Le rapport essais/transformations dans tous les matchs de rugby de première division.

Tout groupe composé d'un grand nombre d'éléments a tendance à s'organiser selon cette symétrie en
forme de cloche, quelle que soit la façon dont les éléments sont comptés – par nombre, pourcentage,
rapports, plages de tolérances, etc. Et cette distribution présente des applications importantes pour la
gestion et l'audit des organisations.

Deux mesures, c'est-à-dire deux termes dans le vocabulaire de la statistique descriptive, sont
nécessaires pour décrire une distribution.
La moyenne, indiquée par la lettre grecque mu (μ). Il s'agit du point milieu dans l'illustration III-9.
L'écart-type, indiqué par la lettre grecque sigma (σ). Comme l'indique l'illustration, six sigma sont
présents, trois à droite du point milieu et trois à gauche. La distribution normale est toujours
marquée par ces six écarts-types équidistants.

Comme le montre l'illustration, dans la distribution standard, la moitié de la surface sous la courbe en
cloche s'étend à gauche du point milieu (μ) et l'autre moitié à droite. En outre, en raison de la
symétrie parfaite de la distribution, chaque écart-type à gauche du point milieu contient le même
pourcentage de surface sous la courbe que l'écart-type de même numéro à droite : Sous la courbe,
34,13 % de la surface se trouve entre μ et +1 σ, et 34,13 % de la surface se trouve entre μ et –1 σ, et
ainsi de suite.

Pour démontrer l'application de la distribution standard, les professeurs enseignant les bases de la
statistique demandent parfois aux étudiants de jouer 100 fois à pile ou face avec une poignée de
pièces en notant le résultat à chaque tentative. Supposons que cinq pièces soient utilisées, cinq étant
une taille d'échantillon largement utilisée à cette fin. Par intuition, vous savez que très peu de
tentatives résulteront en cinq piles ou cinq faces, quelques-unes produiront quatre piles et une face ou
une pile et quatre faces et, la plupart du temps, les pièces indiqueront deux piles et trois faces ou
l'inverse. Une distribution normale parfaite de piles et faces pour 100 tentatives produit la
distribution présentée par l'illustration III-10.

Illustration III-10 : Une distribution normale parfaite de pile ou face

Le résultat d'un étudiant particulier, en revanche, ressemble probablement davantage à l'exemple de

l'illustration III-11.

Lorsque tous les échantillons de la classe sont combinés pour constituer une population, celle-ci
comporte probablement des pourcentages plus proches de ceux de la distribution normale. La théorie
indique que, avec un nombre suffisant d'échantillons, les pourcentages atteindraient la symétrie
parfaite de la distribution normale.

Illustration III-11 : Une distribution moins normale

Nous devons maintenant étudier de plus près la façon dont les distributions sont décrites en termes de
point milieu, ou « tendance centrale », et de dispersion des éléments à gauche et à droite de ces
écarts-types. Quelques autres termes de vocabulaire de base sont requis.
Mesures de la tendance centrale (moyenne, médiane et mode)
Au centre d'une courbe en cloche parfaite se trouve le point milieu statistique de la distribution. Les
statisticiens parlent de la « tendance centrale » d'une distribution pour indiquer que tous les
échantillons ont tendance à se regrouper autour d'un point milieu. Ce point milieu peut être mesuré de
trois façons différentes appelées la moyenne, la médiane et le mode.

La moyenne (qui a été mentionnée plus haut) est la moyenne simple, calculée en additionnant tous
les chiffres dans une série d'échantillons n et en divisant par n. Dans la série 1, 2, 3, 4, 5, la
moyenne est 3 : (1 + 2 + 3 + 4 + 5) / 5 = 3. La moyenne peut être trompeuse si la distribution
comporte beaucoup de grands nombres ou beaucoup de petits nombres.

La médiane est la mesure située au milieu exact d'une distribution, avec un nombre égal
d'éléments au-dessus et en dessous. Dans la série 1, 2, 3, 4, 5, la médiane est 3, avec deux
nombres au-dessus et deux nombre en dessous. Si nous modifions la série en remplaçant 5 par un
nombre très élevé, par exemple 100 ou 1 000, la médiane reste à 3 ; c'est-à-dire que dans la série
1, 2, 3, 4, 1 000, la médiane reste le nombre 3, avec deux nombres en dessous (1 et 2) et deux
nombres au-dessus (4 et 1 000). Par exemple, imaginons un bar rempli de clients dont le revenu
net est compris entre 40 000 et 75 000 USD, avec une médiane de 50 000 USD. (Elle tend vers
l'extrémité inférieure.) Si un multimillionnaire entre dans le bar en même temps qu'un client ayant
un revenu net de 60 000 USD en ressort, le revenu net médian reste identique alors que le revenu
net moyen atteint des sommets.

Lorsqu'une série d'éléments est constituée d'un nombre pair d'éléments, il est possible qu'aucun
élément ne représente la médiane. Par exemple, le point milieu entre 2 et 3 (2,5) est la médiane de
la série 1, 2, 3, 4.

Le mode est le nombre dont la fréquence est la plus élevée au sein d'une série. Dans la série 2, 3,
4, 4, 5, le mode est 4. (Il se trouve que 4 est également la médiane. La moyenne est 3,6). Le mode
d'une population est probablement ce qu'une personne pense lorsqu'elle déclare que quelqu'un a
des possibilités moyennes ; en d'autres termes, ses possibilités sont les plus semblables à celles
de la plupart des autres.

Dans la courbe en cloche de l'illustration précédente, les trois mesures de moyenne, de médiane et de
mode coïncident parce que la distribution est parfaitement symétrique. Cela n'est pas nécessairement
vrai pour les distributions du monde réel.

La courbe normale à l'illustration III-12 représente les effets liés à l'ajout d'une « valeur aberrante »
extrême dans un échantillon, comme par exemple ajouter le revenu net d'un multimillionnaire à celui
de tous les clients « ordinaires » d'un bar. (Le terme « aberrant » est un terme utilisé par les
statisticiens pour décrire une valeur se trouvant à une extrémité de l'échantillon.) Le revenu net du
millionnaire se trouverait tellement loin dans la partie 0,1 % de la courbe en cloche qu'il n'affecterait
pas la forme présentée dans l'illustration. La médiane reste également inchangée. La moyenne, en
revanche, disparaîtrait à l'horizon de la partie droite de la courbe, car pour calculer la nouvelle
moyenne, des millions de dollars sont ajoutés au numérateur alors qu'une seule unité est ajoutée au
dénominateur.

Illustration III-12 : Impact de la fortune d'un multimillionnaire sur la moyenne et la médiane des revenus nets

L'écart-type (sigma)
Outre le point milieu, une distribution normale présente une autre caractéristique, l'écart-type, indiqué
par la lettre grecque sigma (σ). Comme noté précédemment, dans la distribution normale parfaitement
symétrique, chaque écart-type (ou sigma) délimite la courbe à distances égales le long de la base, de
gauche à droite, et chaque segment d'un côté du point milieu délimite le même pourcentage de surface
sous la courbe que le segment de même numéro de l'autre côté. Comme l'indique l'illustration, les six
sigma allant de –3 σ à gauche à +3 σ à droite délimitent presque l'intégralité de la distribution ; il ne
manque que 0,2 % (0,1 % de chaque côté). Ces six sigma sont généralement utilisés pour délimiter
les segments de toutes les distributions représentées par une courbe, mais il est possible d'étendre le
nombre de sigma dans les deux directions. Par exemple, le nom Six Sigma de la méthode
d'amélioration continue se base sur l'idée qu'un processus interne doit être amélioré jusqu'à ce que
les clients ne perçoivent un « défaut » que 3,4 fois ou moins sur un million d'« opportunités ». (Les
termes défauts et opportunités ont une signification spéciale dans le lexique Six Sigma.) Si les
opportunités sont illustrées par une courbe en cloche, les occurrences non satisfaisantes doivent être
en nombre si réduit qu'elles se trouvent en dehors des six sigma, des deux côtés de la moyenne. (Ce
qui correspond en fait à moins de six sigma, pour des raisons techniques définies par les théoriciens
Six Sigma.)

Un échantillon pilote est souvent utilisé pour tester un écart-type rapidement et approximativement.

L'étendue
Nous avons observé une courbe en cloche d'une forme particulière. Toutes les courbes, même si elles
sont symétriques, n'ont toutefois pas la même apparence. Certaines sont minces et élevées et d'autres
larges et aplaties. L'illustration III-13 montre la courbe proposée jusqu'à présent, ainsi que deux
autres de forme différente.
 Illustration III-13 : Variantes de la courbe en cloche

Bien que toutes les courbes de l'illustration soient en forme de cloche et symétriques, qu'elles aient
toutes la même moyenne (et la même médiane), leur hauteur et leur largeur diffèrent.

Les courbes plus larges décrivent une distribution de plus grande étendue : les valeurs aux extrémités
gauche et droite sont davantage éloignées les unes des autres et davantage éloignées de la moyenne.

Comme les trois courbes sont des courbes en cloche symétriques, la variation des valeurs est
supposée aléatoire. Certains processus présentent tout simplement davantage de variabilité que
d'autres. Toutefois, si une organisation a l'intention de réduire l'étendue de la variation d'un
processus, une telle courbe peut indiquer que des modifications sont nécessaires. S'il s'agit d'un
processus de production et si la courbe indique une variation étendue des dimensions de la pièce
produite, cela risque d'avoir des conséquences sur le montage et la finition du produit final. Il
convient peut-être de recommander de nouvelles machines ou une meilleure formation des ouvriers.

Toutefois, l'étendue d'une distribution peut être aussi trompeuse que sa moyenne, pour la même
raison. Dans l'exemple antérieur où une valeur aberrante telle que le revenu net d'un millionnaire est
ajoutée au revenu net d'un échantillon de personnes plus ordinaires, cela a pour effet d'allonger
l'étendue sur une largeur énorme qui ne concerne en fait qu'un seul membre de l'échantillon. Pour
éviter les problèmes posés par de telles valeurs aberrantes, les statisticiens utilisent parfois une
« étendue interquartile ». Les quartiles supérieur et inférieur de l'échantillon sont supprimés. (Une
technique similaire est quelquefois utilisée lorsqu'un panel de juges évalue des événements sportifs.
Pour obtenir la note finale de chaque participant, la note la plus faible et la note la plus élevée
accordées par les juges sont éliminées du calcul.)

Écart absolu moyen

La variabilité des valeurs d'un échantillon peut également être mesurée par l'écart absolu moyen
(MAD - « Mean absolute deviation »). L'écart est la distance entre chaque valeur et la moyenne. Le
terme « absolu » signifie que les écarts positifs et négatifs sont tous ajoutés sans prendre en compte
leurs signes plus ou moins. Si le revenu net moyen de chaque personne dans le bar est de
50 000 USD, et le revenu net d'un client est de 48 000 USD, l'écart de ce client sera de 2 000 USD
(50 000 USD - 48 000 USD). Pour le milliardaire qui vient d'arriver et dont le revenu net est de
50 000 000 USD, l'écart sera de 49 000 050 USD. Le MAD est calculé en additionnant tous ces
écarts par rapport à la moyenne et en divisant par le nombre de valeurs dans l'échantillon.

Pour un exemple simple, voici comment calculer le MAD d'une distribution de cinq nombres : 100,
103, 105, 106, 109. La moyenne est 100 + 103 + 105 + 106 + 109 / 5 = 104,6. Les différences
absolues (écarts) entre chaque valeur et la moyenne sont :

Et le MAD est 2,48.

Variance
La variance est également une mesure de dispersion moyenne, considérée plus précise que le MAD.
Elle est calculée de la même façon que le MAD, mais elle utilise le carré de l'écart de chaque valeur
par rapport à la moyenne. L'un des avantages de la variance par rapport au MAD est d'éliminer le
problème de traiter des signes moins comme s'ils étaient positifs. En effet, le carré d'un nombre
négatif est toujours positif.

Le symbole de la variance est σ2 (et σ est la lettre grecque sigma). (Cela devrait fournir une
indication sur la relation entre la variance et l'écart-type.)

Comme le symbole de l'écart-type est sigma (σ ) et que le symbole de la variance est sigma au carré
(σ2), il est évident que pour calculer un écart-type, il suffit d'extraire la racine carrée de la variance.

L'équation complète pour calculer l'écart-type (σ) de la distribution d'un échantillon (que vous
n'aurez peut-être jamais besoin d'utiliser mais que vous devriez savoir reconnaître) est :
En français, l'équation pour calculer l'écart-type s'explique comme suit.
Pour chaque élément (i) d'une valeur x, calculer la différence entre x et la valeur moyenne de
l'échantillon appelée « X-bar » .
Calculer le carré de chacune de ces différences.
Calculer la moyenne des différences au carré (en divisant par n – 1), pour obtenir la variance,
égale au carré de sigma.
Extraire la racine carrée de la variance.

(Il peut sembler faux de diviser par n – 1 pour calculer la moyenne, plutôt que par n, comme nous
l'avons fait pour le MAD et la variance. Toutefois, les statisticiens expliquent que réduire le
dénominateur par 1 compense les erreurs provenant du fait que la moyenne d'un échantillon n'est pas
toujours la même que la moyenne de la population, si bien que le calcul de l'écart par rapport à la
moyenne de celui-ci a tendance à sous-estimer l'écart par rapport à la moyenne de celle-là.)

Coefficient de variation
Le coefficient de variation mesure l'importance de la variabilité par rapport à l'importance de la
moyenne. Il s'obtient en divisant l'écart-type par la moyenne.

Contrôle statistique de processus (SPC - « Statistical

process control »)
Tous les processus ont des résultats qui varient. Considérez, par exemple, un voyage en train pour
vous rendre au travail. Il dure peut-être 20 minutes le lundi, 22 minutes le mardi, 18 minutes le
mercredi et 20 minutes le jeudi. Vendredi, alors que vous pensez arriver au travail environ 20
minutes après le départ prévu du train, celui-ci arrive avec 15 minutes de retard et vous arrivez 35
minutes après l'heure de départ prévue.

Statistiquement parlant, la durée de votre processus du lundi au jeudi était de 20 minutes en moyenne,
avec une étendue de quatre minutes entre 18 et 22 minutes. Le statisticien dirait que jusqu'à vendredi,
votre processus était sous contrôle statistique, et comportait uniquement les variations aléatoires dues
à tous les facteurs qui peuvent affecter un voyage : durée de montée dans le train, conditions
météorologiques, conditions de la voie, humeur (ou identité) du conducteur, etc. Ces causes
aléatoires, en langage statistique, sont appelées des « causes naturelles ».

Toutefois, une situation inhabituelle a eu lieu le vendredi, une variation à l'extérieur de l'étendue des
causes naturelles, ou aléatoires. Les statisticiens appellent ceci une cause assignable ou une cause
spéciale. Le passager qui attend son train le vendredi matin conclura sans le moindre doute que la
différence entre ce qui est et ce qui devrait être est très agaçante et excessive. L'auditeur interne de la
compagnie ferroviaire atteindra exactement la même conclusion et attribuera une cause assignable
(non aléatoire) à cette divergence.
Comme la différence entre des causes naturelles et assignables peut être beaucoup plus subtile que la
divergence de notre exemple, les statisticiens ont développé une technique pour suivre visuellement
les processus, appelée des cartes de contrôle statistique, des cartes de contrôle de processus ou tout
simplement des cartes de contrôle.

Ces cartes prennent différentes formes, notamment carte P, carte C, carte R et carte X-bar, selon les
éléments suivis. Les cartes P et C sont utilisées pour suivre les attributs ; les cartes R et X-bar pour
suivre les variables. (La différence entre les attributs et les variables a été traitée plus haut dans ce
chapitre, dans la section sur les échantillons.)

Vous trouverez un exemple de carte de contrôle à l'illustration III-14. Veuillez noter la courbe en
cloche renversée sur le côté, sur la droite.

Illustration III-14 : Carte de contrôle des arrivées en retard (carte C)

L'illustration ci-dessus montre une carte C ; la lettre C représente le « compte ». Les cartes C sont
utiles pour suivre les attributs tels que les erreurs ou, dans ce cas, contrôler les arrivées en retard des
trains par jour. L'axe horizontal représente les « échantillons », c'est-à-dire, dans ce cas, tous les
trains qui arrivent à une gare donnée un jour donné. La ligne centrale horizontale est le nombre moyen
d'arrivées en retard, déterminée par des échantillons pilotes. La ligne de limite supérieure de
contrôle (UCL - « Upper control limit ») indique le plus grand nombre d'arrivées en retard prévues.
La ligne de limite inférieure de contrôle (LCL - « Lower control limit ») indique le nombre le plus
faible d'arrivées en retard dans l'étendue prévue. Comme l'indique la partie droite de l'illustration,
les limites de contrôle sont définies aux trois sigmas plus et moins d'une courbe en cloche renversée
sur le côté. Si tous les nombres d'arrivée en retard, indiqués par des points noirs sur la carte, se
rassemblent autour de la ligne centrale et restent à l'intérieur des limites supérieure et inférieure, le
processus est sous contrôle statistique. Les erreurs (les arrivées en retard) se trouvant au-dessus de
l'UCL ou sous la LCL indiquent que le processus n'est probablement plus sous contrôle statistique et
qu'il convient de vérifier ces jours de l'échantillon afin de savoir si des problèmes non aléatoires ont
causé ces résultats hors contrôle.

Rappelons que s'il y a plus de trois sigmas en dehors des limites, dans un sens ou dans l'autre, cela
signifie que la probabilité qu'un tel événement se produise est d'environ 0,1 % lorsqu’il se trouve au-
dessus de l'UCL et d'environ 0,1 % s'il se trouve en dessous de la LCL ; ces cas sont donc très
particuliers. Même si un nombre d'arrivées tardives inférieur à la LCL peut sembler être une bonne
chose, nous nous retrouvons devant une situation statistiquement rare qui devra être examinée, et il se
peut que, par conséquence, d'autres problèmes se créent, comme par exemple un nombre moyen élevé
de trains qui arrivent en avance ce jour. (Notez que si trois sigmas se trouvent en dessous de la
moyenne pour un processus particulier et représentent un nombre négatif, ce processus n'aura pas de
LCL, et les contrôleurs se concentreront uniquement sur l'UCL ou sur les quantités excessives
d'erreurs de non-conformité.)

Un observateur ne pourrait-il pas tout simplement utiliser la courbe en cloche normale pour étudier la
variance des arrivées à l'heure ? Oui, mais la courbe en cloche normale (en position verticale) est
statique. Elle ne permet pas le suivi visuel d'un processus au cours du temps. La carte de contrôle
permet aux observateurs (superviseurs, responsables, auditeurs, etc.) de suivre les résultats d'un
processus pas à pas.

La carte C est l'un des types de cartes utilisés pour suivre des attributs. La carte P, qui suit des
résultats en pourcentage, représente une autre carte de contrôle d'attributs.

Les cartes P, telles que celle présentée à l'illustration III-15 sur la page suivante, sont généralement
utilisées pour suivre une série de grands échantillons.

Dans cette carte P, la moyenne de 4 % indique le pourcentage moyen de trains qui ne sont pas arrivés
à l'heure dans un échantillon quotidien de 100 trains (indépendamment du fait que les trains soient en
avance ou en retard). L'utilisation de pourcentages au lieu de valeurs absolues permet de comparer
des échantillons de taille variable alors qu'un simple nombre, comme le nombre de minutes d'avance
ou de retard n'est pas significatif si les voyages n'ont pas la même durée. La limite de contrôle
supérieure de 6 % montre que le pire résultat lors des échantillons pilotes était l'arrivée en avance ou
en retard de six trains sur 100. La limite inférieure de contrôle (LCL = 2 %) représente le meilleur
résultat des échantillons, où seulement 2 % des trains ne sont pas arrivés à l'heure. La compagnie
ferroviaire peut désormais déclarer que 96 % de ses trains arrivent à l'heure, plus ou moins 2 %.

Illustration III-15 : Carte de contrôle des arrivées à l'heure quotidiennes (carte P)

Comme nous l'avons vu, les cartes de contrôle ne sont pas limitées aux attributs et peuvent également
suivre des variables. Par exemple, l'étendue et la moyenne de la distribution d'un échantillon sont des
mesures de variables. Une carte R suit les modifications d'étendue d'une succession d'échantillons et
une carte X-bar suit l'évolution de la moyenne d'un échantillon à l'autre. L'illustration III-16
représente une carte R qui suit l'étendue des durées de trajets dans des échantillons quotidiens de
trains de banlieue voyageant entre des gares données (afin que les données soient comparables).

Illustration III-16 : Étendue quotidienne des durées de trajets (carte R)

Dans l'illustration ci-dessus, la moyenne et les limites de la carte R sont basées sur des échantillons
pilotes de durées de trajets entre deux gares données. En moyenne, l'étendue des durées pour les
échantillons quotidiens est de 4 minutes. Supposons que le trajet le plus long était de 22 minutes et le
plus bref de 18 minutes. La limite supérieure de contrôle de 6 minutes a été définie un jour où le
trajet le plus long était de 25 minutes et le plus bref de 19 minutes. Et la limite inférieure de contrôle
a été définie un jour où le trajet le plus long était de 19 minutes et le plus bref de 17 minutes.

Les résultats de la carte de contrôle ne sont pas très prometteurs pour l'organisation responsable de
l'exploitation des trains (ni pour les passagers). Au cours de deux jours, l'étendue de la durée des
trajets a été supérieure à 6 minutes. Un autre jour, cette étendue était inférieure à 2 minutes. (Un
échantillon inférieur à la LCL peut sembler un bon résultat, en particulier car les trains étaient
particulièrement rapides ce jour-là, avec des trajets de 17 et 19 minutes. Toutefois, la valeur mesurée
se trouve en dehors des limites de contrôle, ce qui indique que le processus lui-même n'est
probablement plus sous contrôle statistique. En outre, il semble évident que le respect des horaires
est la clé de la prévisibilité. Si un train arrive et repart en avance, certains passagers qui comptent
sur l'heure de départ prévue risquent de manquer leur train.)

Vous avez peut-être remarqué dans notre carte R que non seulement l'étendue des échantillons varie,
mais également la moyenne. L'échantillon ayant défini la limite supérieure de contrôle présentait une
durée de trajet moyenne de 22 minutes, à mi-chemin entre les trains les plus rapides et les plus lents.
(Ce n'est pas toujours le cas, mais cela l'était pour cet échantillon.) La durée moyenne de trajet pour
le jour ayant défini la limite inférieure de contrôle était de 18 minutes. Pour tous les échantillons, la
durée moyenne était de 20 minutes. Cette information peut être utilisée pour définir une carte X-bar
comme celle de l'illustration III-17.
Illustration III-17 : Moyenne des arrivées à l'heure quotidiennes (carte X-bar)

Les cartes R et X-bar peuvent être considérées comme des moyens complémentaires d'étudier le
même ensemble d'échantillons. Il est possible que l'étendue varie alors que la moyenne reste
identique, auquel cas une carte X-bar ne reflète pas la variabilité des échantillons. Inversement, il est
possible que la moyenne change sans affecter l'étendue, auquel cas une carte R ne reflète pas cette
modification de variabilité.

Termes statistiques à ne pas oublier

Cette rubrique comporte un certain nombre de termes propres au domaine des statistiques. Voici un
récapitulatif de ces termes.

Cause assignable. Une cause assignable est une cause non aléatoire de variabilité.

Courbe en cloche. La courbe en cloche, ou courbe normale, est la courbe en forme de cloche qui
représente sous forme graphique une distribution normale de variables aléatoires dans une
population. Elle est parfaitement symétrique, la moyenne, la médiane et le mode se trouvant au
même point central, la plupart des valeurs étant rassemblées à proximité de ce point milieu et un
nombre décroissant de valeurs étant situées à des distances toujours plus grandes de ce point
milieu.

Carte C. La carte C est une carte de contrôle permettant de suivre la variabilité des attributs
(valeurs pouvant être dénombrées, telles que les erreurs) dans des échantillons successifs.

Coefficient de variation. Le coefficient de variance est calculé en divisant l'écart-type d'un

échantillon par la moyenne. Il indique l'importance de la variabilité d'un échantillon par rapport à
la moyenne.

Statistique descriptive. La statistique descriptive est la branche de la statistique relative à la

collecte, l'analyse, la description et la présentation de données, plus particulièrement le calcul des
caractéristiques d'échantillons telles que la moyenne, la médiane, le mode, l'étendue, la variance
et l'écart-type.

Statistique inférentielle. La statistique inférentielle est la branche de la statistique qui consiste à

déduire des inférences concernant une population à partir d'échantillons sélectionnés au sein de
cette population.

Limite inférieure de contrôle. Dans une carte de contrôle, la limite inférieure de contrôle (LCL -
« Lower control limit ») est la valeur la plus éloignée de la moyenne en direction négative, tout en
restant dans l'étendue qui représente le contrôle statistique.

MAD. L'écart moyen absolu (MAD - « Mean absolute deviation ») est l'écart moyen de chaque
valeur d'une distribution par rapport à la valeur moyenne de la distribution (somme des
différences absolues divisée par le nombre d'éléments de la distribution).

Moyenne. La moyenne, indiquée par la lettre grecque mu (μ), est le point milieu d'un échantillon
calculé en additionnant les valeurs de tous les éléments dans l'échantillon et en divisant par le
nombre d'éléments. Cette valeur constitue l'une des mesures de la tendance centrale d'une
population. (La moyenne pour un échantillon s'appelle X-bar ou .)

Médiane. La médiane est la mesure de tendance centrale représentée par la valeur se trouvant au
point milieu de toutes les valeurs d'un ensemble de chiffres, avec un nombre égal de valeurs au-
dessus et au-dessous d'elle.

Mode. Le mode est la mesure de tendance centrale représentée par la valeur présente le plus
souvent dans un ensemble de chiffres.

Cause naturelle. Une cause naturelle, également appelée cause commune, est une cause aléatoire
de variabilité dans le cadre d'un processus.

Hors contrôle. Dans une carte de contrôle, une valeur hors contrôle se trouve au-dessus de la
limite de contrôle supérieure ou au-dessous de la limite de contrôle inférieure et indique que le
processus faisant l'objet du graphique est probablement hors contrôle statistique.

Carte P. Une carte de contrôle P illustre la variabilité des erreurs (ou d'autres attributs) en
mesure de pourcentage, dans des échantillons successifs.

Carte R. Une carte de contrôle R suit la variabilité de l'étendue des valeurs dans des échantillons
successifs.

Erreur-type. L'erreur-type, ou erreur type de la moyenne, estime l'écart-type de la distribution

d'échantillonnage des moyennes, sur la base de données provenant d'un ou plusieurs échantillons
 aléatoires.

Limite supérieure de contrôle. Dans une carte de contrôle, la limite supérieure de contrôle (UCL
- « Upper control limit ») est la valeur la plus éloignée de la moyenne en direction positive, tout
en restant dans l'étendue qui représente le contrôle statistique.

Variance. La variance est un nombre qui permet de mesurer le degré de dispersion par rapport à
la moyenne de toutes les valeurs d'un échantillon. Le symbole de la variance est σ2 (et σ est la
lettre grecque sigma). Elle est calculée en prenant la moyenne des carrés de l'écart de chaque
valeur par rapport à la moyenne. La racine carrée de la variance est l'écart-type de l'échantillon.

Carte de contrôle X-bar. Une carte X-bar suit la variabilité des moyennes d'échantillons
successifs.

Rubrique 4 : Mettre en pratique les techniques de

revue analytique (Niveau P)
Dans un chapitre précédent, nous avons examiné certaines techniques utilisées pour la collecte
d'informations, telles que les entretiens, les questionnaires et l'observation. Toutefois, les
informations constituent uniquement la matière première d'un audit. Après avoir rassemblé des
ensembles complets de données ou d'échantillons, l'auditeur peut se poser ce type de questions :
Est-ce que les informations collectées indiquent que l'organisation est en bonne santé, qu'elle
fonctionne efficacement et possède des contrôles adéquats ?
Au contraire, les informations révèlent-elles potentiellement des insuffisances, des problèmes de
responsabilité légale et des défaillances de fonctionnement par rapport aux objectifs de la
direction ?

Les examens analytiques (également appelés procédures d'audit analytiques ou procédures

analytiques) étudient les relations entre les données recueillies. En particulier, l'examen des relations
entre les données souvent ignorées peut fournir des indications précieuses.

Les auditeurs internes utilisent une grande variété de techniques dans le cadre du processus d'analyse
des informations, comme indiqué dans les deux Normes suivantes.
Norme 2300, « Accomplissement de la mission » Les auditeurs internes doivent identifier,
analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la
mission.
Norme 2320, « Analyse et évaluation » Les auditeurs internes doivent fonder leurs conclusions et
les résultats de leur mission sur des analyses et évaluations appropriées.

Les informations examinées peuvent être financières ou non financières, quantitatives ou qualitatives.
Parmi les mesures typiques que les auditeurs internes peuvent utiliser lors d'une revue analytique
figurent les sommes d'argent, les quantités de stocks, les ratios et les pourcentages

Les revues analytiques sont effectuées au cours des différentes phases de la mission d'audit. Ils sont
utilisés à haut niveau lors de l'enquête préliminaire, pour étayer le plan de mission de l'auditeur
interne (garantir que le périmètre d'audit est approprié) et faciliter l'identification des conditions qui
seront rencontrées lors d'une enquête plus approfondie sur le terrain. Des examens analytiques sont
également réalisés lors des tests de terrain, pour évaluer les données ou les échantillons recueillis et
rédiger les constatations, conclusions et recommandations.

Certaines techniques d'analyse utiles à l'audit ont été élaborées dans le domaine de la gestion des
opérations, afin d'être utilisées dans le cadre de la planification des affaires. L'auditeur interne
devrait donc être en mesure d'évaluer l'utilisation de ces techniques par la direction ou de suggérer
qu'elles soient utilisées si elles peuvent permettre d'atteindre les objectifs de l'entreprise.

Comparaisons utilisées dans l'analyse des informations

Afin de transformer l'information en produit fini (produire un rapport d'audit dont les conclusions et
recommandations répondent aux questions mentionnées au début de cette rubrique), il est important de
comparer ce que l'auditeur a constaté et ce que l'auditeur aurait dû constater. Les attentes de l'auditeur
interne peuvent se baser sur un certain nombre de sources d'information pertinentes, comme les états
financiers, les budgets (les dépenses réelles correspondent-elles aux montants budgétisés ?), les
règlements, les normes industrielles, les objectifs de l'organisation et les performances antérieures.
L'auditeur doit conserver un point de vue objectif, basé uniquement sur les preuves obtenues au cours
de l'audit. De même, les conclusions de l'auditeur devraient être fondées uniquement sur les résultats
des entretiens et des tests.

Voici quelques procédures d'audit analytiques :

Comparaison des informations concernant l'exercice en cours avec des informations similaires
concernant les exercice antérieurs.
Comparaison des informations concernant l'exercice en cours avec les budgets et les prévisions.
Étude de la relation entre des informations financières et des informations non financières
appropriées (par exemple les charges de personnel enregistrées par rapport à l'évolution du
nombre moyen d'employés).
Étude des relations entres différents éléments d'information (par exemple les fluctuations des
intérêts débiteurs enregistrés par rapport à l'évolution des soldes de dettes associées).
Comparaison des informations avec des informations similaires dans d'autres unités
organisationnelles.
Comparaison des informations avec des informations similaires dans le secteur d'activité de
l'organisation.

Comme vous pouvez le voir sur cette liste, qui n'est aucunement exhaustive, la comparaison est
l'élément commun utilisé dans les procédures d'audit analytiques. Qu'un groupe de nombres donné ait
ou non une signification pour l'audit dépend de sa relation avec un autre groupe. Cela peut induire la
comparaison entre les informations actuelles et passées pour un même élément de l'organisation : les
ventes actuelles et passées, par exemple, ou les bénéfices actuels et passés. Cela peut également
induire la comparaison des résultats d'une organisation avec ceux d'une autre organisation du même
type ou avec des moyennes pour toutes les organisations similaires. Et cela peut induire la
comparaison entre un élément financier, tel que le coût des marchandises, avec l'objet physique
acquis (les biens). Dans tous ces cas, la valeur d'un élément d'information ne peut être révélée qu'en
la comparant avec une autre valeur.

L'hypothèse sous-jacente à ces comparaisons analytiques est que l'on peut s'attendre à ce que les
relations restent constantes sauf s'il existe une situation connue qui amènerait l'auditeur à s'attendre à
un changement.

L'objectif d'un examen analytique est d'identifier les divergences entre ces différentes informations.
Ceci peut inclure des écarts inattendus (alors qu'une relation stable et constante est prévue) ou
l'absence de différence (alors que des changements sont attendus). Les facteurs suivants
(individuellement ou conjointement) peuvent causer des écarts inattendus ou une absence de
changements attendus :
Erreurs ou omissions par l'organisation, la division opérationnelle ou l'auditeur interne ;
Non-conformité ;
Actes illicites (p. ex., gestion commerciale non conforme à la déontologie ou fraude) ;
Evénements ou transactions inhabituels ;
Méthode de comptabilité utilisée.

S'il détecte une modification inattendue, l'auditeur doit approfondir son travail afin d'en rechercher la
cause. De même, si l'auditeur prévoit une modification sans la trouver, une étude supplémentaire est
nécessaire. La recherche qui fait suite à la découverte d'une relation inattendue n'est généralement pas
de nature analytique et peut inclure des tests substantifs tels que des discussions avec les
superviseurs ou un examen des transactions.

Choisir le type et le nombre de procédures d'audit à

effectuer
Lors de la sélection d'une procédure analytique, les auditeurs internes devraient prendre en compte :
L'importance du domaine à auditer.
L'évaluation des risques et l'efficacité de la gestion des risques dans le domaine audité.
La disponibilité et la fiabilité des informations financières et non financières.
La précision avec laquelle les résultats des procédures analytiques peuvent être prédits.
La disponibilité et la comparabilité des informations concernant le secteur dans lequel
l'organisation fait affaires.
Dans quelle mesure les autres procédures de la mission soutiennent les résultats de la mission.

Les procédures analytiques prennent du temps et coûtent de l'argent. Par conséquent, des procédures
supplémentaires d'audit devraient être ajoutées uniquement dans les domaines qui présentent un
risque important, soit parce qu'ils se rapportent à la réalisation des objectifs, soit parce qu'ils
possèdent des caractéristiques spéciales qui les rendent complexes ou vulnérables aux défaillances.
Par exemple, le portefeuille d'emprunts en cours d'une banque est manifestement d'une importance
cruciale pour les objectifs en matière de revenu et il est donc approprié de passer plus de temps à
tester les échantillons de prêts pour vérifier la solvabilité des emprunteurs. L'audit de stratégies de
couverture complexes peut également être considéré comme nécessaire en raison d'un potentiel
important de perte si ces instruments dérivés ne sont pas utilisés correctement ou sont utilisés sans
vraiment les comprendre.

Les auditeurs internes devraient ajouter une procédure analytique uniquement lorsque celle-ci aide à
prouver un point pertinent par rapport à l'objectif de la mission. Les auditeurs internes doivent
déterminer ce que la procédure peut et ne peut pas prouver et comparer ceci à l'objectif de la
mission. Si l'auditeur interne veut vérifier si une fonction d'approvisionnement présente des dépenses
non autorisées, l'auditeur peut suivre la progression d'un échantillon de demandes d'achat en les
mettant en correspondance avec des documents connexes, tels que des bons de commande, des
documents d'accusé-réception, des factures et des paiements. À défaut, l'auditeur interne peut
commencer par la fin et vérifier d'abord les derniers paiements, puis remonter jusqu'aux demandes
d'achat initiales. Qu'est-ce que chacun de ces tests peut prouver ? Le processus de traçage prouverait
que les demandes d'achat ont été correctement payées et reçues, mais il ne pourra pas prouver quand
ces articles ont été achetés sans prendre en compte les demandes. Le processus de vérification
prouverait que tous les paiements sortants correspondent à des articles qui ont été correctement
commandés, ce qui en fait le test adéquat dans ce cas.

Techniques analytiques
Quel que soit le type de mesure utilisé, le but des comparaisons analytiques est d'aider l'auditeur à
identifier toute situation qui mérite un examen plus approfondi. Parmi les techniques analytiques
spécifiques figurent entre autres les éléments suivants :
Tests de vraisemblance
L'un des principes fondamentaux des revues analytiques est la notion de vraisemblance, ou caractère
raisonnable. La vraisemblance représente l'application judicieuse de l'expérience et des
connaissances de l'auditeur interne concernant l'organisation et l'industrie à tout résultat de test
d'audit. La vraisemblance est un type spécifique de test, mais également un critère sous-jacent aux
autres tests décrits dans cette rubrique. Lors de la comparaison d'un ensemble de données à un autre,
l'auditeur pense découvrir des relations vraisemblables entre les différentes informations. Si des
divergences inattendues sont détectées lors de la comparaison des informations ou, à l'inverse, si les
différences attendues sont absentes, l'auditeur interne doit juger personnellement si le changement ou
l'absence de changement est vraisemblable. Si la réponse est non, l'activité d'audit interne devrait en
étudier les raisons lors de la mission.

Par exemple, l'auditeur peut se pencher sur le rapport commission-chiffre d'affaires pour deux
périodes correspondantes et s'attendre à trouver peu de différences en se basant sur l'évaluation de la
rotation du personnel, de l'introduction de nouveaux produits et ainsi de suite. Toutefois, l'auditeur
détecte que le chiffre d'affaires a baissé alors que les commissions restent constantes. Puisque cela ne
semble pas vraisemblant, l'auditeur doit procéder à de nouvelles enquêtes ou tests pour découvrir la
cause.

De même, l'auditeur peut se pencher sur les tendances en matière de recouvrement et constater que
l'âge des dettes a augmenté de manière inattendue au cours de l'exercice en cours par rapport à la
normale historique pour le département. Cela aussi représente un échec du test de vraisemblance et
nécessite une enquête plus approfondie afin d'en déterminer la cause. Ou encore, l'auditeur peut
comparer les frais de représentation et les récompenses accordées aux employés, et découvrir que
ces frais sont disproportionnés par rapport aux pratiques du secteur. Si l'écart semble trop important,
l'auditeur voudra mener des enquêtes sur les raisons de ces dépenses. La direction peut être en
mesure d'expliquer la relation entre ces dépenses et les performances supérieures.
Analyse des écarts
L'analyse des écarts est un type de procédure analytique fondamental qui reconnaît d'abord qu'un
ensemble de données diffère d'un autre ensemble de manière inattendue. Par exemple, les dépenses
de la période en cours sont étonnamment supérieures (ou inférieures) à celles de la période
précédente, et ce d'un montant important. En plus de reconnaître les changements imprévus au niveau
des données, l'analyse des écarts peut être utilisée eaux fins suivantes :
Comparaison entre les objectifs de l'activité ou du processus audité et les objectifs
organisationnels.
Analyse des facteurs ayant entraîné une divergence entre la valeur planifiée ou standard et la
valeur réelle.
Comparaison de la rapidité avec laquelle les produits et services sont réellement fournis par
rapport aux objectifs du domaine d'activité et de l'organisation.
Comparaison de données financières similaires, sur la période en cours, par rapport à une ou
plusieurs périodes passées.
Pratiques d'analyse informatique pour comparer les écarts de données entre deux bases de
données (comme les noms ou les adresses entre les fichiers RH et de paie).

Les budgets sont souvent soumis à une analyse des écarts. Bien que les budgets soient examinés sous
un grand nombre de perspectives différentes (crédibilité, niveau de flexibilité, efficacité,
augmentation ou diminution, etc.), dans chaque cas une analyse des écarts peut être effectuée pour
comparer un ensemble de chiffres budgétaires avec un autre ensemble qui sert de norme d'évaluation.
Par exemple, le budget prévu mois par mois peut être comparé avec les dépenses réelles de chaque
mois, afin de découvrir tout écart invraisemblable. Le budget des dépenses pour l'exercice en cours
pourrait être comparé aux mêmes dépenses d'un exercice antérieur ou à une moyenne de l'industrie.

Exemple d'écarts budgétaires

L'illustration III-18 montre, d'abord sous forme de tableau puis sous forme de diagramme, une analyse
des écarts simple pour un budget annuel comparé aux coûts réels.

Illustration III-18 : Analyse des écarts entre les montants réels et prévus
Comme vous pouvez le voir dans le tableau, mais encore plus clairement dans le diagramme, il existe
un écart important entre le budget et les chiffres réels en plusieurs endroits, mais surtout en juillet,
lorsque les dépenses réelles dépassent le budget de 6 000 USD, et en décembre, lorsque les dépenses
réelles dépassent le budget de 3 500 USD. L'auditeur voudra certainement mener des enquêtes afin
d'expliquer ces deux écarts significatifs, ainsi peut-être que le montant insuffisant de septembre à
novembre. (On pourrait dire que les dépenses de décembre ont fortement augmenté lorsque le
responsable du domaine a découvert qu'il restait énormément d'argent dans le budget pour l'année.)

Analyse de tendances
L'analyse des tendances – la plus courante des techniques d'audit analytiques – suit les relations au
niveau des données financières ou opérationnelles historiques, à mesure qu'elles évoluent avec le
temps. Pour cette raison, on parle également d'analyse horizontale. L'analyse des tendances est
souvent utilisée pour identifier les indicateurs de performance, mettre en évidence des changements
importants et évaluer la situation actuelle. L'analyse des tendances se fait à long terme ou à court
terme :
Une analyse des tendances à long terme examine les données de performances sur une longue
période, avec pour but de hiérarchiser les actions d'amélioration sur la base des tendances en
matière de performances.
Une analyse des tendances à court terme identifie les domaines présentant un potentiel
d'amélioration des processus ou des systèmes.

Les tendances soumises à analyse sont nombreuses et variées. Certains exemples de tendances
couramment analysées sont les recettes, les dépenses, les ouvertures de boutique, la production et les
bénéfices. Les tendances peuvent également être suivies pour des ratios, soit des ratios financiers
(tels que les tendances en matière de ratio prix/revenus pour les actions ordinaires), soit des ratios
d'exploitation (tels que les cycles de production ou les unités de produit par heure de travail).

L'analyse des tendances est souvent utilisée pour examiner les changements au niveau d'un solde de
compte ou d'un autre ensemble de données historiques. Puisque l'accent est mis sur les séquences
historiques de données, l'analyse des tendances est particulièrement appropriée à l'examen des
données provenant de déclarations des revenus ou de déclarations des dépenses plutôt qu'aux
données issues de bilans, qui elles fournissent des informations financières à un moment précis.

Bien que son utilisation soit associée à l'examen des comptes financiers, l'analyse des tendances peut
également s'appliquer aux informations de fonctionnement. Par exemple, une analyse de tendances
peut suivre l'impact sur la production d'une augmentation du nombre d'ouvriers. Un graphique
représentant cette situation pourrait montrer que des travailleurs supplémentaires pourraient accroître
la production jusqu'à un certain point, après quoi la production s'aplatit lorsque les travailleurs
supplémentaires dépassent la capacité du matériel disponible et deviennent donc superflus.

Vous trouverez ci-dessous différents exemples d'analyse de tendances :

La comparaison de données similaires tirées d'audits répétitifs
Le traçage des données financières historiques
La comparaison des activités de l'organisation avec les activités de l'industrie et la revue
analytique de la réalisation d'objectifs similaires

Exemple de courbe d'apprentissage

La courbe d'apprentissage est une forme spécialisée d'analyse des tendances qui suit l'évolution de la
productivité par rapport à l'efficacité accrue des travailleurs au fur et à mesure qu'ils se familiarisent
avec le matériel, les procédures, etc. L'illustration III-19 montre la forme générale de la courbe
d'apprentissage, qui représente une analyse des tendances de l'incidence de l'expérience sur
l'efficacité.

Illustration III-19 : Courbe d'apprentissage

La tendance suivie par la courbe d'apprentissage se déplace généralement vers le haut assez
rapidement au début, lorsque les employés acquièrent de l'expérience et travaillent plus efficacement.
Au fil du temps, l'impact d'une plus grande expérience devient négligeable et la courbe se stabilise.

Comme pour toutes les courbes d'apprentissage, le but de l'analyse des tendances est d'évaluer
l'impact d'une « variable », comme l'expérience, par rapport à une autre « variable », comme
l'efficience ou l'efficacité. La forme de la courbe peut indiquer à un auditeur si la relation entre les
variables évolue dans la bonne direction ou non. Si la courbe à l'illustration précédente suit le
rapport entre, disons, la production sur l'axe vertical et l'investissement sur l'axe horizontal, on peut
conclure que de nouvelles augmentations de l'investissement pourraient être gaspillées, puisque des
fonds supplémentaires n'entraînent pas de rendement accru. Par exemple, la question qui revient
souvent est de savoir s'il est efficace d'ajouter des travailleurs à un projet qui risque de ne pas être
fini à temps. Un graphique de la situation peut révéler que l'ajout de travailleurs supplémentaires n'a
de sens que dans une certaine mesure, car chaque travailleur a besoin de temps pour se familiariser
avec le projet. La courbe d'apprentissage peut réduire les gains différentiels liés à l'ajout de
travailleurs jusqu'à ce que l'on note une augmentation nette de la durée totale du projet lorsque trop
de travailleurs sont ajoutés.

Analyse des ratios

Les ratios sont des relations mathématiques entre deux ou plusieurs chiffres, souvent énoncés sous la
forme de pourcentages, d'heures ou de jours ; ils comparent les relations à un moment précis dans le
temps. L'analyse des ratios calcule et interprète généralement ces rapports ; elle peut être utilisée
dans la comparaison des relations entre des divisions similaires de l'organisation, éventuellement
situées dans différents pays.

Dans notre exemple concernant l'analyse des écarts, nous avons examiné l'évolution des relations
entre les dépenses réelles et le budget projeté. Lorsque le graphique de cette relation montre un écart
inattendu entre ces deux valeurs, nous voyons une modification du ratio du montant réel sur le montant
budgétisé. Par exemple en juin, le ratio entre dépenses réelles (12 000 USD) et budget (10 000 USD)
était 6/5, ou 120 %. En juillet, le ratio a fortement augmenté pour atteindre 8/5, ou 160 %
(16 000 USD à 10 000 USD).

Cet exemple illustre toutes les approches analytiques explorées jusqu'à présent. L'écart entre les
dépenses réelles et budgétisées peut être analysé comme une tendance entre deux chiffres ou deux
ratios, et le but de l'analyse est de déterminer si oui ou non un écart inattendu est considéré
vraisemblable.

Les auditeurs utilisent différents types d'analyse de ratio : les états financiers en pourcentages, les
ratios non financiers et les ratios financiers.

États en pourcentages
Les états financiers en pourcentages expriment tous les soldes de comptes en pourcentages d'un solde
total pertinent, généralement le chiffre d'affaires pour l'état des résultats ou les actifs totaux pour le
bilan. Par exemple, si tous les éléments de l'état des résultats sont exprimés en pourcentages du
chiffre d'affaires, il est possible de comparer de façon égale tous les états des résultats,
indépendamment du fait que les chiffres inclus dans chaque état soient faibles ou élevés. Les états
peuvent alors être comparés même si leurs valeurs absolues sont très différentes. Par exemple, si les
dépenses de marketing sont exprimées en tant que 0,50 % du chiffre d'affaires, il importe peu que les
dépenses soient de 1 000 USD et le chiffre d'affaires de 200 000 USD ou que les dépenses soient de
10 000 USD et le chiffre d'affaires de 2 000 000 USD. Dans les deux états, le chiffre d'affaires est de
100 % et les dépenses de marketing de 0,50 %. Les deux peuvent donc être comparés pour rechercher
des tendances ou des écarts. L'analyse verticale est la conversion de tous les éléments de l'état des
résultats en pourcentages du chiffre d'affaires.

Ratios non financiers

Les ratios non financiers comparent les relations entre deux éléments commerciaux mesurables et
interdépendants. Par exemple, les auditeurs internes peuvent calculer le ratio de jours de congé
maladie par rapport au total de jours de congé maladie et comparer ces ratios pour chaque
département. Comme pour tout ratio, les ratios non financiers rendent les données comparables ou
leur donnent une taille relative commune.

Ces ratios sont souvent utilisés comme indicateurs clés de performance (ICP) pour mesurer et gérer
la réalisation des objectifs et l'atténuation des principaux risques. Par exemple, le ratio des
commandes traitées sans erreur ou retard par rapport au nombre total des commandes expédiées
pourrait être un ICP pour la gestion de la chaîne d'approvisionnement.

Les ratios non financiers peuvent être examinés d'un exercice sur l'autre ou évalués par rapport à un
point de comparaison interne ou externe. Les rapports d'exception peuvent mettre en évidence des
ratios non financiers qui nécessitent un examen approfondi.

Ratios financiers
Les ratios financiers sont utilisés pour comparer les relations entre les différents éléments des états
financiers ou de tout autre compte financier. Les auditeurs, les responsables, les prêteurs et les
investisseurs utilisent de nombreux ratios pour déterminer la santé d'une organisation. Ces ratios
peuvent être utilisés pour comparer les performances des unités au sein d'une organisation et pour
comparer différentes organisations entre elles ou à une norme commune, comme les ratios globaux
d'une industrie. Les ratios financiers sont souvent classés selon le type d'informations qu'ils
fournissent :
Ratios d'activité. Les ratios d'activité sont utilisés pour mesurer l'efficacité d'une organisation
concernant la transformation de divers comptes de bilan en ventes ou en liquidités. Les ratios
d'activité courants sont présentés à l'illustration III-20.

Illustration III-20 : Ratios d'activité couramment utilisés

Ratios de liquidité. Les ratios de liquidité mesurent la solvabilité de l'entreprise en comparant
l'actif au passif. Ces ratios sont présentés dans l'illustration III-21.

Illustration III-21 : Ratios de liquidité couramment utilisés

Ratio de levier (ou d'endettement). Les ratios de levier financier (aussi appelé ratios d'endettement) sont semblables aux ratios de
liquidité car ils mesurent les actifs d'une organisation par rapport à ses passifs pour déterminer la capacité de rembourser les dettes.
L'effet de levier, cependant, est une mesure à plus long terme de la solvabilité de l'organisation. Même si une organisation peut
maintenir un taux élevé de dette à court terme (les nouvelles entreprises sont souvent dans cette situation), un niveau élevé
d'endettement par rapport aux capitaux propres ne peut être maintenu à long terme sans réduire la capacité de l'organisation à attirer
les prêteurs et les investisseurs. Les ratios de levier sont généralement utilisés pour suivre l'évolution de la solvabilité d'une
organisation d'un exercice à l'autre. Des exemples de ratios de levier couramment utilisés sont présentés à l'illustration III- 22.

Illustration III- 22 : Ratios de levier (ou d'endettement) couramment utilisés

Ratios de rentabilité. Les ratios de rentabilité indiquent la capacité à faire un profit. Ils
impliquent diverses comparaisons des profits (les revenus moins les dépenses) au numérateur par
rapport aux revenus au dénominateur. Les profits et revenus peuvent être mesurés de différentes
façons, donc il existe un certain nombre de ratios de rentabilité, comme le montre l'illustration III-
23.

Illustration III-23: Ratios de rentabilité couramment utilisés

Analyse de régression
L’analyse de régression est une technique statistique utilisée pour mesurer le changement d’une
valeur par rapport au changement d’une autre valeur. Dans les applications les plus simples de la
méthode, les équations de régression indiquent l'impact d'une variable sur une autre. Par exemple,
l'analyse de régression peut être utilisée pour suivre la relation entre les intérêts débiteurs et les
niveaux de dette dans le temps, entre les dépenses et les recettes, ou toutes autres valeurs pouvant
être liées. La méthode n’est pas limitée à des variables financières, ni même à des variables de type
similaire. Une analyse de régression peut également être utilisée pour examiner l'impact d'une
variable non financière sur une variable financière (ou l'inverse), telle que l'impact de l'augmentation
du nombre de commerciaux sur le chiffre d'affaires. En fait, l’un des avantages de l’analyse de
régression est sa capacité d’adaptation au suivi des relations entre de nombreux types différents de
variables.

Dans une équation de régression comportant deux variables, la variable supposée influencer l'autre
est appelée la variable indépendante et la variable subissant l'influence est appelée la variable
dépendante. Par exemple, dans une analyse de l’impact du budget marketing sur le chiffre d'affaires,
le budget marketing est la variable indépendante, et le chiffre d'affaires est la variable dépendante.
En principe, les changements dans le chiffre d'affaires dépendent des changements dans le budget
marketing.

Les relations entre les deux variables d'une analyse de régression simple peuvent être représentées
sur un graphique nommé diagramme de dispersion, comme le montre l'illustration III-24. L’équation
de régression serait illustrée par la pente de la courbe qui montre le « meilleur rapport »grâce aux
points représentant les valeurs relatives des dépenses et des recettes.

Illustration III-24 : Diagramme de dispersion

La variable dépendante, ici le chiffre d'affaires, est représentée sur l’axe Y (vertical), tandis que la
variable indépendante est représentée sur l’axe X (horizontal). Les points de ce diagramme
représentent différents chiffres d'affaires obtenus à certains niveaux de dépenses de marketing.
Lorsque ces points sont reportés sur le diagramme, il est parfois possible de tracer une ligne de
tendance, comme celle illustrée, qui montre un motif dans les données (en partant du principe qu’il
existe un motif).

Dans ce diagramme, les points dispersés se regroupent clairement autour de la ligne de tendance. Si
ce n'était pas le cas et que les points étaient vraiment dispersés dans le diagramme, sans possibilité
de tracer une ligne évidente pour les rapprocher, il n'y aurait aucune corrélation entre les variables et
aucun calcul ne serait nécessaire (D'un autre côté, une étude complémentaire serait indiquée afin de
déterminer pourquoi la relation attendue ne s'est pas manifestée).

Lorsque la ligne est tracée, nous pouvons voir intuitivement que tout point de donnée très éloigné au-
dessus ou en dessous de la ligne manquerait a priori de vraisemblance. L'illustration III-25 montre ce
cas. Deux « valeurs aberrantes » sont indiqués par des flèches. Un auditeur pourrait soupçonner que
ces deux points représentent une sorte d’irrégularité ou d'erreur et pourrait souhaiter effectuer des
tests ou des enquêtes supplémentaires afin d'en déterminer la cause.
 Illustration III-25 : Diagramme de dispersion avec valeurs aberrantes

Bien que le diagramme de dispersion fournisse une représentation visuelle satisfaisante de la relation
entre les deux variables, résoudre une équation de régression fondée sur les informations relatives
aux deux variables fournit une représentation plus précise de tout motif. Cela nous permet également
de calculer les relations pour d’autres valeurs des variables.

Pour une analyse de régression simple à deux variables, l'équation est :

Dans l'équation :
Y = la variable dépendante (le chiffre d'affaires dans notre exemple).
X = la variable indépendante (le budget marketing dans notre exemple).
a = un nombre constant représentant la valeur de Y lorsque X égale 0 ; en d'autres termes, le point
auquel la ligne couperait l'axe des Y.
b = l'augmentation de Y pour chaque incrémentation de X, soit la pente de la ligne.

En poursuivant l’exemple de suivi de la relation entre les dépenses et les recettes, partons du
principe que la valeur de a est 5 000 000 et la valeur de b est 500. En reportant cette information sur
un diagramme de dispersion, la ligne commence à gauche à 5 000 000 sur l’axe Y et monte vers la
droite avec, pour chaque incrémentation de 10 sur l’axe X, une incrémentation de 5 000 (10 × b, avec
b d’une valeur de 500) sur l’axe Y.

En utilisant ces valeurs pour a et b, nous pouvons calculer une valeur de Y pour toute valeur de X.
C’est-à-dire, pour tout budget marketing projeté (X), nous pouvons calculer une valeur de Y (chiffre
d'affaires) qui serait cohérente, ou vraisemblable, en fonction des valeurs utilisées dans l’équation.

Par exemple, nous pouvons calculer le chiffre d'affaires attendu pour un budget marketing de
140 000 USD :
La direction peut utiliser l'équation de régression pour prévoir les budgets à venir, sur la base de
l'expérience de budgets antérieurs ou d'autres mesures, et un auditeur peut utiliser cette équation pour
juger la vraisemblance du budget ou des résultats réels.

Comme tout modèle mathématique, une équation de régression sera bien plus précise que la réalité.
Nous ne pourrions nous attendre à ce que le budget marketing de 140 000 USD corresponde
exactement à un chiffre d'affaires réel de 75 000 000 USD. Comme le montre le diagramme de
dispersion, les vrais chiffres ne se rapprochent qu'approximativement de la ligne nette tracée sur le
graphique (ou calculée par l’équation).

Afin de prendre en considération cette variation inévitable, l’analyse de régression inclut une valeur r
pour quantifier la fiabilité des prédictions tirées de l’analyse de régression. Une valeur r de 1,0
indique une corrélation positive parfaite (le chiffre d'affaires progressant avec le budget marketing
exactement comme l'équation le prédit). Une valeur de 0 indique un comportement pleinement
aléatoire des deux variables, sans corrélation. Une valeur de –1 indique une corrélation négative
parfaite, c'est-à-dire que dans notre exemple, la ligne descendrait au lieu de monter. Ceci pourrait
arriver si l’augmentation des dépenses pour la sécurité du magasin, par exemple, était corrélée avec
les factures médicales en baisse.

La fiabilité peut être également mesurée avec r au carré, auquel cas les valeurs seraient comprises
entre 1 et 0, puisque un carré ne peut être négatif. Une valeur de +1 pour r carré indique une
corrélation parfaite, positive ou négative ; une valeur de 0 signifie un comportement pleinement
aléatoire, comme vu plus haut.

L’une des raisons pour lesquelles il est très improbable que la valeur de r réel ou r carré soit de 1
tient au fait que l'évolution de toute variable dépendante a probablement des causes multiples. Le
chiffre d'affaires, par exemple, peut être affecté par les dépenses marketing mais également par des
changements dans la main-d'œuvre, un système de rémunération modifié, un gain ou une perte de
fournisseurs, des situations économiques, etc.

Analyse de régression multiple

En plus d’analyses de régression simples qui mettent en jeu une variable indépendante et une variable
dépendante, que l’on présuppose être influencée par la variable indépendante, il est également
possible de réaliser des analyses de régression multiples. Cette technique statistique est utilisée dans
le but de tracer les effets de plus d’une variable indépendante sur une variable dépendante.

L’équation pour une analyse de régression multiple ajoute de nouvelles valeurs b et X :

En d'autres termes, chaque variable indépendante à son propre coefficient de changement (valeur b).
Limites de l'analyse de régression
Comme toute autre technique de corrélation statistique, l’analyse de régression démontre seulement,
dans le meilleur des cas, qu’une variable change en même temps qu’une ou plusieurs autres variables
changent. Elle n'indique pas les raisons de cette évolution. Il faut pour cela mener une analyse plus
poussée.

L’analyse de régression ne garantit pas non plus que la variable indépendante soit bien la raison du
changement observé chez la variable dépendante. Une tendance cohérente avec une valeur r proche
de 1 peut être très persuasive. Elle peut également être fausse. D’autres variables peuvent être
impliquées, causant le changement chez les deux variables observées.

Certains analystes avancent par exemple la théorie que la corrélation persistante entre le nombre
d’années d’étude et les revenus sur l'ensemble d'une vie est en fait fonction du fait que les personnes
qui ont la capacité de gagner de hauts salaires ou le désir de travailler dur ont aussi tendance à finir
plus d’années d’études. Que cette analyse spécifique soit crédible ou non, le fait qu’une telle
controverse soit possible indique la nécessité d'étayer une simple corrélation à l'aide d'une
description convaincante des raisons sous-jacentes à la relation statistique.

Diagrammes cause-effet
Un diagramme cause-effet (également appelé diagramme en arête de poisson ou Ishikawa) est un
visuel permettant de cartographier les facteurs considérés comme problématiques ou comme un frein
à un objectif. L'équipe d'audit peut utiliser ce diagramme pour déterminer la cause première si un
processus présente plusieurs éléments problématiques. Un diagramme cause-effet est présenté dans
l’Illustration III-26.

Illustration III-26 : Diagramme cause-effet

Analyse de Pareto
Une analyse de Pareto est basée sur la règle des 80/20, une observation qui indique que 80 pour cent
des problèmes, rendements ou récompenses associés à un processus tendent à être causés par
seulement 20 pour cent du total des causes, contributions ou efforts. Les auditeurs internes peuvent
utiliser une analyse de Pareto afin de faire des recommandations concernant en priorité les activités,
contrôles ou autres changements clés qui sont susceptibles d’avoir le plus d’effet. Par exemple,
l’illustration III-27 à la page suivante montre les résultats d’analyses effectuées par des auditeurs
internes sur dix contrôles destinés à minimiser les dépenses d’un département. Parmi ceux-ci, deux
contrôles clés semblent avoir le plus d’effet, à savoir les primes d'encouragement offertes aux
responsables en lien avec les ICP de la fonction, et l’utilisation par les responsables d’un tableau de
bord des dépenses automatique pour les décisions quotidiennes. Les huit autres contrôles contribuent
de manière secondaire. La première catégorie est souvent appelée la « petite partie vitale », tandis
que la seconde est appelée la « grande partie triviale ». Les diagrammes de Pareto peuvent aider à
expliquer visuellement l’importance de l'établissement de priorités – comme identifier les contrôles
clés et se concentrer dessus pendant l’audit. Ils peuvent aussi aider à convaincre les décideurs
d'accepter les recommandations – par exemple en vue d'éliminer un contrôle inefficace et coûteux.

Comparaisons de période à période

Les investisseurs attendent avec impatience les annonces des entreprises majeures au sujet des ventes
des magasins comparables, des recettes, de l'embauche, etc. d’un trimestre à l’autre et d’une année à
l’autre. Un changement inattendu d'une période comparable à une autre peut induire un nombre
significatif d'achats et de ventes d'actions d'entreprises publiques. Pour un auditeur, de tels
changements, s’ils sont inattendus, nécessitent une étude afin d’en déterminer la cause.

Illustration III-27 : Analyse de Pareto des contrôles des dépenses pour un département

Comparaisons avec budgets, prévisions et informations économiques

La mise au point d’un budget peut nécessiter des techniques quantitatives sophistiquées, mais il s'agit
toujours de prédire les futurs événements qui pourraient se produire suite à un large éventail
d’influences inattendues. Par conséquent, les responsables et les investisseurs surveillent de près
l'écart entre ces prédictions et les résultats réels. Les prédictions (liées aux recettes, aux bénéfices,
etc.) et les résultats réels affectent la vision que les investisseurs portent à la valeur d'une
organisation. Des écarts plus importants que prévu entre les budgets ou les prédictions d'une part, et
les résultats réels d'autre part, font également l'objet de questions de la part des auditeurs lors d'une
mission de conseil visant à évaluer l'efficacité des efforts d'un client d'audit pour atteindre ses
objectifs. Dans toute mission, des écarts importants, inattendus ou invraisemblables peuvent
également susciter une recherche d’éventuelles erreurs ou fraudes.

Comparaisons avec facteurs indépendants, de causalité ou associés

Les auditeurs internes comparent certains éléments parce qu’on s’attend à voir entre eux une relation
de cause à effet. Lorsque cette relation causale varie par rapport aux attentes, elle devient une
exception à analyser plus en profondeur. Par exemple, si les dépenses de rémunération totales d’un
département sont en hausse au-delà du taux d’inflation, mais que les effectifs sont en baisse, la
situation ne passerait pas le test de vraisemblance et nécessiterait une enquête. Si l'encours de la
dette est en baisse mais que les intérêts débiteurs à court terme sont en hausse, une telle situation
nécessiterait également une enquête.

Rubrique 5 : Effectuer des analyses comparatives

(Niveau P)
Définition
Une valeur étalon est simplement le but qu’une organisation (ou une personne) cherche à atteindre. On
le mesure en le confrontant à un groupe interne ou externe dans le but de déterminer les domaines
d’amélioration potentielle et d’identifier les meilleures pratiques. Les valeurs étalons internes
incluent les données historiques ainsi que les buts et objectifs ; les valeurs étalons externes incluent
les normes de l’industrie ou les meilleures pratiques. Les exigences réglementaires sont un autre
critère externe de comparaison.

Une analyse comparative efficace dépend de l'intelligence et du soin apportés à la sélection de

l'objectif. Une analyse comparative impossible à mesurer ou à obtenir, ou encore trop facile à
obtenir, affiche peu ou pas de valeur. L’évaluation des valeurs étalons définies par les clients au sein
de l’organisation est un service que les auditeurs internes peuvent fournir. L'analyse comparative est
particulièrement pertinente dans les audits de performance et de qualité totale. (L’analyse
comparative est en fait associée à la gestion de la qualité totale ou TQM, total quality management).

L’analyse comparative part également du principe qu'atteindre la valeur étalon définie par
l’organisation l’aidera à se développer, à gagner des parts de marché, à améliorer la satisfaction
client ou à réaliser un but significatif. Il est possible qu’un département analyse comparativement la
performance de son équipe de rugby, mais il est fort peu probable qu’il s’agisse d’un sujet essentiel à
la mission.

Classifications
Il existe plusieurs méthodes largement acceptées de sélection de valeurs étalons qui sont mesurables,
précises, pertinentes et réalistes.

L’illustration III-28 de la page suivante décrit les classifications habituelles pour les activités
d’analyse comparative.

Illustration III-28 : Classifications d’analyses comparatives

Sources d'informations pour l'analyse comparative
Comme l’Illustration III-28 le suggère, il y a de nombreuses sources d’information pour les analyses
comparatives.

Une liste générale de sources pour les analyses comparatives inclut :

Sources internes à la société (p. ex., divisions, sites, fonctions) ;
Société cible externe (autre organisation, concurrente ou non) ;
Fournisseurs ou clients ;
Revues professionnelles ;
Salons professionnels ;
Associations professionnelles ;
Universités ;
Consultants ;
Documents publics (p. ex., documents gouvernementaux de niveau local, national et fédéral,
archives des tribunaux et documents parlementaires) ;
Bibliothèques ;
Internet ;
 Site Web de l'IIA

Les considérations fondamentales lors de la sélection d’une source pour une analyse comparative
sont la facilité d’accès aux informations et le calibre des informations recherchées. D'un côté,
prendre contact avec une autre organisation peut prendre du temps et coûter de l'argent (p. ex., frais
de personnel et de déplacement), mais peut aussi permettre d'apprendre beaucoup. Les bibliothèques
et Internet sont des sources largement utilisées, faciles d’accès et peu coûteuses, mais elles peuvent
présenter des problèmes de fiabilité qui nécessitent une confirmation additionnelle des données.

Une analyse comparative pendant la planification de la mission permet à l’auditeur interne d’évaluer
le caractère approprié des objectifs de mission proposés. Les résultats d'une analyse comparative
peuvent également permettre d'identifier les domaines nécessitant une enquête approfondie.
 Chapitre D : Documentation / Papiers de
travail
Introduction du chapitre
Les papiers de travail préparés par l'auditeur interne comprennent l'ensemble de la documentation
d'une mission d'audit, de l'étape de planification jusqu'au rapport final.

Les Normes suivantes sont tirées du Cadre de référence international des pratiques professionnelles
et sont importantes pour comprendre les papiers de travail.

Norme 2330, « Documentation des informations » : Les auditeurs internes doivent documenter
les informations pertinentes pour étayer les conclusions et les résultats de la mission.
Norme 2330.A1 : Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la
mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste
avant de communiquer ces dossiers à des parties extérieures.
Norme 2330.A2 : Le responsable de l'audit interne doit arrêter des règles en matière de
conservation des dossiers de la mission et ce, quel que soit le support d’archivage utilisé. Ces
règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute
exigence réglementaire ou autre.
Norme 2330.C1 : Le responsable de l'audit interne doit définir des procédures concernant la
protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion à
l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les
orientations définies par l'organisation et avec toute exigence réglementaire ou autre appropriée.

La modalité pratique d'application 2330-1 précise : « Les auditeurs internes préparent les papiers de
travail. Ces papiers servent à documenter les informations obtenues, les analyses faites, et confortent
les conclusions et les résultats de la mission. Le management du service d’audit interne révise les
papiers de travail. » En ce qui concerne l'utilisation des papiers de travail, la Modalité pratique
d'application stipule qu'en général, ils permettent de :

Aider à la planification, à l’exécution et à la révision des missions.

Fournir le principal document d’appui pour les résultats de la mission.
Documenter la réalisation des objectifs d’audit.
Démontrer l’exactitude et l’exhaustivité du travail effectué.
Fournir une base pour le programme d’assurance et d’amélioration qualité de l’audit interne.
Faciliter la revue par des tiers.

Les applications des papiers de travail sont multiples et sont utiles dans le cadre de l'audit ou pour
d'autres raisons.

Comme ils constituent le principal support des communications de la mission (le rapport d'audit),
ils peuvent simplifier la rédaction du rapport s'ils sont au préalable rédigés et organisés avec
 soin.

Comme outil de communication dans le cadre de la revue par des tiers, les papiers de travail
fournissent des preuves qui pourront être utilisées par des auditeurs externes et doivent surtout
mettre en avant professionnalisme et compétence. Ils constituent également des supports de fond
pour de futurs audits internes. Le prochain audit sera plus facile à réaliser si l'audit en cours est
documenté correctement. Les papiers de travail permettent de créer une base de référence servant
de point de comparaison et de guide pour les audits internes successifs.

Non seulement les papiers de travail permettent aux examinateurs externes d'évaluer le programme
d'assurance et d'amélioration qualité (qui est inscrit dans les Normes 1300 à 1322), ils constituent
également une base pour les auto-évaluations de la qualité et pour les évaluations de performance
de l'auditeur interne responsable de l'audit et de sa documentation. Les papiers de travail peuvent
également démontrer la conformité aux Normes, et la Norme 1321 stipule que « le responsable de
l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes
Internationales pour la pratique professionnelle de l'audit interne seulement si les résultats du
programme d'assurance et d' amélioration qualité l’ont démontré ».

Les papiers de travail permettent également d'appuyer les discussions avec le personnel
opérationnel. Une documentation complète, à laquelle il est facile de faire référence dans les
discussions, peut améliorer la crédibilité de l'auditeur interne auprès du personnel,
nécessairement plus expérimenté sur les sujets évoqués. Lorsque le rapport final est remis,
l'auditeur peut s'appuyer sur les papiers de travail pour défendre les conclusions et
recommandations du rapport. Pour faciliter l'utilisation des papiers, l'auditeur devrait
correctement annoter sa propre copie du rapport final avec des références correspondant aux
pages des papiers de travail pour que les détails justificatifs soient toujours disponibles
rapidement. Les papiers de travail peuvent également faire référence aux documents des clients.

Les papiers de travail peuvent aider à documenter la conformité de l'organisation aux exigences
réglementaires et juridiques, telles que les dispositions de la loi Foreign Corrupt Practices qui
établissent les contrôles pour interdire les paiements illégaux clandestins à des responsables de
gouvernement étrangers. Par exemple, les papiers de travail peuvent documenter l'évaluation des
processus de contrôle interne en utilisant le référentiel du COSO pour appuyer le reporting au titre
de la loi Sarbanes-Oxley – des évaluations trimestrielles de contrôles internes et l'approbation
annuelle de la direction concernant l'exactitude des rapports financiers.

Il faut prendre grand soin des papiers de travail afin qu'ils puissent être utilisés pour remplir
toutes ces fonctions conformément aux normes strictes imposées par les superviseurs, les
responsables, les contrôleurs de la qualité, les auditeurs externes et les autorités judiciaires.

La création de papiers de travail bien détaillés et de tout autre document constitue une tâche longue et
laborieuse pour les auditeurs internes. Cependant, cette tâche est nécessaire et peut aider l'auditeur
interne à défendre son travail, en particulier lorsque les résultats révèlent des problèmes qu'un
responsable ne veut pas reconnaître. Il est de la plus haute importance de disposer de preuves
suffisantes pour pouvoir accepter toute critique constructive. L'activité d'audit interne utilise
également les examens portant sur les papiers de travail comme un outil de gestion pour l'activité
d'audit interne. Les superviseurs de l'audit utilisent les papiers de travail pour déterminer si une
mission se déroule correctement et peuvent utiliser les résultats provisoires pour changer le cours de
la mission si nécessaire.

Les processus de préparation, contrôle, utilisation et conservation des papiers de travail doivent être
traités avec grand soin car ces papiers de travail contiennent des données essentielles à la réussite de
la mission et certaines données peuvent être sensibles. Ce chapitre traite de tous ces points. Au début
de ce chapitre, nous verrons comment élaborer la documentation/les papiers de travail, puis nous
aborderons l'examen des papiers de travail par le RAI pour évaluer l'exhaustivité, la pertinence et
l'exactitude.

Rubrique 1 : Élaborer la documentation / les

papiers de travail (Niveau P)
La Modalité pratique d'application 2330-1 suggère que « l’organisation, la conception et le contenu
des dossiers de travail de l’audit sont fonction de la nature de la mission ainsi que des objectifs et
des besoins de l’organisation ».

La plupart des organisations élaborent des consignes uniques concernant les papiers de travail dans
le cadre de missions d'assurance et de conseil. On utilise les exigences des Normes et les meilleures
pratiques des Modalités pratiques d'application comme guide lors de l'élaboration des procédures de
l'organisation relatives aux papiers de travail.

Ces Modalités pratiques d'application pour les missions de conseil reconnaissent que ces missions
varient considérablement en termes de périmètre et d'objectifs et sont fondamentalement différentes
des missions d'assurance. Par exemple, la nécessité d'un audit est déterminée par le client de la
mission de conseil plutôt que par l'activité d'audit interne et, par conséquent, le client exerce une
influence considérable sur la nature et le périmètre du travail. Les exigences relatives à la
documentation de ces missions dans les papiers de travail peuvent donc être différentes de celles
requises pour les missions d'assurance. Néanmoins, l'auditeur interne qui agit en tant que consultant
doit se conformer entièrement au Code de déontologie et aux Normes. Les missions de conseil
doivent également être documentées dans les papiers de travail.

Éléments à inclure aux papiers de travail

Les papiers de travail doivent évidemment contenir le travail accompli au cours de la mission. Cela
comprend quasiment tout ce qui est inscrit sur papier ou entré dans un ordinateur, depuis les plans
initiaux jusqu'au rapport final (graphiques et photos inclus) et tout autre document matériel ou
électronique. Les papiers de travail sont réputés suffisants lorsqu'ils documentent les objectifs et les
méthodes de l'audit si bien que tout nouvel auditeur rejoignant le projet à tout moment pourrait
comprendre pleinement la mission à partir des papiers de travail et mener à bien l'audit.

Politiques concernant les papiers de travail

D'après la Modalité pratique d'application 2330-1 : « Le responsable de l'audit interne définit les
règles, adaptées à chaque type de mission, à suivre en matière de papiers de travail. La normalisation
des papiers de travail tels que les questionnaires et les programmes d’audit peut améliorer
l’efficacité d’une mission et faciliter la délégation du travail. Les papiers de travail de mission
peuvent être classés comme des dossiers de mission permanents ou de report contenant des
informations d'importance continue. »

La conservation des dossiers est évoquée ultérieurement dans cette rubrique ; elle est également
signalée dans les Normes 2330.A1, 2330.A2 et 2330.C1, décrites précédemment dans cette rubrique.

Normes de style et d'ordre

Selon Sawyer, les papiers de travail devraient être de la plus haute clarté et organisés.

En particulier, les papiers de travail devraient être :

Compréhensibles. On ne devrait pas avoir besoin de données supplémentaires pour comprendre

ce que l'auditeur avait l'intention de faire, ce qu'il a accompli, découvert, conclu et décidé de ne
pas faire. Les papiers doivent être à la fois concis et clairs. Les transcriptions des déclarations
orales, ainsi que les déclarations enregistrées, devraient inclure l'interprétation de l'auditeur et la
confirmation par le client de toute paraphrase ou interprétation. Les photographies doivent être
accompagnées de toute explication et preuve corroborante nécessaires.

Pertinents. Les papiers de travail devraient contenir seulement ce qui est pertinent et important
pour les objectifs de la mission. Les papiers ne devraient pas inclure de données secondaires. Des
objectifs clairement définis peuvent aider les auditeurs à déterminer ce qui est ou n'est pas
pertinent.

Uniformes. Les papiers doivent être de la même taille (fixez les petits papiers sur des feuilles de
taille standard, par exemple). Les classeurs permettent de maintenir les papiers dans le bon ordre,
de les modifier facilement et de ne pas les perdre.

Economiques. Se concentrer uniquement sur les éléments pertinents peut également aider à faire
des économies. Les papiers ne doivent pas forcément tout englober, surtout quand un audit indique
que les conditions sont satisfaisantes. Évitez tant que possible les efforts redondants. Copiez les
dossiers du client au lieu de les reproduire. Essayez d'incorporer autant de tests que possible dans
un même papier de travail et utilisez le même échantillon pour plusieurs tests lorsque cela est
 possible. Ne répondez pas à plus de questions que nécessaire pour établir un fait. Utilisez autant
de papiers de travail d'audits antérieurs que possible. Par exemple, les papiers de travail
permanents ou de report peuvent contenir des informations d'importance continue, comme des
diagrammes de circulation, et le travail produit lors de missions récentes, comme les matrices de
risques/contrôles, peut être adapté à la mission en cours. Les données copiées peuvent ensuite être
mises à jour en utilisant les nouvelles informations et dates, renumérotées, reréférencées et
paraphées.

Complets. Apportez une réponse à chaque question pertinente ou expliquez pourquoi il n'est pas
possible de répondre à la question. Remplissez tous les champs de vérification croisée. Établissez
une liste des « choses à faire » et incluez-la dans les papiers de travail. Répondez à toutes les
questions soulevées lors des examens de superviseur et présentez les réponses au superviseur
pour qu'il les date et signe. Consultez les résultats des audits précédents et incluez des résumés
des notes et résultats antérieurs avec l'état actuel.

Rédigés simplement. Évitez le jargon et le langage technique ou obscur ; si vous devez, pour une
raison ou une autre, inclure des mots et des phrases risquant d'être incompris du public, assurez-
vous au moins de proposer des explications claires. Faites des déclarations courtes.

Organisés logiquement. Pour faciliter la consultation des papiers de travail, ceux-ci devraient
être organisés en segments correspondant aux segments de l'audit. Le processus d'audit et les
papiers de travail doivent être structurés de façon parallèle pour que les papiers soient utiles
pendant et après l'audit. Chaque début de segment devrait inclure une explication descriptive, en
commençant par une description des objectifs du domaine audité, la structure de l'organisation, les
données de performance pertinentes et toute autre information relative au contexte. Le but du
segment devrait également être expliqué avec autant de détails que nécessaire et inclure une
description de l'objectif de l'audit pour ce segment ainsi que le périmètre du travail (ce qui sera
ou ne sera pas effectué, les procédures relatives à la sélection et la taille des échantillons). Il
convient ensuite d'indiquer l'origine des données, les tests effectués et les observations. Enfin, le
segment devrait présenter des conclusions qui soutiennent l'opinion globale lorsqu'elles sont
prises en compte conjointement avec les conclusions d'autres segments.

Format des papiers de travail

Voici quelques exemples de techniques types pour la préparation des papiers de travail de la
mission :
Chaque papier de travail de la mission devrait identifier la mission et décrire le contenu ou
l'objectif du papier à l'aide de titres descriptifs.
Chaque papier de travail devrait être signé ou paraphé et daté par l'auditeur interne chargé de la
mission.
Chaque papier de travail devrait contenir un index ou un numéro de référence.
Les symboles de vérification d'audit (marques de pointage) doivent être expliqués (et être
uniformes dans l'ensemble de l'audit).
 Les sources des données doivent être clairement identifiées.

Certains services d'audit interne développent des guides de rédaction au niveau du département et des
formats normalisés qui permettent de rationaliser les procédures d'audit et de faciliter un travail
cohérent de qualité d'une mission à l'autre. Il convient d'utiliser vigilance et bon sens pour que les
formats de papier de travail ne soient pas trop rigides et n'interfèrent pas avec l'ingéniosité et la
créativité de l'audit interne.

Les synthèses de papier de travail peuvent avoir plusieurs avantages, comme par exemple :
Permettre à l'auditeur de se concentrer sur les raisons principales qui l'ont conduit à inclure un
ensemble de faits. (Parfois, l'auditeur se rendra compte qu'il n'existait pas de raison valide.)
Offrir une conclusion à chaque segment d'audit, en rapportant ses résultats à l'objectif et au
périmètre de l'audit.

Supports
Les papiers de travail ne se limitent pas à des fichiers papier et peuvent être disponibles en différents
formats. Les fichiers électroniques sont de plus en plus courants car ils sont faciles à stocker,
récupérer, sauvegarder et distribuer via des réseaux, et ils peuvent être mis à jour au cours de la
mission depuis différents endroits. Les progiciels disponibles proposent des modèles pour les
papiers de travail et autres communications d'audit. En outre, les papiers de travail peuvent
comprendre des dispositifs de stockage portables (mémoire amovible, CD, DVD), des e-mails, des
photos et des vidéos. Les fichiers électroniques permettent souvent de stocker ces supports sous
forme de pièces jointes, afin que l'information puisse être facilement accessible lorsque l'auditeur
doit approfondir sa recherche pour obtenir plus de détails.

L'accès aux papiers de travail électroniques devrait être contrôlé au moyen de mots de passe.

Il est important de créer des copies de sauvegarde pour chaque support, en tenant compte de leur
risque de détérioration, de perte et d'obsolescence.

Quels sont les avantages des papiers de travail électroniques pour les auditeurs ? Et quels obstacles
les auditeurs peuvent-ils rencontrer lorsqu'ils adoptent et apprennent à utiliser cette technologie
relativement nouvelle ?

Avantages des papiers de travail automatisés

Parmi les avantages des papiers de travail automatisés figurent :

Économies. L'élimination de processus et de dossiers physiques qui prennent du temps et de

l'espace de stockage permet de compenser largement les coûts liés à la mise en place et à
l'utilisation des systèmes automatisés.
 Aspects pratiques. Grâce à la transmission en ligne et en réseau, il n'est plus nécessaire de
transporter physiquement des documents d'une pièce à l'autre par exemple. Le personnel a alors
plus de temps à consacrer aux tâches importantes.

Communication efficace et facilité de référence. Les documents électroniques peuvent être

transmis simultanément à plusieurs destinataires ou affichés sur des sites Web sécurisés et
consultés lors de conférences téléphoniques ou en ligne. Les liens indiqués dans un document
peuvent permettre de remonter facilement d'une affirmation jusqu'à la source de la preuve
correspondante (ou de relier n'importe quel point à un autre), en cliquant simplement sur un mot ou
une image, sans avoir à feuilleter plusieurs pages de papier.

Cohérence (standardisation). Les modèles disponibles dans les logiciels standards (ou conçus
sur mesure pour une organisation) permettent de satisfaire plus facilement aux normes de qualité ;
les informations sont également plus faciles à enregistrer, trouver et stocker.

Incorporation de documentation multimédia. Si une image vaut mille mots, combien de mots un
diaporama PowerPoint ou une vidéo peuvent-ils remplacer ? Les papiers de travail électroniques
peuvent être illustrés par des graphiques, des cartes de contrôle, des schémas, des photos
numériques, des vidéos, etc. Ils peuvent aussi intégrer des documents scannés.

Sécurité. Bien qu'aucun support de stockage ne soit complètement à l'abri de dommages matériels,
de manipulations frauduleuses ou de vols, les fichiers électroniques peuvent être sauvegardés sur
plusieurs serveurs à plusieurs endroits. La protection par mot de passe s'impose pour protéger les
fichiers, et les fichiers sur le Web devraient être en « lecture seule » pour éviter toute révision
malveillante ou accidentelle.

Réputation/fierté professionnelle. De nos jours, la technologie l'emporte sur le papier, et les

fonctions d'audit interne doivent se mettre au goût du jour. Lors de conférences, si tous les
participants utilisent un ordinateur portable ou un smartphone tandis que l'auditeur a une mallette
pleine de papiers, ce dernier pourrait se sentir mal à l'aise.

Inconvénients et obstacles
Bien que les papiers de travail automatisés offrent à l'organisation de nombreux avantages, leur mise
en place et leur exploitation nécessitent une préparation minutieuse et une formation. Le stockage à
long terme, bien qu'extrêmement efficace en matière d'espace, présente également certains
inconvénients.

Formation. Bien qu'un logiciel de gestion des papiers de travail puisse être assez facile à
maîtriser, une formation est tout de même nécessaire. Les organisations doivent planifier la
formation nécessaire et la programmer au bon moment afin que le personnel soit prêt à utiliser le
logiciel lorsque celui-ci est disponible. Le fournisseur du logiciel peut proposer une formation.
Dans le cas contraire, il peut être conseillé de faire appel à un professionnel de la formation.
 Transition. Les modèles de logiciels peuvent être semblables aux formats disponibles sur papier
et, dans ce cas, la transition peut se faire sans souci. En revanche, si les procédures actuelles pour
les documents papier ne sont pas standardisées, l'installation du système automatisé exigera la
création de modèles standard. Le cas échéant, le logiciel doit être personnalisé pour répondre aux
besoins de l'organisation. Tous les progiciels disponibles ne sont pas appropriés à chaque
organisation. Il est nécessaire par conséquent de trouver des logiciels qui prennent en compte,
entre autres, les systèmes et les réseaux existants de l'organisation. Le fait d'apporter trop de
modifications au logiciel de gestion des papiers de travail peut annuler la garantie et rendre le
logiciel incompatible avec les mises à jour futures.

Détérioration et obsolescence des fichiers. Bien que le stockage électronique permette de

réduire le besoin en entrepôts pour le stockage des documents et offre une plus grande protection
contre les dommages encourus suite à un incendie ou à des catastrophes naturelles, si l'on prévoit
de conserver des documents à long terme, il faudra être vigilant. Le papier semble physiquement
vulnérable, mais il peut durer pendant des siècles s'il est stocké soigneusement ; peu de papiers
d'audit exigent d'ailleurs une préservation aussi longue. Les fichiers stockés sur CD ou DVD,
cependant, sont beaucoup plus sensibles à la détérioration progressive que le papier. En outre, si
le logiciel utilisé pour les créer est mis à niveau, ou même disparaît du marché, il peut devenir
difficile de récupérer ces fichiers. Le stockage de données électroniques entraîne un nouvel
ensemble d'exigences devant être satisfaites par la science de la conservation des données.

Logiciels disponibles.
Un logiciel spécialement conçu pour créer des papiers de travail est disponible auprès de plusieurs
fournisseurs. L'IIA publie son Directory of Software Products for Internal Auditors (Répertoire des
produits logiciels à l'usage des auditeurs internes) chaque année pour que les membres puissent
consulter les offres en cours.

Par exemple, le Répertoire datant d'août 2010 inclut cet avis sur logiciel GRC on Demand :

GRC on Demand® pour l'audit interne est une solution d'audit interne complète et éprouvée qui permet d'augmenter l'efficacité du
processus d'audit, y compris l'évaluation des risques, la planification, le calendrier, la documentation, la préparation, l'examen, le
reporting, le suivi des problèmes et l'administration. Fourni sous forme de service logiciel, il n'y a donc pas de logiciel à installer, pas de
problèmes techniques, aucun investissement en capital et pas de coûts informatiques cachés. Site Web : paisley.thomsonreuters.com.

Certaines organisations utilisent des logiciels disponibles au public, comme Microsoft Office, au lieu
d'acheter un logiciel d'audit spécialisé. Par exemple, dans « Automated Workpapers Made Easy »
(Papiers de travail automatisés simplifiés), Pamela Jerskey décrit comment le service d'audit interne
de Boston College a configuré ses papiers de travail électroniques dans Word et Excel et comment il
utilise en complément un logiciel de diagramme et un scanner pour intégrer du texte et des images
tirés de sources physiques. Cependant, les systèmes logiciels plus récents permettent de gagner
encore plus de temps grâce à des fonctions qui facilitent le travail en équipe et le contrôle des
documents.
Contrôle des papiers de travail
Le contrôle des papiers de travail mérite toute l'attention de l'auditeur interne, du responsable d'audit
interne, de la haute direction et, parfois, d'un conseiller juridique car :

Les papiers de travail sont essentiels à la mission. Les papiers de travail sont essentiels à la
réussite de la mission car ils sont la principale source étayant les conclusions et les
recommandations, et ils peuvent même être essentiels à la survie de la mission. Si les papiers de
travail sont perdus, égarés ou volés, la mission doit s'arrêter et repartir à zéro. Par conséquent, l'
auditeur interne devrait pouvoir localiser à tout moment les papiers de travail et s'assurer qu'ils
soient conservés dans un endroit sûr. Comme indiqué précédemment, les papiers de travail
devraient toujours être suffisamment à jour et en ordre pour que tout nouvel auditeur interne puisse
les utiliser afin de se familiariser avec la mission et la mener à bien. L'auditeur devrait être la
seule personne à pouvoir apporter des changements aux documents ; tous les autres utilisateurs ne
devraient pouvoir consulter les papiers de travail électroniques qu'en « lecture seule ».

Ils peuvent contenir des informations personnelles ou confidentielles. Les informations

contenues dans les papiers de travail peuvent inclure des données personnelles concernant les
membres de l'organisation, des informations confidentielles ou des données pouvant avoir des
conséquences juridiques. Par conséquent, seules les personnes autorisées devraient avoir accès
aux papiers de travail.

Comme indiqué précédemment, la Norme 2330.A1 indique que le RAI doit contrôler l'accès aux
dossiers de mission et obtenir un accord préalable avant de transmettre des dossiers à des parties
externes. Les demandes d'accès aux documents par d'autres membres de l'organisation ou par des
auditeurs externes devraient être soumises à l'approbation selon les lignes directrices de la Modalité
pratique d'application 2330.A1-1.

Les copies de sauvegarde des papiers de travail devraient rester sous le contrôle du service d'audit.

Le responsable d'audit interne devrait élaborer des politiques concernant la conservation des papiers
de travail ainsi que de tous les dossiers de mission après l'audit. Il faudra trier les papiers de travail
à la fin d'une mission d'audit afin qu'ils ne contiennent que les versions définitives des documents. En
règle générale, les services d'audit conservent les papiers de travail pour un minimum de sept ans,
sauf si ces documents font partie d'une enquête en cours. Les papiers de travail devraient être
conservés dans un endroit sûr dont l'accès est limité.

En ce qui concerne le contrôle et la conservation des dossiers relatifs aux missions de conseil, les
auditeurs internes sont encouragés à adopter les politiques appropriées en matière de conservation
des documents et à résoudre les problèmes connexes, tels que la propriété des dossiers de missions
de conseil, afin de protéger l'organisation adéquatement et d'éviter d'éventuels malentendus. Certains
dossiers relatifs aux missions de conseil peuvent justifier un traitement particulier si les situations
concernées impliquent des procédures légales, des exigences réglementaires ou des questions
fiscales ou comptables.

Rubrique 2 : Évaluer la documentation/les papiers

de travail (Niveau P)
Le responsable d'audit interne est chargé de surveiller de manière adéquate les missions d'audit ; il
peut assumer directement cette fonction ou la déléguer. La supervision adéquate des missions inclut
la révision et l'approbation des papiers de travail. En plus d'assurer que la mission a été effectuée
conformément aux normes de qualité, l'examen des papiers de travail permet également au RAI, ou au
superviseur délégué, d'évaluer les compétences actuelles de chaque auditeur interne et les futures
exigences de perfectionnement.

Éléments d'une supervision de mission adaptée

Les exigences générales en matière de supervision de la mission sont prévues dans la Norme 2340,
qui stipule : « Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les
objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué. »

Les conseils pour mener à bien les responsabilités prescrites par la norme apparaissent dans la
Modalité pratique d'application 2340-1, qui décrit la supervision de la mission ainsi : « La
supervision est un processus qui débute avec la planification de la mission et se poursuit sur
l’ensemble de la mission. » Selon la modalité pratique d'application, la supervision inclut plus
précisément :

Garantir que les auditeurs désignés disposent, collectivement, des connaissances, compétences et autres capacités requises pour
exécuter la mission.
Fournir des instructions appropriées durant la planification de la mission et valider le programme de mission.
Garantir que le programme de mission validé est entièrement exécuté, excepté si des changements justifiés et autorisés sont
apportés.
Déterminer si les papiers de travail de la mission étayent de manière adéquate les observations, conclusions et recommandations de
la mission.
Vérifier que les communications de mission sont exactes, objectives, claires, concises, constructives et réalisées en temps
opportun.
Garantir que les objectifs de la mission sont atteints.
Donner l'opportunité aux auditeurs internes de développer leurs connaissances, compétences et autres capacités.

Bien que la Modalité pratique d'application présente l'examen des papiers de travail comme étant un
seul élément parmi la liste des responsabilités recommandées en matière de supervision, un examen
approprié des papiers de travail intègre les autres éléments car il permet au superviseur de vérifier
que les auditeurs internes possèdent effectivement les connaissances, le savoir-faire et les
compétences nécessaires pour mener à bien la mission ; que les instructions ont été exécutées ; que
les communications (dans les papiers de travail au moins) étaient exactes, objectives, etc. ; et que les
objectifs de la mission ont été atteints. Un examen approprié permet également au superviseur (ou à
tout autre réviseur désigné) d'inciter les auditeurs à améliorer leurs compétences.

Bien que cette présentation de la surveillance soit explicite et exhaustive, l'Interprétation de la Norme
2340 permet une certaine flexibilité : « L’étendue de la supervision est fonction de la compétence et
de l’expérience des auditeurs internes, ainsi que de la complexité de la mission. Le responsable de
l'audit interne a la responsabilité globale de la supervision de la mission, exécutée par ou pour
l'activité d'audit interne, mais il peut confier la révision aux membres de l'équipe disposant de
l'expérience nécessaire. La preuve de la supervision doit être documentée et conservée dans les
papiers de travail. »

Preuve de la révision de la mission

La Modalité pratique d'application 2340-1 précise que le réviseur peut fournir une preuve acceptable
de l'une des nombreuses manières à sa disposition : « Cette revue est matérialisée par l’apposition,
sur chaque papier de travail revu, des initiales du superviseur et de la date. D’autres techniques de
révision qui fournissent une preuve de la revue incluent : une check-list de révision des papiers de
travail de la mission ; un mémorandum précisant la nature, l’étendue et les résultats de la revue ; des
revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail. »

Si le réviseur a des questions sur les papiers de travail, il peut faire un commentaire écrit (notes de
révision) à l'intention de l'auditeur. Les papiers de travail devraient ensuite inclure la preuve que ces
questions ont été résolues. Quant aux notes elles-mêmes, la modalité pratique d'application précise ce
qui suit :

Les alternatives concernant l'élimination des notes de révision sont les suivantes :
Conserver les notes de révision sous la forme d'un dossier contenant les questions posées par le réviseur, les étapes suivies pour
résoudre ces questions et les résultats de ces étapes.
Éliminer les notes de révision après que les problèmes soulevés ont été résolus et que les papiers de travail nécessaires ont été
modifiés pour fournir les informations exigées.
 Chapitre E : Restitution de données
Introduction du chapitre
La communication de données s'effectue au cours de la mission et à la fin de celle-ci. La Norme
2410, « Contenu de la communication » indique que « la communication doit inclure les objectifs et
le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions ».

Au cours de la mission, les auditeurs internes pourraient avoir besoin de communiquer des résultats
de test importants à l'auditeur responsable si les informations sont susceptibles de nécessiter un
traitement rapide. Nous verrons cela dans la première rubrique de ce chapitre. La seconde rubrique
traite de la façon dont l'auditeur interne peut parvenir à différents résultats qui, selon la Modalité
pratique d'application 2410-1, « Contenu de la communication » doivent « inclure les objectifs et le
champ de la mission, ainsi que les conclusions, recommandations et plans d'actions ».

Rubrique 1 : Communiquer les résultats à l'auditeur

responsable (Niveau P)
Certaines informations d'audit sont d'une importance telle qu'elles doivent être partagées
immédiatement, sans attendre le rapport final. Par exemple, l'auditeur interne vient de terminer une
étape de test d'audit et a découvert un signal d'alerte de fraude. Ces informations devraient être
signalées à l'auditeur responsable dès que possible car elles nécessitent une attention immédiate.
« Immédiat» signifie dès qu'une enquête a établi avec une certitude raisonnable qu'il y a bien eu
fraude. Cela permet à l'auditeur responsable d'allouer plus de temps et de ressources, de discuter du
problème avec la direction et de voir si des mesures de limitation des pertes pourraient être mises en
place immédiatement.

D'après la Modalité pratique d'application 2410-1, « Contenu de la communication » : « Les

rapports intermédiaires peuvent être écrits ou oraux, et peuvent être transmis d'une manière officielle
ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des informations
nécessitant une attention immédiate, pour signaler un changement dans le champ de la mission ou pour
informer le management de l’avancement des travaux lorsque la mission est de longue durée. »

Ce type de progrès intermédiaires peut être consigné par le biais d'une réunion d'avancement, d'un
rapport ou d'un courrier électronique. Il est important de maintenir une communication continue tout
au long de la mission d'audit.

Sawyer ajoute une autre raison : informer la direction des faits importants sans rapport avec la
mission.
La modalité pratique d'application précise aux auditeurs internes que l'utilisation de rapports
intermédiaires « ne diminue ni n'élimine le besoin d'un rapport final ». Sawyer ajoute un qualificatif
au fait que les résultats du rapport intermédiaire peuvent être exclus du rapport final s'ils ont été
correctement traités et s'ils n'ont plus d'importance pour les opérations du client.

Rubrique 2 : Élaborer les conclusions concernant

les contrôles (Niveau P)
Les auditeurs internes peuvent élaborer des conclusions concernant les contrôles en fournissant des
observations qui résultent de collecte de données, de procédures analytiques et de tout autre test
d'audit. La Modalité pratique d'application 2410-1,« Contenu de la communication », définit les
observations comme « des exposés pertinents des faits. L’auditeur interne communique les
observations nécessaires pour soutenir ses conclusions et recommandations, et éviter les
malentendus. L’auditeur interne peut communiquer de manière informelle les informations ou
observations moins importantes ».

La Modalité pratique d'application expose ensuite la façon dont les observations et les
recommandations sont élaborées :

Les observations et recommandations sont le résultat d’un processus de comparaison d’un référentiel (la situation normale) et d’un
fait (la situation actuelle). Qu’il y ait ou non constat d’un écart, l’auditeur interne dispose d’éléments sur lesquels fonder son rapport.
Lorsque les situations sont conformes au référentiel, il peut être approprié de faire état dans le rapport d’audit d’un fonctionnement
satisfaisant. Les observations et recommandations sont fondées sur les caractéristiques suivantes :
Référentiel : Les normes, les mesures ou les attentes utilisées lors de l'élaboration d'une évaluation et/ou d'une vérification (la
situation normale).
Condition : La preuve factuelle que l'auditeur interne a constaté au cours de l'examen (la situation actuelle).
Cause : La raison de la différence entre les conditions attendues et réelles.
Effet : Toute exposition ou tout risque auquel l'organisation et/ou une autre partie doit faire face parce que la condition ne
correspond pas au référentiel (impact de la différence). Pour déterminer l'importance du risque ou de l'enjeu, les auditeurs internes
prennent en considération les conséquences de leurs observations et recommandations sur le fonctionnement et les états financiers
de l'organisation ;
Les observations et recommandations peuvent inclure les réalisations de l’entité auditée, des questions connexes et des
informations destinées à étayer les conclusions.

Cette rubrique présente ce processus, en examinant les résultats, les observations, les constatations,
les conclusions, les opinions et les recommandations, mais nous allons tout d'abord nous pencher sur
ce qui justifie l'assurance du contrôle.

Assurance du contrôle
L'une des principales fonctions de l'activité d'audit interne est de fournir une assurance à la haute
direction et au conseil que le système de contrôle interne fonctionne avec efficience et efficacité. La
Norme 2130 « Contrôle » stipule que « l'activité d'audit interne doit aider l'organisation à maintenir
un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son
amélioration continue ».
La Norme 2130.A1 (Mission d'assurance) stipule que « l'audit interne doit évaluer la pertinence et
l'efficacité du dispositif de contrôle portant sur le gouvernement d'entreprise, les opérations et les
systèmes d'information de l'organisation ». Ces trois domaines couvrent toutes les actions que la
direction met en œuvre pour permettre à l'organisation de réaliser ses objectifs. Les examens de
contrôle au niveau de ces trois grands domaines renforcent le fait que le contrôle interne implique
bien plus que les problèmes de reporting financier.

Le libellé de la Norme 2130.A1 précise les exigences supplémentaires en matière d'évaluation de

l'assurance du contrôle interne. L'évaluation doit examiner l'adéquation et l'efficacité concernant :

Atteinte des objectifs stratégiques de l’organisation;

Fiabilité et intégrité des informations financières et opérationnelles;
Efficacité et efficience des opérations et des programmes;
Protection des actifs.
Le respect des lois, règlements, règles, procédures et contrats.

La Norme 2130.C1 (Missions de conseil) exige le transfert de connaissances acquises au cours de

missions de conseil relatives aux contrôles : « Les auditeurs internes doivent utiliser leurs
connaissances des dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les
processus de contrôle de l’organisation. »

Aide apportée par l'activité d'audit interne à la direction à des fins de

conformité
Les organisations doivent se conformer aux lois, règlements, contrats et autres exigences. La direction
et l'activité d'audit interne ont toutes deux d'importants rôles à jouer dans la garantie de ce respect. Le
rôle de la direction consiste à entretenir une connaissance exhaustive des exigences de conformité, à
mettre en œuvre les politiques et à surveiller la conformité. Les auditeurs internes sont chargés de
rester au fait des complexités et des stratégies de mise en œuvre de tous les règlements et de la
législation en vigueur, et de la conformité à ceux-ci. Si l'on ne prend pas en compte ces besoins ou
toute situation de non-conformité involontaire, cela peut sérieusement nuire à une organisation.

Lorsque les auditeurs internes fournissent un service de contrôle de conformité, ils examinent les
exigences de conformité et s'assurent que les obligations sont respectées. Plus précisément, les
auditeurs internes doivent :
Examiner les objectifs et donner un aperçu des conséquences pour l'organisation en cas de non-
conformité.
Informer la direction des signes d'une non-conformité majeure.

Les spécificités organisationnelles (par exemple, la taille, l'industrie, le lieu des opérations)
déterminent le type et le nombre de problèmes de conformité qu'une organisation doit gérer. De plus,
en pratique, les exigences de conformité sont en constante évolution. Parmi les différents facteurs qui
pourraient mener à la création de nouvelles exigences de conformité figurent des nouvelles lois, des
produits et services nouveaux ou révisés, des nouveaux marchés ou des types d'investissements
différents.

Modalité pratique d'application 2130-1, « Évaluation de l'adéquation des

processus de contrôle »
Selon la Modalité pratique d'application 2130-1, « Évaluation de l'adéquation des processus de
contrôle » : « L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de
contrôle de l’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations
proviennent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuées
par le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesure de
l’avancement des missions, les auditeurs internes communiquent leurs observations aux responsables
appropriés, de telle sorte que des mesures puissent être prises rapidement afin de remédier aux
faiblesses ou anomalies constatées ou d’en atténuer les conséquences.»

La Modalité pratique d'application 2130-1 traite de trois critères d'évaluation de l'efficacité globale :
Les différences ou faiblesses significatives ont-elles été découvertes grâce à l'audit et à la
collecte des informations tirées d'autres évaluations ?
Si tel est le cas, des corrections et des améliorations ont-elles été apportées après ces
découvertes ?
Les découvertes et leurs conséquences aboutissent-elles à la conclusion qu'une situation
généralisée se traduisant par un niveau de risque commercial inacceptable existe ?

La MPA 2130-1 note en outre que l'existence temporaire d'une faiblesse ou d'un écart significatif
dans le contrôle et la gestion des risques ne signifie pas forcément que cette faiblesse ou cet écart est
permanent et pose un risque résiduel inacceptable. Il faudra prendre en considération certains
facteurs comme le schéma des découvertes, le degré d'intrusion et le niveau des conséquences et des
risques pour déterminer si l'efficacité de l'ensemble du système de contrôle est mis en péril et si des
risques inacceptables existent.

Le RAI communique à la direction générale et au conseil un rapport sur l'état des processus de
contrôle et de gestion des risques, généralement une fois par an. La Modalité pratique d'application
2130-1 déclare : « Le rapport souligne l’importance du rôle joué par les processus de contrôle dans
la réalisation des objectifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé
par l’audit interne ainsi que la nature et la confiance accordée à d’autres prestataires d’audit
d’assurance pour formuler cette opinion. »

Auto-évaluation des contrôles pour évaluer l'adéquation des processus

de contrôle
Plusieurs organisations intègrent et adoptent divers éléments tirés de modèles de contrôle reconnus
(par exemple, COSO CoCo et Cadbury), et les auditeurs internes ont constaté que les exercices
d'auto-évaluation des contrôles se sont avérés utiles pour « attribuer une note »au système de contrôle
et pour évaluer les contrôles informels.

Un programme d'auto-évaluation des contrôles renforce le rôle traditionnel de l'activité d'audit

interne et aide la direction à s'acquitter de ses responsabilités pour établir et maintenir des processus
de contrôle et de gestion des risques et évaluer la pertinence de ce système. Grâce au programme
d'auto-évaluation des contrôles, l'activité d'audit interne, les unités d'affaires et les fonctions
collaborent pour produire de meilleures informations sur la façon dont les processus de contrôle
fonctionnent et sur l'impact des risques résiduels.

Norme de mise en œuvre 2210.A3

Le libellé de la Norme 2210.A3 (Missions d'assurance) s'applique à l'évaluation du contrôle au
niveau de l'organisation dans son ensemble et au niveau de projets individuels d'audit. La norme
stipule : « Des critères adéquats sont nécessaires pour évaluer la gouvernance, la gestion des risques
et les contrôles. Les auditeurs internes doivent vérifier l'adéquation des critères que la direction et/ou
le Conseil a/ont définis, pour déterminer si les objectifs ont été atteints. Si ces critères sont adéquats,
les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs
internes doivent travailler avec le management et/ou le Conseil pour élaborer des critères
d'évaluation appropriés. »

Parmi les critères d'évaluation énoncés dans la norme 2210.A3 on peut citer le fait de s'assurer que
l'activité d'audit interne prend en compte les structures relatives à la responsabilité, y compris le
rapport entre les buts et les objectifs de l'organisation grâce à des critères appropriés établis, dans le
cadre de toute mission d'assurance liée à la gouvernance, la gestion des risques et / ou au contrôle
interne. La responsabilité de la réalisation des objectifs est essentielle dans une organisation. Il s'agit
d'éléments absolument primordiaux d'un système de contrôle interne.

Résultats
Lorsque l'auditeur interne a terminé toutes ses recherches pour la mission d'assurance ou de conseil
ainsi que son travail de documentation des papiers de travail, il peut alors communiquer au client,
dans son rapport final, les résultats de tous les tests, échantillonnages, enquêtes, nouveaux calculs et
autres efforts de recherche. Les exigences en matière de communication avec le client sont indiquées
dans la série 2400 des Normes, à commencer par cette courte injonction apparaissant dans la norme
2400 : « Les auditeurs internes doivent communiquer les résultats de la mission. »

Le terme « résultats » est ouvert, mais la Norme 2410, « Critères de communication », spécifie que
ces résultats doivent inclure « les objectifs et le périmètre de la mission, ainsi que les conclusions,
les recommandations et les plans d'action applicables ». Selon la Modalité pratique d'application
2410-1, « Contenu de la communication » : « La communication doit inclure les objectifs et le champ
de la mission, ainsi que les conclusions, recommandations et plans d'actions. »

La Norme 2410.A1 fournit un peu plus d'indications en ce qui concerne les conclusions des rapports
de mission d'assurance : « La communication finale des résultats de la mission doit, lorsqu'il y a lieu,
contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu’une opinion ou une
conclusion sont émises, elles doivent prendre en compte les attentes de la Direction Générale, du
Conseil, et des autres parties prenantes. Elles doivent également s’appuyer sur une information
suffisante, fiable, pertinente et utile ».

L'interprétation indique que : « Les opinions au niveau d’une mission peuvent être formulées sous
forme d’échelle de notation, de conclusions ou de toute autre description des résultats. Une telle
mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opérationnelle
spécifique. La formulation de ces opinions exige de prendre en compte les résultats de la mission
et leur caractère significatif. »

Et, enfin, la Norme 2410.C1 note que les rapports finaux de missions de conseil sont parfois
différents et se distinguent aussi des rapports de mission assurance : « La communication sur
l'avancement et les résultats d'une mission de conseil variera dans sa forme et son contenu en fonction
de la nature de la mission et des besoins du client donneur d'ordre. »

Observations
Nous avons vu plus tôt que la Modalité pratique d'application 2410-1 définit les observations comme
des déclarations pertinentes de faits. La nécessité de collecter, d'analyser, d'évaluer et de consigner
des informations factuelles a constitué jusqu'alors le principal objectif de cette section du cours. Les
auditeurs internes communiquent leurs observations après avoir décrit leurs tests et procédures
d'audit et avant de présenter tout résultat ou conclusion. De cette manière, les faits sont logiquement
séparés de toute interprétation correspondante.

Mais les rapports finaux ne se concentrent pas seulement sur les faits. Ils évoquent la signification
des faits pour l'organisation et le client de l'assurance ou du conseil. Le rapport final s'appuie sur une
sous-structure de faits ordonnés, les constatations, les conclusions, les opinions et les
recommandations qui rassurent le client sur ce qui est correct, soulignent ce qui ne fonctionne pas et
recommandent, si nécessaire, des solutions possibles aux problèmes identifiés.

Constatations
Les constatations organisent les faits mis en évidence au cours de la recherche d'audit. Plus
précisément, les constatations organisent les faits qui, selon l'auditeur, devraient être communiqués au
client et probablement suivis.

Une constatation se compose généralement des points suivants, communément appelés les « cinq C » :
Critères
Condition
Cause
Conséquence (ou Cause d'inquiétude)
 Recommandation / plan d'action (ou action Corrective)

Les critères sont les normes de jugement ou de mesure pertinents pour la question examinée. Comme
nous l'avons évoqué dans une rubrique précédente, l'analyse repose essentiellement sur la
comparaison. Les critères sont les normes de comparaison utilisées par l'auditeur pour décider si la
situation dont il est question doit ou non être modifiée. Les critères peuvent être établis par des lois et
règlements, mais également, comme c'est précisément le cas pour les missions de conseil, par des
repères que sont les normes sectorielles ou les performances « chef de file », par exemple. Dans tous
les cas, les critères établissent « ce qui devrait être ».

Les conditions établissent « ce qui est » – les faits établis par l'évaluation et les tests de l'auditeur
interne. La question qui se pose est la suivante : « Dans quelle mesure peut-on comparer “ce qui est”
par rapport à “ce qui devrait être” ? »

La cause est la raison pour laquelle « ce qui est » n'équivaut pas à « ce qui devrait être ». Au cours
de certaines missions, il peut être difficile d'identifier la cause fondamentale. Il s'agit d'identifier ce
qui doit être corrigé afin d'empêcher que la situation ne se reproduise, et pas seulement de proposer
une recommandation pour résoudre la constatation actuelle tout en laissant la cause sous-jacente sans
réponse. Par exemple, les résultats de vente dans une organisation peuvent être considérés comme
inacceptables lorsqu'ils sont comparés aux résultats de vente d'organisations similaires à cause d'une
formation inadéquate aux techniques de vente, de produits défectueux conduisant à des plaintes
clients supérieures à la moyenne, d'un manque d'incitatifs, etc.

L'effet de la disparité entre ce qui est et ce qui devrait être, selon l'expression de Sawyer, répond à la
question : « Quelle importance ? » La disparité est-elle suffisamment importante pour que
l'organisation prenne des mesures, et dépense de l'argent, pour modifier les conditions ? La réponse à
la question « Quelle importance ? » pourrait être : « Parce que vous allez faire faillite » ou « Votre
directeur général est passible d'une peine d'emprisonnement en vertu de la loi Sarbanes-Oxley » ou
d'autres réponses moins dramatiques mais toujours représentatives d'un problème potentiel pour
l'organisation.

Conclusions
Une conclusion représente l'opinion professionnelle de l'auditeur concernant les activités examinées
pendant la mission. Il s'agit d'une réponse officielle à la question : « Que pensez-vous de notre
organisation ? » Selon la Modalité pratique d'application 2410-1 : « Les conclusions et les opinions
sont les évaluations de l’auditeur interne sur les conséquences des observations [les faits] et les
recommandations sur les activités auditées. Habituellement, elles situent les observations et
recommandations dans la perspective de leurs implications globales. »

Toute conclusion présente dans le rapport doit être identifiée clairement.

La Modalité pratique d'application stipule que les conclusions :

 Peuvent évaluer sans nécessairement s'y limiter :
Si les objectifs de programme et les objectifs opérationnels sont conformes à ceux de l'organisation.
Si les objectifs de l'organisation sont atteints.
Si l'activité révisée fonctionne comme elle le doit.

Opinions
Les activités d'audit interne sont invitées par le conseil, la direction et autres parties prenantes à
fournir des avis dans le cadre de chaque rapport d'audit individuel et sur l'adéquation globale de la
gouvernance, de la gestion des risques et du contrôle au sein de l'organisation. Il peut s'agir de
demandes d'une assurance ou opinion émise à un niveau général de l'organisation dans son ensemble
(opinion à l'échelle globale) ou au niveau de composantes individuelles des opérations de
l'organisation (opinion à l'échelle locale). Selon la Modalité pratique d'application 2410-1 :
« L’opinion peut consister en une évaluation globale des contrôles ou être limitée à des contrôles
spécifiques ou certains aspects de la mission. »

Selon les Normes, les opinions ne sont pas requises à l'échelle globale ; cependant la Norme
2410.A1, « Contenu de la communication » stipule : « La communication finale des résultats de la
mission doit, lorsqu'il y a lieu, contenir l'opinion des auditeurs internes et/ou leurs conclusions.
Lorsqu’une opinion ou une conclusion sont émises, elles doivent prendre en compte les attentes de la
Direction Générale, du Conseil, et des autres parties prenantes. Elles doivent également s’appuyer
sur une information suffisante, fiable, pertinente et utile. » L'absence de cette opinion crée des zones
d'ombre sujettes à interprétation. Par exemple, deux rapports d'audit peuvent chacun contenir un
nombre de points faibles identiques concernant le contrôle. D'après le libellé, il peut être difficile
d'identifier les points critiques lorsque l'un des domaines peut être bien contrôlé alors qu'un autre fait
l'objet d'inquiétants dérapages.

Le Glossaire des Normes fait la différence entre l'opinion au niveau d’une mission et l'opinion
globale :

Opinion au niveau d’une mission. L’échelle de notation, la conclusion et/ou toute autre
description des résultats d’une mission d’audit interne donnée, relative aux éléments rentrant dans
le cadre des objectifs et du périmètre de la mission.

Opinion globale. Les échelles de notation, les conclusions et/ou toute autre description des
résultats délivrés par le responsable de l’audit interne, à un niveau global, et concernant les
processus de gouvernement d’entreprise, de management des risques et/ou de contrôle de
l’organisation. Une opinion globale est le jugement professionnel du responsable de l’audit
interne, fondée sur les résultats d'un certain nombre de missions individuelles et sur d'autres
activités dans un laps de temps précis.

L'interprétation de la Norme 2450, « Opinions globales » précise que :

 La communication [d'une opinion globale] précisera :
Le périmètre, y compris la période concernée par l’opinion.
Les limitations du périmètre.
Le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services donnant une assurance sur la
maîtrise des activités.
Le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler l’opinion globale.
L'opinion globale, l’avis ou la conclusion donnée.

Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.

S'il est demandé au RAI de donner son opinion, celle-ci doit mentionner clairement établir:

Les critères d'évaluation et la structure utilisés (par exemple, cadre de contrôle interne COSO),
ainsi que le champ d'application de l'opinion.

Le fait que la direction est responsable de l'élaboration et de la gestion des contrôles internes.

Le type spécifique d'opinion exprimée par l'auditeur et ce que cela signifie quant à la valeur des
contrôles internes, car les termes utilisés peuvent avoir un sens différent selon le contexte. Par
exemple :
L'assurance positive (assurance raisonnable) fournit le plus haut niveau d'assurance et est
l'une des opinions d'audit les plus importantes et, par conséquent, celle que l'on préfère. On
peut utiliser différentes évaluations pour vérifier que les contrôles internes sont satisfaisants
ou insatisfaisants, efficaces ou inefficaces, répondent aux attentes ou non, etc. Parmi les
divers moyens d'évaluation figurent les systèmes de classement.
L'assurance négative signifie que l'auditeur interne n'a détecté aucun élément qui
indiquerait que les contrôles internes sont inadéquats. Une telle opinion a moins de valeur
que l'assurance positive car elle fournit une assurance limitée que des preuves suffisantes
ont été recueillies pour déterminer si les contrôles internes étaient inadéquats.
Une opinion réservée indique que les résultats spécifiques contredisent (« émettent des
réserves quant à ») l'opinion globale. Ce type d'opinion peut être utile lorsqu'il existe une
exception à l'opinion générale. Par exemple, une opinion réservée peut indiquer que les
contrôles sont satisfaisants, à l'exception des contrôles relatifs aux comptes fournisseurs
qui, eux, nécessitent une amélioration notable.

Le RAI doit s'assurer que l'expression et la portée de l'opinion sont conformes à la charte approuvée
par le conseil de l'activité d'audit interne et étayées par des preuves d'audit suffisantes. Il doit
également connaître le public cible du rapport et l'utilisation potentielle de l'opinion. Par exemple,
une opinion émise dans le rapport annuel qui est utilisée par le directeur général et le directeur
financier afin d'attester de l'efficacité des contrôles internes devra répondre à des exigences
différentes de celles d'une opinion émise uniquement pour un usage interne de l'organisation.

Vous trouverez plus de détails sur la façon d'exprimer une opinion concernant le contrôle interne dans
le Guide pratique « Formuler et exprimer une opinion d'audit interne ».
Recommandations
Sawyer note que l'auditeur interne doit fournir à la direction une recommandation en matière de
mesures correctives et devrait tracer la voie à suivre pour favoriser l'efficacité continue de ces
mesures.

Lorsque des recommandations sont formulées, il faudra prendre en compte les considérations
suivantes :
L'attitude la plus pratique et la plus économique pour corriger la disparité ;
Les objectifs qui doivent rester à l'esprit lors de la recommandation de l'action corrective ;
Les motifs pour que la direction impose une meilleure attitude ;
Les choix ouverts et leur niveau de comparaison avec les objectifs ;
Le meilleur choix avec le moins d'effets secondaires indésirables ;
Le mécanisme qui doit être suggéré pour contrôler l'action corrective après sa mise en place.

Les recommandations et plans d'action sont vus plus en détail dans la Partie 2.

Favoriser l'équité
Les constatations et opinions de l'audit n'ont pas besoin d'être entièrement négatives. La
norme 2410.A2 stipule que « les auditeurs internes sont encouragés à reconnaître les performances
satisfaisantes dans leurs rapports de mission ». Selon l'hypothèse, bien sûr, que des raisons poussent
à complimenter le client. Si des conclusions négatives mais aussi positives sont tirées de la fonction
auditée, inclure ces deux aspects souligne le fait que l'audit interne est objectif et impartial envers le
client, et non simplement enclin à trouver des fautes. Si l'auditeur met en place un ton d'impartialité et
d'objectivité, le client est plus susceptible d'être réceptif aux résultats et recommandations.

Sawyer affirme que des conclusions de l'audit :

Devraient être résumées en une seule phrase et devraient :

Répondre à la question soulevée par l'objectif de l'audit.
Mentionner le sujet du rapport.
Mentionner l'opinion de l'auteur concernant ses constatations.

Le RAI devrait veiller à ce que la terminologie utilisée pour rendre compte des opinions soit
clairement définie et utilisée de manière cohérente. Le Guide pratique « Formuler et exprimer une
opinion d'audit interne » comprend des modèles de systèmes de notation d'opinion et des définitions.
Étapes suivantes
Vous avez terminé la Partie 1, Section III du CIA Learning System® de l'IIA. À présent, vérifiez
votre compréhension en effectuant le ou les tests en ligne spécifiques à cette section pour vous
aider à identifier tout contenu mal assimilé.

Une fois que vous aurez terminé les tests spécifiques à cette section et que vous penserez
maîtriser ces informations, effectuez le test de fin de cours en ligne de la Partie 1.
 Bibliographie
Les références suivantes ont été utilisées dans le développement du CIA Learning System de l'IIA.
Veuillez noter que toutes les références à des sites Web étaient valides en mars 2013.

« About the Profession. » (Tout sur la profession) The Institute of Internal Auditors,
www.theiia.org/theiia/ about-the-profession.
Anderson, Urton, et Andrew J. Dahle. Mise en œuvre du Cadre des pratiques professionnelles,
deuxième édition. Altamonte Springs, Floride : The Institute of Internal Auditors, 2006.
Anderson, Urton, et Andrew J. Dahle. Mise en œuvre du Cadre international des pratiques
professionnelles, troisième édition. Altamonte Springs, Floride : The Institute of Internal Auditors,
2009.
AS/NZS ISO 31000:2009, « Management du risque – Principes et lignes directrices » Standards
Australia/Standards New Zealand, sherq.org/31000.pdf.
Audit Committee Effectiveness—What Works Best (L'efficacité des comités d'audit—les meilleures
pratiques), troisième édition. Altamonte Springs, Floride : The Institute of Internal Auditors, 2005.
« The Audit Committee: Purpose, Process, Professionalism. » The Institute of Internal Auditors,
www.theiia.org/download.cfm?file=6676.
Formation « Auditing Techniques » (Techniques d'audit). Altamonte Springs, Floride : The Institute
of Internal Auditors.
Baxter, Ralph. « The Role of Spreadsheets in Today’s Corporate Climate. » ITAudit, Vol. 9,
décembre 2006.
Biegelman, Martin T., et Joel T. Bartow. Executive Roadmap to Fraud Prevention and Internal
Control—Creating a Culture of Compliance. Hoboken, New Jersey : John Wiley and Sons, 2006.
The Canadian Institute of Chartered Accountants (Institut canadien des comptables agréés),
www.cica.ca.
Coenen, Tracy L. « The Fraud Files: The True Cost of Fraud. » Wisconsin Law Journal, 24 mai
2006.
Committee of Sponsoring Organizations of the Treadway Commission (COSO), www.coso.org.
Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management
—Integrated Framework. Jersey City, New Jersey : American Institute of Certified Public
Accountants, 2004.
Committee of Sponsoring Organizations of the Treadway Commission. Internal Control—Integrated
Framework. Jersey City, New Jersey : American Institute of Certified Public Accountants, 1994.
Committee of Sponsoring Organizations of the Treadway Commission. Internal Control—Integrated
Framework. American Institute of Certified Public Accountants, 2011,
www.coso.org/documents/coso_framework_ body_v6.pdf.
Committee of Sponsoring Organizations of the Treadway Commission. Internal Control Over
Financial Reporting—Guidance for Smaller Public Companies. (Contrôle interne sur
l'information financière - Lignes directrices à l'intention des petites sociétés ouvertes) Jersey City,
New Jersey : American Institute of Certified Public Accountants, 2006.
« Corporate Governance: A Practical Guide ». London Stock Exchange, 2004,
www.ecgi.org/codes/code.php?code_id=118.
Corporate Governance and the Board—What Works Best (Le gouvernement d'entreprise et le
Conseil—Ce qui marche le mieux) Altamonte Springs, Floride : The Institute of Internal Auditors,
2000.
« Corporate Governance Principles and Recommendations with 2010 Amendments ». (Principes de
gouvernance d'entreprise et recommandations. Modifications de 2010 incluses.) ASX Corporate
Governance Council, www.asx.com.au/documents/asx-
compliance/cg_principles_recommendations_with_2010_amendments.pdf.
Répertoire des produits logiciels à l'usage des auditeurs internes Altamonte Springs, Floride : The
Institute of Internal Auditors, 2010.
Séminaire « Enterprise Risk Management: What’s New? What’s Next? » Altamonte Springs,
Floride : The Institute of Internal Auditors.
Financial Reporting Council (FRC), www.frc.org.uk/Home.aspx.
« Formuler et exprimer une opinion d'audit interne » (Guide pratique CRIPP) Altamonte Springs,
Floride : The Institute of Internal Auditors, 2009.
Fraser, John, et Hugh Lindsay. 20 Questions Directors Should Ask About Internal Audit (20
questions que les administrateurs doivent poser concernant l'audit interne). Toronto, Ontario : The
Canadian Institute of Chartered Accountants (Institut canadien des comptables agréés), 2004.
« Frequently Asked Questions » (Questions fréquemment posées), The Institute of Internal Auditors,
na.theiia.org/about-us/about-ia/Pages/Frequently-Asked-Questions.aspx.
Frigo, Mark L. Un cadre d'évaluation équilibré pour les services d'audit interne. Altamonte
Springs, Floride : The Institute of Internal Auditors Research Foundation, 2002.
Galloway, David. Internal Auditing: A Guide for the New Auditor (Audit interne : Guide de
l'auditeur nouvellement qualifié), deuxième édition. Altamonte Springs, Floride : The Institute of
Internal Auditors, 2002.
Global Technology Audit Guides (GTAG). Altamonte Springs, Floride : The Institute of Internal
Auditors.
GTAG 3, « Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment »
(Audit continu : répercussions sur l’assurance, le pilotage et l’évaluation des risques), 2005.
Glover, Hubert D., et James C. Flag. Techniques efficaces de détection et de prévention des fraudes
Altamonte Springs, Floride : The Institute of Internal Auditors, 1993.
Guide to the Assessment of IT Risk (GAIT). Altamonte Springs, Floride : The Institute of Internal
Auditors.
Hutton, David W. The Change Agents’ Handbook (Guide à l'usage des agents de changement).
Milwaukee, Wisconsin : ASQ Quality Press, 1994.
« Exposé de principes de l'IIA concernant les dotations en ressources alternatives pour la fonction
d'audit interne » Altamonte Springs, Floride : The Institute of Internal Auditors.
The Institute of Chartered Accountants in England and Wales (ICAEW), www.icaew.co.uk.
The Institute of Internal Auditors. www.theiia.org.
Internal Audit Reporting Relationships: Serving Two Masters. Altamonte Springs, Floride : The
Institute of Internal Auditors, 2003.
« Internal Audit Standards, Theory, and Methodology » (Normes, théorie et méthodologie d'audit
interne). The Institute of Internal Auditors, http://www.theiia.org/media/files/comp-
framework/IA%20Standards,%20Theory,%20and%20Methodology-IPPF%20Aligned.pdf.
« Internal Auditing: All in a Day’s Work » (« L'audit Interne - un travail quotidien ») The Institute of
Internal Auditors, www.theiia.org/download.cfm?file=4262.
« Internal Auditor Competency Framework » (Cadre de compétences à destination des professionnels
de l'audit interne). The Institute of Internal Auditors, www.theiia.org/guidance/additional-
resources/competency-framework-for-internal-auditors.
International Professional Practices Framework. (Cadre de référence international des pratiques
professionnelles) Altamonte Springs, Floride : The Institute of Internal Auditors.
« Normes internationales pour la pratique professionnelle de l'audit interne (les Normes) »,
global.theiia.org/standards-guidance/mandatory-guidance/ Pages/Standards.aspx.
« Interpersonal Skills—Abilities Needed to Interact With Others Effectively » (Compétences
Interpersonnelles – Capacités nécessaires pour interagir efficacement). The Institute of Internal
Auditors, www.theiia.org/media/files/comp-framework/Interpersonal%20skills%20web2.xls.
ISO 31000—« Management du risque ». ISO, www.iso.org/iso/home/standards/iso31000.htm .
ISO Guide 73:2009. « Management du risque -- Vocabulaire » www.iso.org/iso/catalogue_detail?
csnumber=44651.
Jerskey, Pamela. « Automated Workpapers Made Easy » (Papiers de travail automatisés simplifiés).
Keith, Jonnie T. « Killing the Spider ». Internal Auditor (L'auditeur interne), avril 2005.
« Les domaines de connaissances ». The Institute of Internal Auditors,
www.theiia.org/media/files/comp-framework/KnowledgeAreas%20WEB.xls.
« The Laws That Govern the Securities Industry—Sarbanes-Oxley Act of 2002 » (La Loi Sarbanes-
Oxley sur la Sécurité Financière de 2002). Securities and Exchange Commission,
www.sec.gov/about/laws.shtml.
« Managing the Business Risk of Fraud, A Practical Guide » The Institute of Internal Auditors, the
American Institute of Certified Public Accountants (AICPA, Institut américain des experts-
comptables), the Association of Certified Fraud Examiners (l'association des vérificateurs agréés),
2008. www.theiia.org/media/files/fraud-white-paper/fraud%20paper.pdf .
Marcella, Albert J., Jr., et Carol Stucki. Privacy Handbook. Hoboken, New Jersey : John Wiley and
Sons, 2003.
Mautz, Robert K. Internal Control in U.S. Corporations: The State of the Art (Le contrôle interne
dans les entreprises américaines: l'état de la technique). New York : Financial Executives Research
Foundation, 1980.
McNamee, David. Business Risk Assessment. Altamonte Springs, Floride : The Institute of Internal
Auditors, 2005.
McNamee, David. « Risk Management and Risk Assessment. » Pleier Corporation,
www.pleier.com/rmra.htm.
Miccolis, Jerry A., Kevin Hively, et Brian W. Merkley. Enterprise Risk Management: Trends and
Emerging Practices (Gestion des risques de l'entreprise : tendances et pratiques émergentes).
Altamonte Springs, Floride : The Institute of Internal Auditors, 2001.
« Model Internal Audit Activity Charter » (Modèle de charte de l'activité d'audit interne). The
Institute of Internal Auditors, www.theiia.org/download.cfm?file=26484.
« OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data » (Lignes
directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontières de données
de caractère personnel). Organisation de coopération et de développement économiques,
www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html.
Operational Auditing. Altamonte Springs, Floride : The Institute of Internal Auditors, 2006.
Organizational Governance: Guidance for Internal Auditors (Gouvernance de l'entreprise :
conseils pour les auditeurs internes). Altamonte Springs, Floride : The Institute of Internal Auditors,
2006. (Cette publication a été supprimée à compter de février 2010.)
Pickett, K. H. Spencer, et Jennifer M. Pickett. The Internal Auditing Handbook (Guide de l'audit
interne), deuxième édition. Sussex de l'Ouest, Angleterre : John Wiley and Sons, 2003.
« Practical Considerations Regarding Internal Auditing Expressing an Opinion on Internal Control »
(Considérations pratiques relatives à l'audit interne – Exprimer une opinion sur le contrôle interne).
The Institute of Internal Auditors, www.theiia.org/download.cfm?file=25663.
PriceWaterhouseCoopers. Audit Committee Effectiveness—What Works Best (L'efficacité des
comités d'audit—les meilleures pratiques), troisième édition. Altamonte Springs, Floride : The
Institute of Internal Auditors, 2005.
PriceWaterhouseCoopers. Corporate Governance and the Board—What Works Best (Le
gouvernement d'entreprise et le Conseil—Ce qui marche le mieux) Altamonte Springs, Floride :
The Institute of Internal Auditors, 2000.
Privacy Rights Clearinghouse, www.privacyrights.org.
Manuel sur l'évaluation de la qualité, cinquième édition. Altamonte Springs, Floride : The Institute
of Internal Auditors, 2006.
Redding, Kurt F., Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sri Ramamoorti, Mark
Salamasick, et Cris Riddle. Internal Auditing: Assurance and Consulting Services. (Audit interne:
services de conseil et d'assurance) Altamonte Springs, Floride : The Institute of Internal Auditors
Research Foundation, 2007.
« Revised Guidance for Directors on the Combined Code » (Guide révisé pour les administrateurs
sur le Code Combiné). Financial Reporting Council, www.ecgi.org/codes/documents/frc_ic.pdf.
Rife, Randal. « Planning for Success. » Internal Auditor (L'auditeur interne), octobre 2006.
« The Role of Internal Auditing in Enterprise-Wide Risk Management » (Rôle de l'audit interne dans
la gestion des risques à l'échelle de l'entreprise). The Institute of Internal Auditors, 2009,
www.theiia.org/download.cfm?file=62465.
Roth, James. Control Model Implementation: Best Practices (Mise en œuvre du modèle de
contrôle : Meilleures Pratiques). Altamonte Springs, Floride : The Institute of Internal Auditors,
1997.
Sawyer, Lawrence B., Mortimer A. Dittenhofer, et James H. Scheiner. Sawyer’s Internal Auditing
(L'Audit interne selon Sawyer), cinquième édition. Altamonte Springs, Floride : The Institute of
Internal Auditors, 2005.
Sawyer, Lawrence B., Mortimer A. Dittenhofer, et James H. Scheiner. Sawyer’s Internal Auditing—
Instructor’s Guide (L'Audit interne selon Sawyer—guide de l'instructeur). Altamonte Springs,
Floride : The Institute of Internal Auditors, 2003.
« Setting a Standard for Quality » (Établir des normes en matière de qualité) (Présentation
PowerPoint). The Institute of Internal Auditors, www.theiia.org/download.cfm?file=37900.
Steinberg, Richard M., et Deborah Pojunis. « Corporate Governance: The New Frontier. » Internal
Auditor (L'auditeur interne), décembre 2000.
« Outils et techniques » The Institute of Internal Auditors, www.theiia.org/media/files/comp-
framework/Tools%20and%20techniques%20WEB.xls.
Verschoor, Curtis C. Audit Committee Briefing: Understanding the 21st Century Audit Committee
and Its Governance Roles (Exigences du comité d'audit :Comprendre le comité d'audit du 21e
siècle et son rôle en matière de gouvernance). Altamonte Springs, Floride : The Institute of Internal
Auditors, 2000.
Verschoor, Curtis C. Governance Update 2003: Impact of New Initiatives on Audit Committees and
Internal Auditors. (Mise à jour sur la gouvernance 2003 : Impact des nouvelles initiatives sur les
comités d'audit et les auditeurs internes). Altamonte Springs, Floride : The Institute of Internal
Auditors, 2003.
« Your Internal Audit Team » (Votre équipe d'audit interne) (Présentation PowerPoint). The Institute
of Internal Auditors, www.theiia.org/download.cfm?file=37416.