Académique Documents
Professionnel Documents
Culture Documents
D'AUDIT AU SEIN DE
VOTRE ENTREPRISE
25 MARS 2019
1
MODULE 1
INTRODUCTION :
Vous avez peut-être entendu parler de l’affaire Enron ? Il s’agit d'un des plus gros
scandales financiers du début du XXIe siècle. Cette entreprise américaine du secteur de l’énergie
a falsifié ses comptes financiers, avec la complicité du cabinet d’audit Arthur Andersen. La faillite
d’Enron en 2001 a provoqué la perte de plus de 20 000 emplois, mais également la chute d’un
des plus grands acteurs de l’audit : Arthur Andersen.
À la suite de plusieurs scandales, dans le début des années 2000, dont l’affaire Enron, le
métier d’auditeur et les pratiques professionnelles ont été encadrés. Depuis, la profession
d’auditeur externe et interne est soumise à des réglementations en constante évolution.
Vous allez découvrir dans ce cours en quoi l’audit est une discipline structurée, intégrée,
transverse et surtout utile, en entreprise et dans tout type d’organisation. Je vous propose dans
ce premier chapitre de poser le cadre, en répondant à ces trois questions.
• Qu'est-ce que l'audit, et quels sont les deux principaux domaines d'audit ?
• Quels sont les objectifs de l'audit en entreprise ?
• Quels sont les principes fondamentaux pour la pratique de l'audit ?
2
CHAPITRE I : DECOUVREZ CE QU’EST L’AUDIT EN
GENERAL
I- DEFINITIONS
Avant toute chose, vous avez déjà probablement entendu parler d’audit interne et
d’audit externe.
L’audit externe est réalisé par un organisme extérieur, tandis qu’un audit interne est une
fonction interne dans l’entreprise. L’auditeur interne y est donc salarié, l’auditeur externe, en
tant qu’organisme, perçoit quant à lui des honoraires de mission.
Dans cette section, je vous propose de partir de la définition de l’audit de l’IIA (Institute of
Internal Auditors), et d’en décrypter les idées clés.
L’Institute of Internal Auditors (IIA) est un acteur important dans le domaine de l’audit
interne. Il s’agit de l’association, à l’échelle mondiale, regroupant les professionnels du métier
d’auditeur. Cette association donne les lignes directives et édicte les normes professionnelles
dans le cadre de références internationales des pratiques professionnelles de l’audit interne
(CRIPP). C’est donc la principale source d’information des auditeurs du monde entier.
Une fonction peut être assimilée à un département ou un service. Il s’agit d’un
regroupement d’activités faisant appel aux mêmes expertises et métiers. Par exemple, les
fonctions au sein d’une entreprise sont les achats, la production, la comptabilité, la sécurité, les
systèmes d’information, le juridique, les ressources humaines, etc.
Je vous épargne la présentation de ce cadre de référence, ainsi que les normes
professionnelles, que nous verrons de manière pratico-pratique tout au long du cours. Si cela
vous intéresse ou que vous envisagez de passer les certifications d’audit interne, je vous invite à
le consulter sur le site de l’IFACI (Institut français de l’audit et du contrôle interne), le réseau en
France de l’IIA.
Selon I'lIA, l’audit interne est une « activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
pour les améliorer, et contribue à créer de la valeur ajoutée. »
L’audit est réalisé par des « experts » professionnels indépendants, possédant des
compétences sur le domaine audité.
3
Les auditeurs mènent leurs travaux sur la base des systèmes de contrôle mis en œuvre
dans l’entreprise. Il s’agit du contrôle interne, concept que nous approfondirons dans une autre
partie du cours.
“...qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations...”
= une vision globale des opérations et de leur conformité, pour réduire une asymétrie
d’information.
Les auditeurs apportent l’assurance au comité de direction ou aux actionnaires que les processus
sont maîtrisés face aux risques auxquels l’entreprise est exposée.
L’intervention des auditeurs et leurs observations vont réduire l’asymétrie d’information entre :
• Ceux qui détiennent l’information, et qui prennent des décisions sur le périmètre audité
— le directeur dont la fonction se fait auditer ;
• Ceux qui dépendent de cette information pour prendre leur propres décisions — par
exemple, le comité de direction dont le directeur général est membre, et qui doit prendre
des décisions stratégiques.
“... pour les améliorer, et contribue à créer de la valeur ajoutée.” = l’audit est outil
d’amélioration continue.
Pour ce faire, les CAC réalisent des audits sur les processus d’élaboration des états
financiers, et peuvent remonter jusqu’au bon de commande établi pour justifier une dépense.
4
Les CAC auditent également les systèmes d’information, c’est-à-dire les outils
comptables et financiers, afin de fournir une assurance aux parties prenantes et aux actionnaires
que les processus informatiques sont maîtrisés et que les données sont de qualité.
Vous vous doutez bien qu’après le scandale Enron, les missions d’audit légal ont été
encore plus réglementées et encadrées, notamment avec la loi de sécurité financière de 2003,
qui a modifié le Code du commerce. Les CAC ou les experts comptables engagent leur
responsabilité pénale en signant les comptes des entreprises. En outre, les cabinets de
commissariat aux comptes ne peuvent plus procéder à la fois à des missions d’audit financier et
de conseil. Ces deux activités sont dorénavant incompatibles.
Un audit interne peut être réalisé par un organisme extérieur. Pour autant, il ne constitue
pas un audit légal, dont la réalisation est soumise à de fortes réglementations.
L'audit opérationnel
L’audit opérationnel est réalisé en interne, dans l’entreprise. Il se focalise sur l’évaluation
des processus opérationnels, leur performance et leur efficience en fonction des objectifs de
l’entreprise.
Son but est d’améliorer le processus audité. Les auditeurs opérationnels émettent une
opinion sure :
Pour répondre à cette question, nous allons définir les quatre types d’audit opérationnels,
classés par objectif :
La fonction “sécurité” étant une fonction standard en entreprise, elle peut faire l’objet de tous
les types d’audits opérationnels.
5
1. Dans le cadre d’un audit de conformité, les auditeurs s’assurent que les dispositifs mis en
place en matière de sécurité sont conformes aux règles édictées en interne, dans les
procédures notamment, et aux réglementations externes.
2. Dans le cadre d’un audit d’efficacité, les auditeurs s’assurent que les dispositifs mis en
place en matière de sécurité sont appropriés et efficaces. Ils doivent permettre
d’atteindre les objectifs de sécurité fixés par l’entreprise.
3. Dans le cadre d’un audit de management, les auditeurs s’assurent que la politique de
sécurité est alignée avec les objectifs stratégiques de l’entreprise.
4. Dans le cadre d’un audit de stratégie, les auditeurs s’assurent que la stratégie définie en
matière de sécurité est alignée avec la stratégie des autres fonctions dans l’entreprise.
Je vous propose ci-dessous un tableau synthétisant les domaines d’audit et leur classification.
Vous pourrez visualiser le champ d’application des audits et mieux comprendre la
complémentarité des différents types d’audit opérationnel.
Les auditeurs internes porteront un jugement sur les dispositifs mis en place et leur
maîtrise par les responsables. Leurs recommandations permettront d’améliorer la fonction.
Quant aux auditeurs externes, ces derniers vont certifier la régularité et la sincérité
des informations produites par la comptabilité.
Dans ce cours, nous nous focaliserons sur la fonction d’audit interne et les audits opérationnels.
6
Vous le savez probablement : l’audit a une connotation péjorative. Le terme est souvent
synonyme d’évaluation et/ou de jugement loin des réalités opérationnelles.
En entreprise, l’annonce d’un audit est souvent vu comme un mauvais présage. Un auditeur peut
être assimilé à un inspecteur, “la police” venue surveiller les opérations pour rendre compte à
une autorité supérieure.
Cela s’explique par le fait qu’un audit permet d’identifier les points faibles de la fonction auditée.
Et il est rare que les personnes apprécient qu’on leur dise ce qui ne va pas.
Pour faire face aux appréhensions, je vous recommande de vous raccrocher aux principes
déontologiques, qui sont essentiels si vous souhaitez acquérir une posture d'auditeur
compétent, crédible et bienveillant.
Je vous propose de découvrir les quatre principes, issus du code de déontologie de l’IIA, à partir
d’exemples de comportements attendus d’un auditeur interne :
• Intégrité ;
• Objectivité ;
• Confidentialité ;
• Compétences.
a- L'intégrité
▪ À faire : faire preuve d’honnêteté, de diligence et de responsabilité, en respectant
les lois et les pratiques professionnelles.
▪ À ne pas faire : prendre part à des activités illégales, et/ou qui vont à l’encontre de
la profession d’auditeur.
b- L'objectivité
▪ À faire : évaluer en prenant en considération tous les éléments collectés du
processus audité, de manière factuelle et probante.
▪ À ne pas faire : établir des relations pouvant compromettre le jugement et
amener à des conflits d’intérêt, porter un jugement en prenant en compte ses
propres intérêts et/ou ceux de son entourage professionnel.
c- La confidentialité
▪ À faire : utiliser avec prudence et protéger les informations et les données
collectées dans le cadre de l’audit.
▪ À ne pas faire : utiliser ces informations et ces données pour en retirer un
bénéfice individuel ou collectif, qui porterait préjudice à l’entreprise.
d- Les compétences
▪ À faire : réaliser les travaux d’audit interne en respectant le CRIPP fourni par l’IIA,
et tendre à améliorer continuellement ses compétences d’auditeur, son efficacité
et la qualité des travaux.
▪ À ne pas faire : s’engager dans des travaux pour lesquels l’auditeur ne possède
pas la connaissance, le savoir-faire ou l’expérience nécessaires.
Ces principes n’ont pas de caractère obligatoire lorsque les auditeurs ne sont pas titulaires de
certifications professionnelles de l’IIA. En revanche, si vous prétendez au titre d'auditeur interne
certifié, vous devez les appliquer sous peine de sanction disciplinaire.
7
Avoir défini des principes et une éthique professionnelle, dans une charte ou une politique
d’audit interne, peut rassurer les audités en posant un cadre humain et bienveillant, auquel ils
peuvent se référer.
• À faire : évaluer les impacts des points forts et des points faibles sur les autres fonctions.
• À ne pas faire : se restreindre au périmètre audité et négliger les enjeux et objectifs
stratégiques de l’entreprise.
L’audit interne doit prendre en compte la stratégie de l’entreprise, afin de lui permettre
d’atteindre ses objectifs au moyen d’une évaluation structurée et transverse des processus.
L’audit doit non seulement améliorer les processus, mais également il doit favoriser
l’accomplissement des ambitions de l’entreprise, et ne pas en être un obstacle.
Il est donc important de ne pas perdre de vue ce dernier point au cours de l’évaluation et de
l’établissement des recommandations d’audit.
En résumé :
• L’audit est une discipline structurée, intégrée, transverse et surtout utile, en entreprise,
et dans tout type d’organisation ;
• Il existe deux principaux domaines d'audit : l'audit financier ou légal, d’une part, qui vise
une certification, et d’autre part l’audit opérationnel, qui vise plutôt une mesure de
performance ;
• L’audit doit non seulement améliorer les processus mais également il doit aider
l’entreprise à atteindre ses objectifs stratégiques. L’audit ne doit pas en être un obstacle.
Pour cela, vous pouvez compter sur votre intégrité, votre confidentialité, vos
compétences, votre objectivité et enfin votre vision systémique.
8
CHAPITRE II- DEFINISSEZ LA VALEUR AJOUTEE DE VOS AUDITS
Vous êtes manager, où vous visez un poste de responsable d’une équipe, ou d’un service.
Vous avez des compétences et des savoir-faire, à la fois techniques et liés à un (ou des)
domaine(s) métier spécifique(s). Vous avez un sens du relationnel. Toutes ces qualités vous
permettent de gérer une équipe, avec un lien de subordination direct ou non, pour atteindre des
objectifs communs.
En tant que manager ou responsable, vous devez réfléchir à la valeur ajoutée que votre
fonction apporte à votre entreprise. Cette réflexion permet également de donner du sens à vos
activités, pour ensuite l’expliquer à votre équipe et/ou vos interlocuteurs. Dans le cadre de la
mise en place d’une fonction d’audit, vous allez réfléchir à une stratégie d’audit.
• Comment gérer les audits dans leur globalité, tel un chef d’orchestre ;
• Comment fédérer sur les objectifs d’audit, afin de satisfaire toutes les parties impliquées
et d’obtenir leur adhésion tout au long des audits.
Avant d’aborder les différents axes de réflexion, précisons ce qu’est une stratégie d’audit.
La stratégie d’audit permet de fixer la mission d'une fonction d'audit interne et de définir
sa valeur ajoutée au sein de l’entreprise. Cette vision qui en découle sera partagée aux
différentes parties prenantes. En outre, si la direction générale sponsorise cette vision, les audits
auront encore plus de légitimité… et donc une meilleure image.
Par ailleurs, la stratégie permet d’évaluer les ressources humaines et financières en vue
d’accomplir cette mission et cette vision.
Cette réflexion peut être assez courte. Cela n’empêche pas qu’elle résulte d’un processus de
raisonnement rationnel et structuré.
Cette réflexion est nécessaire pour donner du sens aux audits que vous devez mener. Elle
vous aidera aussi à organiser votre discours auprès de vos équipes et des différents
interlocuteurs.
Il n’est pas forcément toujours nécessaire que votre réflexion sur la stratégie d’audit
implique des heures et des heures de remue-méninges. Même courte, vous verrez que cette
réflexion est essentielle pour vous donner une vision globale et pertinente du rôle et des
objectifs de l’audit. Je vous propose justement de vous initier à un raisonnement structuré pour
gagner du temps et de l’efficacité sur cette réflexion !
9
Pour cela, nous allons nous focaliser sur trois principales composantes d’une stratégie d’audit :
1. Le secteur d'activité de votre entreprise et ses objectifs à court, moyen et longs termes.
2. Le cadre réglementaire et les référentiels en vigueur, à la fois en entreprise et sur le
marché.
3. Les différentes parties prenantes et leurs attentes.
Que vous interveniez dans le secteur privé, dans l’industrie pharmaceutique, automobile
ou dans la banque ou l’assurance, ou bien dans une administration publique, les enjeux ne sont
pas les mêmes. Le secteur d’activité est plus ou moins concurrentiel, les réglementations plus ou
moins fortes.
En tant que responsable et auditeur, vous devez avoir une compréhension approfondie des
objectifs de votre entreprise et du secteur d’activité dans lequel elle évolue, y compris des
réglementations et des lois en vigueur.
Si vous souhaitez que votre audit interne crée de la valeur ajoutée, vous devez l’inscrire
comme moteur de la réalisation des objectifs stratégiques et opérationnels, de communication
et de conformité.
✓ Prenons par exemple le secteur bancaire. Depuis quelques années, les banques sont en
pleine mutation digitale, notamment en raison de l’arrivée des acteurs de la FinTech. Les
grands groupes bancaires investissent dans l’innovation, en créant des laboratoires et des
services de recherche et développement comme dans l’industrie. Ils veulent anticiper les
futurs besoins des consommateurs en proposant de nouvelles solutions bancaires. En
revanche, les banques sont soumises à de fortes réglementations, visant à garantir leur
solidité financière, et font face à un certain nombre de régulateurs externes (l’Autorité de
contrôle prudentiel, l’Autorité des marchés financiers, la Banque centrale européenne,
etc.).
Pour acquérir une vision globale de votre entreprise, je vous invite à cartographier
l’environnement de l’entreprise à l’aide du modèle des forces de Porter.
10
En ce qui concerne les activités de votre entreprise, la modélisation de la chaîne de
valeur, de Porter également, pourrait vous être utile pour concevoir cette vision systémique.
Regardons ces outils en détail.
Le modèle des forces de Porter permet de mener une analyse du secteur d’activité de
votre entreprise. Le but, dans cet exercice, n’est pas de réaliser une analyse stratégique et
détaillée de la concurrence. Ici, vous chercherez à appréhender le secteur afin de développer
une vision externe de l’entreprise, et d’identifier ce que celle-ci a mis en œuvre pour faire face à
ces différentes forces en présence.
Michael Porter a identifié cinq forces ; une sixième s’est ajoutée par la suite. Vous pouvez
analyser chacune des six forces.
1. L'intensité concurrentielle : qui sont les concurrents sur le marché ? Sont-ils nombreux ?
Quelle est leur taille ? Quels produits et services proposent-ils ? Quelles sont leurs parts
de marché ? Connaître les entreprises concurrentes est indispensable, notamment pour
se comparer, pour faire des benchmarks et identifier les pratiques du secteur, afin de
s’aligner ou de se différencier. Par exemple, si les plus gros concurrents disposent d’une
fonction d’audit interne et que votre entreprise n’en a pas, il serait intéressant de savoir
pourquoi.
2. Le pouvoir de négociation des clients : dans quelle mesure les clients influencent-ils les
prix, les produits et services que propose votre entreprise ?
3. Le pouvoir de négociation des fournisseurs : dans quelle mesure les fournisseurs
imposent-ils leurs conditions à votre entreprise ? Les conditions peuvent être le prix, les
conditions de paiement, les délais d'approvisionnement et de livraison, le service après-
vente, la qualité, etc. Un fournisseur incontournable a forcément un fort pouvoir de
négociation, et peut facilement imposer ses conditions.
4. La menace des produits ou services de substitution : vers quels produits et/ou services
les clients de votre entreprise peuvent-ils se tourner ? Quels dispositifs votre entreprise a
mis en place pour garder sa clientèle ?
5. La menace d'entrants potentiels sur le marché : qui sont les nouveaux entrants sur le
marché ? Quelle part du marché peuvent-ils prendre ? Comment votre entreprise et ses
autres concurrents se protègent-ils pour contrer cette menace ?
6. Les pouvoir publics, force importante dans l’industrie plus particulièrement, ou dans le
secteur bancaire et les assurances. Les institutions, autorités, administrations publiques
et l’État établissent les réglementations ou des normes, et peuvent attribuer des
subventions ou faire bénéficier d’avantages fiscaux. Quel est leur influence sur votre
entreprise ?
Il s’agit d’une analyse interne des fonctions ou activités dans l’entreprise. Grâce à cet
outil, vous allez identifier les fonctions qui créent ou non de la valeur, surtout d’un point de vue
financier. Une activité crée de la valeur lorsque le total de ses coûts associés est inférieur à sa
contribution au chiffre d’affaires de l’entreprise.
11
La chaîne de valeur de Porter est composée :
• Des activités principales, dites “de base” : celles qui contribuent directement à générer
du chiffre d’affaires et à dégager de la marge, à savoir, selon Porter :
o Les activités de logistique entrante pour l’approvisionnement,
o Les activités de fabrication ou de production,
o Les activités de logistique sortante pour la distribution et la commercialisation,
o Le marketing et les ventes,
o Les services ;
• Des activités de soutien : celles qui sont en support des activités principales et forment
l’infrastructure de l’entreprise :
o L’infrastructure de l’entreprise,
o La gestion des ressources humaines,
o La recherche et le développement,
o Les achats.
À partir de la chaîne de valeur de Porter, vous aurez identifié les principaux processus de votre
entreprise ainsi que leurs interactions. Leur modélisation vous permettra d’avoir une vision
interne de l’entreprise.
Un processus est un ensemble d’opérations réalisées par des humains ou des machines,
permettant de transformer des éléments en entrée, destinés à un autre processus. Un processus
peut également être déclenché par un événement, qui aboutira à un résultat tangible.
Par exemple, le processus d’audit :
• Est déclenché par une demande d’assurance de la maîtrise des opérations de la part de la
direction générale ;
• Aboutit à des propositions d’amélioration sur le périmètre audité, en vue d’atteindre les
objectifs stratégiques de l’entreprise.
Que ce soit avec une analyse de la chaîne de valeur ou des forces de Porter, il est essentiel que
vous gagniez en visibilité sur le périmètre des activités de votre entreprise, pour pouvoir mettre
en œuvre une stratégie d’audit efficace.
Dans cette section, nous allons nous focaliser sur les aspects de conformité.
En principe, les activités de votre entreprise, dont vous avez une vision globale au moyen d’une
cartographie des processus, répondent :
12
• Aux lois et aux réglementations à respecter sous peine de sanction ;
• À des standards et à des bonnes pratiques du secteur et/ou du métier, pour démontrer
notamment la bonne gestion de l’entreprise.
Si vous n’intervenez que dans une fonction de l’entreprise, les systèmes d’information ou
les ressources humaines, par exemple, leur connaissance plus approfondie peut
s’avérer indispensable dans l’exercice de votre métier.
Par exemple, toujours dans le secteur bancaire, certaines réglementations imposent de
protéger les informations relatives aux clients en matière de cartes de crédit, telles que la PCI
DSS, ou à caractère personnel, telles que le RGPD (Règlement général sur la protection des
données). En conséquence, ces points de la réglementation sont à intégrer dans les audits. Les
auditeurs devront déterminer si les processus et la documentation associée mis en place dans
l’entreprise permettent de garantir cette conformité.
Les activités de l’entreprise doivent être conformes aux lois et à la réglementation, mais
peuvent également répondre à des standards et à des bonnes pratiques du secteur et/ou du
métier.
Par exemple, la Direction des systèmes d'information (DSI) de l'entreprise s'appuie sur
des référentiels tels que le COBIT, ITIL ou CMMI, afin de définir la gouvernance des SI.
L'entreprise peut également avoir la volonté de s'inscrire dans une démarche qualité, et
s'engager dans une certification "ISO".
Ainsi, la stratégie d’audit devra permettre à l’entreprise d’être conforme à ces référentiels.
Le besoin de mettre en place une fonction d’audit interne en entreprise résulte dans la
plupart des cas d’une obligation réglementaire, ou bien de la demande des administrateurs. En
effet, vous l’avez retenu : l’audit permet de réduire une asymétrie d’information.
En tant que manager ou responsable, vous pouvez donc solliciter les parties prenantes
internes et externes (par exemple, les membres du conseil d’administration, la direction
générale, et les régulateurs) afin de recenser leurs attentes sur la fonction d’audit, et les
13
informations dont elles ont besoin pour prendre des décisions. Ces échanges pourront se faire
dans le cadre d’entretiens en face à face et/ou de réunions collectives en mode “brainstorming”.
N’hésitez pas à prendre comme support les modélisations que vous aurez élaborées (les forces et
la chaîne de valeurs de Porter).
En résumé :
14
CHAPITRE III- ASSUREZ LA REALISATION DE VOTRE STRATEGIE D’AUDIT
INTRODUCTION
Grâce à la méthode SWOT, votre vision systémique sera renforcée. Vous allez pouvoir
appréhender la mise en place de votre stratégie d’audit et garantir son succès.
La méthode SWOT permet d'identifier les facteurs internes et externes. Ces facteurs peuvent
favoriser ou empêcher la mise en œuvre de la stratégie d'audit.
Méthode SWOT
Dans un premier temps, vous allez identifier les facteurs internes : les forces et faiblesses
spécifiques à l'activité d'audit dans l’entreprise. Vous pourrez y inscrire, par exemple, la structure
organisationnelle et le positionnement de votre service, les ressources et les compétences dont
vous disposez.
Dans un second temps, vous allez détecter les opportunités et les menaces liées
à l'environnement externe de l'activité d'audit. Par exemple, les demandes d'assurance et de
conseil des parties prenantes, qui sont plus ou moins nombreuses, les évolutions réglementaires
et des technologies et des outils dans l'entreprise peuvent être des menaces ou des opportunités
pour votre activité.
Une fois votre analyse SWOT établie, vous allez devoir transformer vos faiblesses en forces et vos
menaces en opportunités. Je vous propose dans cette section plusieurs pistes de réflexion,
pouvant représenter des forces ou des faiblesses, des opportunités ou des menaces.
15
A- LE POSITIONNEMENT DE L’AUDIT INTERNE DANS L’ENTREPRISE
L’audit interne doit être positionné de manière adéquate afin de respecter les principes
d’indépendance et d’objectivité de la fonction. Ce positionnement contribue à la qualité et à
l’efficience des missions d’audit.
Ainsi, en pratique, le service d’audit interne est souvent rattaché à la direction générale
dans l’organigramme d’une entreprise, ou à un département d’audit et des risques, rattaché lui-
même à la DG.
Je vous propose ces différents cas de figure pour évaluer si la position de l’audit interne constitue
une force ou une faiblesse, en distinguant deux situations.
Situation 1 : il n’existe pas de fonction d’audit interne dans votre entreprise. Dans le cadre de
votre mission, vous devez la mettre en place :
• Votre service est rattaché à la direction générale : c’est une force. Le positionnement est
favorable pour appliquer les principes d’indépendance et d’objectivité ;
• Votre service est rattaché à une autre direction, par exemple la direction financière ou
des opérations : ce peut être une faiblesse. Votre responsable sera juge et partie, votre
indépendance peut être compromise. En outre, vos collègues de service peuvent ne pas
apprécier de travailler proche d’un auditeur. Votre environnement de travail sera
compliqué.
Pour transformer cette faiblesse en force, demandez à vos responsables de communiquer à vos
collègues en amont des audits, de manière pédagogique, en expliquant les tenants et
aboutissants. La solution idéale serait également que la direction générale soit sponsor de vos
missions, et principale destinatrice des résultats d’audit.
Situation 2 : une fonction d’audit interne existe bien dans votre entreprise. Dans le cadre de
votre mission, vous devez la mettre en place sur votre périmètre fonctionnel, c’est-à-dire dans le
département auquel vous êtes rattaché.
16
2- La gestion des compétences
Les compétences des auditeurs, déjà présents lorsque vous reprenez la responsabilité
d’un service d’audit, ou ceux qui devront être recrutés, sont essentielles pour aider l’entreprise à
atteindre ses objectifs stratégiques.
En tant que manager, vous allez devoir dans un premier temps planifier les ressources
humaines. En fait, vous allez identifier les compétences et les connaissances nécessaires à la
mise en œuvre de la stratégie de l'audit interne.
Par exemple, si votre entreprise a pour objectif stratégique d’établir une confiance
numérique auprès de ses clients, en protégeant leurs données privées et personnelles, contre le
cyber malveillance, vous allez devoir réfléchir à l’opportunité de recruter ou non un profil expert
en sécurité informatique, qui pourra réaliser les audits sur ce domaine.
Pour conclure sur ce point, voici quelques exemples de forces et faiblesses, opportunités et
menaces sur la gestion des compétences :
Tout comme les compétences, vous allez devoir évaluer l’utilisation des outils et
les ressources financières dont vous disposez pour mettre en place votre stratégie d’audit.
Si une mission d’audit doit se dérouler dans plusieurs sites, à laquelle participent
plusieurs auditeurs, il sera judicieux d’utiliser des outils d’organisation du travail pour partager
des dossiers et centraliser les preuves et les constats. Le responsable de mission pourra contrôler
facilement la qualité des documents collectés et revoir les rapports sans être sur place.
Autre exemple, si vous êtes amené à réaliser des analyses de données masse, l’utilisation
de logiciels spécialisés (autres qu’Excel, qui est limité) peut faire gagner du temps et accroître
l'efficacité et l'efficience d'un service d’audit interne.
Vous allez gérer un budget, voire l’estimer pour demander l’achat de logiciels ou pour recruter
de nouvelles compétences. Vous allez devoir rentrer dans une négociation auprès de vos
responsables. Le positionnement de votre service, s’il est proche de la direction générale,
17
pourrait jouer en votre faveur. En outre, votre stratégie d’audit constitue une base d’arguments
qui vous aidera dans cette négociation.
Dans le cas où vous n’êtes pas autorisé à recruter, il y a plusieurs options pour l’acquisition de
compétences, en fonction de l’enveloppe financière :
• La sous-traitance partielle : des ressources internes réalisent une partie des activités, et
les ressources externes fournissent les compétences spécialisées ;
• L’externalisation complète : toutes les missions d’audit sont réalisées par des prestataires
externes.
Pour conclure, voici quelques exemples de forces et faiblesses, opportunités et menaces sur les
outils et autres ressources :
La communication est primordiale, en particulier pour ne pas véhiculer une mauvaise image de
l’audit et mettre la fonction dans une mauvaise posture.
Vous devez réfléchir à un plan de communication pour informer la direction générale et les
hautes instances du plan d’audit, des ressources nécessaires, de son suivi et de sa mise en
œuvre. La progression des plans d’action en réponse aux constats d’audit par le management
pourra également faire l’objet d’une communication.
À un niveau plus opérationnel, avec les responsables des autres services, la communication se
fait surtout au cours de la mission d’audit. Elle est intégrée à la méthodologie d’audit, que nous
détaillerons plus tard.
Pour conclure sur ce dernier point, voici quelques exemples de forces et faiblesses, opportunités
et menaces sur la communication avec les parties prenantes :
18
B- MAITRISEZ LES FACTEURS CLES DE SUCCES
En recroisant votre analyse SWOT, vous allez pouvoir définir les facteurs clés de succès de l'audit
interne. Voici l’ultime question à vous poser :
Quels sont les éléments minimums que vous devez mettre en place et/ou dont vous disposez
pour accomplir votre stratégie d’audit, pour jouer votre rôle dans l’entreprise et contribuer à
l’atteinte de ses objectifs stratégiques ?
Je partage avec vous deux facteurs de succès sur la base de mon expérience passée d’auditrice et
de chef de mission d'audit. Vous noterez qu’ils ont été abordés plus haut :
• Une communication claire et régulière, adaptée à tous les niveaux hiérarchiques. Les
auditeurs veulent toujours comprendre le “pourquoi” : vos interlocuteurs, que ce soit la
direction générale ou les opérationnels, aussi.
Pour ce faire, un tableau de bord ou un reporting, avec des indicateurs mis à jour tous les mois,
permettra de communiquer des informations pertinentes et adaptées auprès des principales
parties prenantes. Ce support comprend entre autres un recensement des risques, les constats
d'audit et les mesures correctives à date ;
En résumé :
19
CHAPITRE 4 : PARTAGEZ VOTRE STRATEGIE SOUS FORME D’UNE CHARTE D’AUDIT
INTRODUCTION
Vous avez beaucoup réfléchi, vous avez pris du recul par rapport à l’organisation de votre
entreprise, à ses objectifs, à son environnement sectoriel, et aux attentes de tous vos
interlocuteurs potentiels internes ou externes.
Vous savez où vous voulez mener votre entreprise au moyen de l’audit interne. Vous allez
ainsi contribuer à l’effort collectif pour l’amener à accomplir ses objectifs à court, moyen et long
terme.
La charte d'audit doit reprendre les différents éléments que nous avons traités dans les chapitres
précédents :
• La définition de l'audit interne ; vous pouvez citer l’IIA et développer comme nous
l’avons fait cette définition officielle ;
• Le positionnement dans l'entreprise, sous la forme d’un organigramme, en précisant à
quel directeur/responsable l’audit est rattaché ;
• Les principes d'actions, que nous avons vus dans la première partie ;
• Les rôles et les missions de l'audit, qui peuvent être une synthèse des réglementations,
des référentiels et des bonnes pratiques, ainsi que les attentes des parties prenantes.
La charte d’audit peut également être appelée une politique d'audit. Ce sont des synonymes.
Cela dépendra du système de management de la qualité, ou de la pyramide documentaire, mis
en place dans votre entreprise. En son absence, vous êtes libre de l’appeler charte ou politique
d’audit.
Ce document précise également :
Dans le cadre de référence (CRIPP) de l’IIA, les normes professionnelles permettent de définir un
cadre pour la réalisation des activités d’audit interne à valeur ajoutée et pour les améliorer. La
première norme “1000 – Mission, pouvoirs et responsabilités” impose l’élaboration d’une charte
d’audit interne.
“La mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement
définis dans une charte d’audit interne, en cohérence avec la Mission de l’audit interne et les
20
dispositions obligatoires du Cadre de référence international des pratiques professionnelles
(CRIPP) de l’audit interne (les Principes fondamentaux pour la pratique professionnelle de l’audit
interne, le Code de déontologie, les Normes et la définition de l’audit interne). Le responsable de
l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à
l’approbation de la direction générale et du Conseil.”
La charte d’audit doit être validée par la direction générale et les plus hautes instances de
l'organisation. Il y a aura probablement des allers-retours avant la validation finale. É tant donné
que vous aurez rencontré les membres de ces instances au cours de votre réflexion stratégique,
et que vous aurez pris en compte leurs attentes, ces derniers ne seront pas surpris du contenu.
En outre, vous pouvez considérer que cette validation est un soutien formel et officiel de la
direction générale. Ce sponsor vous permettra d’asseoir la légitimité de l’audit interne dans
l’entreprise.
Comme je vous l’avais présenté, la communication est un facteur clé de succès, vous devez
donc partager cette charte d’audit. Pour cela, vous pouvez la rendre plus intelligible en utilisant
des supports plus adaptés (PowerPoint, par exemple) et en les présentant en réunion, par
exemple. Je vous conseille d’éviter de seulement transmettre le document par mail aux
directeurs/responsables dont les services pourront potentiellement être audités.
Présenter le service d’audit interne sur l’intranet de votre entreprise pourrait être utile, en
joignant la charte d’audit. Tous les collaborateurs de l’entreprise auront accès au document.
Dans cette présentation, je vous recommande d’insister sur votre vision de l’audit et sur les
principes qui pourront rassurer les futures équipes auditées. Décrivez également l’approche
d’audit pour montrer que les méthodes de travail des auditeurs sont organisées et structurées,
conformes à des normes professionnelles. Vous ferez taire les mauvaises langues qui diront que
l’audit est une fonction opaque, réalisée pour “punir les mauvais élèves”.
EN RESUME
Dans le cadre de votre mission en entreprise, vous devez mettre en place ou reprenez un service
d’audit interne, qui est rattaché à la direction générale ou bien à une autre direction. Avant de
rentrer dans le vif du sujet et identifier tous les audits que vous pourrez mener, vous allez :
21
22
Définissez votre univers d'audit
Dans la première partie du cours, vous avez appréhendé la stratégie globale et les objectifs de
votre entreprise. Vous savez maintenant :
Vous avez également défini votre vision de l’audit au moyen d’une charte ou d’une politique
d’audit. Vous êtes en phase avec vos responsables surs :
Pour compléter la charte d’audit, je vous propose dans les prochains chapitres de définir le
périmètre d'intervention de l’audit, au moyen, bien évidemment, d’une méthode structurée.
Vous allez apprendre à construire un plan d'audit, qui listera tous les audits à réaliser sur des
périodes à court terme et moyen/long terme.
Un plan d’audit pluriannuel est établi sur 3 à 5 ans ; tandis qu’un plan d’audit annuel est
composé des audits à mener sur l’année, de janvier à décembre.
L’univers se définit comme un ensemble de galaxies et de planètes, régies par un certain nombre
de lois. L’univers d’audit s’apparente à cette notion d'astronomie. En tant qu’auditeur, vous allez
explorer ces différentes galaxies et planètes, au sens figuré, bien sûr !
L’univers d’audit est donc votre champ d’action dans l’entreprise. Cependant, tel un scientifique,
nous n’aurez pas le temps, ni les ressources financières, pour tout découvrir. Vous voulez vérifier
certaines lois fondamentales ou certains concepts en priorité, vous allez donc vous concentrer
sur une galaxie ou une planète en particulier.
Pour définir votre univers d’audit, la modélisation des principaux processus dans l’entreprise à
partir de la chaîne de valeur que nous avons vue, vous sera utile.
C’est une base de travail à approfondir pour identifier tous les composants organisationnels et
techniques de l’entreprise. Cela vous amènerait à identifier toutes les galaxies et les planètes, et
à cartographier l’univers.
23
L'établissement d'un plan d'audit doit prendre en compte :
Pour identifier ces aspects organisationnels et techniques et en déduire les thématiques d’audit,
je vous propose de vous appuyer sur les cartographies suivantes :
Vous pourrez vous lancer dans ces modélisations, qui vous prendront du temps car vous devrez
rencontrer tous les interlocuteurs clés de tous les départements de l’entreprise ; ou bien vous
tourner vers les services qui ont probablement déjà réalisé ces cartographies.
Afin d’avoir une vision des activités et de leur interaction dans votre entreprise, la cartographie
des processus vous permettra de mettre à plat les processus, et d’analyser précisément le
fonctionnement de l'entreprise.
Un processus est un ensemble d’opérations réalisées par des humains ou des machines,
permettant de transformer des éléments en entrée, destinés à un autre processus. Un processus
peut également être déclenché par un événement, qui aboutira à un résultat tangible.
Dans le cas où vous souhaitez modéliser vous-même la cartographie des processus de votre
entreprise, et si vous avez modélisé la chaîne de valeur de Porter, dans le cadre de votre
réflexion sur la stratégie d’audit, vous avez déjà une base de travail, puisque vous avez identifié
les principaux processus de votre entreprise.
L’organisation internationale de normalisation ISO “établit des documents qui définissent des
exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser
systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits, processus et
services.”
En matière de processus, la norme ISO 9001 est une référence à l’échelle internationale. Cette
norme fournit de bonnes pratiques de pilotage d’une entreprise, orientées clients pour satisfaire
leurs besoins et leurs attentes, et pour que l’entreprise puisse s’améliorer. La norme ISO 9001
vise à mettre en place un système de management de la qualité, basé sur l’identification des
processus, leur séquencement et leurs interactions.
24
La norme ISO 9001 ne vous donnera aucune indication pour représenter le résultat de
l’identification des processus. Mais si votre entreprise souhaite être conforme aux exigences de
la norme ISO 9001, et en être certifiée pour améliorer sa compétitivité, il existe certainement
une cartographie des processus élaborée par une personne en charge du système de
management de qualité.
Vous allez probablement être confronté au niveau de granularité de cette analyse. Une
cartographie trop générale aura peu d'intérêt opérationnel, tandis qu’une cartographie trop
détaillée sera inexploitable.
Dans ce cas, je vous invite à vous questionner sur les destinataires de cette cartographie et à
vous mettre à leur place. En outre, vous pouvez également élaborer une cartographie sous
formes de vues, sur laquelle il sera possible de zoomer pour avoir plus de détails.
L’approche descendante sera pertinente, en identifiant d’abord les macroprocessus, puis les
processus qui les composent, et les sous-processus. Je vous propose un exemple de cartographie
dans l’industrie ci-dessous :
Les processus opérationnels ont été décomposés en sous-processus, considérés comme trop
vastes pour être analysés.
La cartographie des SI
25
Les entreprises se dotent de nombreux outils qui s’intègrent dans les processus de pilotage
(outils d’intelligence économique, de veille), opérationnels (outils de production, ou de gestion
des clients), ou de support (outils de facturation, de paie). Ces outils forment le système
d’information (SI) et sont connectés à l’intérieur de l’organisation ou à l’extérieur.
Leur représentation vous sera utile pour avoir cette vision interne de l’entreprise, plus
technique.
Comme pour la cartographie des processus, il n’existe pas de véritable méthode pour
cartographier les SI. La démarche se fait par étapes, de la vue la plus globale à la vue plus
détaillée. En outre, elle répond à des enjeux et des attentes des parties prenantes spécifiques.
Le DSI de votre entreprise peut vous fournir une cartographie des SI. En revanche, celle-ci ne
répondra pas forcément à votre besoin en tant que responsable de l’audit interne ou auditeur.
Vous trouverez ci-dessous une cartographie simplifiée des applications d’une filiale d’un groupe
de distribution. L’objectif de cette cartographie est d’identifier les outils informatiques
nécessaires au bon fonctionnement des processus, ainsi que leurs interactions via les flux.
26
Exemple de cartographie d'une dimension du SI
Chaque application de cette cartographie pourra faire l’objet d’un audit. Les flux également
peuvent être audités, afin de s’assurer de la cohérence des informations contenues dans chaque
outil. De même, dans le cadre d’un audit d’un domaine (ou fonction), les applications utilisées
pourront également être auditées. Par exemple :
• dans le cadre de l’audit de la fonction des ventes, sur le périmètre de la filiale, les
applications suivantes seront revues : éditeurs A, B, C, X et Y ;
• dans le cadre de l’audit de la fonction comptable sur le périmètre de la filiale : éditeur X
uniquement.
Nous adoptons une approche en entonnoir, qui consiste à identifier toutes les thématiques
organisationnelles et SI pouvant être auditées. Vous serez cependant confronté à des contraintes
de coûts et de délais.
Vous allez donc devoir prioriser les audits avant d’avoir un plan d’audit définitif, qu’il soit sur 3
à 5 ans ou pour l’année. Cette priorisation s’effectue au moyen d’une analyse de risques que
nous verrons dans le chapitre 3 de cette partie.
27
Identifiez également les projets à auditer
Vous pouvez donc être amené à auditer des projets à la demande de la direction générale, ou
d’autres parties prenantes internes ou externes.
Par exemple, dans le cadre d’un projet de changement d’outil comptable et financier, la direction
générale pourra demander un audit du projet afin de s’assurer que les données produites par
l’outil sont fiables et de qualité, en vue de la certification des comptes par les CAC.
L’audit permettra d’évaluer la manière dont les risques sont maîtrisés pour atteindre les objectifs
du projet, compte tenu des besoins, des coûts et des délais. Vous allez également vous assurer
que la gestion de projet est conforme aux bonnes pratiques en la matière. À ce titre, vous vous
appuierez sur des standards et des cadres de référence, que nous détaillerons dans le prochain
chapitre. Par ailleurs, cette liste de projets devra être mise à jour annuellement dans le cadre
d’une démarche d’amélioration continue, sujet traité également dans un autre chapitre. À
suivre...
En résumé :
CHAP2 :
Dans le cadre de votre réflexion sur votre stratégie d'audit, vous avez déjà réfléchi aux bonnes
pratiques du secteur. Voici un petit rappel :
Les activités de l’entreprise doivent être conformes aux lois et à la réglementation, mais peuvent
également répondre à des standards et à des bonnes pratiques du secteur et/ou du métier.
Dans votre univers d’audit, vous avez identifié toutes les thématiques organisationnelles et SI
spécifiques à votre entreprise, qui peuvent faire l’objet d’un audit. Comme nous l’avions défini,
l’univers est composé de galaxies et de planètes, régies par un certain nombre de lois. Dans le
précédent chapitre, nous nous sommes concentrés sur les galaxies et planètes à explorer.À
présent, je vous propose d’aborder ces lois.
28
Autrement dit, la vision globale et l'approche systémique de l'entreprise ne suffisent pas. Pour
être exhaustive, la liste des thématiques d'audit doit être complétée par une analyse de cadres
de référence, selon le secteur d'activité et les domaines fonctionnels.
Qu’est-ce un référentiel ?
Un cadre de référence, qu’on appelle aussi référentiel ou standard, est un ensemble de règles
implicites ou explicites, qu’il convient d’appliquer pour être conforme à ce cadre.
Les enjeux de la mise en œuvre d’un référentiel sont la recherche d’une meilleure performance
des processus et opérations, et d’une meilleure maîtrise des risques. Il s’agit également d’un
gage de qualité, qui démontre une bonne gestion des activités, puisque les référentiels sont
reconnus par des professionnels.
Par exemple, la Direction des systèmes d'information (DSI) de l'entreprise s'appuie sur des
référentiels tels que le COBIT, ITIL ou CMMI, afin de définir la gouvernance des SI. L'entreprise
peut également avoir la volonté de s'inscrire dans une démarche qualité et s'engager dans une
certification "ISO".
Contrairement à la réglementation et aux lois, l’entreprise n’a aucune obligation de les mettre en
œuvre.
Aucun de ces cadres de référence n’est entièrement applicable. Il vous incombe d’identifier
quelles parties de ces référentiels sont adaptées à votre entreprise et répondent à ses besoins. Il
s’agit plutôt de bonnes pratiques à mettre en place pour gérer et améliorer les processus de
l’entreprise.
Dans ce chapitre, je vous propose une démarche d’identification des référentiels que vous
pourrez intégrer dans votre plan d’audit. Nous verrons qu’il existe des référentiels externes,
correspondant aux bonnes pratiques du secteur et/ou du métier, et des référentiels internes.
Que ce soit dans le cadre de la réflexion d’une stratégie d’audit, de l’élaboration d’un plan
d’audit, ou lors d’une mission d’audit, vous allez sans cesse vous interroger sur les bonnes
pratiques à appliquer.
L’audit permet de faire un diagnostic de l’existant, afin d’identifier de points forts et des points
faibles d’une organisation par rapport à une référence. C’est bien cette référence que vous devez
identifier.
• du secteur d'activité ; par exemple, si votre entreprise se trouve dans le secteur bancaire,
elle est soumise au cadre de référence de l'AMF ;
• du domaine fonctionnel ; par exemple, si vous travaillez dans une administration
publique, il existe des bonnes pratiques de l'achat public ;
29
• de l’environnement des SI ; par exemple, si votre entreprise dispose d’une direction des
systèmes d’information, celle-ci applique forcément des bonnes pratiques issues de
cadres de référence reconnus, présentés ci-dessous.
• pour la gouvernance des SI : COBIT (Control Objectives for Information and related
Technology) ;
• pour la gestion des SI : ITIL (Information Technology Infrastructure Library) ;
• pour le développement d’un SI : CMMI “(Capability Maturity Model Integration) ;
• pour la sécurité des systèmes d'information : ISO 27001.
Pour identifier les référentiels du domaine fonctionnel, vous pouvez vous appuyer entre autres
sur la cartographie des processus et sur les entretiens avec les responsables de chaque domaine
fonctionnel, afin de prendre connaissance du fonctionnement de leurs processus..
Pour chaque processus, vous listerez les cadres de référence correspondants, applicables bien
évidemment au secteur d’activité. Vous pouvez combiner cette analyse avec les référentiels
internes et la réglementation que nous allons voir dans les sections suivantes.
Dans votre entreprise, une documentation des processus, sous la forme de politiques ou de
procédures, doit exister, avec un degré de formalisation plus ou moins avancé.
Une charte ou une politique, ou encore une directive, énonce des principes fondamentaux,
alignés avec les objectifs stratégiques de l’entreprise. Elle fournit un cadre, composé de règles
applicables sur un périmètre défini. Ces documents doivent émaner de la direction générale,
comme pour la charte d’audit, qui doit être validée par celle-ci.
Ces règles ont la plupart du temps été conçues au moyen de référentiels externes et à partir des
lois et réglementations en vigueur.
Par exemple, en matière de gestion des SI, les politiques, comme la CNIL (Commission nationale
de l'informatique et des libertés), fournissent un certain nombre de principes liés à la propriété
intellectuelle, à la protection des données, au respect de la vie privée, à la collecte
d'informations à caractère personnel, afin de garantir la conformité aux lois et réglementations.
En matière de SI, les procédures donnent des consignes à appliquer dans le cadre du
déroulement d’un processus ou d’un sous-processus (procédure de gestion des comptes
utilisateurs, procédure de configuration, de sauvegarde, etc.).
30
Si votre entreprise est une filiale d’un groupe, elle dispose certainement de politiques ou de
procédures émanant du groupe. Celui-ci a tout intérêt à diffuser des principes et des orientations
à destination de ses filiales, afin de s’assurer de l'homogénéité des pratiques.
En collectant et en consultant cette documentation existante dans votre entreprise, vous allez
enrichir l’univers d’audit. Vous allez également confirmer ou infirmer des thématiques qui ne
seraient pas pertinentes pour être auditées.
Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez évalué l’influence des pouvoirs
publics sur votre entreprise. Si vous avez estimé que cette influence est forte, je vous invite à
vous rapprocher du service juridique afin d’avoir une vision précise des lois et réglementations
auxquelles votre entreprise est soumise.
On parle de “compliance” (conformité) dans les secteurs d’activité soumis à une forte
réglementation. La fonction “compliance” s’assure du respect des dispositions législatives et
réglementaires spécifiques au secteur, mais également du respect des normes professionnelles
et règles déontologiques.
Les audits ayant pour objectif de vérifier la conformité aux lois sont souvent réalisés par la
fonction “compliance”, experte sur ces sujets. Néanmoins, la fonction d’audit interne peut
intégrer ces aspects au cours de la réalisation de ses missions.
Par exemple, dans le cadre d’une mission d’audit de sécurité des données personnelles, les
référentiels sont :
À partir de cet exemple, vous avez remarqué qu’il est possible de réaliser des audits spécifiques,
à intégrer dans l’univers d’audit et dans votre plan d’audit pluriannuel :
• un audit ISO 27001, indispensable si l’objectif de votre entreprise est d’en être certifiée ;
• un audit RGPD ;
• ou un audit de sécurité des SI sur un périmètre défini d’applications.
Vous l’aurez remarqué, l’univers d’audit peut être vaste. Si le temps et les ressources étaient
illimitées, tous les processus et les SI de l'entreprise devraient faire l'objet d'un audit, qui
permettrait également de vérifier leur conformité avec les bonnes pratiques du secteur.
31
Cependant, ce n'est évidemment pas le cas. Vous devrez prioriser les audits au moyen d’une
analyse de risques, qui sera expliquée dans le prochain chapitre.
En résumé
Vous avez défini l’univers d’audit ; l’étape suivante dans l'élaboration d'un plan d’audit
consiste en une évaluation des risques des thématiques identifiées.
Dans ce chapitre, j’aborderai les concepts généraux sur l'évaluation des risques, ce qui vous
aidera à construire un plan d'audit pragmatique et efficace. Dans le chapitre qui suit, je vous
présenterai un cas d’entreprise, afin de mettre la théorie en pratique et d’illustrer la démarche
d’évaluation des risques.
Avant d’attaquer ces travaux, vous devez absolument avoir une vision globale et systémique de
votre entreprise. Chose faite, car vous avez construit cette vision grâce à votre réflexion sur la
stratégie d’audit et sur l’univers d’audit !
L’IIA donne une définition éclairante : le risque est la « possibilité que se produise un
événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes
de conséquences et de probabilité. »
En d’autre termes, le risque est la menace qu'un événement, une action ou une inaction affecte
:
Si votre entreprise a décidé de mettre en place une fonction d’audit interne, elle doit forcément
se doter d’un management des risques, à savoir un processus qui permet de :
32
• faire un inventaire les événements pouvant se produire et qui empêcheraient l’atteinte
des objectifs de l’entreprise ;
• évaluer les niveaux du risque, en fonction des impacts financiers et de la probabilité de
survenance ;
• identifier les activités nécessaires pour maintenir ces risques à un niveau acceptable. On
parlera de contrôle ou de dispositifs de maîtrise des risques.
Cette étape est fondamentale dans cette phase de planification. Elle respecte la norme
professionnelle 2010 du CRIPP “planification” :
“Le responsable de l'audit interne doit établir un plan d’audit fondé sur une approche par les
risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.”
Ne faites pas l’impasse sur l’analyse des risques car elle vous semble compliquée ou fastidieuse.
Revenons à l’objet de ce chapitre qui est de construire un plan d’audit. Dans ce contexte, vous
avez le choix entre :
C’est pour cette raison que je vous propose de partir sur le second choix : procéder à une
évaluation des risques plus macro, une méthode plus simple à appliquer. L’objectif est
d’identifier et d’évaluer entre cinq et dix grands risques aux maximum. Si vous décidez de vous
appuyer sur une cartographie existante, vous allez devoir regrouper tous les risques dans des
catégories, et revoir leur évaluation.
Pour élaborer un plan d’audit et prioriser les composants de l’univers d’audit, la démarche est la
suivante :
Nous allons revenir plus en détail sur chaque étape dans les sections ci-dessous.
Avant d’identifier les grands risques, vous devez avoir une connaissance plus poussée de votre
entreprise, et plus précisément :
33
• son organisation, ses processus et leur fonctionnement ;
• les objectifs de l’entreprise.
Vous avez en votre possession une cartographie des processus et des SI, ainsi que
l’organigramme.
Vous avez déjà réfléchi sur les objectifs stratégiques dans le cadre de l’élaboration de votre
stratégie d’audit.
Appuyez-vous sur des documents internes et officiels, comme le plan stratégique et le schéma
directeur des SI.
Les objectifs stratégiques de l’entreprise sont vastes, par exemple devenir leader sur le marché.
Certains sont beaucoup plus tactiques et opérationnels, comme moderniser le SI en remplaçant
les applications par un progiciel de gestion intégré (ou ERP).
L’objectif stratégique “devenir leader sur le marché” pourra être décliné en plusieurs objectifs
plus opérationnels, tels que “se développer à l’international”, “renforcer sa présence locale”,
“proposer des produits et services innovants”, etc.
Pour chacun des composants de votre univers d’audit, vous allez vous interroger sur l’objectif à
atteindre. Cette réflexion permet de s’assurer que les audits à mener sont bien en lien avec les
objectifs de l’entreprise, et permettront de l’aider à les atteindre.
Par exemple, un projet informatique que vous avez identifié aura probablement comme objectif
de moderniser le SI en remplaçant les applications par un progiciel de gestion intégré (ou ERP).
Dans ce chapitre, je vous propose une méthode générale d’analyse de risques adaptée au
contexte d’élaboration d’un plan d’audit. Si vous souhaitez approfondir ce sujet, je vous invite à
suivre le cours Gérez et analysez les risques SI (sortie septembre 2019).
34
Dans cette démarche générale, je vous propose de vous concentrer sur les risques par fonction
de l’entreprise.
Vous pouvez appliquer d’autres méthodes d’analyse des risques. Par exemple, si votre périmètre
ne concerne que les SI de votre entreprise, la méthode EBIOS (Expression des besoins et
identification des objectifs de sécurité) sera plus pertinente.
Par exemple, selon l’organisation de votre entreprise, vous aurez plus ou moins six “grands”
risques : systèmes d’information, opérationnels, juridiques, marketing, financiers, ressources
humaines.
Pour la fonction des SI, vous allez identifier les principaux événements qui pourraient se produire
ou qui se sont déjà produits, qui entraveraient les activités, tels qu’une cyberattaque ou le
déploiement défectueux, volontaire ou involontaire, d’un changement dans le SI.
Ces travaux d’analyse de risque seront réalisés par vous-même et/ou avec d’autres personnes
ayant une très bonne connaissance de l’entreprise.
En fonction du temps que vous souhaitez consacrer à ces travaux, voici les moyens
d’identification des risques :
Pour prioriser les composants de votre univers d’audit et les missions d’audit à réaliser, vous
allez évaluer la possibilité qu’un événement survienne au sein de la fonction et qui empêcherait
l’atteinte des objectifs de l’entreprise.
La fréquence doit se mesurer sur plusieurs niveaux, de faible à élever. Au minimum, l’échelle
comporte trois niveaux, chaque niveau ayant une cotation.
Dans cette approche, nous n'allons-nous intéresser qu’aux impacts financiers, c’est-à-dire les
dépenses que l’entreprise pourraient engager ou la perte de chiffre d’affaires potentielle si le
risque se matérialise.
Vous trouverez ci-dessous un autre exemple de grille d’évaluation plus développée à quatre
niveaux.
36
Grille
d'évaluation à quatre niveaux
La criticité du risque
Pour chaque composant de l’univers d’audit et afin de savoir lequel doit être audité en priorité,
vous allez :
Pour prioriser les composants de votre univers d’audit et construire votre plan d’audit, je vous
propose le tableau suivant à compléter.
37
Les composants de l'univers d'audit ayant un score élevé devront être audités en priorité. En
fonction du score, la fréquence du cycle d'audit sera également déterminée :
• L’audit devra être réalisé tous les 1 à 2 ans pour un score élevé ;
• L’audit devra être réalisé tous les 2 à 3 ans pour un score moyen ;
• L’audit devra être réalisé tous les 3 à 5 ans pour un score faible.
En résumé :
• L’analyse de risque est indispensable dans la phase d’élaboration du plan d’audit, afin de
définir les audits prioritaires alignés avec les objectifs de l’entreprise ;
• Un risque est la menace qu'un événement, une action ou une inaction se produise, et
affecte la capacité de l'entreprise à atteindre ses objectifs ;
• L’évaluation d’un risque est basée sur deux paramètres : la probabilité d’occurrence,
ou fréquence, et l’impact sur l’entreprise si l’événement se produit, ou gravité. La
multiplication de ces deux paramètres permet de calculer la criticité du risque.
Vous l’avez compris : le plan d’audit, c’est-à-dire votre programme de missions, ne se fera pas
sans analyse des risques. Dans le chapitre précédent, je vous ai présenté la démarche, qui peut
être synthétisée par le biais du schéma ci-dessous :
Dans ce chapitre, je vous présente un exemple concret, qui permettra d’illustrer la démarche et
d’aboutir à un plan d’audit.
Mettez-vous en situation
Vous avez été recruté dans une entreprise qui vend en ligne des matériaux de construction à des
professionnels du secteur du bâtiment, en vue de définir une stratégie d’audit et de déployer le
plan d’audit qui en résulte. Étant donné que vous serez le seul à réaliser les audits et que vous ne
pourrez faire appel à des prestataires que sur des expertises que vous ne possédez pas, vous
devrez prioriser les thématiques d’audit identifiées et présenter votre démarche auprès de votre
direction et des parties prenantes.
Cette entreprise est une filiale d’un grand groupe, qui produit et distribue des matériaux pour le
bâtiment. Elle a été créée il y a plus de 2 ans et compte plus de 100 salariés.
38
L’entreprise a pour objectif d’augmenter le chiffre d’affaires tout en maintenant un niveau de
service client élevé. Elle n’a pas d’objectif de marge, car le groupe est en mesure de lui fournir
des ressources financières suffisantes.
Pour atteindre cet objectif, elle doit acquérir de nouvelles parts de marché en attirant une
nouvelle clientèle non connue par le groupe, composée de petits artisans et d’entrepreneurs.
Le service client doit être de haute qualité. C’est pourquoi elle fait appel à une société externe
spécialisée dans la gestion des appels clients. Le call center se trouve en France, ouvert sur des
plages d’horaires étendues. Les magasins et les points de ventes, où les commandes peuvent
être retirées, doivent se situer dans des zones d’activité denses.
En outre, la plateforme e-commerce doit être très performante et fonctionner 24 heures sur 24
et 7 jours sur 7.
• La direction générale doit rendre des comptes au groupe, la fonction d’audit y est
rattachée ;
• La direction financière est en charge du pilotage financier uniquement ; les fonctions de
comptabilité et de paie sont externalisées dans le groupe ;
• La direction des ressources humaines s’occupe du recrutement et de la gestion des
carrières ;
• La direction digitale, SI et logistique regroupe les équipes en charge :
o De la logistique, c’est-à-dire l’approvisionnement et le stockage des produits,
o Des transports,
o Et des SI (applications de gestion d’entrepôt et de transport de types WMS et
TMS, flux avec les applications du groupe, application achats, CRM, reporting),
o Ainsi que du digital, à savoir la plateforme e-commerce où les clients peuvent
consulter le catalogue de produits et commander en ligne, pour se faire livrer dans
les magasins de l’entreprise ou les points de vente du groupe ;
• La direction des achats est en charge d’acheter les produits auprès du groupe et d’autres
entreprises, et de déterminer les prix de vente ;
• La direction commerciale s’occupe de la relation commerciale avec les entreprises
clientes et de la gestion des points de vente. Cette direction gère également la relation
avec le call center, une entreprise externe, dont les téléopérateurs sont chargés de passer
des commandes pour les clients qui n’utilisent pas le site e-commerce ;
• La direction marketing s’occupe des campagnes de promotions, et de la communication.
39
Au
moyen des informations et documents que vous avez collectés à votre arrivée, vous avez défini
cet univers d’audit réaliste et adapté au contexte de votre entreprise.
Étant donné la création assez récente de l’entreprise, il n’y a pas de projets en cours :
• Thématiques techniques :
o La plateforme e-commerce (sécurité, infrastructure, etc.),
o Les flux entre la plateforme et les autres applications, qu’elles soient internes ou
gérées par le groupe ;
o Les applications des achats, de gestion d’entrepôt et de transport ;
• Thématiques organisationnelles :
o Le processus des achats et des approvisionnements,
o La gestion des stocks,
o Le pilotage financier, et plus particulièrement du chiffre d’affaires,
o Le processus de vente en magasin,
o La gestion de la relation client par le call center,
o Le processus de vente par téléphone,
o Les pratiques commerciales,
o Le recrutement et la gestion de carrières ;
• Thématiques réglementaires :
o La conformité au RGPD.
Votre univers d’audit dans cet exemple est composé de douze thématiques qui peuvent être
auditées.
Vous avez organisé un brainstorming avec des personnes clés de l’entreprise, et vous avez
identifié six grands risques à partir de la structure organisationnelle :
40
• Des risques liés aux achats et aux pratiques commerciales, tels que la corruption et la
fraude ;
• Des risques ressources humaines, étant donné la précédente grève du personnel dans les
entrepôts, qui a bloqué l’activité pendant plusieurs semaines ;
• Des risques opérationnels liés à la gestion, la maintenance et la sécurité des
infrastructures (entrepôts et points de vente), notamment les incendies ou dégâts des
eaux ;
• Des risques juridiques : litiges avec les clients et fournisseurs, non-respect du code du
commerce, etc. ;
• Des risques marketing : la non-satisfaction des clients, qui peut impacter l’image de
l’entreprise et ne permet pas de fidéliser la clientèle ;
• Des risques financiers, tels que des erreurs de stocks et de prix.
Chaque risque doit être évalué au regard des objectifs de l’entreprise, de leur probabilité
d’apparition et de l’impact financier (perte potentielle de chiffre d’affaires ou dépenses non
prévues).
Pour le premier composant “plateforme e-commerce” de l’univers d’audit, vous vous êtes posé
les questions suivantes :
Le même type de question sera posé pour chacun des douze composants de l’univers d’audit,
décliné sur les six grands risques. Je vous avais bien prévenu que la démarche d’identification et
d’évaluation des risques peut être longue, d’où l’intérêt de ne pas avoir un trop grand nombre de
risques à analyser.
41
La fréquence ou probabilité d’occurrence
La criticité du risque
Le scoring est le résultat de la somme des criticités (C) des six risques identifiés (fréquence x
gravité).
42
Tableau d'évaluation des risques
La définition de l'univers d'audit et l'évaluation des risques sont des étapes préalables à la
formalisation des plans d'audit pluriannuel et annuel. Vous allez construire le plan d’audit
annuel, composé des audits à mener à court terme sur l’année, et le plan d’audit pluriannuel,
sur 3 à 5 ans car vous n’aurez pas le temps de réaliser tous les audits.
43
Pour les scores les plus élevés, il est évident que la plateforme e-commerce et les applications et
flux associés devront être audités dans un premier temps. Étant donné le secteur d’activité, le
bâtiment et la distribution, les pratiques commerciales mériteraient d’être revues afin de
détecter toute fraude et corruption, qui peuvent faire gonfler le chiffre d’affaires et mettre en
péril l’entreprise.
Concernant les autres thématiques d’audit, ayant obtenu des scores moyen et faible, le plan
d’audit pluriannuel sera le suivant :
Plan
pluriannuel
44
Le cycle d’audit proposé est déterminé à partir du scoring également. Il n’est pas définitif et peut
être revu au moment de l’élaboration du plan d’audit annuel, à la suite d’une nouvelle évaluation
des risques et en fonction des nouveaux objectifs de l’entreprise.
Selon le cycle d’audit, pour les thématiques d’audit à auditer tous les ans, cela ne signifie pas que
vous allez réaliser la même mission d’audit chaque année. Lors de la préparation de vos missions
d’audit, vous allez déterminer les objectifs et le périmètre de la mission, qui changeront d’une
année sur l’autre, en fonction de l’exposition aux risques.
Je vous expliquerai comment préparer les missions d’audit dans la partie suivante du cours.
Le plan d'audit annuel doit prendre en compte les demandes spécifiques de missions de conseil
et d’assurance, adressées par les parties prenantes (le conseil d'administration et la direction
générale).
Par exemple, imaginez que les parties prenantes souhaitent connaître le degré de conformité au
GDPR dans l’entreprise, et connaître les actions à mener pour éviter toute sanction de la CNIL.
Même si vous l’avez priorisé l’année prochaine, vous devrez réaliser sur l’année en cours une
mission d’assurance.
Il se peut que ce type de demande soit sur un sujet spécifique et précis, ou qu’il soit formulé à la
suite de précédents travaux d’audit. Ces demandes peuvent également survenir de manière
inopinée au cours de la réalisation du plan d’audit annuel, comme une demande d’enquêtes sur
des soupçons de fraude, ou une demande d’examen des activités de prestataires de services.
Dans la mesure du possible, ces demandes doivent être prises en compte au cours de la phase
de planification de l’audit. En tant que responsable de l’audit, vous allez accepter ou refuser
des projets de missions de conseil en fonction de :
Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez été amené à analyser les
forces et les faiblesses, les opportunités et les menaces relatives à la gestion des compétences en
interne, en vue de réaliser les missions d’audit, et aux ressources dont vous disposez. Vous avez
donc envisagé de mettre en place des stratégies de sous-traitance et d’externalisation :
• la sous-traitance partielle : des ressources internes réalisent une partie des activités, et
les ressources externes fournissent les compétences spécialisées ;
• l’externalisation complète : toutes les missions d’audit sont réalisées par des prestataires
externes.
45
Après avoir élaboré le plan d’audit, je vous recommande fortement de construire une feuille de
route comportant un plan de charge. Ce document recense toutes les activités de la fonction
d’audit (les audits à préparer, à réaliser et à suivre, la préparation et la participation à des
comités, le reporting à élaborer, etc.) et le temps de travail estimé. Dans le cas où vous êtes le
seul responsable et auditeur, vous devez estimer votre temps de travail pour chacune des
activités.
La disponibilité des ressources humaines est généralement déterminée sur une base annuelle et
repose à la fois sur le nombre d’auditeurs en ETP (équivalent temps plein), et sur les
compétences nécessaires. À noter qu’un collaborateur avec un statut “cadre” qui travaille à
temps plein est disponible environ 210 jours sur l’année, congés compris. Sur cette base, vous
devrez soustraire les activités non liées à l’audit ou les périodes non travaillées, telles que le
temps de formation et les séminaires.
Le plan d’audit pluriannuel et le plan d’audit annuel doivent être présentés et être validés par
votre direction générale ainsi que par les parties prenantes, à savoir le groupe. Ces plans
précisent également le périmètre d'intervention de la fonction de l’audit, et doivent être
annexés à la charte d’audit.
“Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son
plan d'audit et ses besoins en ressources, pour examen et approbation, ainsi que tout
changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit
interne doit également signaler l'impact de toute limitation de ses ressources.”
La mission d’audit de conformité GDPR, demandée par les parties prenantes, pourra être menée
par un prestataire externe, qui aura une expertise juridique sur ce domaine.
Le plan d'audit s'intègre dans un processus cyclique “plan, do, check, and act” (planifier, réaliser,
vérifier, ajuster), afin d'être ajusté périodiquement en fonction de la stratégie de l'entreprise et
de la survenance de nouveaux risques :
• planifier : dans cette partie du cours, vous avez appréhendé la planification des audits et
appris comment élaborer un plan d’audit ;
• réaliser : après la validation du plan d’audit, vous allez le mettre en œuvre sur l’année ;
• vérifier : à la fin de l’année, vous ferez un bilan des audits réalisés et vous allez identifier
les écarts entre vos prévisions et vos réalisations. Quels ont été les retards ? Les
demandes de conseils et d’assurance non prévues ont-elles été nombreuses ? Les
ressources humaines et financières ont-elle été suffisantes, etc. ? Vous pouvez organiser
46
un retour d’expérience avec les membres de votre équipe, les prestataires d’audit et/ou
les audités, sous la forme d’un brainstorming dans le cadre de ce bilan ;
En résumé :
Dans la première partie du cours, vous avez mené une réflexion stratégique sur la fonction
d’audit dans votre entreprise, afin de mettre en œuvre une fonction créatrice de valeur, de
mener des audits pertinents et efficients, et d’auditer avec professionnalisme et éthique.
Dans la deuxième partie de ce cours, vous avez une meilleure visibilité sur le périmètre
d’intervention de la fonction d’audit. Vous avez identifié le champ d’intervention au moyen de :
La charte d’audit et les plans d’audit ont été bien évidemment validés par la direction et les
parties prenantes.
À présent, il nous reste un sujet à traiter : le déroulement des audits, présentant l'approche
d'audit. Cette démarche plus opérationnelle commence dès la phase de préparation à la mise en
oeuvre des recommandations d’audit.
Dans ce chapitre, je vous présenterai une approche générale d’audit, qui pourra être intégrée à
la charte d’audit. Cette approche générale garantira une homogénéité des pratiques d’audit
47
structurées et cadencées au moyen de phases et de jalons clés. Si vous faites appel à des
prestataires externes, ces derniers devront respecter cette approche. Les sections qui vont suivre
sont alignées avec les normes du CRIPP et les bonnes pratiques.
Dans les chapitres suivants, je détaillerai chaque phase d’audit et je vous présenterai des outils à
utiliser au cours de ces phases.
Les
phases principales d'un audit
Phase 1 - La préparation
48
Pour ce faire, vous allez vous appuyer sur les ressources documentaires existantes, afin de
prendre connaissance de ce périmètre et cadrer la mission d’audit. Vous devrez également
identifier les acteurs et les personnes à solliciter dans le cadre de l’audit. Il en résultera un
référentiel, ou grille d’audit, ainsi qu’un programme de travail.
La réunion de lancement permettra de réunir toutes les personnes qui seront sollicitées dans le
cadre de l’audit et l’équipe qui réalisera la mission ; mais également de :
Nous reviendrons sur la méthode d’élaboration d’une grille d’audit et l’organisation de la réunion
de lancement, dans les deux derniers chapitres de cette partie.
Phase 2 - L’investigation
Après avoir officialisé le lancement de l’audit et communiqué sur son déroulement, la phase
d’investigation est l’occasion de rentrer dans le vif du sujet. Les objectifs de cette phase sont de :
• collecter les informations et constituer les preuves d’audit au moyen d’outils tels que les
entretiens ou des analyses de données ;
• analyser les informations collectées et élaborer les recommandations.
À l’issue de cette phase, vous aurez une première version du rapport d’audit, dont les
observations et les recommandations devront être validées par les audités. Nous détaillerons
cette phase et je vous présenterai des outils à utiliser dans le cadre des audits, dans la quatrième
partie du cours.
Phase 3 - La validation
La phase de validation est primordiale et parfois oubliée. Il s’agit de mettre en œuvre une
démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines
observations et recommandations, et de fournir aux auditeurs des compléments d’informations.
Dans certains cas, la démarche contradictoire se fait pendant la réunion de clôture. Par
expérience, lorsque les audités n’ont pas été tenus au courant des recommandations et qu’ils ne
sont pas d’accord, ils l’expriment haut et fort !
Je vous présenterai les activités clés de cette phase dans la quatrième partie du cours. Je vous
proposerai également des outils pour rédiger le rapport d’audit et formuler vos
recommandations, afin qu’elles soient percutantes.
Phase 4 - Le suivi
49
La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des
plans d’action à mettre en œuvre afin de maîtriser les risques et d'améliorer les dispositifs de
contrôles, et in fine aider à atteindre les objectifs de l’entreprise.
Néanmoins, il est possible de réaliser une mission de suivi des recommandations d’audit. Vous
pourrez donc intervenir lorsque les plans d’action auront suffisamment avancé. Vous allez
effectuer un audit de suivi des recommandations, en collectant de nouvelles informations et de
nouvelles preuves. Les recommandations seront alors mises à jour, voire clôturées, en fonction
de l’avancement des actions.
Le plan d'audit annuel a été validé par la direction, ainsi que le budget associé. Vous devez à
présent lancer les audits selon le calendrier défini, qu'ils soient réalisés par des prestataires
externes, par vous-même ou par votre équipe.
Tout en amont de la phase de préparation de l’audit, vous allez cadrer la mission au moyen d’un
programme et d’une lettre de mission, et affecter les bonnes ressources.
Le programme de mission
Lorsque vous avez établi le plan d’audit annuel, vous aviez probablement en tête le périmètre de
la mission et ce que vous attendez de l’audit. Le programme d’audit permet de formaliser ces
différents éléments. Cette étape peut être facultative si vous souhaitez vous affranchir d’un
certain formalisme.
Je vous liste ci-dessous les éléments du programme d’audit qui doivent être clarifiés avant de
rédiger la lettre de mission. Ils vous aideront à répondre aux attentes des parties prenantes et les
clients de l’audit :
• identifier les clients de la mission d’audit, c’est-à-dire toute personne ou toute partie à
qui les résultats d’audit seront destinés, telles que la direction générale, le comité d’audit,
les directeurs des services, les responsables de processus, les commissaires aux comptes
ou les organismes régulateurs ;
• déterminer l’événement déclencheur de l’audit, par exemple demande d’assurance ou
de conseil formulée par la direction, résultat de l’analyse des risques, demande à la suite
d’un incident comme une catastrophe naturelle ou défaillance d’un client, ou encore une
nouvelle exigence réglementaire ;
• préciser les attentes des clients, par exemple évaluer l’efficacité opérationnelle d’un
processus, s’assurer de la conformité à une réglementation, apprécier l’avancement d’un
projet ;
• délimiter le périmètre de la mission d’audit et définir les processus et sous-processus à
auditer, la localisation géographique et les sites, la période à auditer ; par exemple les
données à analyser sur les trois derniers exercices comptables. Vous pouvez également
préciser ce qui est exclu du périmètre ;
50
• déterminer les livrables de la mission, en dehors du rapport d’audit qui est un livrable
indispensable de l’approche d’audit, par exemple un plan d’action à mettre en œuvre
pour améliorer l’efficience et l’efficacité d’un processus, un plan de communication, etc.
Une fois ces éléments convenus, vous allez pouvoir rédiger la lettre de mission.
La lettre de mission est une communication écrite à destination des audités, principalement. Elle
permet de rendre officielle la réalisation de l’audit, puisqu’elle émane de la direction générale.
En tant que responsable d’audit, vous allez éventuellement gérer les relations avec les
commissaires aux comptes. Dans le cadre des audits légaux, la lettre de mission constitue un
contrat. Le formalisme doit être conforme à la norme d’exercice professionnel NEP-210 “la lettre
de mission du commissaire aux comptes”, homologuée par arrêté et publiée au Journal officiel.
“les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour
atteindre les objectifs de la mission. Ils s’appuient sur une évaluation de la nature et de la
complexité de chaque mission, des contraintes de temps et des ressources disponibles.”
Par conséquent, si vous n’avez pas les compétences au sein de votre équipe, ou tout simplement
le temps pour réaliser une ou plusieurs missions d’audit, vous ferez appel à un prestataire
externe.
En résumé :
• Construisez une approche générale d’audit à intégrer dans la charte d’audit. Cette
approche définit les phases clés, les jalons et les livrables attendus pour chaque mission
d’audit ;
• Elle permettra une homogénéité des pratiques d’audit, notamment si vous avez choisi de
faire appel à des prestataires pour réaliser un certain nombre d’audits ;
• Avant la phase de préparation d’un audit, vous devez avoir réfléchi au programme de
mission, au minimum aux objectifs de l’audit, au périmètre d’intervention et aux
51
livrables, et avoir communiqué aux audités la lettre de mission signée par la direction
générale.
Au cours du processus de planification annuelle des audits, vous avez probablement réfléchi à
une stratégie de sous-traitance de l'audit interne. En effet, compte tenu des ressources dont
vous disposez, vous pouvez avoir recours à un accroissement des effectifs de votre équipe et/ou
des prestataires pour réaliser vos audits.
Dans ce chapitre, je vous propose de découvrir les étapes clés d’un processus de sélection de
prestataires d’audit et les outils pour faire votre choix au cours de l’appel d’offres.
Le processus d’appel d’offres, dans le cadre de la sélection de prestataires, a pour but de mettre
en concurrence plusieurs entreprises en vue de fournir un service. Il s’agit d’une bonne pratique
en matière d’achats en entreprise.
Votre entreprise s’est éventuellement dotée d’une stratégie d’achat et/ou d’une procédure
d’achat, qui impose la mise en concurrence de plus de deux entreprises, afin d’empêcher toute
entente ou abus de position dominante. La mise en concurrence permet également de bénéficier
d’un prix favorable pour l’entreprise, puisqu’il pourra être comparé et challengé.
Avant de vous lancer dans ce processus de sélection, le plan annuel d’audit doit être validé par
votre direction et vous devez avoir identifié les audits à sous-traiter, compte tenu de vos
ressources en interne.
• vous avez peu de missions d’audit à sous-traiter (trois audits au maximum), vous pouvez
solliciter des prestataires directement. Vous leur enverrez le cahier des charges
correspondant à chaque mission d’audit. Vous allez devoir gérer autant d’appels d’offres
que de missions d’audit à sous-traiter ;
• vous avez un certain nombre de missions (plus de trois audits) et vous allez procéder à un
lotissement des missions, afin de lancer un appel d’offres global. Un lot peut comporter
une ou plusieurs missions d’audit. Vous pourrez choisir un prestataire pour tous les lots,
ou plusieurs prestataires en fonction du nombre de lots.
Le cahier des charges est un document qui décrit les besoins, présente les objectifs et les
livrables. Vous pourrez y annexer la charte/politique d'audit.
Je vous propose ci-dessous le sommaire d’un cahier des charges, qui pourra vous servir de base
de travail :
• l'objet du document ;
52
• le contexte de la consultation ou de l'appel d'offres, qui comprend une description de
votre entreprise ;
• les objectifs de la mission ou des missions d'audit, avec les dates de début et de fin des
missions ;
• le périmètre des missions, qui peut préciser les sites géographiques, applications,
processus, etc. ;
• les résultats attendus, à savoir les livrables qui pourront être repris de votre approche
d’audit ;
• le mode de description et de cotation de la prestation, c’est-à-dire ce qui est attendu
dans la proposition commerciale et le calendrier de la consultation, ainsi que les
modalités de réception des offres ;
• les contacts de l'entreprise, dans le cas où les candidats auraient besoin de complément
d’information pour élaborer leur proposition commerciale.
Dans le cadre d’un appel d’offres global, qui comprend plusieurs missions d’audit, vous pouvez
demander la simulation de deux scénarios :
Il est bien évidemment attendu que le scénario 1 soit plus avantageux financièrement pour votre
entreprise.
Vous avez en votre possession le cahier des charges, qui doit être diffusé.
Si vous travaillez dans le secteur privé, vous pouvez remettre le cahier des charges au service des
achats qui s’occupera de l’appel d’offres. Ce service pourra compléter le document et préciser
notamment la partie “mode de description et de cotation de la prestation”.
En revanche, si vous devez gérer vous-même l’appel d’offres, vous devez établir une liste de
fournisseurs à qui vous adresserez le cahier des charges.
Il n’existe malheureusement pas de méthodes définies pour identifier les prestataires d’audit.
Vous pouvez vous rapprocher de l’IFACI afin d’identifier des sociétés de prestations de services
spécialisées dans certains domaines, ou bien compter sur votre réseau, le bouche-à-oreille, ou
les moteurs de recherche.
Si vous travaillez dans une entreprise publique, le processus des achats est réglementé. Les offres
doivent être diffusées sur des plateformes de marché comme le Bulletin officiel des annonces de
marchés publics (BOAMP) ou le Journal officiel de l'Union européenne (JOUE). Je vous invite donc
à vous rapprocher du service ou de la personne en charge des achats publics.
53
Au cours de la période de réception des offres, vous devrez éventuellement relancer les
fournisseurs ou les contacter directement, pour savoir s’ils vous enverront une proposition
commerciale.
Après la date de fin de réception des offres, vous allez procéder à un scoring des réponses
reçues. Une matrice de choix de vos prestataires pourra vous aider à y voir plus clair, notamment
si vous avez eu un grand nombre de retours.
Vous allez coter chaque critère de 1 à 10, par exemple. Les critères peuvent avoir une
pondération. Ensuite vous en déduirez une note par réponse reçue.
Le prix a souvent une grande importance par rapport au budget dont vous disposez ; la note
correspondante sera alors pondérée de 40 % par rapport à la note globale. La compréhension
des besoins peut être pondérée à 20 %, l’équipe d’auditeur et la méthodologie proposées à 40
%.
Je vous invite à établir une short-list des prestataires qui auront les meilleures notes. Une
soutenance pourra être organisée avec ces derniers afin de les rencontrer et juger si vous êtes
sur la même longueur d’ondes.
En effet, dans ce cadre, vous allez identifier un vrai partenaire d’audit avec qui vous pourrez
travailler à plus ou moins long terme, étant donné qu’il développera une connaissance de votre
entreprise en plus des expertises qu’il apporte.
C’est aussi l’opportunité pour vous de repréciser avec les prestataires la démarche et les
méthodologies d’audit, et de négocier le tarif des prestations. A l’issue de cette étape de
soutenance, les prestataires pourront vous transmettre une nouvelle version de leur proposition
commerciale.
Après avoir sélectionné le prestataire pour chacune des missions d’audit sous-traitées, organisez
une réunion d'ouverture afin que vous puissiez lui présenter la charte d’audit et le service
d’audit. À cette occasion, vous échangerez sur les objectifs d’audit et le périmètre. Le calendrier
de la mission pourra être finalisé et les premiers rendez-vous pris.
En résumé :
54
• Le processus d’appel d’offres dans le cadre de la sélection de prestataires d’audit a pour
but de mettre en concurrence plusieurs entreprises en vue de réaliser une mission
d’audit. Il s’agit d’une bonne pratique en matière d’achats en entreprise ;
• Les modalités sont différentes en fonction du secteur privé ou public, ou bien si votre
entreprise dispose d’une fonction achat ;
• Votre prestataire d’audit doit être un véritable partenaire avec qui vous pourrez travailler
à plus ou moins long terme.
Depuis le début du cours, vous avez appris à développer une vision systémique et votre
capacité à analyser les activités dans leur globalité, en prenant en compte les objectifs de
l’entreprise. Vous avez donc une connaissance approfondie et transversale de l’ensemble des
activités de votre entreprise.
Avant de vous lancer dans la phase de réalisation d’un audit, vous allez approfondir vos
connaissances de l’entreprise sur le périmètre à auditer au cours de la phase de préparation.
Cette phase vise à s’assurer que les travaux d’audit permettront d’atteindre les objectifs
énoncés dans la lettre de mission et de répondre à la demande de la direction et des parties
prenantes.
Dans les deux chapitres qui vont suivre, je vous présenterai les livrables clés de la phase de
préparation et je vous expliquerai comment concevoir :
Le référentiel d’audit ou la grille d’audit comporte tous les sujets à auditer. Nous avons parlé de
l’univers d’audit pour élaborer le plan d’audit. Le référentiel d’audit est un zoom de l’univers
d’audit, comme le serait la cartographie de la terre.
Comme je l’ai évoqué dans le tout premier chapitre du cours, les auditeurs mènent leurs travaux
sur la base des systèmes de contrôle mis en œuvre dans l’entreprise, appelés le “contrôle
interne”. Le référentiel d’audit, sous la forme d’une grille ou d’une matrice, constitue le support
de cette évaluation des dispositifs de contrôle interne.
Le contrôle interne est l’ensemble des politiques et procédures mises en œuvre dans
l’entreprise afin d’assurer la gestion rigoureuse et efficace de ses activités.
55
• le respect des politiques auxquelles elles font référence ;
• la sauvegarde des actifs (actifs corporels, incorporels, financiers, humains…) ;
• la prévention et la détection des fraudes et erreurs ;
• l’exhaustivité et l’exactitude des enregistrements comptables ;
• l’établissement en temps voulu d’informations comptables et financières fiables.
Le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les erreurs
ou autres anomalies. Il est fondé sur quatre principes structurants que je vais vous expliquer ci-
dessous.
Le contrôle interne ne s’incarne pas dans une personne : l’ensemble des acteurs participent au
dispositif de contrôle interne, encadrement comme opérationnels. Le management est
responsable de l’arbitrage entre les résultats attendus et les "coûts" d'une mesure en fonction
des risques, des enjeux et des moyens disponibles.
Si on vous dit “non, je ne fais aucun contrôle dans le cadre de mon travail”, c’est donc impossible
! Vos interlocuteurs devront être sensibilisés à la démarche de contrôle interne.
Il ne se “rajoute pas” : pour l’essentiel, le contrôle interne est intégré aux processus. C’est une
démarche globale qui ne se limite pas aux seuls contrôles.
Si vous êtes amené à proposer des contrôles à mettre en œuvre sur les processus que vous avez
audités, vous devrez démontrer que les contrôles ne leurs font pas perdre de temps. Ils
permettront d’être plus efficace et plus efficient. Finies les erreurs et les anomalies ! Ils
passeront moins de temps à les résoudre.
Lorsque vous proposez un contrôle à intégrer dans un processus, il doit être conçu sur mesure. Il
vaut mieux se mettre à la place de la personne qui le réalisera, et ne pas vouloir reproduire un
contrôle qu’on aurait mis en place ou vu dans le cadre d’une autre mission.
Le contrôle interne existant doit être amélioré en structurant mieux l’organisation, en axant son
fonctionnement sur les risques et les enjeux, et en le formalisant davantage afin d’en améliorer
son auditabilité (c’est-à-dire la traçabilité).
Vous connaissez à présent l’Institute of Internal Auditors (IIA) pour l’audit interne, qui donne les
lignes directives et édicte les normes professionnelles. Il existe également des organismes qui
définissent les bonnes pratiques de contrôle interne dans l’entreprise.
56
Je vais vous présenter les trois principaux organismes dans cette section. Ceux-ci ont leur propre
définition du contrôle interne, qui est à peu près similaire. En revanche, ils fournissent des lignes
directives dans la mise en œuvre du contrôle interne, comme l’IIA pour l’audit interne.
C’est un groupe de réflexion constitué aux États-Unis en 1985, qui a développé un référentiel
d’analyse du contrôle interne appelé COSO, édité en France en 1992. Il s’agit du référentiel de
portée internationale le plus mis en œuvre : il décrit le contrôle interne et propose une
évaluation de son efficacité.
Selon le COSO, le contrôle interne est un ensemble de dispositifs mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation, et destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :
Je vous l’avais évoqué dans le tout premier chapitre du cours : l’IFACI est affilié à l’Institute of
Internal Auditors (IAA). Il est chargé de représenter la profession d’audit interne et de
promouvoir son développement.
Comme pour l’audit interne, l’IFACI propose une démarche et des outils de mise en œuvre de
contrôle interne, destiné à donner une assurance raisonnable que :
L’AMF a été créée en 2003 et régule les acteurs et produits de la place financière française. Elle
réglemente, autorise, surveille et, lorsque c’est nécessaire, contrôle, enquête et sanctionne.
L’AMF veille également à la bonne information des investisseurs et les accompagne, en cas de
besoin, grâce à son dispositif de médiation.
Cette autorité a créé son cadre de référence de contrôle interne à l’usage des sociétés
françaises. C’est un énoncé de principes et de bonnes pratiques à adapter au contexte propre de
chaque société. Il est souvent appliqué dans le secteur bancaire.
57
Revenons à la préparation de l’audit. Pour identifier les points à investiguer, vous allez construire
un référentiel d’audit qui doit permettre d'apprécier le dispositif de contrôle interne mis en
œuvre sur le périmètre audité. Votre référentiel doit donc comporter au moins :
Vous vous en doutez bien : si le contrôle attendu n’est pas réalisé, une recommandation devra
être formulée, car le risque n’est pas maîtrisé.
Les contrôles sont appelés également activités ou dispositifsde maîtrise des risques, ce sont des
AMR ou des DMR.
Je vous propose ci-après une démarche d’élaboration d’un référentiel d’audit en trois étapes :
Cette première étape vise à identifier et examiner les processus sur le périmètre audité. Vous
pouvez vous servir de la cartographie des processus que vous avez modélisée, le cas échéant.
Vous aurez également besoin de la documentation existante (politiques, procédures, guides
utilisateurs, etc.).
• déterminer les processus et sous-processus, ainsi que les macro-processus auxquels ils
sont rattachés ;
• prendre connaissance de l’enchaînement des étapes dans le cadre des sous-processus,
sur la base de la documentation existante. Pour ce faire, vous pouvez modéliser une
première version d’un diagramme de flux qu’il faudra amender au cours de la phase
d’investigation ;
• identifier les acteurs intervenant dans le cadre de la procédure ;
• identifier les outils utilisés, notamment les outils informatiques.
Un diagramme est une représentation de toutes les activités d’un processus ou d’une partie d’un
processus. Il indique en colonne ou en ligne les personnes ou les services concernés qui réalisent
chaque activité. Dans ce schéma, une forme correspond à un type d’activité : une action, une
décision à prendre ou une question, un document, une application ou base de données. Les deux
méthodes de modélisation couramment utilisées sont l’ISO ou le BPM(N). Je vous présenterai le
diagramme de flux au cours de la phase d’investigation.
58
La connaissance des processus est donc indispensable afin de mener une analyse des risques
pertinente et au plus près de la réalité du terrain, dans une optique de sécurisation des
processus.
Dans un deuxième temps, une analyse des risques par processus est nécessaire afin d'identifier
les éléments susceptibles de remettre en cause l'atteinte des objectifs de l’entreprise.
• formuler les différents risques pouvant remettre en cause l’atteinte des objectifs ;
• coter les risques bruts pour déterminer leur niveau de criticité.
Le risque brut peut être défini comme étant le risque qui existe en ne tenant pas compte des
activités de maîtrise du risque.
La formalisation des risques identifiés constitue la cartographie des risques. Elle est complétée
par les activités de maîtrise des risques correspondantes et constitue ainsi la matrice de maîtrise
des risques.
Dans un troisième temps, il convient d’identifier les activités de maîtrise des risques (AMR) qui
permettront de couvrir les risques liés à la réalisation des objectifs, ou d’atténuer l’impact de la
survenance d’un risque.
Pour préparer votre mission d’audit, je vous propose cette grille comportant les informations
minimales à compléter. À cette étape, vous ne remplirez que les quatre première colonnes.
Chaque chose en son temps : le reste sera abordé dans les chapitre suivants.
Libre à vous d’ajouter des colonnes pour préciser certaines informations, comme le type de
contrôle qui peut être automatique, semi-automatique ou manuel. Je vous propose dans la
section suivante de nous focaliser sur cette typologie.
59
Il existe trois niveaux de contrôle :
• les contrôles de premier niveau, qui permettent de gérer les activités au quotidien et de
garantir la maîtrise des opérations, réalisés ainsi par les fonctions opérationnelles, de
pilotage ou les fonctions supports ;
• les contrôles de deuxième niveau, qui sont réalisés par la fonction de contrôle
permanent chargée de la gestion des risques ;
• et les contrôles de troisième niveau, qui sont systématiquement réalisés par des
auditeurs, appelés également la fonction de contrôle périodique.
Dans le cadre des missions d’audit, vous allez vous intéresser aux contrôles opérationnels de
premier niveau. Ils sont effectués par les opérationnels et parfois revus par leur encadrement ;
on parlera alors de contrôle de supervision.
Les contrôles sont effectués en amont pour prévenir la survenance du risque sur le processus, ce
sont les contrôles a priori. Les contrôles a posteriori sont effectués pour détecter une erreur ou
une anomalie, ce qui signifie que l’incident s’est déjà produit.
Les contrôles dits de premier niveau correspondent aux activités de maîtrise des risques
intégrées au fonctionnement courant des services et dans les applications. Il s’agit :
Les contrôles de premier niveau permettant de couvrir des risques majeurs sont cartographiés
dans la matrice de maîtrise des risques.
Tous les contrôles sont retracés dans les guides de procédures qui doivent être régulièrement
mis à jour en fonction des évolutions réglementaires, notamment. Tous les contrôles exercés par
les opérationnels et l’encadrement doivent être documentés, car ils sécurisent les activités et
doivent donc être portés à la connaissance des acteurs.
La traçabilité de ces activités de maîtrise doit être assurée, sa mise en œuvre servira de preuve
de contrôle lors des campagnes de tests, d’où la nécessité de formalisation du contrôle interne.
Tous les contrôles doivent être formalisés. Un contrôle non documenté est réputé inexistant.
Cela constitue la preuve de contrôle de votre audit.
Dans le cas contraire, une recommandation sera élaborée pour documenter le contrôle, qui peut
prendre la forme d’une signature, d’un mail, d’un rapport, etc.
En résumé :
60
• Le référentiel d’audit ou la grille d’audit comporte tous les sujets à auditer. Il constitue le
support de cette évaluation des dispositifs de contrôle interne ;
• Le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les
erreurs ou autres anomalies, et de prévenir la survenance des risques ;
• les auditeurs se focalisent sur les contrôles de premier niveau. Ils peuvent être a priori ou
a posteriori, et automatiques, semi-automatiques ou manuels. S’il est revu par le
management, il s’agit d’un contrôle de supervision ;
• un contrôle (ou activité de maîtrise des risques ou dispositif de maîtrise des risques) qui
n’est pas formalisé n’existe pas aux yeux d’un auditeur, qui doit collecter
systématiquement une preuve de contrôle.
Une fois que vous avez conçu le référentiel d'audit, un programme de travail doit être rédigé et
communiqué aux audités.
Pour marquer la fin de la phase de préparation, une réunion de lancement sera organisée pour
communiquer la démarche générale issue de la charte d'audit, le planning de l'audit et les
différents jalons. Cette réunion est souvent l'occasion pour les auditeurs externes à l'entreprise
de se présenter.
À partir de la lettre de mission et du référentiel d’audit, vous devez sélectionner les contrôles
clés qui feront l’objet d’une analyse plus approfondie au moyen de tests.
Les critères suivants sont à examiner afin de déterminer les points d’audits significatifs, ou
contrôles clés :
Certains contrôles peuvent ne pas être testés dans les cas suivants :
• l’existence d’un contrôle de niveau supérieur. Par exemple, l’entreprise fait partie d’un
groupe, et le contrôle est réalisé à ce niveau supérieur ;
• l’existence d’autres contrôles couvrant totalement le risque ;
• la période au cours de laquelle le contrôle est mis en œuvre est incompatible avec le
calendrier de la mission ;
• des changements dans l’organisation du processus ont des impacts sur le dispositif de
contrôle.
61
Après avoir sélectionné les contrôles à auditer, vous allez exprimer les objectifs des travaux
d’audit pour chacun des contrôles retenus, par exemple “s’assurer de l’efficacité et de
l’efficience du contrôle”. Dans la grille proposée dans le chapitre précédent, vous allez compléter
la cinquième colonne.
Enfin, vous allez rapprocher les objectifs de l’ordre de mission des objectifs d’audit. Vous serez
face à trois situations :
• la situation idéale : les objectifs des travaux d’audit couvrent exactement les objectifs de
la mission d’audit précisés dans l’ordre de mission ;
• deuxième situation : les objectifs des travaux d’audit sont plus larges que les objectifs de
l’ordre de mission. Un avenant pourra être rédigé et validé par la direction générale ;
• dernière situation : les objectifs des travaux d’audit ne couvrent pas les objectifs de
l’ordre de mission. L’audit des contrôles correspondants sera exclu du périmètre des
travaux. En revanche, cette exclusion et ces raisons seront mentionnées dans le rapport
d’audit. S’il s’agit d’un oubli au cours de l’élaboration du programme et de l’ordre de
mission, un avenant pourra être rédigé et validé par la direction générale.
Dans le cas d’ajout de nouveaux objectifs de missions d’audit, assurez-vous d’avoir affecté les
bonnes ressources.
Dans le cadre d’une mission d’audit à grande échelle, comme par exemple l’audit du processus
de ventes dans plusieurs magasins, vous allez devoir déterminer l’échantillon des sites dans
lequel ces contrôles seront testés.
Pour ce faire, l’échantillon des sites audités est établi en fonction de leur contribution dans
l’entreprise. Sur un processus tel que les ventes, vous pouvez vous baser sur la contribution du
magasin au chiffre d’affaires.
Vous pouvez vous inspirer de la méthode appliquée pour les audits légaux des commissaires aux
comptes.
Dans le cadre des audits financiers, le taux de couverture des travaux est encadré :
• taux de couverture de 20 % pour une assurance modérée, qui signifie que les travaux
d’audit n’ont pas de décelés d’anomalies pouvant avoir une incidence significative sur les
comptes. La formulation négative a son importance, puisqu’elle reste peu engageante ;
62
• 50 % pour une assurance raisonnable : les travaux d’audit permettent d’exprimer une
assurance raisonnable sur la réalisation des contrôles en vue de couvrir les risques. Cette
formulation est plus engageante pour les auditeurs, qui vont mener des travaux
beaucoup plus détaillés.
Le programme de travail définit les procédures d’audit qui permettront d’atteindre les objectifs
d’audit, d’où l’étape précédente de sélection des objectifs d’audits. Il est essentiellement destiné
aux personnes auditées, afin qu’elles puissent appréhender la mission d’audit.
Pour chaque objectif d'audit, vous allez déterminer les techniques d'audit appropriées, à savoir
la nature des tests pour obtenir une preuve suffisante, pertinente et fiable au regard des
objectifs d’audit sélectionnés.
Ces techniques peuvent être les entretiens, les tests de cheminement, des analyses de données,
etc. Je vous les présenterai dans la prochaine partie.
Pour définir la procédure d'audit, vous allez déterminer l’étendue et le calendrier des tests,
notamment :
Par conséquent, pour que le programme de travail puisse être opérationnel et intelligible pour
les audités, il doit comporter les informations suivantes :
63
N’oubliez pas de faire référence à la charte d’audit et à l’approche générale des audits dans le
programme de travail, dans le cas où les personnes auditées ne connaîtraient pas le rôle de la
fonction d’audit dans l’entreprise.
Comme je vous l’avais présenté dans la toute première partie, la communication claire et
régulière, adaptée à tous les niveaux hiérarchiques est un facteur clé de succès. En
communiquant sur les procédures d’audit, les calendriers et les documents qui seront collectés,
on ne pourra pas reprocher à votre équipe de ne pas avoir été informé, ni préparé à la mission
d’audit.
Je vous invite donc à être pédagogue : expliquez votre démarche, rappelez les objectifs, mais
également vulgarisez les concepts de contrôle interne ou de gestion des risques auprès des
opérationnels, qui ne sont pas toujours sensibilisés à ces méthodes.
En résumé :
Vous êtes manager ou responsable d’une équipe d’auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l’audit. Vous êtes donc un chef d’orchestre qui doit s’assurer
de la bonne exécution du programme de travail, et plus globalement du bon déroulement des
audits.
Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la
taille de votre entreprise, ou de la disponibilité de votre équipe d’auditeurs.
Dans cette dernière partie du cours, je propose des méthodes et outils à la fois pour réaliser et
pour superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les
méthodes et vous assurer de la mise en œuvre des bonnes pratiques d’audit.
• "[...] contrôler l’accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l’accord de
la direction générale et/ou l’avis d’un juriste avant de communiquer ces dossiers à des
parties extérieures.
• Arrêter des règles en matière de conservation des dossiers de la mission et ce, quel que
soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les
orientations définies par l’organisation et avec les exigences réglementaires ou toute
autre exigence pertinente.
• Définir des procédures concernant la protection et la conservation des dossiers de la
mission de conseil ainsi que leur diffusion à l’intérieur et à l’extérieur de l’organisation.
Ces procédures doivent être cohérentes avec les orientations définies par l’organisation
et avec les exigences réglementaires ou toute autre exigence pertinente.”
65
Les documents doivent être classés de manière claire et compréhensible, et référencés afin
d’être très facilement identifiés. Pour ce faire, je vous recommande très en amont et au fil de
l’eau de les identifier, de normer leur conservation et de définir les modalités d’accès.
En tant que chef de mission ou responsable, vous devez vous assurer que toute la
documentation liée à la mission d’audit est bien accessible dans le dossier de la mission d’audit.
Ce dossier peut être situé dans un répertoire partagé contenant tous les documents collectés et
les travaux réalisés.
La mise en place d’un répertoire partagé sur un réseau requiert une gestion rigoureuse des
accès et des droits utilisateurs. Au minimum, tous les membres de votre équipe, ainsi que votre
responsable, doivent avoir accès à ce répertoire.
Vous pouvez mettre à disposition des modèles des principaux livrables d’un audit sur ce réseau.
Dans une logique d’amélioration continue, vous pouvez stocker les anciens modèles dans un
dossier “OLD”.
Si vous avez plusieurs missions d’audit à gérer en même temps, vous pouvez instaurer une
convention de nommage des documents.
Le statut peut être nécessaire pour indiquer la version en cas d’aller-retour sur un document,
voire pour signaler qu’il a bien été validé.
Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :
• « Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités
;
• « Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s’incrémentant de manière chronologique ;
• « Com » lorsque la version est communiquée officiellement, notamment pour un support
de réunion ;
• « Def » lorsque le document est validé.
66
Ne vous sentez pas obligé de conserver dans le dossier d’audit TOUS les documents transmis par
les interlocuteurs : seuls les documents et pièces participant aux travaux de vérification et
effectivement utilisés dans le cadre des tests d’audits doivent être conservés.
• en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les
documents de travail en format électronique devront être imprimés ;
• ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas,
tous les documents en format papier devront être scannés.
Je vous conseille plutôt la conservation électronique pour plus de facilité et pour limiter les
impacts environnementaux.
La réunion de lancement est terminée et votre audit est lancé. La phase d’investigation
commence. Vous avez défini dans le cadre du programme de travail les procédures d’audit pour
vérifier les activités de maîtrise des risques.
À ce titre, vous avez prévu de réaliser des tests d’audit au moyen d'outils tels que des
questionnaires, des entretiens, des observations, des revues documentaires, des analyses de
données, etc.
Votre objectif est d’obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les
risques ou non. Vous devrez également vous assurer de la qualité, c’est-à-dire la pertinence, la
fiabilité et la quantité suffisante des preuves collectées.
Dans la grille d’audit que je vous ai proposée dans le chapitre précédent, vous allez compléter les
quatre colonnes de la partie “évaluation”.
1. Réaliser les tests d’audit et collecter les preuves : vous allez décrire l’AMR sur la base des
informations qui vous ont été fournies.
2. Documenter les tests d’audit : vous précisez les preuves collectées et/ou que vous avez
constituées.
67
3. Évaluer les résultats des tests d’audit : dans la colonne “observations”, vous décrivez les
résultats obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs
d’évaluer la capacité des dispositifs de contrôle à maîtriser les risques ou non :
• Le contrôle existe-t-il ?
• Le contrôle fonctionne-t-il correctement (tel que conçu) ? Le contrôle permet-il de
maîtriser les risques, en réduisant sa probabilité d’occurrence ou les impacts ?
• Le contrôle est-il efficace et permet-il au processus d’atteindre ses objectifs ?
• Le contrôle est-il efficient et permet-il au processus d'atteindre ses objectifs tout en
optimisant l'utilisation des ressources ?
4. Élaborer une conclusion : vous allez conclure si le test répond ou non à l’objectif d’audit.
Un point fort est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :
• est bien conçu, c’est-à-dire qu’il est réalisé correctement, conformément aux procédures
et/ou à la réglementation ;
• fonctionne correctement (tel que conçu) ;
• permet de maîtriser les risques sous-jacents à un niveau acceptable ;
• permet au processus d’atteindre ses objectifs.
Un dysfonctionnement est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :
De la théorie à la pratique
Je vous ai présenté la démarche pour élaborer un référentiel d’audit sans vous fournir un
exemple concret. Je vous propose donc, dans cette section, d’illustrer cette démarche avec un
cas standard dans les systèmes d’information.
Votre direction vous demande de réaliser un audit “flash” des accès de l’application comptable
et financière avant l’arrivée des commissaires aux comptes. Les objectifs de l’audit sont de
s’assurer que la sécurité logique de l’application est maîtrisée et qu'il n’y a pas de risques de
fraude. Vous n’avez que très peu de temps et aucune ressource.
Vous allez donc devoir concevoir une grille d’audit compte tenu de ces contraintes.
Pour ce faire, je vous propose de réaliser des tests d’audit des contrôles généraux informatiques
(GCTI ou ITGC). Les contrôles généraux informatiques s’appliquent à tous les composants,
processus et données des SI d’une entreprise. Si ces contrôles ne sont pas mis en œuvre, ou ne
fonctionnent pas correctement, l’entreprise ne pourra pas se fier aux SI pour gérer les risques.
• les contrôles de sécurité logique pour les accès aux applications et aux données ;
68
• les contrôles de sécurité physique pour les accès aux sites d’hébergement des serveurs et
les infrastructures ;
• les contrôles sur la gestion des changements et des incidents dans les applications ;
• les contrôles de l’exploitation, y compris la sauvegarde et la restauration des systèmes et
des données.
Dans le cadre de cet audit, nous ne nous focaliserons que sur le premier domaine concernant la
sécurité logique (document Excel en téléchargement avec les sous-domaines, les risques, les
objectifs d'audit).
Comme vous le remarquerez, les objectifs d’audits peuvent être nombreux pour vérifier un
contrôle. Ces objectifs ont été détaillés afin de s’assurer que les tests d’audit à réaliser
permettront de vérifier que les contrôles attendus sont bien réalisés et efficaces.
Afin de réaliser vos tests d’audits, vous allez devoir demander un certain nombre de documents,
que vous identifierez pour contrôle à tester. Vous allez également organiser au moins un
entretien avec le responsable de l’application comptable.
En résumé :
Vous êtes à la première étape de la démarche “réaliser les tests d’audit au moyen d’outils et
collecter les preuves”. Ce chapitre vous permettra de (re)découvrir les différents outils à utiliser
pour vos tests d’audits, pour les documenter et pour évaluer les résultats des tests d’audit, afin
de conclure sur l’existence et l’efficacité des contrôles.
69
Je vous propose ainsi de (re)découvrir :
Vous disposez d’un panel d’outils que vous pouvez utiliser pour collecter des informations :
brainstorming, observations sur site, entretiens et questionnaires, etc.
Je vous propose de nous concentrer sur l’entretien d’audit, qui est le moyen le plus utilisé pour
collecter des informations. Mais vous vous demandez : Comment constituer des preuves avec
des échanges à l’oral ? Je vais répondre à cette question un peu plus bas.
Les entretiens permettent de collecter des informations afin de prendre connaissance des
activités du domaine audité, et éventuellement constituer les preuves d’audit qui permettront
d‘atteindre les objectifs de la mission d’audit.
La réussite d’un entretien repose sur sa préparation en amont, le respect des personnes
interrogées et la capacité à parler leur langage. En outre, vous ne devez pas avoir d’idées
préconçues en y allant. Il s’agit là d’adopter la posture d'auditeur compétent, crédible et
bienveillant, qui applique naturellement les principes d’objectivité et d’intégrité.
La qualité des échanges repose en partie sur les compétences relationnelles de l’auditeur.
Certains contextes conduisent les audités à craindre l’exploitation de leurs dires que l’auditeur
en fera. Dans ce cas, n’hésitez pas leur rappeler qu’ils peuvent apporter des modifications sur le
compte rendu, ou bien qu’ils peuvent revenir sur les constats d’audit au cours de la phase de
validation.
Les entretiens ont pour avantage de donner la possibilité aux audités et aux auditeurs
d’échanger, en favorisant la communication. Ces échanges permettent de construire une
relation de travail positive tout au long du déroulement de la mission d’audit. Ils doivent faire
l’objet d’un compte rendu.
Sans validation formelle de ce compte rendu par le(s) audité(s), les informations collectées n’ont
pas par nature un caractère probant, et ne peuvent pas constituer de preuves d’audit.
Ne tardez pas à transmettre le compte rendu. Il doit être envoyé au plus tard dans les trois jours
qui suivent l’entretien. Vous pouvez préciser en réunion de lancement et dans votre message
que sans réponse sous un délai d’une à deux semaines, le compte rendu sera validé tacitement.
70
Par ailleurs, en tant qu’auditeur ou responsable de mission, les informations doivent être
corroborées. Autrement dit, elles doivent impérativement être rapprochées d’autres
informations collectées.
Au moment du rendez-vous, il est nécessaire d’introduire l’entretien afin d’établir une relation
de confiance avec le(s) interlocuteur(s) et d’encourager la transparence. Vous pouvez donc vous
présenter une nouvelle fois, rappeler les objectifs de la mission d’audit et la méthodologie.
Assurez-vous que les termes techniques sont compris par l’ensemble des participants.
Vous allez poser un certain nombre de questions, vous allez évidemment écouter les réponses
mais également reformuler et valider les réponses obtenues.
Tout comme l’introduction, la conclusion a aussi son importance afin de laisser une bonne
impression de l’audit. Elle consiste à :
Au cours de la phase d’investigation, vous pouvez reprendre cette modélisation et la revoir avec
vos interlocuteurs au cours d’un entretien d’audit.
Le diagramme de flux synthétise les informations que vous pourrez trouver dans une description
narrative du déroulement du processus.
Un diagramme de flux ne tient pas compte de la périodicité de réalisation des activités. Par
exemple, dans le cadre de contrôles, la fréquence n’est pas précisée dans un diagramme. Vous
devrez donc la préciser dans un autre support, notamment dans la grille d’audit.
En outre, pour être compréhensible, un diagramme de flux doit être synthétique, ce qui limite
son utilisation pour certains processus trop complexes. Comme alternative, vous pouvez
découper le processus et réaliser plusieurs modélisation sur chaque partie des sous-processus.
Les deux méthodes de modélisation couramment utilisées sont l’ISO ou le BPM(N). Je vous
présente ci-dessous une méthode générique, inspirée des deux méthodes ISO et BPM, afin de se
focaliser sur les bonnes pratiques en matière de modélisation d’un diagramme de flux.
72
6. Dessinez le squelette de votre diagramme, c’est-à-dire positionnez les acteurs en
colonne. Puis positionnez la toute première activité qui constitue l’entrée du processus.
7. La mise en place des activités sur le diagramme s’effectue en fonction des acteurs qui les
réalisent et en fonction de leur position dans le déroulement du processus. Le sens des
flèches donne le sens de lecture : en principe, les activités vont de gauche à droite, puis
du haut vers le bas.
8. Terminez votre diagramme par la dernière activité du processus, qui peut être l’entrée
d’un autre processus.
Le sens des symboles utilisés pour élaborer un diagramme de flux doit faire l’objet d’une
compréhension commune. C’est pourquoi une légende à côté de chaque diagramme et une note
explicative des symboles utilisés sont indispensables.
Il existe une norme ISO qui définit les principaux symboles utilisés dans un diagramme de flux :
ISO 5807. Vous pouvez la consulter et l’appliquer.
De mon point de vue, les logiciels de modélisation sont assez contraignants puisqu’ils demandent
une montée en compétence. S’ils ne disposent pas de l’outil, ou s’ils ne savent pas l’utiliser, vos
interlocuteurs ne pourront pas intégrer votre diagramme dans leur procédure, ni le modifier en
cas de changements sur le processus. En revanche, l’utilisation d’un logiciel permet
d’homogénéiser la pratique ; encore faut-il que tous les utilisateurs appliquent les mêmes formes
et les mêmes principes de modélisation.
Je vous présente ci-dessous un exemple de diagramme de flux réalisé sous PowerPoint, à partir
de formes simples. Il représente une partie de la modélisation du processus de gestion des
achats, qui débute par le sous-processus de gestion d’une demande d’achat.
73
Exemple de diagramme de flux
Il a été réalisé dans le cadre d’un audit de la gestion des achats dans une entreprise de services.
Comme vous pouvez le remarquer, les activités de maîtrise des risques ont été identifiées
directement sur le diagramme.
En vue de collecter des informations et de constituer des preuves d’audit, il existe deux outils,
très souvent utilisés dans le cadre d’un audit :
• le test de cheminement ;
• la piste d’audit.
74
Le test de cheminement
Le principe est de suivre les différentes étapes d’une opération, de son origine jusqu’à son
dénouement ; par exemple de l’enregistrement d’un bon de commande d’un client à l’écriture de
l’opération de vente dans le compte comptable pour constater le chiffre d’affaires. Il permet
ainsi de confirmer la compréhension d’un flux de traitement et de ses contrôles.
Vous l’avez sans doute deviné : vous pouvez bien sûr vous appuyer sur un diagramme de flux
pour effectuer le test de cheminement au cours d’un entretien d’audit !
Le test de cheminement fait partie des tests de contrôles dédiés à l’évaluation de la conception
des contrôles. Lors de l’évaluation des tests d’audit, ce test répond essentiellement à la question
: “le contrôle fonctionne-t-il correctement tel qu’il est décrit dans les procédures ?”. Pour vérifier
sa mise en œuvre, il faudra collecter des preuves sur l’efficacité réelle, comme par exemple le
bon de commande observé et toutes les informations qui le relient à l’enregistrement
comptable. Nous approfondirons les tests de conception et d’efficacité dans le prochain chapitre.
À l’issue d’un test de cheminement, l’auditeur doit être capable de se faire un avis sur :
• le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux ;
• l’existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à
couvrir.
• des entretiens, dans lesquels vous allez poser des questions aux audités et observer les
activités, afin de :
o identifier les tâches et les contrôles réalisés,
o identifier les écarts entre ce qui est décrit dans les procédures ou ce qui est
attendu par le management et la réalité,
o détecter les erreurs et prendre connaissance de la manière dont elles sont traitées
;
• un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au cours des
différentes étapes du processus afin de tester l’efficacité opérationnelle des contrôles. À
ce titre, vous pouvez demander à votre interlocuteur de faire des copies d’écran des
opérations réalisées dans les systèmes, afin de constituer vos preuves d’audit.
La piste d’audit
La piste d’audit s’apparente à un test de cheminement. Elle est utilisée dans le cadre des audits
financiers pour remonter à l’origine d’une opération, de l’enregistrement dans les états
financiers à l’acte de gestion. Vous pouvez donc vous inspirer de son principe pour réaliser vos
tests d’audits. L’objectif est de s’assurer de la traçabilité des opérations.
Par exemple, l’encaissement d’un paiement d'un client est peut-être déclenché si une facture, un
bon de commande et un bon d’expédition lui sont rattachés. La piste d’audit du paiement du
client repose sur la possibilité d'identifier une facture, un bon de commande et un bon
75
d’expédition qui le sous-tendent, au moyen d’une référence unique utilisée dans chaque
opération.
La piste d’audit est l’enregistrement chronologique des activités dans les systèmes d’information
montrant tous les ajouts, suppressions, et changements apportés aux données et aux logiciels.
Les enregistrement doivent permettre de reconstituer et de contrôler une opération depuis son
origine jusqu’à son aboutissement, et inversement. On parle de piste d’audit ascendante ou
descendante.
Le caractère probant des résultats de l’analyse de la piste d’audit dépend des modalités de
sélection des opérations. D’un côté, vous ne pouvez pas conclure que les opérations sont bien
tracées dans les systèmes en ne réalisant qu’un seul test unitaire. De l’autre, vous n’aurez pas le
temps d’analyser l’exhaustivité des opérations dans les systèmes.
La sélection par échantillonnage est ainsi une méthode qui permettra de constituer des preuves
probantes. L’analyse de données au moyen d’un outil pourra vous aider à constituer un
échantillon plus large.
Cette méthode permet donc d’étudier les caractéristiques d’une population dont la taille ne
permet pas une analyse exhaustive.
76
Déterminez votre échantillon
À noter qu’en cas d’écarts identifiés dans l’échantillon testé, un échantillon supplémentaire sera
tiré afin de déterminer le caractère reproductible des anomalies au sein de la population testée.
L’analyse de données au moyen d’un outil peut aider à constituer un échantillon plus large,
voire à réaliser le test d’audit sur toute la population.
Au moyen d’un outil spécialisé (Excel, MS Access, IDEA, ACL, etc.) appelé “CAAT” (Cumputerized
Assisted Audit Tool), vous allez analyser les données d’un système de votre entreprise, sur de
grands volumes.
Je vous laisse découvrir la démarche dans le cadre d’une analyse de données réalisée au moyen
d’un outil dédié.
1. En amont, vous allez définir les procédures d’audit (échantillonnage, tests à réaliser sur
les données) à partir des objectifs d’audit. Puis, vous déterminerez les données à utiliser
77
(population, format, modalités de mise à jour, modalités d’accès...). Vous devez
impérativement vous assurer de leur fiabilité, en les rapprochant avec d’autres sources
ou en collectant des procédures.
2. Vous devez disposer des droits d’accès aux données dans le système, ou bien demander
à une personne de vous transmettre les données sous la forme d’extraction, dont le
format doit être spécifié.
3. Après avoir déterminé l’outil CAAT à utiliser, assurez-vous de disposer des ressources
nécessaires (matérielles, humaines, logicielles).
4. Vous allez donc pouvoir paramétrer l’outil d’analyse de données et réaliser les tests.
5. Pour documenter les tests d’audit et constituer des preuves, vous devez conserver les
données en entrée, les traitements (paramètres, code source), et les données en sortie,
ainsi que la description de vos tests et les conclusions.
Pour illustrer avec un exemple, revenons à l’audit des accès au système comptable. Sur la gestion
des habilitations des utilisateurs, un des objectifs d’audit est de vérifier la suppression
systématique des comptes utilisateurs à la fin de la période de validité d'un contrat pour les CDD
et intérimaires. Ce contrôle doit permettre de prévenir le risque qu’une personne non autorisée
accède au système et utilise, diffuse, endommage ou détruise des données.
• collecter la liste des employés temporaires en CDD et en intérim au cours des 3 dernières
années, extraite du système de paie. Seules les informations suivantes ne seront
collectées : le matricule, le type de contrat et la date de fin ;
• collecter la liste des comptes utilisateurs actifs, extraite du système comptable, avec le
matricule ;
• rapprocher les deux listes au moyen d’Excel afin d’identifier les comptes utilisateurs qui
auraient dû être désactivés du fait d’une date de fin de contrat antérieure à la date du
jour.
Le test d’audit est réalisé : dans la liste des comptes utilisateurs actifs, rechercher le matricule
parmi la liste des employés temporaires en CDD et en intérim, et afficher la date de fin de
contrat. Si cette date est antérieure à la date du test, le compte utilisateur aura dû être
désactivé.
78
Vous avez identifié un compte utilisateur d’un employé temporaire qui est parti trois mois
auparavant, sur les dix comptes utilisateurs actifs. Il s’avère après discussion qu’il s’agit du seul
employé en contrat temporaire ayant disposé d’un accès au système comptable au cours des
trois dernières années.
L’analyse des deux extractions constituent la preuve du test d’audit sur l’existence et l’efficacité
du contrôle. En l'occurrence, vous pouvez constater l’absence de contrôle et que le risque n’est
pas couvert.
En résumé :
• Les facteurs de réussite d’un entretien d’audit sont les suivants : le climat de confiance,
le soin apporté à l’introduction et à la conclusion, la validation formelle du compte rendu
par les participants ;
• Le diagramme de flux est à la fois un outil d’aide à la prise de connaissance, puisqu’il
requiert une compréhension précise du processus, et un outil de vérification. La
validation de la description graphique du processus par son responsable permet d’en
vérifier l’exactitude. Son élaboration résulte d’un processus itératif ;
• Le test de cheminement permet à l’auditeur de se faire un avis sur le bon
fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux, et de prouver l’existence des contrôles, ou leur absence, et leur
pertinence par rapport au(x) risque(s) à couvrir. Il s'appuie sur des entretiens et le
diagramme de flux ;
• La traçabilité des opérations peut être auditée au moyen de la piste d'audit. La sélection
des opérations à tester par échantillonnage est une méthode qui permettra de constituer
des preuves probantes. L’analyse de données au moyen d’un outil peut aider à constituer
un échantillon plus large, voire de réaliser le test d’audit sur toute la population.
En que manager ou responsable d’une équipe d’auditeurs, internes ou externes, vous devez
vous assurer de la bonne exécution du programme de travail, et plus globalement du bon
déroulement des audits.
Dans le chapitre précédent, vous avez (re)découvert des outils à utiliser pour vos tests d’audits.
Dans ce chapitre, je vous propose de vous présenter les bonnes pratiques pour superviser les
missions d’audit, et plus particulièrement pour revoir les tests d’audit, afin de vérifier que les
informations collectées sont pertinentes, fiables et en quantité suffisante, avec des preuves
probantes. En effet, la confiance n’exclut pas le contrôle.
Une mission d’audit peut faire intervenir plus de deux auditeurs, ce qui en fait une équipe à
gérer. Dès lors, le travail en équipe doit être organisé afin de réaliser des travaux de qualité. En
tant que manager ou chef de mission, ou bien responsable du service d’audit interne, des
règles de délégation et de supervision doivent être définies.
79
Les trois principaux rôles dans une mission d’audit
Le chef de mission ou manager est le référent technique des auditeurs. Il supervise et assure le
suivi des missions d’audit dont il a la responsabilité. C’est lui qui élabore le programme de travail,
organise les réunions et les entretiens.
Tout comme le directeur peut remplacer un chef de mission dans le cadre d’un audit, un chef de
mission peut remplacer un collaborateur.
L'auditeur ou le collaborateur
80
Le manager ou le collaborateur va donc réaliser une partie des tâches qu’il ne ferait pas en temps
normal. Celui qui délègue doit en revanche rester concerné par les résultats du travail du
manager ou du collaborateur, et faire le point régulièrement avec son équipe.
Selon la norme 2340 “Supervision de la mission” du CRIPP, “les missions doivent faire l’objet
d’une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et
le développement professionnel des auditeurs effectué.”
La supervision relève donc des responsabilités du chef de mission et/ou du directeur de l’audit.
La supervision de la mission d’audit doit être un exercice permanent. En tant que chef de
mission et/ou de directeur de l’audit, vous allez organiser des points réguliers avec l’équipe
d’auditeur et revoir tous les livrables clés de la mission d’audit avant leur communication.
Dans le cadre de la phase d’investigation, je vous propose de nous focaliser sur la supervision
des tests d’audit. À ce titre, c’est le chef de mission, ou bien le directeur de l’audit s’il remplace
ce dernier, qui en a la charge et la responsabilité.
Pour ce faire, il existe un outil très simple à mettre en place, à partir de la grille d’audit : les fiches
de tests.
L’auditeur décrit et documente les résultats des tests d’audit sous la forme d’une fiche, afin de
de constituer une preuve suffisante, fiable et pertinente de ses travaux.
81
Dans la plupart des cas, elle se trouve dans le même classeur (ou fichier Excel) que la grille
d’audit ; un onglet correspond à une fiche de tests et une fiche de test correspond à un contrôle
ou à un objectif d’audit à tester, issu de la grille.
Le format peut être différent selon les pratiques, il n’y a pas de formalisme préconisé.
Grâce aux fiches de tests, le chef de mission et/ou le directeur de l’audit pourront vérifier que
tous les objectifs de la grille d’audit ont bien été testés en bonne et due forme.
Prenons un exemple
Pour vous fournir un exemple de fiche de tests, revenons à l’audit des accès au système
comptable, téléchargeable ici.
La grille d’audit comporte six activités de maîtrise des risques attendues et treize objectifs
d’audit ; il y aura donc treize fiches de tests à formaliser sous cette forme très détaillée, que je
vous propose de télécharger au format Excel.
Dans un second temps, les deux étapes de réalisation du test qui sont :
• les tests de conception : pour chaque document collecté, l’auditeur va vérifier les
contrôles formalisés et décrire précisément ce qu’il a effectué. Il va également donner
son avis sur cette étape du test de conception. S’il a bien trouvé ce qu’il attendait, l’étape
de test sera “réussie” ; dans le cas contraire, elle sera en “échec” ;
• les tests d’efficacité : dans l’exemple communiqué, cette étape ne s’applique pas, étant
donné qu’il s’agit d’une revue documentaire. En revanche, elle s’applique dans des cas de
tests nécessitant un échantillonnage.
Par exemple, pour l’objectif d’audit “s'assurer de l'existence d'une procédure centralisée de
gestion des comptes utilisateurs permettant de traiter les demandes, attributions, ouvertures,
suspensions, modifications et clôtures des comptes utilisateurs et des droits associés...” rattaché
au sous-domaine “Gestion des habilitations utilisateurs”, le test d’efficacité consistera à :
À la fin des tests d’audit, votre référentiel d’audit doit être entièrement complété.
Référentiel d'audit
Je vous recommande de communiquer le résultat des tests avec les audités après la revue de la
fiche de test par le responsable de la mission.
Vous pourrez ainsi expliquer votre méthode de travail, qui a permis de conclure sur le caractère
satisfaisant ou non des dispositifs de contrôle. Les audités, quant à eux, auront la possibilité de
vous fournir des compléments d’information.
Vous rentrez ainsi dans la phase de validation, qui est primordiale et parfois oubliée. Il s’agit de
mettre en œuvre une démarche contradictoire, pour donner l’opportunité aux audités de revenir
sur certaines observations et recommandations.
En résumé :
À l’issue de cette phase d’investigation, vous devez avoir rédigé une première version du
rapport d’audit, dont les observations et les recommandations devront être validées par les
audités. Ensuite, dans le cadre de la troisième phase de validation, vous allez initier une
83
démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines
observations et recommandations, et de fournir aux auditeurs des compléments
d’informations, avant la présentation des conclusions de l’audit.
Dans ce dernier chapitre, je vais vous présenter les activités clés de ces dernières étapes d’un
audit. Je vous proposerai également des outils pour rédiger le rapport d’audit et formuler vos
recommandations, afin qu’elles soient percutantes.
Les contrôles recensés dans le référentiel d’audit ont fait l’objet de tests d’audit par vos
collaborateurs ou par vous-même. Ce référentiel complété est le résultat de l’évaluation des
dispositifs de contrôle interne, qui constitue une preuve suffisante, fiable et pertinente de ces
travaux.
Vous avez renseigné la colonne “recommandation”. Je vous propose ci-dessous des bonnes
pratiques pour mieux formuler vos propositions d’amélioration.
Votre
référentiel est désormais complété
Après avoir réalisé les tests de conception et d’efficacité, vous devez identifier les raisons pour
lesquelles le contrôle n’est pas mis en œuvre de manière satisfaisante. Vous allez élaborer des
mesures correctives.
Dans un deuxième temps, vous allez élaborer la recommandation, qui est l’expression d’une
mesure qui vise à renforcer la conception ou l’efficacité du contrôle.
Il se peut que pour corriger un dysfonctionnement donné, il existe plusieurs solutions. Le choix
de la mesure corrective qui fera l’objet de la recommandation sera déterminé en fonction du
coût, de la rapidité et de la facilité de mise en œuvre.
Par exemple, dans le cadre du test de conception, le contrôle attendu est mentionné, mais il
n’est pas décrit précisément dans la procédure. Il peut s’agit d’une validation du management
qui est requise pour la création d’un compte utilisateur dans un système.
84
Dans le cadre du test d’efficacité, vous avez sélectionné une vingtaine de demandes de création
de compte utilisateur. 50 % des demandes de votre échantillon n’ont pas été validées par un
manager. Dans 30 % des cas, la validation a été transmise par mail, dans 20 % des cas restants, le
manager a signé sur le formulaire de demande de création de compte utilisateur :
• dans cet exemple, le contrôle attendu est le suivant : “les procédures doivent être
établies pour s'assurer que les actions relevant de l'ouverture, de la modification et de la
fermeture des comptes utilisateurs sont réalisées au moment opportun”. Ce contrôle
permet de maîtriser le risque qu’une “personne non autorisée accède au système et
utilise, diffuse, endommage ou détruise des données” ;
• le dysfonctionnement que vous avez constaté est que la moitié des demandes de création
de compte utilisateur ne respecte pas la procédure, puisqu’elles n’ont pas été validées
par le management ;
• la cause est le manque de précision sur la validation de la demande de création de
compte dans la procédure, puisqu’elle est seulement mentionnée. C’est pourquoi la
validation a pris plusieurs formes : la validation par mail et la validation sur le formulaire ;
• les mesures correctives que vous pouvez proposer sont les suivantes :
o la mise à jour de la procédure, en précisant que la validation du management se
fait par mail ;
o la mise à jour du formulaire, en intégrant un nouveau champ permettant au
management de valider la demande et la mise à jour de la procédure ;
o la mise en œuvre d’un workflow automatique, qui enverra directement un mail au
manager, afin qu’il clique sur un lien pour valider une demande de création de
compte utilisateur ;
• le coût d’implémentation et la complexité de la mise en œuvre de la troisième
proposition, puisqu’elle nécessite un développement dans le système, devront être
évalués. La seconde proposition semble beaucoup plus adaptée en fonction du triptyque
coût, rapidité et facilité de mise en œuvre.
Cette fiche synthétise l’opinion de l’audit interne sur la conception et le fonctionnement des
contrôles qu’il a audités.
Si vous choisissez de formuler la conclusion sous la forme d’une évaluation du risque, je vous
invite à suivre le cours sur l’analyse des risques. En l’occurrence, vous allez réévaluer la criticité
85
du risque brut en fonction de la conception et de l’efficacité du contrôle qui a été constaté lors
de l’audit. Vous obtiendrez ainsi la criticité nette du risque.
Le format peut être différent selon les pratiques documentaires. Il n’y a pas de formalisme
préconisé.
Fiche
de constat
Le rapport d’audit détaillé, à l’attention des audités, doit au minimum contenir les informations
suivantes :
La conclusion peut prendre la forme d’une évaluation du risque. En l'occurrence, je vous invite à
suivre le cours sur l’analyse des risques.
86
Si le risque est accepté, la recommandation peut ne pas faire l'objet d'un plan d'action.
Le format peut être différent selon les pratiques documentaires de chaque service d’audit
interne. Il n’y a pas de formalisme préconisé.
Une synthèse, à l’attention de votre direction et des parties prenantes, pourra être rédigée. Dans
ce cadre, le directeur de l’audit se prononce sur la maîtrise des risques et la bonne gestion, ou
non, des activités et des opérations sur le périmètre audité.
• les résultats de la mission d’audit ayant un impact sur l’ensemble de l’organisation et sur
l’atteinte des objectifs de l’entreprise ;
• une opinion globale, positive ou négative, sur la capacité du domaine audité à maîtriser
les risques majeurs.
Cette synthèse peut être intégrée au rapport d’audit ou faire l’objet d’une note à part.
Comme indiqué à plusieurs reprises dans ce cours, je vous invite à communiquer les résultats de
l’audit, voire la première version du rapport d'audit, aux différentes personnes que vous avez
sollicitées et à leur responsable. Vous rentrez ainsi dans la phase de validation.
La démarche contradictoire peut se dérouler au cours d’un nouvel entretien avec les audités.
Vous y présenterez les points forts et les axes d’amélioration, de manière factuelle et en
argumentant à partir des tests d’audit réalisés.
À la suite de ces ajustements, vous disposerez d’une version quasiment finalisée du rapport
d’audit. Ce sera le résultat tangible de l'audit, qui pourra être partagé et communiqué au cours
de la réunion de clôture.
La réunion de clôture permet de partager les observations d'audit, qui ont été préalablement
validées par les audités, et de présenter les modalités de suivi de la mission d'audit.
• rappeler les objectifs de la mission et les objectifs d’audit, ainsi que les modalités
d’élaboration et de diffusion du rapport ;
• présenter les points forts, ce qui permettra à l’organisation de capitaliser sur ses bonnes
pratiques et de les diffuser ;
• présenter les observations d’audit, au cours de laquelle il peut être demandé aux
auditeurs de produire les preuves pour justifier un constat d’audit ;
87
• présenter les modalités de suivi de la mission, telles que la définition d’une date limite de
diffusion du plan d’action et l’identification d’un responsable du suivi de la mise en œuvre
des mesures correctives.
La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des
plans d’action à mettre en œuvre afin de maîtriser les risques et améliorer les dispositifs de
contrôles, et in fine aider à atteindre les objectifs de l’entreprise. Cette phase ne relève pas du
champ de responsabilité d’un directeur de l’audit, qui ne peut être juge et partie.
Notre cours s’achève. Comme vous pouvez le noter, l’audit est une discipline transversale, qui
demande une certaine polyvalence, avec de fortes compétences à la fois techniques et
fonctionnelles, des compétences également en stratégie et en management.
En matière de savoir-être, avoir des qualités relationnelles permet de rendre les missions plus
appréciables, car la communication à tous les niveaux hiérarchiques de l’entreprise est un
facteur clé de succès.
L’audit est loin de l’image de l’inspecteur austère et fermé. Pour améliorer les processus et aider
l’entreprise à atteindre ses objectifs stratégiques, l’audit doit être à l’image d’un juge, intègre et
neutre.
Pour conclure, j’ajouterai que l’audit a pour objectif de produire un service et donc de satisfaire
ses clients. Et les clients ne se résument pas à la direction générale et aux parties prenantes. Les
clients de la fonction d’audit s’étendent à toute l’entreprise, puisque c’est elle qui bénéficie du
service. En d’autres termes, les audités sont les clients que l’audit doit chercher à satisfaire, en
leurs proposant notamment des recommandations utiles et pertinentes.
Votre volonté de servir et votre sens du service seront donc des atouts pour mener vos missions
d’audit avec succès. Pensez bien à soigner la première impression et la dernière impression que
vous laisserez !
88