PLANIFIEZ UNE POLITIQUE

D'AUDIT AU SEIN DE
VOTRE ENTREPRISE

25 MARS 2019

PRO CONSULTING GROUP SARL

Créé par : HENRI ROBERT MINGUE

1
 MODULE 1

APPREHENDEZ LA FONCTION D'AUDIT EN

ENTREPRISE

INTRODUCTION :

Vous avez peut-être entendu parler de l’affaire Enron ? Il s’agit d'un des plus gros
scandales financiers du début du XXIe siècle. Cette entreprise américaine du secteur de l’énergie
a falsifié ses comptes financiers, avec la complicité du cabinet d’audit Arthur Andersen. La faillite
d’Enron en 2001 a provoqué la perte de plus de 20 000 emplois, mais également la chute d’un
des plus grands acteurs de l’audit : Arthur Andersen.

À la suite de plusieurs scandales, dans le début des années 2000, dont l’affaire Enron, le
métier d’auditeur et les pratiques professionnelles ont été encadrés. Depuis, la profession
d’auditeur externe et interne est soumise à des réglementations en constante évolution.

Vous allez découvrir dans ce cours en quoi l’audit est une discipline structurée, intégrée,
transverse et surtout utile, en entreprise et dans tout type d’organisation. Je vous propose dans
ce premier chapitre de poser le cadre, en répondant à ces trois questions.

• Qu'est-ce que l'audit, et quels sont les deux principaux domaines d'audit ?
• Quels sont les objectifs de l'audit en entreprise ?
• Quels sont les principes fondamentaux pour la pratique de l'audit ?

2
 CHAPITRE I : DECOUVREZ CE QU’EST L’AUDIT EN
GENERAL

I- DEFINITIONS

Avant toute chose, vous avez déjà probablement entendu parler d’audit interne et
d’audit externe.

Oui... mais quelle différence ?

L’audit externe est réalisé par un organisme extérieur, tandis qu’un audit interne est une
fonction interne dans l’entreprise. L’auditeur interne y est donc salarié, l’auditeur externe, en
tant qu’organisme, perçoit quant à lui des honoraires de mission.

Dans cette section, je vous propose de partir de la définition de l’audit de l’IIA (Institute of
Internal Auditors), et d’en décrypter les idées clés.

L’Institute of Internal Auditors (IIA) est un acteur important dans le domaine de l’audit
interne. Il s’agit de l’association, à l’échelle mondiale, regroupant les professionnels du métier
d’auditeur. Cette association donne les lignes directives et édicte les normes professionnelles
dans le cadre de références internationales des pratiques professionnelles de l’audit interne
(CRIPP). C’est donc la principale source d’information des auditeurs du monde entier.
Une fonction peut être assimilée à un département ou un service. Il s’agit d’un
regroupement d’activités faisant appel aux mêmes expertises et métiers. Par exemple, les
fonctions au sein d’une entreprise sont les achats, la production, la comptabilité, la sécurité, les
systèmes d’information, le juridique, les ressources humaines, etc.
Je vous épargne la présentation de ce cadre de référence, ainsi que les normes
professionnelles, que nous verrons de manière pratico-pratique tout au long du cours. Si cela
vous intéresse ou que vous envisagez de passer les certifications d’audit interne, je vous invite à
le consulter sur le site de l’IFACI (Institut français de l’audit et du contrôle interne), le réseau en
France de l’IIA.

II- QU’EST-CE QUE L’AUDIT

Selon I'lIA, l’audit interne est une « activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
pour les améliorer, et contribue à créer de la valeur ajoutée. »

Reprenons ces éléments ensemble.

“Une activité indépendante et objective” = réalisée par des experts indépendants.

L’audit est réalisé par des « experts » professionnels indépendants, possédant des
compétences sur le domaine audité.

3
 Les auditeurs mènent leurs travaux sur la base des systèmes de contrôle mis en œuvre
dans l’entreprise. Il s’agit du contrôle interne, concept que nous approfondirons dans une autre
partie du cours.

“...qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations...”
= une vision globale des opérations et de leur conformité, pour réduire une asymétrie
d’information.

Les auditeurs apportent l’assurance au comité de direction ou aux actionnaires que les processus
sont maîtrisés face aux risques auxquels l’entreprise est exposée.

L’intervention des auditeurs et leurs observations vont réduire l’asymétrie d’information entre :

• Ceux qui détiennent l’information, et qui prennent des décisions sur le périmètre audité
— le directeur dont la fonction se fait auditer ;
• Ceux qui dépendent de cette information pour prendre leur propres décisions — par
exemple, le comité de direction dont le directeur général est membre, et qui doit prendre
des décisions stratégiques.
“... pour les améliorer, et contribue à créer de la valeur ajoutée.” = l’audit est outil
d’amélioration continue.

L’audit est un outil d’amélioration continue. Il permet de faire un diagnostic de l’existant,

afin d’identifier des points forts et des points faibles d’une organisation. Le processus d’audit a
un coût, puisqu’il consomme des ressources humaines. Cependant, l’amélioration des
processus qui en découle crée de la valeur ajoutée.

En conclusion, l’audit est une évaluation indépendante de l’ensemble des

processus implémentés en entreprise, pour les améliorer.

III- DISTINGUEZ LES DIFFERENTS DOMAINES D’AUDIT

1- Quels sont les principaux domaines d’audit

Il existe deux principaux domaines d'audit :

• L’audit légal ou audit financier, qui relève de l’audit externe ;

• L’audit opérationnel, qui relève de l’audit interne.
L'audit légal (ou audit financier)
L’audit légal a pour objectif d’évaluer la régularité et la sincérité des informations financières
publiées par les entreprises, par un organisme externe. De ce fait, l’audit légal constitue un
audit externe.
En France, la désignation d’un commissaire aux comptes (“CAC”) est obligatoire selon la forme
juridique de la société ou en cas de dépassement de seuils de chiffre d’affaires. Ce sont ces CAC
qui procèdent à ces audits légaux en tant qu’organismes externes et indépendants, en vue de
certifier les états financiers.

Pour ce faire, les CAC réalisent des audits sur les processus d’élaboration des états
financiers, et peuvent remonter jusqu’au bon de commande établi pour justifier une dépense.
4
 Les CAC auditent également les systèmes d’information, c’est-à-dire les outils
comptables et financiers, afin de fournir une assurance aux parties prenantes et aux actionnaires
que les processus informatiques sont maîtrisés et que les données sont de qualité.

Vous vous doutez bien qu’après le scandale Enron, les missions d’audit légal ont été
encore plus réglementées et encadrées, notamment avec la loi de sécurité financière de 2003,
qui a modifié le Code du commerce. Les CAC ou les experts comptables engagent leur
responsabilité pénale en signant les comptes des entreprises. En outre, les cabinets de
commissariat aux comptes ne peuvent plus procéder à la fois à des missions d’audit financier et
de conseil. Ces deux activités sont dorénavant incompatibles.

Un audit interne peut être réalisé par un organisme extérieur. Pour autant, il ne constitue
pas un audit légal, dont la réalisation est soumise à de fortes réglementations.
L'audit opérationnel
L’audit opérationnel est réalisé en interne, dans l’entreprise. Il se focalise sur l’évaluation
des processus opérationnels, leur performance et leur efficience en fonction des objectifs de
l’entreprise.

Son but est d’améliorer le processus audité. Les auditeurs opérationnels émettent une
opinion sure :

• La qualité des procédures, c’est-à-dire l’ensemble de la documentation existante ;

• Et l’exécution des processus, qui doivent être conformes aux procédures écrites.
L’entreprise ou la fonction d’audit interne peut faire appel à un organisme extérieur pour réaliser
l’audit, en l’absence de ressources suffisantes ou de compétences en interne ; par exemple si elle
vise une certification de ses processus, qui requiert des expertises pointues.
De manière générale, les audits se distinguent entre d’une part les audits visant une certification,
qui peuvent être assimilés à un audit « légal » car normé, et ceux qui visent plutôt une mesure de
performance, à savoir l’audit opérationnel.
Dans ce cours, nous allons nous focaliser sur les audits opérationnels. Je vous propose donc de
voir un peu plus en détail les différents types d’audits opérationnels qui existent.

2- Différenciez les audits opérationnels

Quels sont les objectifs de l'audit opérationnel en entreprise ?

Pour répondre à cette question, nous allons définir les quatre types d’audit opérationnels,
classés par objectif :

1. Les audits de conformité.

2. Les audits d’efficacité.
3. Les audits de management.
4. Les audits de stratégie.
Pour les définir, prenons un exemple. À votre avis, de quel(s) type(s) d’audits opérationnels listés
ci-dessus, la fonction “sécurité” dans une entreprise peut-elle faire l’objet ?

La fonction “sécurité” étant une fonction standard en entreprise, elle peut faire l’objet de tous
les types d’audits opérationnels.
5
 1. Dans le cadre d’un audit de conformité, les auditeurs s’assurent que les dispositifs mis en
place en matière de sécurité sont conformes aux règles édictées en interne, dans les
procédures notamment, et aux réglementations externes.
2. Dans le cadre d’un audit d’efficacité, les auditeurs s’assurent que les dispositifs mis en
place en matière de sécurité sont appropriés et efficaces. Ils doivent permettre
d’atteindre les objectifs de sécurité fixés par l’entreprise.
3. Dans le cadre d’un audit de management, les auditeurs s’assurent que la politique de
sécurité est alignée avec les objectifs stratégiques de l’entreprise.
4. Dans le cadre d’un audit de stratégie, les auditeurs s’assurent que la stratégie définie en
matière de sécurité est alignée avec la stratégie des autres fonctions dans l’entreprise.
Je vous propose ci-dessous un tableau synthétisant les domaines d’audit et leur classification.
Vous pourrez visualiser le champ d’application des audits et mieux comprendre la
complémentarité des différents types d’audit opérationnel.

Les domaines d'audit et leur classification

✓ Sur la fonction Comptabilité

Les auditeurs internes porteront un jugement sur les dispositifs mis en place et leur
maîtrise par les responsables. Leurs recommandations permettront d’améliorer la fonction.
Quant aux auditeurs externes, ces derniers vont certifier la régularité et la sincérité
des informations produites par la comptabilité.
Dans ce cours, nous nous focaliserons sur la fonction d’audit interne et les audits opérationnels.

IV- AUDITEZ AVEC PROFESSIONALISME ET ETHIQUE

6
 Vous le savez probablement : l’audit a une connotation péjorative. Le terme est souvent
synonyme d’évaluation et/ou de jugement loin des réalités opérationnelles.

En entreprise, l’annonce d’un audit est souvent vu comme un mauvais présage. Un auditeur peut
être assimilé à un inspecteur, “la police” venue surveiller les opérations pour rendre compte à
une autorité supérieure.
Cela s’explique par le fait qu’un audit permet d’identifier les points faibles de la fonction auditée.
Et il est rare que les personnes apprécient qu’on leur dise ce qui ne va pas.

Pour faire face aux appréhensions, je vous recommande de vous raccrocher aux principes
déontologiques, qui sont essentiels si vous souhaitez acquérir une posture d'auditeur
compétent, crédible et bienveillant.

1- Quels sont principes fondamentaux pour la pratique de l’audit

Je vous propose de découvrir les quatre principes, issus du code de déontologie de l’IIA, à partir
d’exemples de comportements attendus d’un auditeur interne :

• Intégrité ;
• Objectivité ;
• Confidentialité ;
• Compétences.

a- L'intégrité
▪ À faire : faire preuve d’honnêteté, de diligence et de responsabilité, en respectant
les lois et les pratiques professionnelles.
▪ À ne pas faire : prendre part à des activités illégales, et/ou qui vont à l’encontre de
la profession d’auditeur.
b- L'objectivité
▪ À faire : évaluer en prenant en considération tous les éléments collectés du
processus audité, de manière factuelle et probante.
▪ À ne pas faire : établir des relations pouvant compromettre le jugement et
amener à des conflits d’intérêt, porter un jugement en prenant en compte ses
propres intérêts et/ou ceux de son entourage professionnel.
c- La confidentialité
▪ À faire : utiliser avec prudence et protéger les informations et les données
collectées dans le cadre de l’audit.
▪ À ne pas faire : utiliser ces informations et ces données pour en retirer un
bénéfice individuel ou collectif, qui porterait préjudice à l’entreprise.
d- Les compétences
▪ À faire : réaliser les travaux d’audit interne en respectant le CRIPP fourni par l’IIA,
et tendre à améliorer continuellement ses compétences d’auditeur, son efficacité
et la qualité des travaux.
▪ À ne pas faire : s’engager dans des travaux pour lesquels l’auditeur ne possède
pas la connaissance, le savoir-faire ou l’expérience nécessaires.
Ces principes n’ont pas de caractère obligatoire lorsque les auditeurs ne sont pas titulaires de
certifications professionnelles de l’IIA. En revanche, si vous prétendez au titre d'auditeur interne
certifié, vous devez les appliquer sous peine de sanction disciplinaire.

7
Avoir défini des principes et une éthique professionnelle, dans une charte ou une politique
d’audit interne, peut rassurer les audités en posant un cadre humain et bienveillant, auquel ils
peuvent se référer.

2- En bonus : la vision systémique

En bonus, et en complément de ces quatre principes, j’ajouterai la vision systémique de

l’auditeur, qui fait la différence. Avoir une vision systémique, c’est être capable d’analyser les
activités dans leur globalité et de prendre du recul vis-à-vis de la fonction auditée.

• À faire : évaluer les impacts des points forts et des points faibles sur les autres fonctions.
• À ne pas faire : se restreindre au périmètre audité et négliger les enjeux et objectifs
stratégiques de l’entreprise.
L’audit interne doit prendre en compte la stratégie de l’entreprise, afin de lui permettre
d’atteindre ses objectifs au moyen d’une évaluation structurée et transverse des processus.
L’audit doit non seulement améliorer les processus, mais également il doit favoriser
l’accomplissement des ambitions de l’entreprise, et ne pas en être un obstacle.

Il est donc important de ne pas perdre de vue ce dernier point au cours de l’évaluation et de
l’établissement des recommandations d’audit.

En résumé :

• L’audit est une discipline structurée, intégrée, transverse et surtout utile, en entreprise,
et dans tout type d’organisation ;
• Il existe deux principaux domaines d'audit : l'audit financier ou légal, d’une part, qui vise
une certification, et d’autre part l’audit opérationnel, qui vise plutôt une mesure de
performance ;
• L’audit doit non seulement améliorer les processus mais également il doit aider
l’entreprise à atteindre ses objectifs stratégiques. L’audit ne doit pas en être un obstacle.
Pour cela, vous pouvez compter sur votre intégrité, votre confidentialité, vos
compétences, votre objectivité et enfin votre vision systémique.

8
 CHAPITRE II- DEFINISSEZ LA VALEUR AJOUTEE DE VOS AUDITS

I- REFLECHISSEZ EN AMONT A VOTRE STRATEGIE

Vous êtes manager, où vous visez un poste de responsable d’une équipe, ou d’un service.
Vous avez des compétences et des savoir-faire, à la fois techniques et liés à un (ou des)
domaine(s) métier spécifique(s). Vous avez un sens du relationnel. Toutes ces qualités vous
permettent de gérer une équipe, avec un lien de subordination direct ou non, pour atteindre des
objectifs communs.

En tant que manager ou responsable, vous devez réfléchir à la valeur ajoutée que votre
fonction apporte à votre entreprise. Cette réflexion permet également de donner du sens à vos
activités, pour ensuite l’expliquer à votre équipe et/ou vos interlocuteurs. Dans le cadre de la
mise en place d’une fonction d’audit, vous allez réfléchir à une stratégie d’audit.

Dans ce chapitre, je vous invite à réfléchir sur votre stratégie d’audit :

• Comment gérer les audits dans leur globalité, tel un chef d’orchestre ;
• Comment fédérer sur les objectifs d’audit, afin de satisfaire toutes les parties impliquées
et d’obtenir leur adhésion tout au long des audits.
Avant d’aborder les différents axes de réflexion, précisons ce qu’est une stratégie d’audit.

La stratégie d’audit permet de fixer la mission d'une fonction d'audit interne et de définir
sa valeur ajoutée au sein de l’entreprise. Cette vision qui en découle sera partagée aux
différentes parties prenantes. En outre, si la direction générale sponsorise cette vision, les audits
auront encore plus de légitimité… et donc une meilleure image.

Par ailleurs, la stratégie permet d’évaluer les ressources humaines et financières en vue
d’accomplir cette mission et cette vision.
Cette réflexion peut être assez courte. Cela n’empêche pas qu’elle résulte d’un processus de
raisonnement rationnel et structuré.

Cette réflexion est nécessaire pour donner du sens aux audits que vous devez mener. Elle
vous aidera aussi à organiser votre discours auprès de vos équipes et des différents
interlocuteurs.

Il n’est pas forcément toujours nécessaire que votre réflexion sur la stratégie d’audit
implique des heures et des heures de remue-méninges. Même courte, vous verrez que cette
réflexion est essentielle pour vous donner une vision globale et pertinente du rôle et des
objectifs de l’audit. Je vous propose justement de vous initier à un raisonnement structuré pour
gagner du temps et de l’efficacité sur cette réflexion !

9
Pour cela, nous allons nous focaliser sur trois principales composantes d’une stratégie d’audit :

1. Le secteur d'activité de votre entreprise et ses objectifs à court, moyen et longs termes.
2. Le cadre réglementaire et les référentiels en vigueur, à la fois en entreprise et sur le
marché.
3. Les différentes parties prenantes et leurs attentes.

II- PRENEZ EN COMPTE L’ENVIRONNEMENT EXTERNE ET LES ACTIVITES

INTERNES

Que vous interveniez dans le secteur privé, dans l’industrie pharmaceutique, automobile
ou dans la banque ou l’assurance, ou bien dans une administration publique, les enjeux ne sont
pas les mêmes. Le secteur d’activité est plus ou moins concurrentiel, les réglementations plus ou
moins fortes.

Chaque entreprise ou organisation fonctionne différemment, même si elles se situent

dans un même secteur. Leur business model, leurs objectifs ou leur organisation en interne leur
sont propres.

En tant que responsable et auditeur, vous devez avoir une compréhension approfondie des
objectifs de votre entreprise et du secteur d’activité dans lequel elle évolue, y compris des
réglementations et des lois en vigueur.

Si vous souhaitez que votre audit interne crée de la valeur ajoutée, vous devez l’inscrire
comme moteur de la réalisation des objectifs stratégiques et opérationnels, de communication
et de conformité.

✓ Prenons par exemple le secteur bancaire. Depuis quelques années, les banques sont en
pleine mutation digitale, notamment en raison de l’arrivée des acteurs de la FinTech. Les
grands groupes bancaires investissent dans l’innovation, en créant des laboratoires et des
services de recherche et développement comme dans l’industrie. Ils veulent anticiper les
futurs besoins des consommateurs en proposant de nouvelles solutions bancaires. En
revanche, les banques sont soumises à de fortes réglementations, visant à garantir leur
solidité financière, et font face à un certain nombre de régulateurs externes (l’Autorité de
contrôle prudentiel, l’Autorité des marchés financiers, la Banque centrale européenne,
etc.).

Dans ce cadre, l’audit interne permettra de revoir les processus d’élaboration et

d’implémentation de nouveaux produits et services, en s’assurant qu’ils sont bien conformes à la
réglementation bancaire.

✓ Comment appréhender l’environnement externe et les activités internes à l’entreprise

que j’audite

Pour acquérir une vision globale de votre entreprise, je vous invite à cartographier
l’environnement de l’entreprise à l’aide du modèle des forces de Porter.

10
 En ce qui concerne les activités de votre entreprise, la modélisation de la chaîne de
valeur, de Porter également, pourrait vous être utile pour concevoir cette vision systémique.
Regardons ces outils en détail.

A- Le modèle des forces de Porter

Le modèle des forces de Porter permet de mener une analyse du secteur d’activité de
votre entreprise. Le but, dans cet exercice, n’est pas de réaliser une analyse stratégique et
détaillée de la concurrence. Ici, vous chercherez à appréhender le secteur afin de développer
une vision externe de l’entreprise, et d’identifier ce que celle-ci a mis en œuvre pour faire face à
ces différentes forces en présence.

Michael Porter a identifié cinq forces ; une sixième s’est ajoutée par la suite. Vous pouvez
analyser chacune des six forces.

1. L'intensité concurrentielle : qui sont les concurrents sur le marché ? Sont-ils nombreux ?
Quelle est leur taille ? Quels produits et services proposent-ils ? Quelles sont leurs parts
de marché ? Connaître les entreprises concurrentes est indispensable, notamment pour
se comparer, pour faire des benchmarks et identifier les pratiques du secteur, afin de
s’aligner ou de se différencier. Par exemple, si les plus gros concurrents disposent d’une
fonction d’audit interne et que votre entreprise n’en a pas, il serait intéressant de savoir
pourquoi.
2. Le pouvoir de négociation des clients : dans quelle mesure les clients influencent-ils les
prix, les produits et services que propose votre entreprise ?
3. Le pouvoir de négociation des fournisseurs : dans quelle mesure les fournisseurs
imposent-ils leurs conditions à votre entreprise ? Les conditions peuvent être le prix, les
conditions de paiement, les délais d'approvisionnement et de livraison, le service après-
vente, la qualité, etc. Un fournisseur incontournable a forcément un fort pouvoir de
négociation, et peut facilement imposer ses conditions.
4. La menace des produits ou services de substitution : vers quels produits et/ou services
les clients de votre entreprise peuvent-ils se tourner ? Quels dispositifs votre entreprise a
mis en place pour garder sa clientèle ?
5. La menace d'entrants potentiels sur le marché : qui sont les nouveaux entrants sur le
marché ? Quelle part du marché peuvent-ils prendre ? Comment votre entreprise et ses
autres concurrents se protègent-ils pour contrer cette menace ?
6. Les pouvoir publics, force importante dans l’industrie plus particulièrement, ou dans le
secteur bancaire et les assurances. Les institutions, autorités, administrations publiques
et l’État établissent les réglementations ou des normes, et peuvent attribuer des
subventions ou faire bénéficier d’avantages fiscaux. Quel est leur influence sur votre
entreprise ?

B- La chaîne de valeur de Porter

Il s’agit d’une analyse interne des fonctions ou activités dans l’entreprise. Grâce à cet
outil, vous allez identifier les fonctions qui créent ou non de la valeur, surtout d’un point de vue
financier. Une activité crée de la valeur lorsque le total de ses coûts associés est inférieur à sa
contribution au chiffre d’affaires de l’entreprise.

11
La chaîne de valeur de Porter est composée :

• Des activités principales, dites “de base” : celles qui contribuent directement à générer
du chiffre d’affaires et à dégager de la marge, à savoir, selon Porter :
o Les activités de logistique entrante pour l’approvisionnement,
o Les activités de fabrication ou de production,
o Les activités de logistique sortante pour la distribution et la commercialisation,
o Le marketing et les ventes,
o Les services ;
• Des activités de soutien : celles qui sont en support des activités principales et forment
l’infrastructure de l’entreprise :
o L’infrastructure de l’entreprise,
o La gestion des ressources humaines,
o La recherche et le développement,
o Les achats.

À partir de la chaîne de valeur de Porter, vous aurez identifié les principaux processus de votre
entreprise ainsi que leurs interactions. Leur modélisation vous permettra d’avoir une vision
interne de l’entreprise.

C- Qu’est ce qu’un processus

Un processus est un ensemble d’opérations réalisées par des humains ou des machines,
permettant de transformer des éléments en entrée, destinés à un autre processus. Un processus
peut également être déclenché par un événement, qui aboutira à un résultat tangible.
Par exemple, le processus d’audit :

• Est déclenché par une demande d’assurance de la maîtrise des opérations de la part de la
direction générale ;
• Aboutit à des propositions d’amélioration sur le périmètre audité, en vue d’atteindre les
objectifs stratégiques de l’entreprise.
Que ce soit avec une analyse de la chaîne de valeur ou des forces de Porter, il est essentiel que
vous gagniez en visibilité sur le périmètre des activités de votre entreprise, pour pouvoir mettre
en œuvre une stratégie d’audit efficace.

III- CONFORMEZ VOUS AUX REGLEMENTATIONS ET AUX STANDARDS

Dans cette section, nous allons nous focaliser sur les aspects de conformité.

En principe, les activités de votre entreprise, dont vous avez une vision globale au moyen d’une
cartographie des processus, répondent :

12
 • Aux lois et aux réglementations à respecter sous peine de sanction ;
• À des standards et à des bonnes pratiques du secteur et/ou du métier, pour démontrer
notamment la bonne gestion de l’entreprise.

1- Les lois et réglementations

En tant que responsable et auditeur, la connaissance des lois et les réglementations

auxquelles votre entreprise est soumise fait partie de votre champ de compétence.

Si vous n’intervenez que dans une fonction de l’entreprise, les systèmes d’information ou
les ressources humaines, par exemple, leur connaissance plus approfondie peut
s’avérer indispensable dans l’exercice de votre métier.
Par exemple, toujours dans le secteur bancaire, certaines réglementations imposent de
protéger les informations relatives aux clients en matière de cartes de crédit, telles que la PCI
DSS, ou à caractère personnel, telles que le RGPD (Règlement général sur la protection des
données). En conséquence, ces points de la réglementation sont à intégrer dans les audits. Les
auditeurs devront déterminer si les processus et la documentation associée mis en place dans
l’entreprise permettent de garantir cette conformité.

2- Les standards et les bonnes pratiques

Les activités de l’entreprise doivent être conformes aux lois et à la réglementation, mais
peuvent également répondre à des standards et à des bonnes pratiques du secteur et/ou du
métier.

Par exemple, la Direction des systèmes d'information (DSI) de l'entreprise s'appuie sur
des référentiels tels que le COBIT, ITIL ou CMMI, afin de définir la gouvernance des SI.

L'entreprise peut également avoir la volonté de s'inscrire dans une démarche qualité, et
s'engager dans une certification "ISO".

Ainsi, la stratégie d’audit devra permettre à l’entreprise d’être conforme à ces référentiels.

Aucun de ces cadres de référence n’est entièrement applicable. Il vous incombe

d’identifier quelles parties de ces référentiels sont adaptées à votre entreprise et répondent à
ses besoins. Il s’agit plutôt de bonnes pratiques à mettre en place pour gérer et améliorer les
processus de l’entreprise.

IV- REPONDEZ AUX ATTENTES DES PARTIES

Nous avons abordé les aspects organisationnels et de conformité, intéressons-nous à

présent aux aspects relationnels.

Le besoin de mettre en place une fonction d’audit interne en entreprise résulte dans la
plupart des cas d’une obligation réglementaire, ou bien de la demande des administrateurs. En
effet, vous l’avez retenu : l’audit permet de réduire une asymétrie d’information.

En tant que manager ou responsable, vous pouvez donc solliciter les parties prenantes
internes et externes (par exemple, les membres du conseil d’administration, la direction
générale, et les régulateurs) afin de recenser leurs attentes sur la fonction d’audit, et les
13
informations dont elles ont besoin pour prendre des décisions. Ces échanges pourront se faire
dans le cadre d’entretiens en face à face et/ou de réunions collectives en mode “brainstorming”.
N’hésitez pas à prendre comme support les modélisations que vous aurez élaborées (les forces et
la chaîne de valeurs de Porter).

À ce titre, collecter le dispositif de gouvernance de l’entreprise, à savoir l’ensemble des

comités et leurs membres, peut vous être utile. En outre, n’oubliez pas de demander le ou
les organigramme(s).
En sollicitant les parties prenantes internes et externes, vous commencez déjà à fédérer
sur les objectifs d’audit. Vous communiquez sur le rôle de la fonction d’audit interne et sur votre
volonté de créer de la valeur ajoutée, en contribuant à l’atteinte des objectifs stratégiques.

En résumé :

• Déterminer une stratégie d’audit est le résultat d’un raisonnement rationnel et

structuré, basé sur plusieurs axes de réflexion :
o Le secteur d'activité et les objectifs de l’entreprise à court, moyen et longs termes,
o Le cadre réglementaire et les référentiels en vigueur, à la fois en entreprise et sur
le marché,
o Les différentes parties prenantes et leurs attentes ;
• En tant que responsable, cette réflexion peut être utile pour préparer et formater votre
discours auprès de vos équipes et des différentes parties prenantes internes et
externes, afin de fédérer autour du rôle de l’audit et de ses missions.

14
 CHAPITRE III- ASSUREZ LA REALISATION DE VOTRE STRATEGIE D’AUDIT

INTRODUCTION

Dans ce chapitre, je vous propose de poursuivre votre réflexion stratégique et de vous

concentrer sur la fonction d’audit.

Grâce à la méthode SWOT, votre vision systémique sera renforcée. Vous allez pouvoir
appréhender la mise en place de votre stratégie d’audit et garantir son succès.

I- ANALYSEZ VOTRE FONCTION D’AUDIT GRACE A LA METHODE SWOT

1- Qu’est-ce que la méthode SWOT

Vous avez probablement entendu parler de cette méthode d’analyse stratégique

des forces versus faiblesses, des opportunités versus menaces.

La méthode SWOT permet d'identifier les facteurs internes et externes. Ces facteurs peuvent
favoriser ou empêcher la mise en œuvre de la stratégie d'audit.

Méthode SWOT
Dans un premier temps, vous allez identifier les facteurs internes : les forces et faiblesses
spécifiques à l'activité d'audit dans l’entreprise. Vous pourrez y inscrire, par exemple, la structure
organisationnelle et le positionnement de votre service, les ressources et les compétences dont
vous disposez.

Dans un second temps, vous allez détecter les opportunités et les menaces liées
à l'environnement externe de l'activité d'audit. Par exemple, les demandes d'assurance et de
conseil des parties prenantes, qui sont plus ou moins nombreuses, les évolutions réglementaires
et des technologies et des outils dans l'entreprise peuvent être des menaces ou des opportunités
pour votre activité.

Une fois votre analyse SWOT établie, vous allez devoir transformer vos faiblesses en forces et vos
menaces en opportunités. Je vous propose dans cette section plusieurs pistes de réflexion,
pouvant représenter des forces ou des faiblesses, des opportunités ou des menaces.

15
 A- LE POSITIONNEMENT DE L’AUDIT INTERNE DANS L’ENTREPRISE

1- Où se situe l’audit dans la structure organisationnelle de l’entreprise

L’audit interne doit être positionné de manière adéquate afin de respecter les principes
d’indépendance et d’objectivité de la fonction. Ce positionnement contribue à la qualité et à
l’efficience des missions d’audit.

Afin de garantir l’indépendance nécessaire à l’exercice efficace de ses responsabilités, le

responsable de l’audit interne doit avoir accès à la direction générale (DG) et aux hautes
instances de décision (conseil d’administration, par exemple).

Ainsi, en pratique, le service d’audit interne est souvent rattaché à la direction générale
dans l’organigramme d’une entreprise, ou à un département d’audit et des risques, rattaché lui-
même à la DG.

Je vous propose ces différents cas de figure pour évaluer si la position de l’audit interne constitue
une force ou une faiblesse, en distinguant deux situations.

Situation 1 : il n’existe pas de fonction d’audit interne dans votre entreprise. Dans le cadre de
votre mission, vous devez la mettre en place :

• Votre service est rattaché à la direction générale : c’est une force. Le positionnement est
favorable pour appliquer les principes d’indépendance et d’objectivité ;
• Votre service est rattaché à une autre direction, par exemple la direction financière ou
des opérations : ce peut être une faiblesse. Votre responsable sera juge et partie, votre
indépendance peut être compromise. En outre, vos collègues de service peuvent ne pas
apprécier de travailler proche d’un auditeur. Votre environnement de travail sera
compliqué.
Pour transformer cette faiblesse en force, demandez à vos responsables de communiquer à vos
collègues en amont des audits, de manière pédagogique, en expliquant les tenants et
aboutissants. La solution idéale serait également que la direction générale soit sponsor de vos
missions, et principale destinatrice des résultats d’audit.

Situation 2 : une fonction d’audit interne existe bien dans votre entreprise. Dans le cadre de
votre mission, vous devez la mettre en place sur votre périmètre fonctionnel, c’est-à-dire dans le
département auquel vous êtes rattaché.

C’est le même cas de figure présenté précédemment.

Je vous invite en complément de la communication et du sponsoring de la DG, à travailler avec la

fonction d’audit interne, afin notamment de ne pas faire des audits en doublon, et d’avoir la
même approche de travail. Vos missions doivent être complémentaires aux missions de l’audit
interne.

16
 2- La gestion des compétences

Quels sont les compétences nécessaires pour la réalisation des audits ?

Les compétences des auditeurs, déjà présents lorsque vous reprenez la responsabilité
d’un service d’audit, ou ceux qui devront être recrutés, sont essentielles pour aider l’entreprise à
atteindre ses objectifs stratégiques.

En tant que manager, vous allez devoir dans un premier temps planifier les ressources
humaines. En fait, vous allez identifier les compétences et les connaissances nécessaires à la
mise en œuvre de la stratégie de l'audit interne.

Par exemple, si votre entreprise a pour objectif stratégique d’établir une confiance
numérique auprès de ses clients, en protégeant leurs données privées et personnelles, contre le
cyber malveillance, vous allez devoir réfléchir à l’opportunité de recruter ou non un profil expert
en sécurité informatique, qui pourra réaliser les audits sur ce domaine.

Pour conclure sur ce point, voici quelques exemples de forces et faiblesses, opportunités et
menaces sur la gestion des compétences :

• Forces : adaptabilité des auditeurs internes face au changement, attitude positive,

compétences diversifiées ;
• Faiblesses : absence de plans de formation des auditeurs internes, opportunités de
carrière limitées en interne ;
• Opportunités : accroître les compétences, les connaissances et les capacités des
auditeurs, notamment grâce à une certification professionnelle ;
• Menaces : augmentation des déficits de compétences due à l'évolution des risques et à
de nouveaux risques.

3- Les outils et autres ressources

Quels sont les ressources et les outils dont dispose l’auditeur ?

Tout comme les compétences, vous allez devoir évaluer l’utilisation des outils et
les ressources financières dont vous disposez pour mettre en place votre stratégie d’audit.

L’utilisation d’outils améliore la productivité et facilite le contrôle qualité.

Si une mission d’audit doit se dérouler dans plusieurs sites, à laquelle participent
plusieurs auditeurs, il sera judicieux d’utiliser des outils d’organisation du travail pour partager
des dossiers et centraliser les preuves et les constats. Le responsable de mission pourra contrôler
facilement la qualité des documents collectés et revoir les rapports sans être sur place.

Autre exemple, si vous êtes amené à réaliser des analyses de données masse, l’utilisation
de logiciels spécialisés (autres qu’Excel, qui est limité) peut faire gagner du temps et accroître
l'efficacité et l'efficience d'un service d’audit interne.

Vous allez gérer un budget, voire l’estimer pour demander l’achat de logiciels ou pour recruter
de nouvelles compétences. Vous allez devoir rentrer dans une négociation auprès de vos
responsables. Le positionnement de votre service, s’il est proche de la direction générale,

17
pourrait jouer en votre faveur. En outre, votre stratégie d’audit constitue une base d’arguments
qui vous aidera dans cette négociation.
Dans le cas où vous n’êtes pas autorisé à recruter, il y a plusieurs options pour l’acquisition de
compétences, en fonction de l’enveloppe financière :

• La sous-traitance partielle : des ressources internes réalisent une partie des activités, et
les ressources externes fournissent les compétences spécialisées ;
• L’externalisation complète : toutes les missions d’audit sont réalisées par des prestataires
externes.
Pour conclure, voici quelques exemples de forces et faiblesses, opportunités et menaces sur les
outils et autres ressources :

• Forces : processus de suivi des audits, formalisé au moyen d’outils collaboratifs ;

• Faiblesses : faible intérêt pour l'efficience opérationnelle par rapport à l'efficacité,
utilisation limitée des extractions de données en l’absence d’outils d’analyse adaptés ;
• Opportunités : collaborer avec d’autres prestataires et/ou d'autres fonctions de
management des risques ;
• Menaces : réduction ou non-validation du budget de la fonction d’audit pour mener ses
missions.

4- La communication avec les parties prenantes

Comment communiquer avec les parties prenantes ?

La communication est primordiale, en particulier pour ne pas véhiculer une mauvaise image de
l’audit et mettre la fonction dans une mauvaise posture.

Vous devez réfléchir à un plan de communication pour informer la direction générale et les
hautes instances du plan d’audit, des ressources nécessaires, de son suivi et de sa mise en
œuvre. La progression des plans d’action en réponse aux constats d’audit par le management
pourra également faire l’objet d’une communication.

À un niveau plus opérationnel, avec les responsables des autres services, la communication se
fait surtout au cours de la mission d’audit. Elle est intégrée à la méthodologie d’audit, que nous
détaillerons plus tard.
Pour conclure sur ce dernier point, voici quelques exemples de forces et faiblesses, opportunités
et menaces sur la communication avec les parties prenantes :

• Forces : crédibilité du responsable de l’audit interne auprès de la direction générale, qui

est un sponsor de la fonction ;
• Faiblesses : compréhension limitée des attentes des parties prenantes, absence de
cohérence dans la communication avec les parties prenantes, accent mis sur les constats
(état d’esprit « je t’ai pris la main dans le sac » et comportement de « policier ») ;
• Opportunités : préciser et confirmer les attentes en évolution des parties prenantes,
former la direction aux problématiques récurrentes/courantes ;
• Menaces : concentration des parties prenantes sur les problématiques financières et/ou
liées à la conformité, négligence des problématiques opérationnelles.

18
 B- MAITRISEZ LES FACTEURS CLES DE SUCCES

En recroisant votre analyse SWOT, vous allez pouvoir définir les facteurs clés de succès de l'audit
interne. Voici l’ultime question à vous poser :

Quels sont les éléments minimums que vous devez mettre en place et/ou dont vous disposez
pour accomplir votre stratégie d’audit, pour jouer votre rôle dans l’entreprise et contribuer à
l’atteinte de ses objectifs stratégiques ?
Je partage avec vous deux facteurs de succès sur la base de mon expérience passée d’auditrice et
de chef de mission d'audit. Vous noterez qu’ils ont été abordés plus haut :

• Une communication claire et régulière, adaptée à tous les niveaux hiérarchiques. Les
auditeurs veulent toujours comprendre le “pourquoi” : vos interlocuteurs, que ce soit la
direction générale ou les opérationnels, aussi.
Pour ce faire, un tableau de bord ou un reporting, avec des indicateurs mis à jour tous les mois,
permettra de communiquer des informations pertinentes et adaptées auprès des principales
parties prenantes. Ce support comprend entre autres un recensement des risques, les constats
d'audit et les mesures correctives à date ;

• Des auditeurs disposent de compétences techniques mais aussi de savoir-faire et

de savoir-être. Lorsque vous constituez une équipe d’audit, qu’elle se compose de
ressources internes ou externes, vous allez identifier les personnes clés pour la réalisation
des missions. Il peut être opportun d’affecter les personnes avec un certain degré
d’intelligence émotionnelle dans des contextes difficiles.
Au moyen d’une évaluation annuelle des compétences de vos auditeurs et de l’élaboration
d’un plan de développement et de formation continue, vous aurez dans vos équipes des profils
d’excellence et fiables.

En résumé :

• Les quatre composantes d’une analyse SWOT sont définies ci-après

SWOT : Forces, Faiblesses, Opportunités, Menaces

• En vous aidant de cette matrice, compléter les quatre composantes pour in fine identifier
les facteurs clés de succès de la fonction d’audit.

19
 CHAPITRE 4 : PARTAGEZ VOTRE STRATEGIE SOUS FORME D’UNE CHARTE D’AUDIT

INTRODUCTION

Vous avez beaucoup réfléchi, vous avez pris du recul par rapport à l’organisation de votre
entreprise, à ses objectifs, à son environnement sectoriel, et aux attentes de tous vos
interlocuteurs potentiels internes ou externes.

Vous savez où vous voulez mener votre entreprise au moyen de l’audit interne. Vous allez
ainsi contribuer à l’effort collectif pour l’amener à accomplir ses objectifs à court, moyen et long
terme.

Je vous propose à présent de passer à l’étape de formalisation de votre stratégie d’audit,

au moyen des outils (forces de Porter, chaîne de valeur, méthode SWOT) que nous avons
abordés.

I- CONSTRUISEZ LE SOCLE DOCUMENTAIRE DE L’AUDIT

1- Qu’est-ce que la charte d’audit

La charte d'audit doit reprendre les différents éléments que nous avons traités dans les chapitres
précédents :

• La définition de l'audit interne ; vous pouvez citer l’IIA et développer comme nous
l’avons fait cette définition officielle ;
• Le positionnement dans l'entreprise, sous la forme d’un organigramme, en précisant à
quel directeur/responsable l’audit est rattaché ;
• Les principes d'actions, que nous avons vus dans la première partie ;
• Les rôles et les missions de l'audit, qui peuvent être une synthèse des réglementations,
des référentiels et des bonnes pratiques, ainsi que les attentes des parties prenantes.
La charte d’audit peut également être appelée une politique d'audit. Ce sont des synonymes.
Cela dépendra du système de management de la qualité, ou de la pyramide documentaire, mis
en place dans votre entreprise. En son absence, vous êtes libre de l’appeler charte ou politique
d’audit.
Ce document précise également :

• Le périmètre d'intervention, défini notamment dans le cadre du plan d'audit pluriannuel,

que nous étudierons dans la prochaine partie du cours ;
• Ainsi que le déroulement des audits, présentant l'approche d'audit, que nous verrons
dans les deux dernières parties du cours.

Dans le cadre de référence (CRIPP) de l’IIA, les normes professionnelles permettent de définir un
cadre pour la réalisation des activités d’audit interne à valeur ajoutée et pour les améliorer. La
première norme “1000 – Mission, pouvoirs et responsabilités” impose l’élaboration d’une charte
d’audit interne.
“La mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement
définis dans une charte d’audit interne, en cohérence avec la Mission de l’audit interne et les
20
dispositions obligatoires du Cadre de référence international des pratiques professionnelles
(CRIPP) de l’audit interne (les Principes fondamentaux pour la pratique professionnelle de l’audit
interne, le Code de déontologie, les Normes et la définition de l’audit interne). Le responsable de
l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à
l’approbation de la direction générale et du Conseil.”

2- Partagez votre charte d’audit

La charte d’audit doit être validée par la direction générale et les plus hautes instances de
l'organisation. Il y a aura probablement des allers-retours avant la validation finale. É tant donné
que vous aurez rencontré les membres de ces instances au cours de votre réflexion stratégique,
et que vous aurez pris en compte leurs attentes, ces derniers ne seront pas surpris du contenu.

En outre, vous pouvez considérer que cette validation est un soutien formel et officiel de la
direction générale. Ce sponsor vous permettra d’asseoir la légitimité de l’audit interne dans
l’entreprise.

Comme je vous l’avais présenté, la communication est un facteur clé de succès, vous devez
donc partager cette charte d’audit. Pour cela, vous pouvez la rendre plus intelligible en utilisant
des supports plus adaptés (PowerPoint, par exemple) et en les présentant en réunion, par
exemple. Je vous conseille d’éviter de seulement transmettre le document par mail aux
directeurs/responsables dont les services pourront potentiellement être audités.

Présenter le service d’audit interne sur l’intranet de votre entreprise pourrait être utile, en
joignant la charte d’audit. Tous les collaborateurs de l’entreprise auront accès au document.
Dans cette présentation, je vous recommande d’insister sur votre vision de l’audit et sur les
principes qui pourront rassurer les futures équipes auditées. Décrivez également l’approche
d’audit pour montrer que les méthodes de travail des auditeurs sont organisées et structurées,
conformes à des normes professionnelles. Vous ferez taire les mauvaises langues qui diront que
l’audit est une fonction opaque, réalisée pour “punir les mauvais élèves”.

EN RESUME
Dans le cadre de votre mission en entreprise, vous devez mettre en place ou reprenez un service
d’audit interne, qui est rattaché à la direction générale ou bien à une autre direction. Avant de
rentrer dans le vif du sujet et identifier tous les audits que vous pourrez mener, vous allez :

• Prendre du recul et réfléchir à une stratégie d’audit ;

• Développer une vision systémique ;
• Prendre en compte les composants de l’environnement externe de l’entreprise et son
environnement interne ;
• Définir les valeurs de la fonction d’audit (intégrité, objectivité, confidentialité et
compétences), afin d’améliorer les processus et aider l’entreprise à atteindre ses objectifs
stratégiques.
Vous l’aurez compris, cette analyse stratégique est par conséquent indispensable pour :

• Mettre en œuvre d’une fonction d’audit créatrice de valeur ;

• Mener des audits pertinents et efficients ;
• Et auditer avec professionnalisme et éthique.

21
22
Définissez votre univers d'audit

Dans la première partie du cours, vous avez appréhendé la stratégie globale et les objectifs de
votre entreprise. Vous savez maintenant :

• Quel est son fonctionnement ;

• Comment les processus et les activités sont structurés pour créer de la valeur ajoutée et
générer de la marge.

Vous avez également défini votre vision de l’audit au moyen d’une charte ou d’une politique
d’audit. Vous êtes en phase avec vos responsables surs :

• Votre rôle dans l’entreprise ;

• Les objectifs de la fonction d’audit ;
• Et les principes d’actions pour mener des audits pertinents et efficients.

Pour compléter la charte d’audit, je vous propose dans les prochains chapitres de définir le
périmètre d'intervention de l’audit, au moyen, bien évidemment, d’une méthode structurée.

Vous allez apprendre à construire un plan d'audit, qui listera tous les audits à réaliser sur des
périodes à court terme et moyen/long terme.

Un plan d’audit pluriannuel est établi sur 3 à 5 ans ; tandis qu’un plan d’audit annuel est
composé des audits à mener sur l’année, de janvier à décembre.

Un univers d’audit à explorer...

Qu’est-ce que l’univers d’audit ?

L’univers se définit comme un ensemble de galaxies et de planètes, régies par un certain nombre
de lois. L’univers d’audit s’apparente à cette notion d'astronomie. En tant qu’auditeur, vous allez
explorer ces différentes galaxies et planètes, au sens figuré, bien sûr !

L’univers d’audit est donc votre champ d’action dans l’entreprise. Cependant, tel un scientifique,
nous n’aurez pas le temps, ni les ressources financières, pour tout découvrir. Vous voulez vérifier
certaines lois fondamentales ou certains concepts en priorité, vous allez donc vous concentrer
sur une galaxie ou une planète en particulier.

Pour définir votre univers d’audit, la modélisation des principaux processus dans l’entreprise à
partir de la chaîne de valeur que nous avons vue, vous sera utile.

C’est une base de travail à approfondir pour identifier tous les composants organisationnels et
techniques de l’entreprise. Cela vous amènerait à identifier toutes les galaxies et les planètes, et
à cartographier l’univers.

Équipez-vous de cartographies des processus et des SI

23
L'établissement d'un plan d'audit doit prendre en compte :

• les aspects organisationnels : secteurs d'activité, modèle financier, complexité et

interdépendance des processus, localisation des actifs matériels et immatériels, les
programmes et projets de transformation ;
• les aspects techniques, constitués par les systèmes d'information (SI) : l'architecture
composée des couches applicatives, middlewares et infrastructures, la gestion des
applications et des opérations, ainsi que les flux entre les applications de l'entreprise.

Pour identifier ces aspects organisationnels et techniques et en déduire les thématiques d’audit,
je vous propose de vous appuyer sur les cartographies suivantes :

• la cartographie des processus ;

• la cartographie des systèmes d’information (SI).

Une cartographie est une représentation graphique précise et efficace.

Vous pourrez vous lancer dans ces modélisations, qui vous prendront du temps car vous devrez
rencontrer tous les interlocuteurs clés de tous les départements de l’entreprise ; ou bien vous
tourner vers les services qui ont probablement déjà réalisé ces cartographies.

La cartographie des processus

Afin d’avoir une vision des activités et de leur interaction dans votre entreprise, la cartographie
des processus vous permettra de mettre à plat les processus, et d’analyser précisément le
fonctionnement de l'entreprise.

Je vous rappelle ci-dessous la définition d’un processus :

Un processus est un ensemble d’opérations réalisées par des humains ou des machines,
permettant de transformer des éléments en entrée, destinés à un autre processus. Un processus
peut également être déclenché par un événement, qui aboutira à un résultat tangible.

Dans le cas où vous souhaitez modéliser vous-même la cartographie des processus de votre
entreprise, et si vous avez modélisé la chaîne de valeur de Porter, dans le cadre de votre
réflexion sur la stratégie d’audit, vous avez déjà une base de travail, puisque vous avez identifié
les principaux processus de votre entreprise.

L’organisation internationale de normalisation ISO “établit des documents qui définissent des
exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser
systématiquement pour assurer l'aptitude à l'emploi des matériaux, produits, processus et
services.”

En matière de processus, la norme ISO 9001 est une référence à l’échelle internationale. Cette
norme fournit de bonnes pratiques de pilotage d’une entreprise, orientées clients pour satisfaire
leurs besoins et leurs attentes, et pour que l’entreprise puisse s’améliorer. La norme ISO 9001
vise à mettre en place un système de management de la qualité, basé sur l’identification des
processus, leur séquencement et leurs interactions.

24
La norme ISO 9001 ne vous donnera aucune indication pour représenter le résultat de
l’identification des processus. Mais si votre entreprise souhaite être conforme aux exigences de
la norme ISO 9001, et en être certifiée pour améliorer sa compétitivité, il existe certainement
une cartographie des processus élaborée par une personne en charge du système de
management de qualité.

Vous allez probablement être confronté au niveau de granularité de cette analyse. Une
cartographie trop générale aura peu d'intérêt opérationnel, tandis qu’une cartographie trop
détaillée sera inexploitable.

Dans ce cas, je vous invite à vous questionner sur les destinataires de cette cartographie et à
vous mettre à leur place. En outre, vous pouvez également élaborer une cartographie sous
formes de vues, sur laquelle il sera possible de zoomer pour avoir plus de détails.

L’approche descendante sera pertinente, en identifiant d’abord les macroprocessus, puis les
processus qui les composent, et les sous-processus. Je vous propose un exemple de cartographie
dans l’industrie ci-dessous :

Exemple de cartographie des processus

Les processus sont regroupés en trois macroprocessus :

• pilotage, qui permettent de définir la stratégie, les objectifs de l’organisation, tout en

assurant son amélioration continue ;
• opérationnels, qui contribuent directement à la réalisation d’un produit ou service, et
peuvent être assimilés aux activités de base de la chaîne de valeur. C’est le cœur de
métier de l’entreprise ;
• support, qui participent au bon fonctionnement des processus opérationnels, en leur
fournissant les ressources matérielles et immatérielles.

Les processus opérationnels ont été décomposés en sous-processus, considérés comme trop
vastes pour être analysés.

La cartographie des SI
25
Les entreprises se dotent de nombreux outils qui s’intègrent dans les processus de pilotage
(outils d’intelligence économique, de veille), opérationnels (outils de production, ou de gestion
des clients), ou de support (outils de facturation, de paie). Ces outils forment le système
d’information (SI) et sont connectés à l’intérieur de l’organisation ou à l’extérieur.

Leur représentation vous sera utile pour avoir cette vision interne de l’entreprise, plus
technique.

Les objectifs d’une cartographie des SI sont de :

• dresser un inventaire du système d’information, c’est-à-dire la liste des composants

matériels, logiciels, et réseaux de connexion du SI ;
• présenter le système d’information sous forme de vues, avec les différents liens entre les
composants.

Comme pour la cartographie des processus, il n’existe pas de véritable méthode pour
cartographier les SI. La démarche se fait par étapes, de la vue la plus globale à la vue plus
détaillée. En outre, elle répond à des enjeux et des attentes des parties prenantes spécifiques.

Le DSI de votre entreprise peut vous fournir une cartographie des SI. En revanche, celle-ci ne
répondra pas forcément à votre besoin en tant que responsable de l’audit interne ou auditeur.

Vous trouverez ci-dessous une cartographie simplifiée des applications d’une filiale d’un groupe
de distribution. L’objectif de cette cartographie est d’identifier les outils informatiques
nécessaires au bon fonctionnement des processus, ainsi que leurs interactions via les flux.

26
Exemple de cartographie d'une dimension du SI

Chaque application de cette cartographie pourra faire l’objet d’un audit. Les flux également
peuvent être audités, afin de s’assurer de la cohérence des informations contenues dans chaque
outil. De même, dans le cadre d’un audit d’un domaine (ou fonction), les applications utilisées
pourront également être auditées. Par exemple :

• dans le cadre de l’audit de la fonction des ventes, sur le périmètre de la filiale, les
applications suivantes seront revues : éditeurs A, B, C, X et Y ;
• dans le cadre de l’audit de la fonction comptable sur le périmètre de la filiale : éditeur X
uniquement.

Ces cartographies vous permettent d'identifier toutes les thématiques organisationnelles et SI

spécifiques à l'entreprise, pouvant faire l'objet d'un audit. Il s’agit de vos différentes galaxies et
planètes dans l’univers d’audit à explorer.

Nous adoptons une approche en entonnoir, qui consiste à identifier toutes les thématiques
organisationnelles et SI pouvant être auditées. Vous serez cependant confronté à des contraintes
de coûts et de délais.

Vous allez donc devoir prioriser les audits avant d’avoir un plan d’audit définitif, qu’il soit sur 3
à 5 ans ou pour l’année. Cette priorisation s’effectue au moyen d’une analyse de risques que
nous verrons dans le chapitre 3 de cette partie.
27
Identifiez également les projets à auditer

En complément des aspects organisationnels et techniques, l’univers d’audit comprend les

projets dans l’entreprise, étant donné leurs éventuels enjeux stratégiques.

Vous pouvez donc être amené à auditer des projets à la demande de la direction générale, ou
d’autres parties prenantes internes ou externes.

Par exemple, dans le cadre d’un projet de changement d’outil comptable et financier, la direction
générale pourra demander un audit du projet afin de s’assurer que les données produites par
l’outil sont fiables et de qualité, en vue de la certification des comptes par les CAC.

L’audit permettra d’évaluer la manière dont les risques sont maîtrisés pour atteindre les objectifs
du projet, compte tenu des besoins, des coûts et des délais. Vous allez également vous assurer
que la gestion de projet est conforme aux bonnes pratiques en la matière. À ce titre, vous vous
appuierez sur des standards et des cadres de référence, que nous détaillerons dans le prochain
chapitre. Par ailleurs, cette liste de projets devra être mise à jour annuellement dans le cadre
d’une démarche d’amélioration continue, sujet traité également dans un autre chapitre. À
suivre...

En résumé :

• l’univers d’audit est le champ d’action de la fonction d’audit dans l’entreprise ;

• il est composé de thématiques organisationnelles et techniques pouvant faire l’objet
d’un audit ;.
• ces thématiques sont identifiées à l’aide de cartographies des processus et des systèmes
d’information ;
• les projets en cours dans l’entreprise sont également compris dans l’univers d’audit étant
donné leurs enjeux stratégiques.

CHAP2 :

Déterminez le cadre législatif et normatif des audits

Dans le cadre de votre réflexion sur votre stratégie d'audit, vous avez déjà réfléchi aux bonnes
pratiques du secteur. Voici un petit rappel :

Les activités de l’entreprise doivent être conformes aux lois et à la réglementation, mais peuvent
également répondre à des standards et à des bonnes pratiques du secteur et/ou du métier.

Dans votre univers d’audit, vous avez identifié toutes les thématiques organisationnelles et SI
spécifiques à votre entreprise, qui peuvent faire l’objet d’un audit. Comme nous l’avions défini,
l’univers est composé de galaxies et de planètes, régies par un certain nombre de lois. Dans le
précédent chapitre, nous nous sommes concentrés sur les galaxies et planètes à explorer.À
présent, je vous propose d’aborder ces lois.

28
Autrement dit, la vision globale et l'approche systémique de l'entreprise ne suffisent pas. Pour
être exhaustive, la liste des thématiques d'audit doit être complétée par une analyse de cadres
de référence, selon le secteur d'activité et les domaines fonctionnels.

Qu’est-ce un référentiel ?

Un cadre de référence, qu’on appelle aussi référentiel ou standard, est un ensemble de règles
implicites ou explicites, qu’il convient d’appliquer pour être conforme à ce cadre.

Les enjeux de la mise en œuvre d’un référentiel sont la recherche d’une meilleure performance
des processus et opérations, et d’une meilleure maîtrise des risques. Il s’agit également d’un
gage de qualité, qui démontre une bonne gestion des activités, puisque les référentiels sont
reconnus par des professionnels.

Par exemple, la Direction des systèmes d'information (DSI) de l'entreprise s'appuie sur des
référentiels tels que le COBIT, ITIL ou CMMI, afin de définir la gouvernance des SI. L'entreprise
peut également avoir la volonté de s'inscrire dans une démarche qualité et s'engager dans une
certification "ISO".

Contrairement à la réglementation et aux lois, l’entreprise n’a aucune obligation de les mettre en
œuvre.

Aucun de ces cadres de référence n’est entièrement applicable. Il vous incombe d’identifier
quelles parties de ces référentiels sont adaptées à votre entreprise et répondent à ses besoins. Il
s’agit plutôt de bonnes pratiques à mettre en place pour gérer et améliorer les processus de
l’entreprise.

Dans ce chapitre, je vous propose une démarche d’identification des référentiels que vous
pourrez intégrer dans votre plan d’audit. Nous verrons qu’il existe des référentiels externes,
correspondant aux bonnes pratiques du secteur et/ou du métier, et des référentiels internes.

Identifiez les référentiels externes pertinents

Que ce soit dans le cadre de la réflexion d’une stratégie d’audit, de l’élaboration d’un plan
d’audit, ou lors d’une mission d’audit, vous allez sans cesse vous interroger sur les bonnes
pratiques à appliquer.

L’audit permet de faire un diagnostic de l’existant, afin d’identifier de points forts et des points
faibles d’une organisation par rapport à une référence. C’est bien cette référence que vous devez
identifier.

Les référentiels externes sont identifiés en fonction :

• du secteur d'activité ; par exemple, si votre entreprise se trouve dans le secteur bancaire,
elle est soumise au cadre de référence de l'AMF ;
• du domaine fonctionnel ; par exemple, si vous travaillez dans une administration
publique, il existe des bonnes pratiques de l'achat public ;

29
 • de l’environnement des SI ; par exemple, si votre entreprise dispose d’une direction des
systèmes d’information, celle-ci applique forcément des bonnes pratiques issues de
cadres de référence reconnus, présentés ci-dessous.

Voici des exemples de référentiels reconnus dans les SI :

• pour la gouvernance des SI : COBIT (Control Objectives for Information and related
Technology) ;
• pour la gestion des SI : ITIL (Information Technology Infrastructure Library) ;
• pour le développement d’un SI : CMMI “(Capability Maturity Model Integration) ;
• pour la sécurité des systèmes d'information : ISO 27001.

Pour identifier les référentiels du domaine fonctionnel, vous pouvez vous appuyer entre autres
sur la cartographie des processus et sur les entretiens avec les responsables de chaque domaine
fonctionnel, afin de prendre connaissance du fonctionnement de leurs processus..

Pour chaque processus, vous listerez les cadres de référence correspondants, applicables bien
évidemment au secteur d’activité. Vous pouvez combiner cette analyse avec les référentiels
internes et la réglementation que nous allons voir dans les sections suivantes.

Partez à la recherche des référentiels internes

Dans votre entreprise, une documentation des processus, sous la forme de politiques ou de
procédures, doit exister, avec un degré de formalisation plus ou moins avancé.

Une charte ou une politique, ou encore une directive, énonce des principes fondamentaux,
alignés avec les objectifs stratégiques de l’entreprise. Elle fournit un cadre, composé de règles
applicables sur un périmètre défini. Ces documents doivent émaner de la direction générale,
comme pour la charte d’audit, qui doit être validée par celle-ci.

Ces règles ont la plupart du temps été conçues au moyen de référentiels externes et à partir des
lois et réglementations en vigueur.

Par exemple, en matière de gestion des SI, les politiques, comme la CNIL (Commission nationale
de l'informatique et des libertés), fournissent un certain nombre de principes liés à la propriété
intellectuelle, à la protection des données, au respect de la vie privée, à la collecte
d'informations à caractère personnel, afin de garantir la conformité aux lois et réglementations.

Une procédure va plus en profondeur et explique la manière de se conformer aux principes

fondamentaux. Une politique est souvent déclinée en procédures.

Comme je vous l’avais mentionné, cela dépendra du système de management de la qualité, ou

de la pyramide documentaire, mis en place dans votre entreprise.

En matière de SI, les procédures donnent des consignes à appliquer dans le cadre du
déroulement d’un processus ou d’un sous-processus (procédure de gestion des comptes
utilisateurs, procédure de configuration, de sauvegarde, etc.).

30
Si votre entreprise est une filiale d’un groupe, elle dispose certainement de politiques ou de
procédures émanant du groupe. Celui-ci a tout intérêt à diffuser des principes et des orientations
à destination de ses filiales, afin de s’assurer de l'homogénéité des pratiques.

En collectant et en consultant cette documentation existante dans votre entreprise, vous allez
enrichir l’univers d’audit. Vous allez également confirmer ou infirmer des thématiques qui ne
seraient pas pertinentes pour être auditées.

N’oubliez pas le cadre législatif

Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez évalué l’influence des pouvoirs
publics sur votre entreprise. Si vous avez estimé que cette influence est forte, je vous invite à
vous rapprocher du service juridique afin d’avoir une vision précise des lois et réglementations
auxquelles votre entreprise est soumise.

On parle de “compliance” (conformité) dans les secteurs d’activité soumis à une forte
réglementation. La fonction “compliance” s’assure du respect des dispositions législatives et
réglementaires spécifiques au secteur, mais également du respect des normes professionnelles
et règles déontologiques.

Les audits ayant pour objectif de vérifier la conformité aux lois sont souvent réalisés par la
fonction “compliance”, experte sur ces sujets. Néanmoins, la fonction d’audit interne peut
intégrer ces aspects au cours de la réalisation de ses missions.

Par exemple, dans le cadre d’une mission d’audit de sécurité des données personnelles, les
référentiels sont :

• le référentiel ISO 27001 ;

• toutes les politiques et procédures sur la sécurité des systèmes d’information, internes à
votre entreprise ou issues du groupe ;
• le règlement général sur la protection des données RGPD (ou “General Data Protection
Regulation”, GDPR) applicable à compter du 25 mai 2018 ;
• et tout autre cadre de référence et bonnes pratiques, élaborés par des autorités et/ou
organisations professionnelles, qui vous semblent pertinents et applicables dans votre
entreprise, compte tenu de ses objectifs stratégiques. Sur la thématique de sécurité des
données personnelles, il s’agit de l’ANSI (Agence nationale de la sécurité des systèmes
d'information) et de la CNIL (Commission nationale de l'informatique et des libertés).

À partir de cet exemple, vous avez remarqué qu’il est possible de réaliser des audits spécifiques,
à intégrer dans l’univers d’audit et dans votre plan d’audit pluriannuel :

• un audit ISO 27001, indispensable si l’objectif de votre entreprise est d’en être certifiée ;
• un audit RGPD ;
• ou un audit de sécurité des SI sur un périmètre défini d’applications.

Vous l’aurez remarqué, l’univers d’audit peut être vaste. Si le temps et les ressources étaient
illimitées, tous les processus et les SI de l'entreprise devraient faire l'objet d'un audit, qui
permettrait également de vérifier leur conformité avec les bonnes pratiques du secteur.

31
Cependant, ce n'est évidemment pas le cas. Vous devrez prioriser les audits au moyen d’une
analyse de risques, qui sera expliquée dans le prochain chapitre.

En résumé

L’univers d’audit est composé :

• des thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;

• des projets en cours dans l’entreprise ;
• des référentiels externes, regroupant les bonnes pratiques du secteur et/ou du métier ;
• des référentiels internes, qui sont les politiques et les procédures mis en œuvre dans
l’entreprise pour garantir la bonne réalisation des activités ;
• des réglementations et lois auxquels nul ne peut déroger.

Analysez les risques pour prioriser les audits

Vous avez défini l’univers d’audit ; l’étape suivante dans l'élaboration d'un plan d’audit
consiste en une évaluation des risques des thématiques identifiées.

Dans ce chapitre, j’aborderai les concepts généraux sur l'évaluation des risques, ce qui vous
aidera à construire un plan d'audit pragmatique et efficace. Dans le chapitre qui suit, je vous
présenterai un cas d’entreprise, afin de mettre la théorie en pratique et d’illustrer la démarche
d’évaluation des risques.

Avant d’attaquer ces travaux, vous devez absolument avoir une vision globale et systémique de
votre entreprise. Chose faite, car vous avez construit cette vision grâce à votre réflexion sur la
stratégie d’audit et sur l’univers d’audit !

Découvrez l’approche d’analyse des risques

Qu’est-ce qu’un risque ?

L’IIA donne une définition éclairante : le risque est la « possibilité que se produise un
événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes
de conséquences et de probabilité. »

En d’autre termes, le risque est la menace qu'un événement, une action ou une inaction affecte
:

• la capacité de l'entreprise à atteindre ses objectifs ;

• ses principaux actifs (actifs corporels, incorporels, financiers, humains….).

Si votre entreprise a décidé de mettre en place une fonction d’audit interne, elle doit forcément
se doter d’un management des risques, à savoir un processus qui permet de :

32
 • faire un inventaire les événements pouvant se produire et qui empêcheraient l’atteinte
des objectifs de l’entreprise ;
• évaluer les niveaux du risque, en fonction des impacts financiers et de la probabilité de
survenance ;
• identifier les activités nécessaires pour maintenir ces risques à un niveau acceptable. On
parlera de contrôle ou de dispositifs de maîtrise des risques.

Rapprochez-vous de la fonction en charge de la gestion des risques, afin d’obtenir la cartographie

associée. Dans le cas contraire, vous devrez mettre en œuvre une démarche de gestion des
risques. Pour en savoir davantage, je vous invite à suivre le cours sur l'analyse de risques (sortie
prévue en septembre 2019).

Cette étape est fondamentale dans cette phase de planification. Elle respecte la norme
professionnelle 2010 du CRIPP “planification” :

“Le responsable de l'audit interne doit établir un plan d’audit fondé sur une approche par les
risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.”

Ne faites pas l’impasse sur l’analyse des risques car elle vous semble compliquée ou fastidieuse.

Revenons à l’objet de ce chapitre qui est de construire un plan d’audit. Dans ce contexte, vous
avez le choix entre :

• vous appuyer sur l’analyse des risques existante ;

• procéder à une autre identification et une autre évaluation des risques plus globale, afin
de prioriser les audits à réaliser dans le cadre de votre plan d’audit.

C’est pour cette raison que je vous propose de partir sur le second choix : procéder à une
évaluation des risques plus macro, une méthode plus simple à appliquer. L’objectif est
d’identifier et d’évaluer entre cinq et dix grands risques aux maximum. Si vous décidez de vous
appuyer sur une cartographie existante, vous allez devoir regrouper tous les risques dans des
catégories, et revoir leur évaluation.

Pour élaborer un plan d’audit et prioriser les composants de l’univers d’audit, la démarche est la
suivante :

1. Identifier et prendre en compte les objectifs de l’entreprise.

2. Identifier les grands risques par fonction de l’entreprise : informatiques, opérationnels,
juridiques, marketing, financiers, ressources humaines (RH), sur la base de la cartographie
des processus ou de l’organigramme de votre entreprise.
3. Pour chaque composant de votre univers d’audit, évaluer chacun des risques par rapport
aux objectifs de l’entreprise.

Nous allons revenir plus en détail sur chaque étape dans les sections ci-dessous.

Repartez de vos précédentes réflexions

Avant d’identifier les grands risques, vous devez avoir une connaissance plus poussée de votre
entreprise, et plus précisément :
33
 • son organisation, ses processus et leur fonctionnement ;
• les objectifs de l’entreprise.

L'organisation de l'entreprise, ses processus et leur fonctionnement

Vous avez en votre possession une cartographie des processus et des SI, ainsi que
l’organigramme.

Les objectifs de l’entreprise

Vous avez déjà réfléchi sur les objectifs stratégiques dans le cadre de l’élaboration de votre
stratégie d’audit.

Appuyez-vous sur des documents internes et officiels, comme le plan stratégique et le schéma
directeur des SI.

Les objectifs stratégiques de l’entreprise sont vastes, par exemple devenir leader sur le marché.
Certains sont beaucoup plus tactiques et opérationnels, comme moderniser le SI en remplaçant
les applications par un progiciel de gestion intégré (ou ERP).

L’objectif stratégique “devenir leader sur le marché” pourra être décliné en plusieurs objectifs
plus opérationnels, tels que “se développer à l’international”, “renforcer sa présence locale”,
“proposer des produits et services innovants”, etc.

Associez les objectifs à l’univers d’audit

Votre univers d’audit se compose :

• des thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;

• des projets en cours dans l’entreprise ;
• des référentiels externes, regroupant les bonnes pratiques du secteur et/ou du métier ;
• des référentiels internes, qui sont les politiques et les procédures mises en oeuvre dans
l’entreprise pour garantir la bonne réalisation des activités ;
• des réglementations et lois.

Pour chacun des composants de votre univers d’audit, vous allez vous interroger sur l’objectif à
atteindre. Cette réflexion permet de s’assurer que les audits à mener sont bien en lien avec les
objectifs de l’entreprise, et permettront de l’aider à les atteindre.

Par exemple, un projet informatique que vous avez identifié aura probablement comme objectif
de moderniser le SI en remplaçant les applications par un progiciel de gestion intégré (ou ERP).

Identifiez les risques et évaluez-les

Dans ce chapitre, je vous propose une méthode générale d’analyse de risques adaptée au
contexte d’élaboration d’un plan d’audit. Si vous souhaitez approfondir ce sujet, je vous invite à
suivre le cours Gérez et analysez les risques SI (sortie septembre 2019).

34
Dans cette démarche générale, je vous propose de vous concentrer sur les risques par fonction
de l’entreprise.

Vous pouvez appliquer d’autres méthodes d’analyse des risques. Par exemple, si votre périmètre
ne concerne que les SI de votre entreprise, la méthode EBIOS (Expression des besoins et
identification des objectifs de sécurité) sera plus pertinente.

L’identification des risques

À partir de la cartographie des processus et/ou de l’organigramme, pour chaque fonction de

l’entreprise, vous allez identifier les événements qui pourraient se produire ou qui se sont déjà
produits, et qui empêcherait l’atteinte des objectifs de l’entreprise.

Par exemple, selon l’organisation de votre entreprise, vous aurez plus ou moins six “grands”
risques : systèmes d’information, opérationnels, juridiques, marketing, financiers, ressources
humaines.

Pour la fonction des SI, vous allez identifier les principaux événements qui pourraient se produire
ou qui se sont déjà produits, qui entraveraient les activités, tels qu’une cyberattaque ou le
déploiement défectueux, volontaire ou involontaire, d’un changement dans le SI.

Comment identifier un risque ?

Ces travaux d’analyse de risque seront réalisés par vous-même et/ou avec d’autres personnes
ayant une très bonne connaissance de l’entreprise.

En fonction du temps que vous souhaitez consacrer à ces travaux, voici les moyens
d’identification des risques :

• L’analyse dysfonctionnelle des processus : si le pire doit arriver… ;

• L’analyse du retour d’expérience formel, à partir des incidents survenus répertoriés dans
une base, des rapports d’audit interne et/ou des rapports des commissaires aux comptes
;
• L’analyse du retour d’expérience informel, en organisant des entretiens d’identification
des risques avec le management, les collaborateurs, les clients et fournisseurs, des
experts, etc. ;
• Les séances de créativité (brainstorming) ;
• Et l’inspection sur le terrain, à la suite des entretiens et des analyses de retour
d’expérience.

L’évaluation des risques

Pour prioriser les composants de votre univers d’audit et les missions d’audit à réaliser, vous
allez évaluer la possibilité qu’un événement survienne au sein de la fonction et qui empêcherait
l’atteinte des objectifs de l’entreprise.

Cette évaluation est basée sur deux paramètres :

• La fréquence ou la probabilité d’occurrence ;

35
 • La gravité, ou l’impact sur l’entreprise si l’événement se produit.

La fréquence ou probabilité d’occurrence

La fréquence doit se mesurer sur plusieurs niveaux, de faible à élever. Au minimum, l’échelle
comporte trois niveaux, chaque niveau ayant une cotation.

Je vous présente ci-dessous un exemple d’échelle simplifiée relative à la probabilité

d’occurrence.

Niveau Description Cotation

Faible La probabilité d’apparition est peu probable sur 3 ans. 1
Moyen La probabilité d’apparition est plausible sur 3 ans. 2
Élevé La probabilité d’apparition est élevée et très probable sur 3 ans. 3
Les impacts sur l’entreprise

Dans cette approche, nous n'allons-nous intéresser qu’aux impacts financiers, c’est-à-dire les
dépenses que l’entreprise pourraient engager ou la perte de chiffre d’affaires potentielle si le
risque se matérialise.

L’échelle simplifiée est la suivante :

Niveau Description Cotation

Le potentiel d’impact sur l’organisation est limité et faible, ce qui
Limité engendrerait des dépenses raisonnables et/ou une faible baisse du chiffre 1
d’affaires.
Le potentiel d’impact est modéré pour l’ensemble de l’organisation, ce qui
Modéré engendrerait des dépenses importantes et/ou une baisse du chiffre 2
d’affaires.
Le potentiel d’impact est élevé pour l’ensemble de l’organisation, ce qui
Élevé 3
pourrait mettre en péril la santé financière de l’entreprise.

Vous trouverez ci-dessous un autre exemple de grille d’évaluation plus développée à quatre
niveaux.

36
 Grille
d'évaluation à quatre niveaux
La criticité du risque

L’évaluation d’un risque consiste à calculer sa criticité. La formule est la suivante :

Criticité = Fréquence x Gravité

Pour chaque composant de l’univers d’audit et afin de savoir lequel doit être audité en priorité,
vous allez :

• Évaluer la probabilité d’occurrence et l’impact de chaque risque identifié. Plus vous

aurez de risques, plus l’évaluation sera consommatrice de temps et pourra être
compliquée. C’est pourquoi je vous recommande fortement, dans le cadre de la
planification des audits, d’identifier de cinq à dix risques ;
• Multiplier la cotation attribuée à la probabilité d'occurrence par celle de l’impact, pour
obtenir la criticité du risque ;
• Additionner les criticités de tous les risques, afin de calculer le score de votre composant
dans l’univers d’audit.

Pour prioriser les composants de votre univers d’audit et construire votre plan d’audit, je vous
propose le tableau suivant à compléter.

Tableau de calcul des risques

37
Les composants de l'univers d'audit ayant un score élevé devront être audités en priorité. En
fonction du score, la fréquence du cycle d'audit sera également déterminée :

• L’audit devra être réalisé tous les 1 à 2 ans pour un score élevé ;
• L’audit devra être réalisé tous les 2 à 3 ans pour un score moyen ;
• L’audit devra être réalisé tous les 3 à 5 ans pour un score faible.

En résumé :

• L’analyse de risque est indispensable dans la phase d’élaboration du plan d’audit, afin de
définir les audits prioritaires alignés avec les objectifs de l’entreprise ;
• Un risque est la menace qu'un événement, une action ou une inaction se produise, et
affecte la capacité de l'entreprise à atteindre ses objectifs ;
• L’évaluation d’un risque est basée sur deux paramètres : la probabilité d’occurrence,
ou fréquence, et l’impact sur l’entreprise si l’événement se produit, ou gravité. La
multiplication de ces deux paramètres permet de calculer la criticité du risque.

Construisez vos plans d'audit pluriannuel et annuel

Vous l’avez compris : le plan d’audit, c’est-à-dire votre programme de missions, ne se fera pas
sans analyse des risques. Dans le chapitre précédent, je vous ai présenté la démarche, qui peut
être synthétisée par le biais du schéma ci-dessous :

Dans ce chapitre, je vous présente un exemple concret, qui permettra d’illustrer la démarche et
d’aboutir à un plan d’audit.

Mettez-vous en situation

Vous avez été recruté dans une entreprise qui vend en ligne des matériaux de construction à des
professionnels du secteur du bâtiment, en vue de définir une stratégie d’audit et de déployer le
plan d’audit qui en résulte. Étant donné que vous serez le seul à réaliser les audits et que vous ne
pourrez faire appel à des prestataires que sur des expertises que vous ne possédez pas, vous
devrez prioriser les thématiques d’audit identifiées et présenter votre démarche auprès de votre
direction et des parties prenantes.

Cette entreprise est une filiale d’un grand groupe, qui produit et distribue des matériaux pour le
bâtiment. Elle a été créée il y a plus de 2 ans et compte plus de 100 salariés.

38
L’entreprise a pour objectif d’augmenter le chiffre d’affaires tout en maintenant un niveau de
service client élevé. Elle n’a pas d’objectif de marge, car le groupe est en mesure de lui fournir
des ressources financières suffisantes.

Pour atteindre cet objectif, elle doit acquérir de nouvelles parts de marché en attirant une
nouvelle clientèle non connue par le groupe, composée de petits artisans et d’entrepreneurs.

Le service client doit être de haute qualité. C’est pourquoi elle fait appel à une société externe
spécialisée dans la gestion des appels clients. Le call center se trouve en France, ouvert sur des
plages d’horaires étendues. Les magasins et les points de ventes, où les commandes peuvent
être retirées, doivent se situer dans des zones d’activité denses.

En outre, la plateforme e-commerce doit être très performante et fonctionner 24 heures sur 24
et 7 jours sur 7.

Les fonctions de l’entreprise sont présentées ci-après :

• La direction générale doit rendre des comptes au groupe, la fonction d’audit y est
rattachée ;
• La direction financière est en charge du pilotage financier uniquement ; les fonctions de
comptabilité et de paie sont externalisées dans le groupe ;
• La direction des ressources humaines s’occupe du recrutement et de la gestion des
carrières ;
• La direction digitale, SI et logistique regroupe les équipes en charge :
o De la logistique, c’est-à-dire l’approvisionnement et le stockage des produits,
o Des transports,
o Et des SI (applications de gestion d’entrepôt et de transport de types WMS et
TMS, flux avec les applications du groupe, application achats, CRM, reporting),
o Ainsi que du digital, à savoir la plateforme e-commerce où les clients peuvent
consulter le catalogue de produits et commander en ligne, pour se faire livrer dans
les magasins de l’entreprise ou les points de vente du groupe ;
• La direction des achats est en charge d’acheter les produits auprès du groupe et d’autres
entreprises, et de déterminer les prix de vente ;
• La direction commerciale s’occupe de la relation commerciale avec les entreprises
clientes et de la gestion des points de vente. Cette direction gère également la relation
avec le call center, une entreprise externe, dont les téléopérateurs sont chargés de passer
des commandes pour les clients qui n’utilisent pas le site e-commerce ;
• La direction marketing s’occupe des campagnes de promotions, et de la communication.

39
 Au
moyen des informations et documents que vous avez collectés à votre arrivée, vous avez défini
cet univers d’audit réaliste et adapté au contexte de votre entreprise.

Étant donné la création assez récente de l’entreprise, il n’y a pas de projets en cours :

• Thématiques techniques :
o La plateforme e-commerce (sécurité, infrastructure, etc.),
o Les flux entre la plateforme et les autres applications, qu’elles soient internes ou
gérées par le groupe ;
o Les applications des achats, de gestion d’entrepôt et de transport ;
• Thématiques organisationnelles :
o Le processus des achats et des approvisionnements,
o La gestion des stocks,
o Le pilotage financier, et plus particulièrement du chiffre d’affaires,
o Le processus de vente en magasin,
o La gestion de la relation client par le call center,
o Le processus de vente par téléphone,
o Les pratiques commerciales,
o Le recrutement et la gestion de carrières ;
• Thématiques réglementaires :

o La conformité au RGPD.

Votre univers d’audit dans cet exemple est composé de douze thématiques qui peuvent être
auditées.

L’identification des risques

Vous avez organisé un brainstorming avec des personnes clés de l’entreprise, et vous avez
identifié six grands risques à partir de la structure organisationnelle :

• Des risques SI et digitaux : indisponibilité de la plateforme e-commerce, cyber

malveillance, cyberattaque ;

40
 • Des risques liés aux achats et aux pratiques commerciales, tels que la corruption et la
fraude ;
• Des risques ressources humaines, étant donné la précédente grève du personnel dans les
entrepôts, qui a bloqué l’activité pendant plusieurs semaines ;
• Des risques opérationnels liés à la gestion, la maintenance et la sécurité des
infrastructures (entrepôts et points de vente), notamment les incendies ou dégâts des
eaux ;
• Des risques juridiques : litiges avec les clients et fournisseurs, non-respect du code du
commerce, etc. ;
• Des risques marketing : la non-satisfaction des clients, qui peut impacter l’image de
l’entreprise et ne permet pas de fidéliser la clientèle ;
• Des risques financiers, tels que des erreurs de stocks et de prix.

L’évaluation des risques

Chaque risque doit être évalué au regard des objectifs de l’entreprise, de leur probabilité
d’apparition et de l’impact financier (perte potentielle de chiffre d’affaires ou dépenses non
prévues).

Pour le premier composant “plateforme e-commerce” de l’univers d’audit, vous vous êtes posé
les questions suivantes :

• Concernant les risques SI et digitaux : quelle est la probabilité d’occurrence que la

plateforme e-commerce soit indisponible, et quel en serait l’impact financier sur une
échelle de 1 à 3, 1 étant faible et 3 élevé ?
• Concernant les risques RH : quelle est la probabilité d’occurrence d’une perte des
connaissances de la plateforme e-commerce (départ d’un collaborateur), et quel en serait
l’impact financier ?
• Concernant les risques opérationnels liés à la gestion, la maintenance et la sécurité des
infrastructures : quelle est la probabilité d’occurrence de l’indisponibilité du data center
hébergeant la plateforme e-commerce, et quel en serait l’impact financier ?
• Concernant les risques juridiques : quelle est la probabilité d’occurrence du non-respect
des conditions de vente de la plateforme e-commerce, et quel en serait l’impact financier
?
• Concernant les risques marketing : quelle est la probabilité d’occurrence qu’un client ne
soit pas satisfait de son expérience sur la plateforme e-commerce, et quel en serait
l’impact financier ?
• Des risques financiers : quelle est la probabilité d’occurrence qu’un prix d’un produit ou
que les stocks indiqués sur la plateforme e-commerce soient erronés, et quel en serait
l’impact financier ?

Le même type de question sera posé pour chacun des douze composants de l’univers d’audit,
décliné sur les six grands risques. Je vous avais bien prévenu que la démarche d’identification et
d’évaluation des risques peut être longue, d’où l’intérêt de ne pas avoir un trop grand nombre de
risques à analyser.

41
La fréquence ou probabilité d’occurrence

L’échelle de fréquence (F) utilisée est la suivante :

• Faible probabilité que le risque survienne, cotation 1 ;

• Probabilité moyenne que le risque survienne, cotation 2 ;
• Probabilité élevée que le risque survienne, cotation 3.

Les impacts sur l’entreprise

L’échelle de gravité (G) utilisée est présentée ci-dessous :

• Impact potentiel sur l’organisation limité, cotation 1 ;

• Potentiel d’impact modéré pour l’ensemble de l’organisation, cotation 2 ;
• Potentiel d’impact élevé, cotation 3.

La criticité du risque

Le scoring est le résultat de la somme des criticités (C) des six risques identifiés (fréquence x
gravité).

Ce tableau qui suit donne le résultat final de l’évaluation des risques.

42
Tableau d'évaluation des risques

La définition de l'univers d'audit et l'évaluation des risques sont des étapes préalables à la
formalisation des plans d'audit pluriannuel et annuel. Vous allez construire le plan d’audit
annuel, composé des audits à mener à court terme sur l’année, et le plan d’audit pluriannuel,
sur 3 à 5 ans car vous n’aurez pas le temps de réaliser tous les audits.

Le plan d’audit annuel

Les scores des composants d’audit s’étendent de 7 à 31.

43
Pour les scores les plus élevés, il est évident que la plateforme e-commerce et les applications et
flux associés devront être audités dans un premier temps. Étant donné le secteur d’activité, le
bâtiment et la distribution, les pratiques commerciales mériteraient d’être revues afin de
détecter toute fraude et corruption, qui peuvent faire gonfler le chiffre d’affaires et mettre en
péril l’entreprise.

Votre plan d’audit annuel comporte ainsi les thématiques suivantes :

• La plateforme e-commerce (sécurité, infrastructure, etc.) ;

• Les applications des achats, de gestion d’entrepôt et de transport ;
• Les flux entre la plateforme et les autres applications ;
• Les pratiques commerciales.

Le plan d’audit pluriannuel

Concernant les autres thématiques d’audit, ayant obtenu des scores moyen et faible, le plan
d’audit pluriannuel sera le suivant :

Plan
pluriannuel
44
Le cycle d’audit proposé est déterminé à partir du scoring également. Il n’est pas définitif et peut
être revu au moment de l’élaboration du plan d’audit annuel, à la suite d’une nouvelle évaluation
des risques et en fonction des nouveaux objectifs de l’entreprise.

Selon le cycle d’audit, pour les thématiques d’audit à auditer tous les ans, cela ne signifie pas que
vous allez réaliser la même mission d’audit chaque année. Lors de la préparation de vos missions
d’audit, vous allez déterminer les objectifs et le périmètre de la mission, qui changeront d’une
année sur l’autre, en fonction de l’exposition aux risques.

Je vous expliquerai comment préparer les missions d’audit dans la partie suivante du cours.

Les demandes de missions de conseil et d’assurance

Le plan d'audit annuel doit prendre en compte les demandes spécifiques de missions de conseil
et d’assurance, adressées par les parties prenantes (le conseil d'administration et la direction
générale).

Par exemple, imaginez que les parties prenantes souhaitent connaître le degré de conformité au
GDPR dans l’entreprise, et connaître les actions à mener pour éviter toute sanction de la CNIL.
Même si vous l’avez priorisé l’année prochaine, vous devrez réaliser sur l’année en cours une
mission d’assurance.

Il se peut que ce type de demande soit sur un sujet spécifique et précis, ou qu’il soit formulé à la
suite de précédents travaux d’audit. Ces demandes peuvent également survenir de manière
inopinée au cours de la réalisation du plan d’audit annuel, comme une demande d’enquêtes sur
des soupçons de fraude, ou une demande d’examen des activités de prestataires de services.

Dans la mesure du possible, ces demandes doivent être prises en compte au cours de la phase
de planification de l’audit. En tant que responsable de l’audit, vous allez accepter ou refuser
des projets de missions de conseil en fonction de :

• La capacité de la mission à réduire les risques auxquels est exposé l’entreprise ;

• La valeur ajoutée que la mission apportera aux activités et à l’organisation.

Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez été amené à analyser les
forces et les faiblesses, les opportunités et les menaces relatives à la gestion des compétences en
interne, en vue de réaliser les missions d’audit, et aux ressources dont vous disposez. Vous avez
donc envisagé de mettre en place des stratégies de sous-traitance et d’externalisation :

• la sous-traitance partielle : des ressources internes réalisent une partie des activités, et
les ressources externes fournissent les compétences spécialisées ;
• l’externalisation complète : toutes les missions d’audit sont réalisées par des prestataires
externes.

En tant que manager et responsable, vous disposez de ressources humaines, en interne ou à

l’extérieur de l’entreprise, et de ressources financières pour remplir votre rôle et réaliser vos
missions.

45
Après avoir élaboré le plan d’audit, je vous recommande fortement de construire une feuille de
route comportant un plan de charge. Ce document recense toutes les activités de la fonction
d’audit (les audits à préparer, à réaliser et à suivre, la préparation et la participation à des
comités, le reporting à élaborer, etc.) et le temps de travail estimé. Dans le cas où vous êtes le
seul responsable et auditeur, vous devez estimer votre temps de travail pour chacune des
activités.

La disponibilité des ressources humaines est généralement déterminée sur une base annuelle et
repose à la fois sur le nombre d’auditeurs en ETP (équivalent temps plein), et sur les
compétences nécessaires. À noter qu’un collaborateur avec un statut “cadre” qui travaille à
temps plein est disponible environ 210 jours sur l’année, congés compris. Sur cette base, vous
devrez soustraire les activités non liées à l’audit ou les périodes non travaillées, telles que le
temps de formation et les séminaires.

Faites valider le plan d’audit

Le plan d’audit pluriannuel et le plan d’audit annuel doivent être présentés et être validés par
votre direction générale ainsi que par les parties prenantes, à savoir le groupe. Ces plans
précisent également le périmètre d'intervention de la fonction de l’audit, et doivent être
annexés à la charte d’audit.

Selon la norme 2020 “communication et approbation” :

“Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son
plan d'audit et ses besoins en ressources, pour examen et approbation, ainsi que tout
changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit
interne doit également signaler l'impact de toute limitation de ses ressources.”

La validation officielle du plan d’audit représente un soutien formel et une preuve du

sponsorship de la direction et du groupe. Ce sera également l’occasion de sensibiliser votre
direction sur les budgets à débloquer et les dépenses à prévoir pour faire appel à des
prestataires externes en vue de réaliser certaines missions d’audit.

La mission d’audit de conformité GDPR, demandée par les parties prenantes, pourra être menée
par un prestataire externe, qui aura une expertise juridique sur ce domaine.

Améliorez en continu votre plan d’audit

Le plan d'audit s'intègre dans un processus cyclique “plan, do, check, and act” (planifier, réaliser,
vérifier, ajuster), afin d'être ajusté périodiquement en fonction de la stratégie de l'entreprise et
de la survenance de nouveaux risques :

• planifier : dans cette partie du cours, vous avez appréhendé la planification des audits et
appris comment élaborer un plan d’audit ;
• réaliser : après la validation du plan d’audit, vous allez le mettre en œuvre sur l’année ;
• vérifier : à la fin de l’année, vous ferez un bilan des audits réalisés et vous allez identifier
les écarts entre vos prévisions et vos réalisations. Quels ont été les retards ? Les
demandes de conseils et d’assurance non prévues ont-elles été nombreuses ? Les
ressources humaines et financières ont-elle été suffisantes, etc. ? Vous pouvez organiser
46
 un retour d’expérience avec les membres de votre équipe, les prestataires d’audit et/ou
les audités, sous la forme d’un brainstorming dans le cadre de ce bilan ;

• ajuster : à la suite de ce retour d’expérience et de ce bilan, vous allez construire un plan

d’action à mettre en œuvre afin que le prochain plan d’audit se déroule dans de
meilleures conditions, et qu’il réponde au mieux aux objectifs stratégiques de l'entreprise
et à la survenance de nouveaux risques.

En résumé :

• le plan d’audit permet de préciser le périmètre d'intervention de la fonction de l’audit

dans l’entreprise, et doit être annexé à la charte d’audit ;
• les demandes de missions de conseil et d’assurance doivent être prises en compte dans
la phase de planification et être challengées par la fonction d’audit ;
• le plan d’audit doit être validé par la direction et les hautes instances de l’entreprise ;
• le plan d'audit s'intègre dans une démarche d’amélioration continue, afin de toujours
répondre aux objectifs stratégiques de l'entreprise et contribuer à la maîtrise des
risques.

Élaborez votre méthodologie d'audit

Dans la première partie du cours, vous avez mené une réflexion stratégique sur la fonction
d’audit dans votre entreprise, afin de mettre en œuvre une fonction créatrice de valeur, de
mener des audits pertinents et efficients, et d’auditer avec professionnalisme et éthique.

Cette réflexion a abouti à l’élaboration d’une charte d’audit, qui a permis de :

• définir ce qu’est l’audit interne ;

• préciser le positionnement de l’audit dans l'entreprise ;
• établir les principes d'actions, les rôles et les missions de l'audit ;
• définir le périmètre d'intervention, détaillé dans le cadre du plan d'audit.

Dans la deuxième partie de ce cours, vous avez une meilleure visibilité sur le périmètre
d’intervention de la fonction d’audit. Vous avez identifié le champ d’intervention au moyen de :

• un plan d’audit sur plusieurs années ;

• un plan d’audit annuel, avec les audits à réaliser en priorité.

La charte d’audit et les plans d’audit ont été bien évidemment validés par la direction et les
parties prenantes.

À présent, il nous reste un sujet à traiter : le déroulement des audits, présentant l'approche
d'audit. Cette démarche plus opérationnelle commence dès la phase de préparation à la mise en
oeuvre des recommandations d’audit.

Dans ce chapitre, je vous présenterai une approche générale d’audit, qui pourra être intégrée à
la charte d’audit. Cette approche générale garantira une homogénéité des pratiques d’audit
47
structurées et cadencées au moyen de phases et de jalons clés. Si vous faites appel à des
prestataires externes, ces derniers devront respecter cette approche. Les sections qui vont suivre
sont alignées avec les normes du CRIPP et les bonnes pratiques.

Dans les chapitres suivants, je détaillerai chaque phase d’audit et je vous présenterai des outils à
utiliser au cours de ces phases.

Je vous recommande d’adapter cette approche au contexte organisationnel de votre entreprise.

Libre à vous par exemple de reformuler les phases clés.

Découvrez une approche à dérouler à chaque audit

Le schéma ci-dessous indique les quatre phases principales d’un audit.

Les
phases principales d'un audit

Phase 1 - La préparation

Cette première phase de préparation a pour objet de :

• prendre connaissance des objectifs d’audit, du périmètre à auditer, et identifier les

risques ainsi que le dispositif de contrôle ;
• construire et valider le référentiel d’audit ;
• élaborer le programme de travail et valider l’organisation de la mission.

48
Pour ce faire, vous allez vous appuyer sur les ressources documentaires existantes, afin de
prendre connaissance de ce périmètre et cadrer la mission d’audit. Vous devrez également
identifier les acteurs et les personnes à solliciter dans le cadre de l’audit. Il en résultera un
référentiel, ou grille d’audit, ainsi qu’un programme de travail.

La réunion de lancement permettra de réunir toutes les personnes qui seront sollicitées dans le
cadre de l’audit et l’équipe qui réalisera la mission ; mais également de :

• partager et échanger autour des objectifs de la mission et du périmètre ;

• présenter l’équipe d’auditeurs, ainsi que leurs compétences et parcours.

Nous reviendrons sur la méthode d’élaboration d’une grille d’audit et l’organisation de la réunion
de lancement, dans les deux derniers chapitres de cette partie.

Phase 2 - L’investigation

Après avoir officialisé le lancement de l’audit et communiqué sur son déroulement, la phase
d’investigation est l’occasion de rentrer dans le vif du sujet. Les objectifs de cette phase sont de :

• collecter les informations et constituer les preuves d’audit au moyen d’outils tels que les
entretiens ou des analyses de données ;
• analyser les informations collectées et élaborer les recommandations.

À l’issue de cette phase, vous aurez une première version du rapport d’audit, dont les
observations et les recommandations devront être validées par les audités. Nous détaillerons
cette phase et je vous présenterai des outils à utiliser dans le cadre des audits, dans la quatrième
partie du cours.

Phase 3 - La validation

La phase de validation est primordiale et parfois oubliée. Il s’agit de mettre en œuvre une
démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines
observations et recommandations, et de fournir aux auditeurs des compléments d’informations.

Afin d’établir un environnement bienveillant, je vous recommande d’initier cette démarche de

validation avant la présentation des conclusions de l’audit.

Dans certains cas, la démarche contradictoire se fait pendant la réunion de clôture. Par
expérience, lorsque les audités n’ont pas été tenus au courant des recommandations et qu’ils ne
sont pas d’accord, ils l’expriment haut et fort !

Je vous présenterai les activités clés de cette phase dans la quatrième partie du cours. Je vous
proposerai également des outils pour rédiger le rapport d’audit et formuler vos
recommandations, afin qu’elles soient percutantes.

Phase 4 - Le suivi

49
La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des
plans d’action à mettre en œuvre afin de maîtriser les risques et d'améliorer les dispositifs de
contrôles, et in fine aider à atteindre les objectifs de l’entreprise.

En tant qu’auditeur, ou responsable de la fonction d’audit, vous ne pouvez pas participer à la

mise en oeuvre des plans d’action. On ne peut être juge et partie.

Néanmoins, il est possible de réaliser une mission de suivi des recommandations d’audit. Vous
pourrez donc intervenir lorsque les plans d’action auront suffisamment avancé. Vous allez
effectuer un audit de suivi des recommandations, en collectant de nouvelles informations et de
nouvelles preuves. Les recommandations seront alors mises à jour, voire clôturées, en fonction
de l’avancement des actions.

Ne négligez pas la phase préliminaire

Le plan d'audit annuel a été validé par la direction, ainsi que le budget associé. Vous devez à
présent lancer les audits selon le calendrier défini, qu'ils soient réalisés par des prestataires
externes, par vous-même ou par votre équipe.

Tout en amont de la phase de préparation de l’audit, vous allez cadrer la mission au moyen d’un
programme et d’une lettre de mission, et affecter les bonnes ressources.

Le programme de mission

Lorsque vous avez établi le plan d’audit annuel, vous aviez probablement en tête le périmètre de
la mission et ce que vous attendez de l’audit. Le programme d’audit permet de formaliser ces
différents éléments. Cette étape peut être facultative si vous souhaitez vous affranchir d’un
certain formalisme.

Je vous liste ci-dessous les éléments du programme d’audit qui doivent être clarifiés avant de
rédiger la lettre de mission. Ils vous aideront à répondre aux attentes des parties prenantes et les
clients de l’audit :

• identifier les clients de la mission d’audit, c’est-à-dire toute personne ou toute partie à
qui les résultats d’audit seront destinés, telles que la direction générale, le comité d’audit,
les directeurs des services, les responsables de processus, les commissaires aux comptes
ou les organismes régulateurs ;
• déterminer l’événement déclencheur de l’audit, par exemple demande d’assurance ou
de conseil formulée par la direction, résultat de l’analyse des risques, demande à la suite
d’un incident comme une catastrophe naturelle ou défaillance d’un client, ou encore une
nouvelle exigence réglementaire ;
• préciser les attentes des clients, par exemple évaluer l’efficacité opérationnelle d’un
processus, s’assurer de la conformité à une réglementation, apprécier l’avancement d’un
projet ;
• délimiter le périmètre de la mission d’audit et définir les processus et sous-processus à
auditer, la localisation géographique et les sites, la période à auditer ; par exemple les
données à analyser sur les trois derniers exercices comptables. Vous pouvez également
préciser ce qui est exclu du périmètre ;

50
 • déterminer les livrables de la mission, en dehors du rapport d’audit qui est un livrable
indispensable de l’approche d’audit, par exemple un plan d’action à mettre en œuvre
pour améliorer l’efficience et l’efficacité d’un processus, un plan de communication, etc.

Une fois ces éléments convenus, vous allez pouvoir rédiger la lettre de mission.

La lettre de mission ou ordre de mission

La lettre de mission est une communication écrite à destination des audités, principalement. Elle
permet de rendre officielle la réalisation de l’audit, puisqu’elle émane de la direction générale.

La lettre de mission doit comporter au minimum :

• les objectifs de la mission d’audit, à reprendre éventuellement du programme de mission

;
• le périmètre d’intervention ;
• les livrables.

En tant que responsable d’audit, vous allez éventuellement gérer les relations avec les
commissaires aux comptes. Dans le cadre des audits légaux, la lettre de mission constitue un
contrat. Le formalisme doit être conforme à la norme d’exercice professionnel NEP-210 “la lettre
de mission du commissaire aux comptes”, homologuée par arrêté et publiée au Journal officiel.

L’affectation des ressources

Selon la norme 2230 du CRIPP “ressources affectées à la mission”,

“les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour
atteindre les objectifs de la mission. Ils s’appuient sur une évaluation de la nature et de la
complexité de chaque mission, des contraintes de temps et des ressources disponibles.”

Les ressources sont la combinaison de connaissances et de compétences ainsi que de savoir-

faire nécessaires à la réalisation de la mission d’audit. La quantité de ressources doit être évaluée
avec pragmatisme et conscience professionnelle. Vous pouvez donc vous appuyer sur le plan de
charge que vous avez élaboré après avoir construit le plan d’audit.

Par conséquent, si vous n’avez pas les compétences au sein de votre équipe, ou tout simplement
le temps pour réaliser une ou plusieurs missions d’audit, vous ferez appel à un prestataire
externe.

En résumé :

• Construisez une approche générale d’audit à intégrer dans la charte d’audit. Cette
approche définit les phases clés, les jalons et les livrables attendus pour chaque mission
d’audit ;
• Elle permettra une homogénéité des pratiques d’audit, notamment si vous avez choisi de
faire appel à des prestataires pour réaliser un certain nombre d’audits ;
• Avant la phase de préparation d’un audit, vous devez avoir réfléchi au programme de
mission, au minimum aux objectifs de l’audit, au périmètre d’intervention et aux
51
 livrables, et avoir communiqué aux audités la lettre de mission signée par la direction
générale.

Sélectionnez les prestataires d'audit

Au cours du processus de planification annuelle des audits, vous avez probablement réfléchi à
une stratégie de sous-traitance de l'audit interne. En effet, compte tenu des ressources dont
vous disposez, vous pouvez avoir recours à un accroissement des effectifs de votre équipe et/ou
des prestataires pour réaliser vos audits.

Dans ce chapitre, je vous propose de découvrir les étapes clés d’un processus de sélection de
prestataires d’audit et les outils pour faire votre choix au cours de l’appel d’offres.

Le processus d’appel d’offres, dans le cadre de la sélection de prestataires, a pour but de mettre
en concurrence plusieurs entreprises en vue de fournir un service. Il s’agit d’une bonne pratique
en matière d’achats en entreprise.

Votre entreprise s’est éventuellement dotée d’une stratégie d’achat et/ou d’une procédure
d’achat, qui impose la mise en concurrence de plus de deux entreprises, afin d’empêcher toute
entente ou abus de position dominante. La mise en concurrence permet également de bénéficier
d’un prix favorable pour l’entreprise, puisqu’il pourra être comparé et challengé.

Avant de vous lancer dans ce processus de sélection, le plan annuel d’audit doit être validé par
votre direction et vous devez avoir identifié les audits à sous-traiter, compte tenu de vos
ressources en interne.

Deux cas de figure sont à envisager :

• vous avez peu de missions d’audit à sous-traiter (trois audits au maximum), vous pouvez
solliciter des prestataires directement. Vous leur enverrez le cahier des charges
correspondant à chaque mission d’audit. Vous allez devoir gérer autant d’appels d’offres
que de missions d’audit à sous-traiter ;
• vous avez un certain nombre de missions (plus de trois audits) et vous allez procéder à un
lotissement des missions, afin de lancer un appel d’offres global. Un lot peut comporter
une ou plusieurs missions d’audit. Vous pourrez choisir un prestataire pour tous les lots,
ou plusieurs prestataires en fonction du nombre de lots.

Rédigez le cahier des charges

Le cahier des charges est un document qui décrit les besoins, présente les objectifs et les
livrables. Vous pourrez y annexer la charte/politique d'audit.

Je vous propose ci-dessous le sommaire d’un cahier des charges, qui pourra vous servir de base
de travail :

• l'objet du document ;

52
 • le contexte de la consultation ou de l'appel d'offres, qui comprend une description de
votre entreprise ;
• les objectifs de la mission ou des missions d'audit, avec les dates de début et de fin des
missions ;
• le périmètre des missions, qui peut préciser les sites géographiques, applications,
processus, etc. ;
• les résultats attendus, à savoir les livrables qui pourront être repris de votre approche
d’audit ;
• le mode de description et de cotation de la prestation, c’est-à-dire ce qui est attendu
dans la proposition commerciale et le calendrier de la consultation, ainsi que les
modalités de réception des offres ;
• les contacts de l'entreprise, dans le cas où les candidats auraient besoin de complément
d’information pour élaborer leur proposition commerciale.

Dans le cadre d’un appel d’offres global, qui comprend plusieurs missions d’audit, vous pouvez
demander la simulation de deux scénarios :

• scénario 1 : dans le cadre d’une prestation mono-attributaire, il n’y aura qu’un

prestataire retenu pour tous les lots, vous demanderez un prix global, incluant un détail
par lot ;
• scénario 2 : dans le cadre d’une prestation multi-attributaire, plusieurs prestataires
seront sélectionnés et dans ce cas, la proposition commerciale doit fournir le
dimensionnement économique pour chacun des lots.

Il est bien évidemment attendu que le scénario 1 soit plus avantageux financièrement pour votre
entreprise.

Lancez l’appel d’offres

Vous avez en votre possession le cahier des charges, qui doit être diffusé.

Si vous travaillez dans le secteur privé, vous pouvez remettre le cahier des charges au service des
achats qui s’occupera de l’appel d’offres. Ce service pourra compléter le document et préciser
notamment la partie “mode de description et de cotation de la prestation”.

En revanche, si vous devez gérer vous-même l’appel d’offres, vous devez établir une liste de
fournisseurs à qui vous adresserez le cahier des charges.

Comment identifier les fournisseurs/prestataires d’audit?

Il n’existe malheureusement pas de méthodes définies pour identifier les prestataires d’audit.
Vous pouvez vous rapprocher de l’IFACI afin d’identifier des sociétés de prestations de services
spécialisées dans certains domaines, ou bien compter sur votre réseau, le bouche-à-oreille, ou
les moteurs de recherche.

Si vous travaillez dans une entreprise publique, le processus des achats est réglementé. Les offres
doivent être diffusées sur des plateformes de marché comme le Bulletin officiel des annonces de
marchés publics (BOAMP) ou le Journal officiel de l'Union européenne (JOUE). Je vous invite donc
à vous rapprocher du service ou de la personne en charge des achats publics.
53
Au cours de la période de réception des offres, vous devrez éventuellement relancer les
fournisseurs ou les contacter directement, pour savoir s’ils vous enverront une proposition
commerciale.

Short-listez les prestataires au moyen d’un scoring

Après la date de fin de réception des offres, vous allez procéder à un scoring des réponses
reçues. Une matrice de choix de vos prestataires pourra vous aider à y voir plus clair, notamment
si vous avez eu un grand nombre de retours.

Les critères peuvent être les suivants :

• la compréhension des besoins et des objectifs des missions, et l’expression des

conditions de succès nécessaires à la réussite de la mission ;
• la description du dispositif, c’est-à-dire l’équipe d’auditeurs, et des compétences
associées ;
• les approches méthodologiques et référentiels utilisés ;
• les références de missions et des exemples de livrables ;
• et bien sûr le prix.

Vous allez coter chaque critère de 1 à 10, par exemple. Les critères peuvent avoir une
pondération. Ensuite vous en déduirez une note par réponse reçue.

Le prix a souvent une grande importance par rapport au budget dont vous disposez ; la note
correspondante sera alors pondérée de 40 % par rapport à la note globale. La compréhension
des besoins peut être pondérée à 20 %, l’équipe d’auditeur et la méthodologie proposées à 40
%.

Je vous invite à établir une short-list des prestataires qui auront les meilleures notes. Une
soutenance pourra être organisée avec ces derniers afin de les rencontrer et juger si vous êtes
sur la même longueur d’ondes.

En effet, dans ce cadre, vous allez identifier un vrai partenaire d’audit avec qui vous pourrez
travailler à plus ou moins long terme, étant donné qu’il développera une connaissance de votre
entreprise en plus des expertises qu’il apporte.

C’est aussi l’opportunité pour vous de repréciser avec les prestataires la démarche et les
méthodologies d’audit, et de négocier le tarif des prestations. A l’issue de cette étape de
soutenance, les prestataires pourront vous transmettre une nouvelle version de leur proposition
commerciale.

Après avoir sélectionné le prestataire pour chacune des missions d’audit sous-traitées, organisez
une réunion d'ouverture afin que vous puissiez lui présenter la charte d’audit et le service
d’audit. À cette occasion, vous échangerez sur les objectifs d’audit et le périmètre. Le calendrier
de la mission pourra être finalisé et les premiers rendez-vous pris.

En résumé :

54
 • Le processus d’appel d’offres dans le cadre de la sélection de prestataires d’audit a pour
but de mettre en concurrence plusieurs entreprises en vue de réaliser une mission
d’audit. Il s’agit d’une bonne pratique en matière d’achats en entreprise ;
• Les modalités sont différentes en fonction du secteur privé ou public, ou bien si votre
entreprise dispose d’une fonction achat ;
• Votre prestataire d’audit doit être un véritable partenaire avec qui vous pourrez travailler
à plus ou moins long terme.

Construisez votre référentiel d'audit

Depuis le début du cours, vous avez appris à développer une vision systémique et votre
capacité à analyser les activités dans leur globalité, en prenant en compte les objectifs de
l’entreprise. Vous avez donc une connaissance approfondie et transversale de l’ensemble des
activités de votre entreprise.

Avant de vous lancer dans la phase de réalisation d’un audit, vous allez approfondir vos
connaissances de l’entreprise sur le périmètre à auditer au cours de la phase de préparation.

Cette phase vise à s’assurer que les travaux d’audit permettront d’atteindre les objectifs
énoncés dans la lettre de mission et de répondre à la demande de la direction et des parties
prenantes.

Dans les deux chapitres qui vont suivre, je vous présenterai les livrables clés de la phase de
préparation et je vous expliquerai comment concevoir :

• le référentiel d’audit, qui est l’objet de ce chapitre ;

• puis le programme de travail et le support de la réunion d’ouverture.

Qu’est-ce qu’un référentiel d’audit ?

Le référentiel d’audit ou la grille d’audit comporte tous les sujets à auditer. Nous avons parlé de
l’univers d’audit pour élaborer le plan d’audit. Le référentiel d’audit est un zoom de l’univers
d’audit, comme le serait la cartographie de la terre.

Comme je l’ai évoqué dans le tout premier chapitre du cours, les auditeurs mènent leurs travaux
sur la base des systèmes de contrôle mis en œuvre dans l’entreprise, appelés le “contrôle
interne”. Le référentiel d’audit, sous la forme d’une grille ou d’une matrice, constitue le support
de cette évaluation des dispositifs de contrôle interne.

Découvrez le contrôle interne

Qu’est-ce que le contrôle interne ?

Le contrôle interne est l’ensemble des politiques et procédures mises en œuvre dans
l’entreprise afin d’assurer la gestion rigoureuse et efficace de ses activités.

Ces procédures ont pour objet :

55
 • le respect des politiques auxquelles elles font référence ;
• la sauvegarde des actifs (actifs corporels, incorporels, financiers, humains…) ;
• la prévention et la détection des fraudes et erreurs ;
• l’exhaustivité et l’exactitude des enregistrements comptables ;
• l’établissement en temps voulu d’informations comptables et financières fiables.

Le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les erreurs
ou autres anomalies. Il est fondé sur quatre principes structurants que je vais vous expliquer ci-
dessous.

Principe 1 : Le contrôle interne est « l’affaire de tous »

Le contrôle interne ne s’incarne pas dans une personne : l’ensemble des acteurs participent au
dispositif de contrôle interne, encadrement comme opérationnels. Le management est
responsable de l’arbitrage entre les résultats attendus et les "coûts" d'une mesure en fonction
des risques, des enjeux et des moyens disponibles.

Si on vous dit “non, je ne fais aucun contrôle dans le cadre de mon travail”, c’est donc impossible
! Vos interlocuteurs devront être sensibilisés à la démarche de contrôle interne.

Principe 2 : Le contrôle interne est indissociable de toute activité

Il ne se “rajoute pas” : pour l’essentiel, le contrôle interne est intégré aux processus. C’est une
démarche globale qui ne se limite pas aux seuls contrôles.

Si vous êtes amené à proposer des contrôles à mettre en œuvre sur les processus que vous avez
audités, vous devrez démontrer que les contrôles ne leurs font pas perdre de temps. Ils
permettront d’être plus efficace et plus efficient. Finies les erreurs et les anomalies ! Ils
passeront moins de temps à les résoudre.

Principe 3 : Le contrôle interne doit être adapté à l’environnement

Il n’y a pas de démarche stéréotypée, mais un examen au cas par cas.

Lorsque vous proposez un contrôle à intégrer dans un processus, il doit être conçu sur mesure. Il
vaut mieux se mettre à la place de la personne qui le réalisera, et ne pas vouloir reproduire un
contrôle qu’on aurait mis en place ou vu dans le cadre d’une autre mission.

Principe 4 : Le contrôle interne s’intègre dans une logique d’amélioration continue

Le contrôle interne existant doit être amélioré en structurant mieux l’organisation, en axant son
fonctionnement sur les risques et les enjeux, et en le formalisant davantage afin d’en améliorer
son auditabilité (c’est-à-dire la traçabilité).

Découvrez les référentiels de contrôle interne

Vous connaissez à présent l’Institute of Internal Auditors (IIA) pour l’audit interne, qui donne les
lignes directives et édicte les normes professionnelles. Il existe également des organismes qui
définissent les bonnes pratiques de contrôle interne dans l’entreprise.
56
Je vais vous présenter les trois principaux organismes dans cette section. Ceux-ci ont leur propre
définition du contrôle interne, qui est à peu près similaire. En revanche, ils fournissent des lignes
directives dans la mise en œuvre du contrôle interne, comme l’IIA pour l’audit interne.

Committee of Sponsoring Organizations of the Treadway Commission

C’est un groupe de réflexion constitué aux États-Unis en 1985, qui a développé un référentiel
d’analyse du contrôle interne appelé COSO, édité en France en 1992. Il s’agit du référentiel de
portée internationale le plus mis en œuvre : il décrit le contrôle interne et propose une
évaluation de son efficacité.

Selon le COSO, le contrôle interne est un ensemble de dispositifs mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation, et destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :

• la réalisation et l’optimisation des opérations ;

• la fiabilité des informations financières ;
• la conformité aux lois et réglementations en vigueur.

Institut français de l'audit et du contrôle interne

Je vous l’avais évoqué dans le tout premier chapitre du cours : l’IFACI est affilié à l’Institute of
Internal Auditors (IAA). Il est chargé de représenter la profession d’audit interne et de
promouvoir son développement.

Comme pour l’audit interne, l’IFACI propose une démarche et des outils de mise en œuvre de
contrôle interne, destiné à donner une assurance raisonnable que :

• les opérations sont réalisées, sécurisées, optimisées et permettent ainsi à l’organisation

d’atteindre ses objectifs de base, de performance, de rentabilité et de protection du
patrimoine ;
• les informations financières sont fiables ;
• les lois, les réglementations et les directives de l’organisation sont respectées.

Autorité des marchés financiers (AMF)

L’AMF a été créée en 2003 et régule les acteurs et produits de la place financière française. Elle
réglemente, autorise, surveille et, lorsque c’est nécessaire, contrôle, enquête et sanctionne.
L’AMF veille également à la bonne information des investisseurs et les accompagne, en cas de
besoin, grâce à son dispositif de médiation.

Cette autorité a créé son cadre de référence de contrôle interne à l’usage des sociétés
françaises. C’est un énoncé de principes et de bonnes pratiques à adapter au contexte propre de
chaque société. Il est souvent appliqué dans le secteur bancaire.

Identifiez les dispositifs de contrôle

57
Revenons à la préparation de l’audit. Pour identifier les points à investiguer, vous allez construire
un référentiel d’audit qui doit permettre d'apprécier le dispositif de contrôle interne mis en
œuvre sur le périmètre audité. Votre référentiel doit donc comporter au moins :

• les contrôles attendus ;

• les contrôles réalisés ;
• les risques à couvrir sur le périmètre d’audit.

Vous vous en doutez bien : si le contrôle attendu n’est pas réalisé, une recommandation devra
être formulée, car le risque n’est pas maîtrisé.

Les contrôles sont appelés également activités ou dispositifsde maîtrise des risques, ce sont des
AMR ou des DMR.

Je vous propose ci-après une démarche d’élaboration d’un référentiel d’audit en trois étapes :

• étape 1 : la compréhension des processus ;

• étape 2 : l’analyse des risques ;
• étape 3 : l’identification des contrôles attendus.

L’étape d’identification des contrôles réalisés et d’évaluation s’effectuera au cours de la phase

d’investigation.

Étape 1 : la compréhension des processus

Cette première étape vise à identifier et examiner les processus sur le périmètre audité. Vous
pouvez vous servir de la cartographie des processus que vous avez modélisée, le cas échéant.
Vous aurez également besoin de la documentation existante (politiques, procédures, guides
utilisateurs, etc.).

Au cours de cette étape, vous allez :

• déterminer les processus et sous-processus, ainsi que les macro-processus auxquels ils
sont rattachés ;
• prendre connaissance de l’enchaînement des étapes dans le cadre des sous-processus,
sur la base de la documentation existante. Pour ce faire, vous pouvez modéliser une
première version d’un diagramme de flux qu’il faudra amender au cours de la phase
d’investigation ;
• identifier les acteurs intervenant dans le cadre de la procédure ;
• identifier les outils utilisés, notamment les outils informatiques.

Un diagramme est une représentation de toutes les activités d’un processus ou d’une partie d’un
processus. Il indique en colonne ou en ligne les personnes ou les services concernés qui réalisent
chaque activité. Dans ce schéma, une forme correspond à un type d’activité : une action, une
décision à prendre ou une question, un document, une application ou base de données. Les deux
méthodes de modélisation couramment utilisées sont l’ISO ou le BPM(N). Je vous présenterai le
diagramme de flux au cours de la phase d’investigation.

58
La connaissance des processus est donc indispensable afin de mener une analyse des risques
pertinente et au plus près de la réalité du terrain, dans une optique de sécurisation des
processus.

Étape 2 : l’analyse des risques

Dans un deuxième temps, une analyse des risques par processus est nécessaire afin d'identifier
les éléments susceptibles de remettre en cause l'atteinte des objectifs de l’entreprise.

Cette analyse consiste à :

• formuler les différents risques pouvant remettre en cause l’atteinte des objectifs ;
• coter les risques bruts pour déterminer leur niveau de criticité.

Le risque brut peut être défini comme étant le risque qui existe en ne tenant pas compte des
activités de maîtrise du risque.

La formalisation des risques identifiés constitue la cartographie des risques. Elle est complétée
par les activités de maîtrise des risques correspondantes et constitue ainsi la matrice de maîtrise
des risques.

Votre entreprise dispose probablement d’un management des risques. Rapprochez-vous de la

fonction en charge de la gestion des risques, afin d’obtenir la cartographie associée.

Étape 3 : l’identification des contrôles attendus

Dans un troisième temps, il convient d’identifier les activités de maîtrise des risques (AMR) qui
permettront de couvrir les risques liés à la réalisation des objectifs, ou d’atténuer l’impact de la
survenance d’un risque.

Pour préparer votre mission d’audit, je vous propose cette grille comportant les informations
minimales à compléter. À cette étape, vous ne remplirez que les quatre première colonnes.
Chaque chose en son temps : le reste sera abordé dans les chapitre suivants.

Cette image est également accessible en format Excel.

Libre à vous d’ajouter des colonnes pour préciser certaines informations, comme le type de
contrôle qui peut être automatique, semi-automatique ou manuel. Je vous propose dans la
section suivante de nous focaliser sur cette typologie.

Qualifiez les contrôles

59
Il existe trois niveaux de contrôle :

• les contrôles de premier niveau, qui permettent de gérer les activités au quotidien et de
garantir la maîtrise des opérations, réalisés ainsi par les fonctions opérationnelles, de
pilotage ou les fonctions supports ;
• les contrôles de deuxième niveau, qui sont réalisés par la fonction de contrôle
permanent chargée de la gestion des risques ;
• et les contrôles de troisième niveau, qui sont systématiquement réalisés par des
auditeurs, appelés également la fonction de contrôle périodique.

Dans le cadre des missions d’audit, vous allez vous intéresser aux contrôles opérationnels de
premier niveau. Ils sont effectués par les opérationnels et parfois revus par leur encadrement ;
on parlera alors de contrôle de supervision.

Les contrôles sont effectués en amont pour prévenir la survenance du risque sur le processus, ce
sont les contrôles a priori. Les contrôles a posteriori sont effectués pour détecter une erreur ou
une anomalie, ce qui signifie que l’incident s’est déjà produit.

La typologie des contrôles de premier niveau

Les contrôles dits de premier niveau correspondent aux activités de maîtrise des risques
intégrées au fonctionnement courant des services et dans les applications. Il s’agit :

• des contrôles automatiques implémentés dans les applications ;

• des contrôles semi-automatiques, fondés sur une forme d’assistance du système
d’information ;
• des contrôles intellectuels ou manuels, qui reposent totalement sur une intervention
humaine, sans aucune forme d’assistance du système d’information.

Les contrôles de premier niveau permettant de couvrir des risques majeurs sont cartographiés
dans la matrice de maîtrise des risques.

La traçabilité des contrôles de premier niveau

Tous les contrôles sont retracés dans les guides de procédures qui doivent être régulièrement
mis à jour en fonction des évolutions réglementaires, notamment. Tous les contrôles exercés par
les opérationnels et l’encadrement doivent être documentés, car ils sécurisent les activités et
doivent donc être portés à la connaissance des acteurs.

La traçabilité de ces activités de maîtrise doit être assurée, sa mise en œuvre servira de preuve
de contrôle lors des campagnes de tests, d’où la nécessité de formalisation du contrôle interne.

Tous les contrôles doivent être formalisés. Un contrôle non documenté est réputé inexistant.
Cela constitue la preuve de contrôle de votre audit.

Dans le cas contraire, une recommandation sera élaborée pour documenter le contrôle, qui peut
prendre la forme d’une signature, d’un mail, d’un rapport, etc.

En résumé :
60
 • Le référentiel d’audit ou la grille d’audit comporte tous les sujets à auditer. Il constitue le
support de cette évaluation des dispositifs de contrôle interne ;
• Le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les
erreurs ou autres anomalies, et de prévenir la survenance des risques ;
• les auditeurs se focalisent sur les contrôles de premier niveau. Ils peuvent être a priori ou
a posteriori, et automatiques, semi-automatiques ou manuels. S’il est revu par le
management, il s’agit d’un contrôle de supervision ;
• un contrôle (ou activité de maîtrise des risques ou dispositif de maîtrise des risques) qui
n’est pas formalisé n’existe pas aux yeux d’un auditeur, qui doit collecter
systématiquement une preuve de contrôle.

Communiquez pour lancer efficacement vos audits

Une fois que vous avez conçu le référentiel d'audit, un programme de travail doit être rédigé et
communiqué aux audités.

Pour marquer la fin de la phase de préparation, une réunion de lancement sera organisée pour
communiquer la démarche générale issue de la charte d'audit, le planning de l'audit et les
différents jalons. Cette réunion est souvent l'occasion pour les auditeurs externes à l'entreprise
de se présenter.

Avant de vous lancer dans la rédaction du programme de travail et du support de la réunion de

lancement, il reste un sujet que nous n’avons pas encore traité. Vous l’avez sûrement remarqué :
votre référentiel d’audit est conséquent et il paraît impossible de revoir tous les contrôles. Je
vous propose donc de sélectionner le périmètre des travaux à réaliser sur le terrain, appelés les
objectifs d’audit.

Sélectionnez vos objectifs de travaux d’audit

À partir de la lettre de mission et du référentiel d’audit, vous devez sélectionner les contrôles
clés qui feront l’objet d’une analyse plus approfondie au moyen de tests.

Les critères suivants sont à examiner afin de déterminer les points d’audits significatifs, ou
contrôles clés :

• la pertinence par rapport au secteur d’activité ;

• la cohérence par rapport à la stratégie de l’entreprise ;
• la cohérence par rapport aux attentes des parties prenantes internes et externes.

Certains contrôles peuvent ne pas être testés dans les cas suivants :

• l’existence d’un contrôle de niveau supérieur. Par exemple, l’entreprise fait partie d’un
groupe, et le contrôle est réalisé à ce niveau supérieur ;
• l’existence d’autres contrôles couvrant totalement le risque ;
• la période au cours de laquelle le contrôle est mis en œuvre est incompatible avec le
calendrier de la mission ;
• des changements dans l’organisation du processus ont des impacts sur le dispositif de
contrôle.

61
Après avoir sélectionné les contrôles à auditer, vous allez exprimer les objectifs des travaux
d’audit pour chacun des contrôles retenus, par exemple “s’assurer de l’efficacité et de
l’efficience du contrôle”. Dans la grille proposée dans le chapitre précédent, vous allez compléter
la cinquième colonne.

Enfin, vous allez rapprocher les objectifs de l’ordre de mission des objectifs d’audit. Vous serez
face à trois situations :

• la situation idéale : les objectifs des travaux d’audit couvrent exactement les objectifs de
la mission d’audit précisés dans l’ordre de mission ;
• deuxième situation : les objectifs des travaux d’audit sont plus larges que les objectifs de
l’ordre de mission. Un avenant pourra être rédigé et validé par la direction générale ;
• dernière situation : les objectifs des travaux d’audit ne couvrent pas les objectifs de
l’ordre de mission. L’audit des contrôles correspondants sera exclu du périmètre des
travaux. En revanche, cette exclusion et ces raisons seront mentionnées dans le rapport
d’audit. S’il s’agit d’un oubli au cours de l’élaboration du programme et de l’ordre de
mission, un avenant pourra être rédigé et validé par la direction générale.

Dans le cas d’ajout de nouveaux objectifs de missions d’audit, assurez-vous d’avoir affecté les
bonnes ressources.

Comme je vous l’ai précisé, les ressources sont la combinaison de connaissances et de

compétences ainsi que de savoir-faire nécessaires à la réalisation de la mission d’audit. Vous
devrez donc revoir les équipes d’audit.

Sélectionnez les sites à auditer

Dans le cadre d’une mission d’audit à grande échelle, comme par exemple l’audit du processus
de ventes dans plusieurs magasins, vous allez devoir déterminer l’échantillon des sites dans
lequel ces contrôles seront testés.

Pour ce faire, l’échantillon des sites audités est établi en fonction de leur contribution dans
l’entreprise. Sur un processus tel que les ventes, vous pouvez vous baser sur la contribution du
magasin au chiffre d’affaires.

Vous pouvez vous inspirer de la méthode appliquée pour les audits légaux des commissaires aux
comptes.

Dans le cadre des audits financiers, le taux de couverture des travaux est encadré :

• taux de couverture de 20 % pour une assurance modérée, qui signifie que les travaux
d’audit n’ont pas de décelés d’anomalies pouvant avoir une incidence significative sur les
comptes. La formulation négative a son importance, puisqu’elle reste peu engageante ;
62
 • 50 % pour une assurance raisonnable : les travaux d’audit permettent d’exprimer une
assurance raisonnable sur la réalisation des contrôles en vue de couvrir les risques. Cette
formulation est plus engageante pour les auditeurs, qui vont mener des travaux
beaucoup plus détaillés.

À propos de l’exemple du processus de ventes, vous allez sélectionner un périmètre de magasins

qui génèrent un chiffre d’affaires de plus de 20 % si vous souhaitez vous assurer qu’il n’y a pas
d’anomalie. En revanche, vous allez auditer tous les magasins ou sélectionner un périmètre de
magasins qui génèrent un chiffre d’affaires de plus de 50 %, si vous souhaitez vous assurer que le
processus des ventes est bien maîtrisé.

Élaborez un programme de travail

Le programme de travail définit les procédures d’audit qui permettront d’atteindre les objectifs
d’audit, d’où l’étape précédente de sélection des objectifs d’audits. Il est essentiellement destiné
aux personnes auditées, afin qu’elles puissent appréhender la mission d’audit.

Pour chaque objectif d'audit, vous allez déterminer les techniques d'audit appropriées, à savoir
la nature des tests pour obtenir une preuve suffisante, pertinente et fiable au regard des
objectifs d’audit sélectionnés.

Ces techniques peuvent être les entretiens, les tests de cheminement, des analyses de données,
etc. Je vous les présenterai dans la prochaine partie.

Pour définir la procédure d'audit, vous allez déterminer l’étendue et le calendrier des tests,
notamment :

• dans le cadre d’entretiens, la liste des personnes à rencontrer,

• pour les analyses de données, la période sur l’année en cours ou les trois dernières
années, par exemple.

Par conséquent, pour que le programme de travail puisse être opérationnel et intelligible pour
les audités, il doit comporter les informations suivantes :

• le contexte, les objectifs de la mission, qu’il faudra reprendre de la lettre de mission, et

les objectifs d’audit, définis au moyen de la grille d’audit ;
• l’approche et le périmètre des travaux, en vue de présenter les processus et activités à
auditer, ainsi que les procédures d’audit correspondantes ;
• éventuellement la liste des documents à mettre à disposition et les contacts des
auditeurs ;
• l’organisation des travaux, qui peut être utile notamment dans le cadre d’un audit sur
plusieurs sites :
o accueil et entretien avec les personnes clés chargées des données du site pour
présenter les activités, l’organisation et balayer les faits marquants de l’année,
o revue des informations collectées et analyse de données, à partir d’une revue
documentaire et des entretiens,
o synthèse orale des observations faites.

63
N’oubliez pas de faire référence à la charte d’audit et à l’approche générale des audits dans le
programme de travail, dans le cas où les personnes auditées ne connaîtraient pas le rôle de la
fonction d’audit dans l’entreprise.

Organisez une réunion de lancement

La réunion de lancement a pour objectif d’officialiser le démarrage de la mission d’audit.

Les principaux objectifs de cette réunion sont les suivants :

• valider la méthodologie de travail, qui est détaillée dans le programme de travail ;

• partager le calendrier d’intervention, les modalités de restitution des conclusions et les
modalités de suivi de l’avancement de la prestation ;
• présenter l’équipe d’intervention et leurs compétences ;
• recenser la documentation à obtenir permettant d’appréhender le périmètre audité,
• et identifier les interlocuteurs à rencontrer et définir les modalités d’échange (entretiens
individuels, ateliers de travail…).

Pour réussir ce démarrage, vous devrez :

• préparer un support de la réunion, en répondant aux objectifs ci-dessus ;

• positionner la réunion en tenant compte des disponibilités des participants, notamment
les responsables des activités auditées et, dans la mesure du possible, les opérationnels
qui seront audités ;
• diffuser un compte-rendu de la réunion de lancement ;
• et commencer la phase d’investigation sans plus tarder.

Comme je vous l’avais présenté dans la toute première partie, la communication claire et
régulière, adaptée à tous les niveaux hiérarchiques est un facteur clé de succès. En
communiquant sur les procédures d’audit, les calendriers et les documents qui seront collectés,
on ne pourra pas reprocher à votre équipe de ne pas avoir été informé, ni préparé à la mission
d’audit.

Je vous invite donc à être pédagogue : expliquez votre démarche, rappelez les objectifs, mais
également vulgarisez les concepts de contrôle interne ou de gestion des risques auprès des
opérationnels, qui ne sont pas toujours sensibilisés à ces méthodes.

En résumé :

• Contrairement à la lettre de mission, qui s’adresse plutôt au management, le programme

de travail doit être opérationnel et intelligible pour les audités. Il présente : le contexte,
les objectifs de la mission et les objectifs d’audit, l’approche et le périmètre des travaux,
éventuellement la liste des documents à mettre à disposition et les contacts des
auditeurs ;
• La réunion de lancement a pour objectif d’officialiser le démarrage de la mission d’audit,
en réunissant les auditeurs et les audités, ainsi que les sponsors, le cas échéant ;
• Le programme de travail, le support et le compte rendu de la réunion de lancement sont
des premiers moyens de communication avec les audités, qui garantiront le succès de la
mission d’audit ;
64
 • La communication permet de fédérer autour des objectifs d’audit, afin de satisfaire
toutes les parties impliquées et d’obtenir leur adhésion tout au long de l’audit.

Collectez les informations et les preuves d'audit

Vous êtes manager ou responsable d’une équipe d’auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l’audit. Vous êtes donc un chef d’orchestre qui doit s’assurer
de la bonne exécution du programme de travail, et plus globalement du bon déroulement des
audits.

Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la
taille de votre entreprise, ou de la disponibilité de votre équipe d’auditeurs.

Dans cette dernière partie du cours, je propose des méthodes et outils à la fois pour réaliser et
pour superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les
méthodes et vous assurer de la mise en œuvre des bonnes pratiques d’audit.

Pour commencer, je vais vous présenter la démarche générale de collecte d’information et de

preuve. Ce sera également l’occasion pour vous de (re)découvrir les différents outils d'audit.

Préparez le dossier de la mission d’audit

Avant de partir à la recherche d’informations et de preuves, je vais vous donner quelques

astuces pour gérer les informations et documents que vous avez collectés, ou que vous allez
produire.

Selon les normes 2330.A1, 2330.A2 et 2330.C1 “Documentation des informations”, le

responsable de l’audit interne doit :

• "[...] contrôler l’accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l’accord de
la direction générale et/ou l’avis d’un juriste avant de communiquer ces dossiers à des
parties extérieures.
• Arrêter des règles en matière de conservation des dossiers de la mission et ce, quel que
soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les
orientations définies par l’organisation et avec les exigences réglementaires ou toute
autre exigence pertinente.
• Définir des procédures concernant la protection et la conservation des dossiers de la
mission de conseil ainsi que leur diffusion à l’intérieur et à l’extérieur de l’organisation.
Ces procédures doivent être cohérentes avec les orientations définies par l’organisation
et avec les exigences réglementaires ou toute autre exigence pertinente.”

Compte tenu de la volumétrie des documents et de l'analyse de nombreuses données, sous

format papier ou électronique, il convient d'être rigoureux quant à la conservation des
documents fournis par des audités et de ceux produit par l’équipe d’audit.

65
Les documents doivent être classés de manière claire et compréhensible, et référencés afin
d’être très facilement identifiés. Pour ce faire, je vous recommande très en amont et au fil de
l’eau de les identifier, de normer leur conservation et de définir les modalités d’accès.

La création d’un répertoire partagé d’audit

En tant que chef de mission ou responsable, vous devez vous assurer que toute la
documentation liée à la mission d’audit est bien accessible dans le dossier de la mission d’audit.
Ce dossier peut être situé dans un répertoire partagé contenant tous les documents collectés et
les travaux réalisés.

La mise en place d’un répertoire partagé sur un réseau requiert une gestion rigoureuse des
accès et des droits utilisateurs. Au minimum, tous les membres de votre équipe, ainsi que votre
responsable, doivent avoir accès à ce répertoire.

Vous pouvez mettre à disposition des modèles des principaux livrables d’un audit sur ce réseau.
Dans une logique d’amélioration continue, vous pouvez stocker les anciens modèles dans un
dossier “OLD”.

Le nommage des documents

Si vous avez plusieurs missions d’audit à gérer en même temps, vous pouvez instaurer une
convention de nommage des documents.

Par exemple Référence de la mission d’audit_Année_Nomdocument_Statut.

La référence de la mission d’audit est à reprendre du plan d’audit.

L’année est celle où a lieu la mission.

Le nom du document peut être “lettre de mission”, “référentiel d’audit”, “programme de

travail”, “compte rendu d’entretien”, etc.

Le statut peut être nécessaire pour indiquer la version en cas d’aller-retour sur un document,
voire pour signaler qu’il a bien été validé.

Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :

• « Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités
;
• « Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s’incrémentant de manière chronologique ;
• « Com » lorsque la version est communiquée officiellement, notamment pour un support
de réunion ;
• « Def » lorsque le document est validé.

La conservation des documents collectés

66
Ne vous sentez pas obligé de conserver dans le dossier d’audit TOUS les documents transmis par
les interlocuteurs : seuls les documents et pièces participant aux travaux de vérification et
effectivement utilisés dans le cadre des tests d’audits doivent être conservés.

Choisissez un moyen de conservation :

• en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les
documents de travail en format électronique devront être imprimés ;
• ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas,
tous les documents en format papier devront être scannés.

Je vous conseille plutôt la conservation électronique pour plus de facilité et pour limiter les
impacts environnementaux.

Partez à la collecte d’informations et de preuves

Comment collecter les informations et constituer des preuves d’audit ?

La réunion de lancement est terminée et votre audit est lancé. La phase d’investigation
commence. Vous avez défini dans le cadre du programme de travail les procédures d’audit pour
vérifier les activités de maîtrise des risques.

À ce titre, vous avez prévu de réaliser des tests d’audit au moyen d'outils tels que des
questionnaires, des entretiens, des observations, des revues documentaires, des analyses de
données, etc.

Votre objectif est d’obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les
risques ou non. Vous devrez également vous assurer de la qualité, c’est-à-dire la pertinence, la
fiabilité et la quantité suffisante des preuves collectées.

Dans la grille d’audit que je vous ai proposée dans le chapitre précédent, vous allez compléter les
quatre colonnes de la partie “évaluation”.

La démarche est ainsi réalisée en quatre grandes étapes :

1. Réaliser les tests d’audit et collecter les preuves : vous allez décrire l’AMR sur la base des
informations qui vous ont été fournies.

2. Documenter les tests d’audit : vous précisez les preuves collectées et/ou que vous avez
constituées.

67
3. Évaluer les résultats des tests d’audit : dans la colonne “observations”, vous décrivez les
résultats obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs
d’évaluer la capacité des dispositifs de contrôle à maîtriser les risques ou non :

• Le contrôle existe-t-il ?
• Le contrôle fonctionne-t-il correctement (tel que conçu) ? Le contrôle permet-il de
maîtriser les risques, en réduisant sa probabilité d’occurrence ou les impacts ?
• Le contrôle est-il efficace et permet-il au processus d’atteindre ses objectifs ?
• Le contrôle est-il efficient et permet-il au processus d'atteindre ses objectifs tout en
optimisant l'utilisation des ressources ?

4. Élaborer une conclusion : vous allez conclure si le test répond ou non à l’objectif d’audit.

Un point fort est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :

• est bien conçu, c’est-à-dire qu’il est réalisé correctement, conformément aux procédures
et/ou à la réglementation ;
• fonctionne correctement (tel que conçu) ;
• permet de maîtriser les risques sous-jacents à un niveau acceptable ;
• permet au processus d’atteindre ses objectifs.

Un dysfonctionnement est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :

• n’est pas bien conçu ;

• ne fonctionne pas correctement (tel que conçu) ;
• ne permet pas de maîtriser les risques sous-jacents à un niveau acceptable ;
• ne permet pas au processus d’atteindre ses objectifs.

De la théorie à la pratique

Je vous ai présenté la démarche pour élaborer un référentiel d’audit sans vous fournir un
exemple concret. Je vous propose donc, dans cette section, d’illustrer cette démarche avec un
cas standard dans les systèmes d’information.

Votre direction vous demande de réaliser un audit “flash” des accès de l’application comptable
et financière avant l’arrivée des commissaires aux comptes. Les objectifs de l’audit sont de
s’assurer que la sécurité logique de l’application est maîtrisée et qu'il n’y a pas de risques de
fraude. Vous n’avez que très peu de temps et aucune ressource.

Vous allez donc devoir concevoir une grille d’audit compte tenu de ces contraintes.

Pour ce faire, je vous propose de réaliser des tests d’audit des contrôles généraux informatiques
(GCTI ou ITGC). Les contrôles généraux informatiques s’appliquent à tous les composants,
processus et données des SI d’une entreprise. Si ces contrôles ne sont pas mis en œuvre, ou ne
fonctionnent pas correctement, l’entreprise ne pourra pas se fier aux SI pour gérer les risques.

Les ITGC les plus courants sont regroupés en quatre domaines :

• les contrôles de sécurité logique pour les accès aux applications et aux données ;
68
 • les contrôles de sécurité physique pour les accès aux sites d’hébergement des serveurs et
les infrastructures ;
• les contrôles sur la gestion des changements et des incidents dans les applications ;
• les contrôles de l’exploitation, y compris la sauvegarde et la restauration des systèmes et
des données.

Dans le cadre de cet audit, nous ne nous focaliserons que sur le premier domaine concernant la
sécurité logique (document Excel en téléchargement avec les sous-domaines, les risques, les
objectifs d'audit).

Comme vous le remarquerez, les objectifs d’audits peuvent être nombreux pour vérifier un
contrôle. Ces objectifs ont été détaillés afin de s’assurer que les tests d’audit à réaliser
permettront de vérifier que les contrôles attendus sont bien réalisés et efficaces.

Afin de réaliser vos tests d’audits, vous allez devoir demander un certain nombre de documents,
que vous identifierez pour contrôle à tester. Vous allez également organiser au moins un
entretien avec le responsable de l’application comptable.

En résumé :

• Réfléchissez et mettez en place une stratégie de conservation et d’archivage des

documents d’audit ;
• La collecte et la constitution de preuves d’audit se fait en quatre étapes, en complétant
votre grille d’audit :
o Réaliser les tests d’audit au moyen d’outils que nous verrons dans le prochain
chapitre, et collecter les preuves,
o Documenter les tests d’audit,
o Évaluer les résultats des tests d’audit,
o Élaborer une conclusion.

Réalisez des tests d'audit

Vous connaissez dorénavant la démarche générale de collecte d’information et de preuve :

• réaliser les tests d’audit au moyen d’outils et collecter les preuves ;

• documenter les tests d’audit ;
• évaluer les résultats des tests d’audit ;
• élaborer une conclusion.

Au cours de la phase d’investigation, les tests d’audit permettent de garantir la pertinence, la

fiabilité et la quantité suffisante des informations et des preuves collectées. Plus globalement,
ces travaux constituent une preuve en vue de fournir une assurance aux parties prenantes que
les processus et les risques sont maîtrisés.

Vous êtes à la première étape de la démarche “réaliser les tests d’audit au moyen d’outils et
collecter les preuves”. Ce chapitre vous permettra de (re)découvrir les différents outils à utiliser
pour vos tests d’audits, pour les documenter et pour évaluer les résultats des tests d’audit, afin
de conclure sur l’existence et l’efficacité des contrôles.

69
Je vous propose ainsi de (re)découvrir :

• les bonnes pratiques en entretien d’audit ;

• le diagramme des flux ;
• les tests de cheminements et la piste d’audit ;
• les analyses de données.

(Re)Découvrir les bonnes pratiques en entretien

Vous disposez d’un panel d’outils que vous pouvez utiliser pour collecter des informations :
brainstorming, observations sur site, entretiens et questionnaires, etc.

Je vous propose de nous concentrer sur l’entretien d’audit, qui est le moyen le plus utilisé pour
collecter des informations. Mais vous vous demandez : Comment constituer des preuves avec
des échanges à l’oral ? Je vais répondre à cette question un peu plus bas.

Instaurez un climat de confiance au cours des entretiens

Les entretiens permettent de collecter des informations afin de prendre connaissance des
activités du domaine audité, et éventuellement constituer les preuves d’audit qui permettront
d‘atteindre les objectifs de la mission d’audit.

La réussite d’un entretien repose sur sa préparation en amont, le respect des personnes
interrogées et la capacité à parler leur langage. En outre, vous ne devez pas avoir d’idées
préconçues en y allant. Il s’agit là d’adopter la posture d'auditeur compétent, crédible et
bienveillant, qui applique naturellement les principes d’objectivité et d’intégrité.

La qualité des échanges repose en partie sur les compétences relationnelles de l’auditeur.
Certains contextes conduisent les audités à craindre l’exploitation de leurs dires que l’auditeur
en fera. Dans ce cas, n’hésitez pas leur rappeler qu’ils peuvent apporter des modifications sur le
compte rendu, ou bien qu’ils peuvent revenir sur les constats d’audit au cours de la phase de
validation.

Faites valider le compte rendu de l’entretien

Les entretiens ont pour avantage de donner la possibilité aux audités et aux auditeurs
d’échanger, en favorisant la communication. Ces échanges permettent de construire une
relation de travail positive tout au long du déroulement de la mission d’audit. Ils doivent faire
l’objet d’un compte rendu.

Sans validation formelle de ce compte rendu par le(s) audité(s), les informations collectées n’ont
pas par nature un caractère probant, et ne peuvent pas constituer de preuves d’audit.

Ne tardez pas à transmettre le compte rendu. Il doit être envoyé au plus tard dans les trois jours
qui suivent l’entretien. Vous pouvez préciser en réunion de lancement et dans votre message
que sans réponse sous un délai d’une à deux semaines, le compte rendu sera validé tacitement.

70
Par ailleurs, en tant qu’auditeur ou responsable de mission, les informations doivent être
corroborées. Autrement dit, elles doivent impérativement être rapprochées d’autres
informations collectées.

Soignez votre introduction et votre conclusion

La préparation de l’entretien consiste à :

• définir les objectifs de l’entretien et les thèmes à aborder ;

• identifier le(s) interlocuteur(s) ;
• collecter des informations sur le domaine concerné par l’entretien et sur le(s)
interlocuteur(s), et en prendre connaissance en amont ;
• lister les questions et les organiser par thème et sur le modèle QQOCPQ : Qui, Quoi, Où,
Comment, Pourquoi, Quand ;
• définir un guide de l’entretien ;
• organiser le rendez-vous, en transmettant par exemple une invitation par mail avec la
date, l’heure, le lieu, la durée et les objectifs de l’entretien, et les thèmes à aborder.

Au moment du rendez-vous, il est nécessaire d’introduire l’entretien afin d’établir une relation
de confiance avec le(s) interlocuteur(s) et d’encourager la transparence. Vous pouvez donc vous
présenter une nouvelle fois, rappeler les objectifs de la mission d’audit et la méthodologie.
Assurez-vous que les termes techniques sont compris par l’ensemble des participants.

Vous allez poser un certain nombre de questions, vous allez évidemment écouter les réponses
mais également reformuler et valider les réponses obtenues.

Tout comme l’introduction, la conclusion a aussi son importance afin de laisser une bonne
impression de l’audit. Elle consiste à :

• synthétiser et valider les points importants de l’entretien ; par exemple, reformuler et

valider les activités de contrôle réalisées sur le processus audité ;
• lister les documents énumérés pendant l’entretien et définir les délais de transmission de
ceux-ci ;
• présenter les étapes suivantes et les éventuels futurs échanges ;
• remercier le(s) interlocuteur(s) ;
• et réaliser un compte rendu de l’entretien, qui devra être validé de manière formelle par
le(s) participant(s).

(Re)Découvrir le diagramme de flux

Lors de la phase de préparation et de prise de connaissance du domaine à auditer, je vous avais

déjà conseillé de modéliser un diagramme de flux afin de visualiser les étapes d’un processus
et/ou d’un sous-processus, à partir de la documentation existante.

Au cours de la phase d’investigation, vous pouvez reprendre cette modélisation et la revoir avec
vos interlocuteurs au cours d’un entretien d’audit.

Pour rappel, le diagramme de flux permet de représenter graphiquement le déroulement d’un

processus :
71
 • un enchaînement chronologique d’activités ;
• les acteurs qui réalisent les activités ;
• les flux d’informations d’une activité à l’autre.

Il s’agit d’un outil :

• d’aide à la prise de connaissance, puisqu’il requiert une compréhension précise du

processus, à partir d’informations collectées dans le cadre d’entretiens ou d’analyses de
procédures, par exemple ;
• de vérification : la validation de la description graphique du processus par son
responsable permet d’en vérifier l’exactitude. L’élaboration d’un diagramme de flux est
un processus itératif : en fonction des informations collectées, vous allez le modifier afin
qu’il soit au plus proche de la réalité du terrain. Dès lors, il sera nécessaire de valider
cette nouvelle version auprès du responsable.

Rattaché au compte rendu de l’entretien, ce diagramme constitue une preuve d’audit.

Le diagramme de flux synthétise les informations que vous pourrez trouver dans une description
narrative du déroulement du processus.

Cette représentation graphique est utile à l’auditeur pour identifier et situer :

• les risques relatifs à chaque activité du processus ;

• les contrôles qui doivent permettre de les maîtriser.

Un diagramme de flux ne tient pas compte de la périodicité de réalisation des activités. Par
exemple, dans le cadre de contrôles, la fréquence n’est pas précisée dans un diagramme. Vous
devrez donc la préciser dans un autre support, notamment dans la grille d’audit.

En outre, pour être compréhensible, un diagramme de flux doit être synthétique, ce qui limite
son utilisation pour certains processus trop complexes. Comme alternative, vous pouvez
découper le processus et réaliser plusieurs modélisation sur chaque partie des sous-processus.

Quelle est la méthode pour modéliser un processus ?

Les deux méthodes de modélisation couramment utilisées sont l’ISO ou le BPM(N). Je vous
présente ci-dessous une méthode générique, inspirée des deux méthodes ISO et BPM, afin de se
focaliser sur les bonnes pratiques en matière de modélisation d’un diagramme de flux.

Vous trouverez ci-dessous les étapes de modélisation.

1. Sur un brouillon, identifiez le processus et/ou la partie du processus à représenter.

2. Identifiez les acteurs ; chaque acteur identifié fera l’objet d’une colonne du diagramme.
3. Identifiez des activités, c’est-à-dire les actions et opérations réalisées par les acteurs.
4. Identifiez des documents.
5. Identifiez les flux, à savoir les informations en entrée et en sortie de chacune des
activités. Les éléments d’entrée d’une activité sont généralement les éléments de sortie
d’autres activités.

72
 6. Dessinez le squelette de votre diagramme, c’est-à-dire positionnez les acteurs en
colonne. Puis positionnez la toute première activité qui constitue l’entrée du processus.
7. La mise en place des activités sur le diagramme s’effectue en fonction des acteurs qui les
réalisent et en fonction de leur position dans le déroulement du processus. Le sens des
flèches donne le sens de lecture : en principe, les activités vont de gauche à droite, puis
du haut vers le bas.
8. Terminez votre diagramme par la dernière activité du processus, qui peut être l’entrée
d’un autre processus.

Le sens des symboles utilisés pour élaborer un diagramme de flux doit faire l’objet d’une
compréhension commune. C’est pourquoi une légende à côté de chaque diagramme et une note
explicative des symboles utilisés sont indispensables.

Il existe une norme ISO qui définit les principaux symboles utilisés dans un diagramme de flux :
ISO 5807. Vous pouvez la consulter et l’appliquer.

Néanmoins, je vous recommande d’adapter les symboles au contexte de l’entreprise. De plus,

vous souhaiteriez probablement utiliser un logiciel de modélisation qui aura ses propres
formes et permettra d’homogénéiser la méthode de représentation graphique.

De mon point de vue, les logiciels de modélisation sont assez contraignants puisqu’ils demandent
une montée en compétence. S’ils ne disposent pas de l’outil, ou s’ils ne savent pas l’utiliser, vos
interlocuteurs ne pourront pas intégrer votre diagramme dans leur procédure, ni le modifier en
cas de changements sur le processus. En revanche, l’utilisation d’un logiciel permet
d’homogénéiser la pratique ; encore faut-il que tous les utilisateurs appliquent les mêmes formes
et les mêmes principes de modélisation.

Je vous présente ci-dessous un exemple de diagramme de flux réalisé sous PowerPoint, à partir
de formes simples. Il représente une partie de la modélisation du processus de gestion des
achats, qui débute par le sous-processus de gestion d’une demande d’achat.

73
Exemple de diagramme de flux

Il a été réalisé dans le cadre d’un audit de la gestion des achats dans une entreprise de services.
Comme vous pouvez le remarquer, les activités de maîtrise des risques ont été identifiées
directement sur le diagramme.

(Re)Découvrir le test de cheminement et la piste d’audit

En vue de collecter des informations et de constituer des preuves d’audit, il existe deux outils,
très souvent utilisés dans le cadre d’un audit :

• le test de cheminement ;
• la piste d’audit.
74
Le test de cheminement

Le principe est de suivre les différentes étapes d’une opération, de son origine jusqu’à son
dénouement ; par exemple de l’enregistrement d’un bon de commande d’un client à l’écriture de
l’opération de vente dans le compte comptable pour constater le chiffre d’affaires. Il permet
ainsi de confirmer la compréhension d’un flux de traitement et de ses contrôles.

Vous l’avez sans doute deviné : vous pouvez bien sûr vous appuyer sur un diagramme de flux
pour effectuer le test de cheminement au cours d’un entretien d’audit !

Le test de cheminement fait partie des tests de contrôles dédiés à l’évaluation de la conception
des contrôles. Lors de l’évaluation des tests d’audit, ce test répond essentiellement à la question
: “le contrôle fonctionne-t-il correctement tel qu’il est décrit dans les procédures ?”. Pour vérifier
sa mise en œuvre, il faudra collecter des preuves sur l’efficacité réelle, comme par exemple le
bon de commande observé et toutes les informations qui le relient à l’enregistrement
comptable. Nous approfondirons les tests de conception et d’efficacité dans le prochain chapitre.

À l’issue d’un test de cheminement, l’auditeur doit être capable de se faire un avis sur :

• le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux ;
• l’existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à
couvrir.

En résumé, la mise en oeuvre d’un test de cheminement s’appuie sur :

• des entretiens, dans lesquels vous allez poser des questions aux audités et observer les
activités, afin de :
o identifier les tâches et les contrôles réalisés,
o identifier les écarts entre ce qui est décrit dans les procédures ou ce qui est
attendu par le management et la réalité,
o détecter les erreurs et prendre connaissance de la manière dont elles sont traitées
;
• un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au cours des
différentes étapes du processus afin de tester l’efficacité opérationnelle des contrôles. À
ce titre, vous pouvez demander à votre interlocuteur de faire des copies d’écran des
opérations réalisées dans les systèmes, afin de constituer vos preuves d’audit.

La piste d’audit

La piste d’audit s’apparente à un test de cheminement. Elle est utilisée dans le cadre des audits
financiers pour remonter à l’origine d’une opération, de l’enregistrement dans les états
financiers à l’acte de gestion. Vous pouvez donc vous inspirer de son principe pour réaliser vos
tests d’audits. L’objectif est de s’assurer de la traçabilité des opérations.

Par exemple, l’encaissement d’un paiement d'un client est peut-être déclenché si une facture, un
bon de commande et un bon d’expédition lui sont rattachés. La piste d’audit du paiement du
client repose sur la possibilité d'identifier une facture, un bon de commande et un bon

75
d’expédition qui le sous-tendent, au moyen d’une référence unique utilisée dans chaque
opération.

La piste d’audit est l’enregistrement chronologique des activités dans les systèmes d’information
montrant tous les ajouts, suppressions, et changements apportés aux données et aux logiciels.
Les enregistrement doivent permettre de reconstituer et de contrôler une opération depuis son
origine jusqu’à son aboutissement, et inversement. On parle de piste d’audit ascendante ou
descendante.

Le caractère probant des résultats de l’analyse de la piste d’audit dépend des modalités de
sélection des opérations. D’un côté, vous ne pouvez pas conclure que les opérations sont bien
tracées dans les systèmes en ne réalisant qu’un seul test unitaire. De l’autre, vous n’aurez pas le
temps d’analyser l’exhaustivité des opérations dans les systèmes.

La sélection par échantillonnage est ainsi une méthode qui permettra de constituer des preuves
probantes. L’analyse de données au moyen d’un outil pourra vous aider à constituer un
échantillon plus large.

L’échantillonnage, ou sondage, permet, à partir d’un échantillon sélectionné aléatoirement dans

une population de référence, d’extrapoler à l’ensemble de la population les observations
effectuées sur l’échantillon.

Cette méthode permet donc d’étudier les caractéristiques d’une population dont la taille ne
permet pas une analyse exhaustive.

La taille de l’échantillon est déterminée en fonction :

• du niveau d’assurance souhaité, 20 % pour une assurance modérée et 50 % pour une

assurance raisonnable ;
• de la méthode d’échantillonnage si elle est définie dans des procédures d’audit et/ou de
contrôle internes ;
• du jugement professionnel.

Par exemple, la taille de l’échantillon peut dépendre de la fréquence du contrôle ou de la taille

de la population. Voici des illustrations de grilles qui peuvent être appliquées :

76
Déterminez votre échantillon

À noter qu’en cas d’écarts identifiés dans l’échantillon testé, un échantillon supplémentaire sera
tiré afin de déterminer le caractère reproductible des anomalies au sein de la population testée.

(Re)Découvrir l’analyse de données

L’analyse de données au moyen d’un outil peut aider à constituer un échantillon plus large,
voire à réaliser le test d’audit sur toute la population.

Au moyen d’un outil spécialisé (Excel, MS Access, IDEA, ACL, etc.) appelé “CAAT” (Cumputerized
Assisted Audit Tool), vous allez analyser les données d’un système de votre entreprise, sur de
grands volumes.

Néanmoins, les prérequis sont assez techniques. Il convient de :

• connaître et comprendre le mode de stockage et de formatage des données dans le

système ;
• maîtriser l’outil d’analyse de données utilisé ;
• s'assurer de la fiabilité et de la disponibilité des données à analyser.

Je vous laisse découvrir la démarche dans le cadre d’une analyse de données réalisée au moyen
d’un outil dédié.

1. En amont, vous allez définir les procédures d’audit (échantillonnage, tests à réaliser sur
les données) à partir des objectifs d’audit. Puis, vous déterminerez les données à utiliser

77
 (population, format, modalités de mise à jour, modalités d’accès...). Vous devez
impérativement vous assurer de leur fiabilité, en les rapprochant avec d’autres sources
ou en collectant des procédures.
2. Vous devez disposer des droits d’accès aux données dans le système, ou bien demander
à une personne de vous transmettre les données sous la forme d’extraction, dont le
format doit être spécifié.
3. Après avoir déterminé l’outil CAAT à utiliser, assurez-vous de disposer des ressources
nécessaires (matérielles, humaines, logicielles).
4. Vous allez donc pouvoir paramétrer l’outil d’analyse de données et réaliser les tests.
5. Pour documenter les tests d’audit et constituer des preuves, vous devez conserver les
données en entrée, les traitements (paramètres, code source), et les données en sortie,
ainsi que la description de vos tests et les conclusions.

Pour illustrer avec un exemple, revenons à l’audit des accès au système comptable. Sur la gestion
des habilitations des utilisateurs, un des objectifs d’audit est de vérifier la suppression
systématique des comptes utilisateurs à la fin de la période de validité d'un contrat pour les CDD
et intérimaires. Ce contrôle doit permettre de prévenir le risque qu’une personne non autorisée
accède au système et utilise, diffuse, endommage ou détruise des données.

La procédure d’audit doit se dérouler au moyen d’une analyse de données :

• collecter la liste des employés temporaires en CDD et en intérim au cours des 3 dernières
années, extraite du système de paie. Seules les informations suivantes ne seront
collectées : le matricule, le type de contrat et la date de fin ;
• collecter la liste des comptes utilisateurs actifs, extraite du système comptable, avec le
matricule ;
• rapprocher les deux listes au moyen d’Excel afin d’identifier les comptes utilisateurs qui
auraient dû être désactivés du fait d’une date de fin de contrat antérieure à la date du
jour.

Le test d’audit est réalisé : dans la liste des comptes utilisateurs actifs, rechercher le matricule
parmi la liste des employés temporaires en CDD et en intérim, et afficher la date de fin de
contrat. Si cette date est antérieure à la date du test, le compte utilisateur aura dû être
désactivé.
78
Vous avez identifié un compte utilisateur d’un employé temporaire qui est parti trois mois
auparavant, sur les dix comptes utilisateurs actifs. Il s’avère après discussion qu’il s’agit du seul
employé en contrat temporaire ayant disposé d’un accès au système comptable au cours des
trois dernières années.

L’analyse des deux extractions constituent la preuve du test d’audit sur l’existence et l’efficacité
du contrôle. En l'occurrence, vous pouvez constater l’absence de contrôle et que le risque n’est
pas couvert.

En résumé :

• Les facteurs de réussite d’un entretien d’audit sont les suivants : le climat de confiance,
le soin apporté à l’introduction et à la conclusion, la validation formelle du compte rendu
par les participants ;
• Le diagramme de flux est à la fois un outil d’aide à la prise de connaissance, puisqu’il
requiert une compréhension précise du processus, et un outil de vérification. La
validation de la description graphique du processus par son responsable permet d’en
vérifier l’exactitude. Son élaboration résulte d’un processus itératif ;
• Le test de cheminement permet à l’auditeur de se faire un avis sur le bon
fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux, et de prouver l’existence des contrôles, ou leur absence, et leur
pertinence par rapport au(x) risque(s) à couvrir. Il s'appuie sur des entretiens et le
diagramme de flux ;
• La traçabilité des opérations peut être auditée au moyen de la piste d'audit. La sélection
des opérations à tester par échantillonnage est une méthode qui permettra de constituer
des preuves probantes. L’analyse de données au moyen d’un outil peut aider à constituer
un échantillon plus large, voire de réaliser le test d’audit sur toute la population.

Supervisez des tests d'audit

En que manager ou responsable d’une équipe d’auditeurs, internes ou externes, vous devez
vous assurer de la bonne exécution du programme de travail, et plus globalement du bon
déroulement des audits.

Dans le chapitre précédent, vous avez (re)découvert des outils à utiliser pour vos tests d’audits.

Dans ce chapitre, je vous propose de vous présenter les bonnes pratiques pour superviser les
missions d’audit, et plus particulièrement pour revoir les tests d’audit, afin de vérifier que les
informations collectées sont pertinentes, fiables et en quantité suffisante, avec des preuves
probantes. En effet, la confiance n’exclut pas le contrôle.

Déléguez et/ou supervisez

Une mission d’audit peut faire intervenir plus de deux auditeurs, ce qui en fait une équipe à
gérer. Dès lors, le travail en équipe doit être organisé afin de réaliser des travaux de qualité. En
tant que manager ou chef de mission, ou bien responsable du service d’audit interne, des
règles de délégation et de supervision doivent être définies.

79
Les trois principaux rôles dans une mission d’audit

Il existe trois principaux rôles dans une mission d’audit :

• le directeur ou responsable de l’audit ;

• le chef de mission ou le manager ;
• l’auditeur ou le collaborateur.

Intéressons-nous plus précisément à ces trois rôles.

Le directeur ou responsable de l’audit

Le directeur ou responsable de l’audit est un référent technique des managers ; il intervient

dans les missions de manière spécifique et ponctuelle. En revanche, il participera aux grands
jalons de la mission, à savoir la réunion de lancement et la réunion de clôture de l’audit.

Le directeur ou responsable de l’audit fixe la stratégie et les objectifs de la fonction d’audit

interne. Il définit l’organisation et le plan d’action pour déployer la stratégie d’audit, que nous
avons traitée dans la toute première partie. Le directeur ou responsable de l’audit intervient
également dans la définition du plan d’audit ; c’est lui qui a la responsabilité de la mise en œuvre
de ce plan, sujet que nous avons traité dans la deuxième partie du cours.

Le chef de mission ou le manager

Le chef de mission ou manager est le référent technique des auditeurs. Il supervise et assure le
suivi des missions d’audit dont il a la responsabilité. C’est lui qui élabore le programme de travail,
organise les réunions et les entretiens.

Tout comme le directeur peut remplacer un chef de mission dans le cadre d’un audit, un chef de
mission peut remplacer un collaborateur.

L'auditeur ou le collaborateur

L’auditeur ou le collaborateur réalise majoritairement des travaux d’audit sous la responsabilité

du chef de mission. D’un point de vue opérationnel, c’est lui qui :

• exploite et analyse les informations transmises par les audités ;

• est le point de contact avec les audités pour obtenir des compléments d’information ou
des pièces manquantes ;
• exécute les missions dans le respect des normes, des procédures internes et des délais ;
• prévient le chef de mission de toute difficulté au cours de la mission.

Déléguer ne signifie pas qu’on renonce à ses responsabilités

La délégation permet au directeur ou au manager de transférer une partie de ses responsabilités

au manager ou à un collaborateur. Déléguer n’est pas une obligation, mais cela peut être une
nécessité en cas d’imprévu, pour dégager du temps en vue de réaliser une mission, à la suite
d’une demande d’assurance inopinée de la direction générale.

80
Le manager ou le collaborateur va donc réaliser une partie des tâches qu’il ne ferait pas en temps
normal. Celui qui délègue doit en revanche rester concerné par les résultats du travail du
manager ou du collaborateur, et faire le point régulièrement avec son équipe.

La supervision est une obligation

Selon la norme 2340 “Supervision de la mission” du CRIPP, “les missions doivent faire l’objet
d’une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et
le développement professionnel des auditeurs effectué.”

La supervision d’une mission consiste à :

• suivre l’avancement de la mission ;

• prendre en considération la compétence et la capacité des équipes ;
• vérifier la bonne compréhension des instructions par les équipes, notamment dans le
programme de travail ;
• s’assurer que les travaux sont menés conformément à la démarche définie et aux
procédures d’audit ;
• modifier le cas échéant la démarche prévue initialement dans le programme de travail,
en cas de problèmes importants.

La supervision relève donc des responsabilités du chef de mission et/ou du directeur de l’audit.

Supervisez les tests d’audit

La supervision de la mission d’audit doit être un exercice permanent. En tant que chef de
mission et/ou de directeur de l’audit, vous allez organiser des points réguliers avec l’équipe
d’auditeur et revoir tous les livrables clés de la mission d’audit avant leur communication.

Dans le cadre de la phase d’investigation, je vous propose de nous focaliser sur la supervision
des tests d’audit. À ce titre, c’est le chef de mission, ou bien le directeur de l’audit s’il remplace
ce dernier, qui en a la charge et la responsabilité.

Pour ce faire, il existe un outil très simple à mettre en place, à partir de la grille d’audit : les fiches
de tests.

Qu’est-ce qu’une fiche de tests ?

L’auditeur décrit et documente les résultats des tests d’audit sous la forme d’une fiche, afin de
de constituer une preuve suffisante, fiable et pertinente de ses travaux.

La fiche de test doit contenir au minimum :

• le nom de l’auditeur qui réalise le test ;

• la date de réalisation du test ;
• la source des informations utilisées pour réaliser le test ;
• les résultats intermédiaires permettant d’aboutir à la conclusion ;
• la conclusion du test.

81
Dans la plupart des cas, elle se trouve dans le même classeur (ou fichier Excel) que la grille
d’audit ; un onglet correspond à une fiche de tests et une fiche de test correspond à un contrôle
ou à un objectif d’audit à tester, issu de la grille.

Le format peut être différent selon les pratiques, il n’y a pas de formalisme préconisé.

Grâce aux fiches de tests, le chef de mission et/ou le directeur de l’audit pourront vérifier que
tous les objectifs de la grille d’audit ont bien été testés en bonne et due forme.

Prenons un exemple

Pour vous fournir un exemple de fiche de tests, revenons à l’audit des accès au système
comptable, téléchargeable ici.

La grille d’audit comporte six activités de maîtrise des risques attendues et treize objectifs
d’audit ; il y aura donc treize fiches de tests à formaliser sous cette forme très détaillée, que je
vous propose de télécharger au format Excel.

Cette fiche de test comporte deux grandes parties.

Dans un premier temps, vous avez les informations générales :

• les modalités de réalisation et de supervision ;

• des informations reprises de la grille d’audit ;
• le script de tests qui est le pas-à-pas des tests à réaliser, et les documents à collecter, afin
de guider l’auditeur ;
• le nom de la personne interviewée, en cas de demande de complément ;
• les conclusions du test.

Dans un second temps, les deux étapes de réalisation du test qui sont :

• les tests de conception : pour chaque document collecté, l’auditeur va vérifier les
contrôles formalisés et décrire précisément ce qu’il a effectué. Il va également donner
son avis sur cette étape du test de conception. S’il a bien trouvé ce qu’il attendait, l’étape
de test sera “réussie” ; dans le cas contraire, elle sera en “échec” ;
• les tests d’efficacité : dans l’exemple communiqué, cette étape ne s’applique pas, étant
donné qu’il s’agit d’une revue documentaire. En revanche, elle s’applique dans des cas de
tests nécessitant un échantillonnage.

Par exemple, pour l’objectif d’audit “s'assurer de l'existence d'une procédure centralisée de
gestion des comptes utilisateurs permettant de traiter les demandes, attributions, ouvertures,
suspensions, modifications et clôtures des comptes utilisateurs et des droits associés...” rattaché
au sous-domaine “Gestion des habilitations utilisateurs”, le test d’efficacité consistera à :

• sélectionner un certain nombre de demandes de gestion de comptes utilisateurs, en

fonction de la méthodologie d’échantillonnage ;
• pour chaque demande, s’assurer que la procédure a bien été appliquée.

Validez avec les audités le résultat des tests d’audit

82
Les fiches de tests sont des documents de travail réalisés dans le cadre de la mission. Cela ne
signifie pas que vous ne devez pas les partager.

À la fin des tests d’audit, votre référentiel d’audit doit être entièrement complété.

Référentiel d'audit

Je vous recommande de communiquer le résultat des tests avec les audités après la revue de la
fiche de test par le responsable de la mission.

Vous pourrez ainsi expliquer votre méthode de travail, qui a permis de conclure sur le caractère
satisfaisant ou non des dispositifs de contrôle. Les audités, quant à eux, auront la possibilité de
vous fournir des compléments d’information.

Vous rentrez ainsi dans la phase de validation, qui est primordiale et parfois oubliée. Il s’agit de
mettre en œuvre une démarche contradictoire, pour donner l’opportunité aux audités de revenir
sur certaines observations et recommandations.

En résumé :

• la délégation n'est pas une obligation, contrairement à la supervision ;

• la supervision relève des responsabilités du chef de mission et/ou du directeur de l’audit ;
• la supervision des tests d'audit peut être réalisée à l'aide d'une fiche de tests, qui devra
être soigneusement complétée. L’auditeur y décrit et documente les résultats des tests
d’audit, afin de constituer une preuve suffisante, fiable et pertinente de ses travaux ;
• grâce aux fiches de tests, le chef de mission et/ou le directeur de l’audit pourront vérifier
que tous les objectifs de la grille d’audit ont bien été testés en bonne et due forme.

Faites valider vos résultats

Nous sommes à la fin de la phase d’investigation ; vous avez :

• collecté les informations ;

• constitué les preuves d’audit au moyen d’outils tels que les entretiens ou des analyses de
données ;
• analysé les informations collectées au moyen de tests d’audit.

À l’issue de cette phase d’investigation, vous devez avoir rédigé une première version du
rapport d’audit, dont les observations et les recommandations devront être validées par les
audités. Ensuite, dans le cadre de la troisième phase de validation, vous allez initier une

83
démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines
observations et recommandations, et de fournir aux auditeurs des compléments
d’informations, avant la présentation des conclusions de l’audit.

Dans ce dernier chapitre, je vais vous présenter les activités clés de ces dernières étapes d’un
audit. Je vous proposerai également des outils pour rédiger le rapport d’audit et formuler vos
recommandations, afin qu’elles soient percutantes.

Élaborez des recommandations pragmatiques et pertinentes

Les contrôles recensés dans le référentiel d’audit ont fait l’objet de tests d’audit par vos
collaborateurs ou par vous-même. Ce référentiel complété est le résultat de l’évaluation des
dispositifs de contrôle interne, qui constitue une preuve suffisante, fiable et pertinente de ces
travaux.

Vous avez renseigné la colonne “recommandation”. Je vous propose ci-dessous des bonnes
pratiques pour mieux formuler vos propositions d’amélioration.

Votre
référentiel est désormais complété

Après avoir réalisé les tests de conception et d’efficacité, vous devez identifier les raisons pour
lesquelles le contrôle n’est pas mis en œuvre de manière satisfaisante. Vous allez élaborer des
mesures correctives.

Dans un premier temps, afin de remédier de façon durable au dysfonctionnement, c’est-à-dire

l’écart entre ce qui est attendu et la situation constatée, l’auditeur doit en analyser en
profondeur les raisons. La qualité de cette analyse des causes se répercutera sur la qualité des
recommandations. Autrement dit, vous allez expliquer selon vous et de façon factuelle,
“pourquoi” le dysfonctionnement a eu lieu. Vous devez disposer de preuves suffisantes pour
argumenter les causes.

Dans un deuxième temps, vous allez élaborer la recommandation, qui est l’expression d’une
mesure qui vise à renforcer la conception ou l’efficacité du contrôle.

Il se peut que pour corriger un dysfonctionnement donné, il existe plusieurs solutions. Le choix
de la mesure corrective qui fera l’objet de la recommandation sera déterminé en fonction du
coût, de la rapidité et de la facilité de mise en œuvre.

Par exemple, dans le cadre du test de conception, le contrôle attendu est mentionné, mais il
n’est pas décrit précisément dans la procédure. Il peut s’agit d’une validation du management
qui est requise pour la création d’un compte utilisateur dans un système.

84
Dans le cadre du test d’efficacité, vous avez sélectionné une vingtaine de demandes de création
de compte utilisateur. 50 % des demandes de votre échantillon n’ont pas été validées par un
manager. Dans 30 % des cas, la validation a été transmise par mail, dans 20 % des cas restants, le
manager a signé sur le formulaire de demande de création de compte utilisateur :

• dans cet exemple, le contrôle attendu est le suivant : “les procédures doivent être
établies pour s'assurer que les actions relevant de l'ouverture, de la modification et de la
fermeture des comptes utilisateurs sont réalisées au moment opportun”. Ce contrôle
permet de maîtriser le risque qu’une “personne non autorisée accède au système et
utilise, diffuse, endommage ou détruise des données” ;
• le dysfonctionnement que vous avez constaté est que la moitié des demandes de création
de compte utilisateur ne respecte pas la procédure, puisqu’elles n’ont pas été validées
par le management ;
• la cause est le manque de précision sur la validation de la demande de création de
compte dans la procédure, puisqu’elle est seulement mentionnée. C’est pourquoi la
validation a pris plusieurs formes : la validation par mail et la validation sur le formulaire ;
• les mesures correctives que vous pouvez proposer sont les suivantes :
o la mise à jour de la procédure, en précisant que la validation du management se
fait par mail ;
o la mise à jour du formulaire, en intégrant un nouveau champ permettant au
management de valider la demande et la mise à jour de la procédure ;
o la mise en œuvre d’un workflow automatique, qui enverra directement un mail au
manager, afin qu’il clique sur un lien pour valider une demande de création de
compte utilisateur ;
• le coût d’implémentation et la complexité de la mise en œuvre de la troisième
proposition, puisqu’elle nécessite un développement dans le système, devront être
évalués. La seconde proposition semble beaucoup plus adaptée en fonction du triptyque
coût, rapidité et facilité de mise en œuvre.

Formalisez vos recommandations à l’aide de fiches de constats

Les fiches de constat sont la formalisation du résultat de la comparaison entre le référentiel

d’audit (la situation normale et attendue) et la réalité observée (la situation actuelle).

Cette fiche synthétise l’opinion de l’audit interne sur la conception et le fonctionnement des
contrôles qu’il a audités.

La fiche de constat peut contenir :

• le référentiel : à savoir le contrôle attendu et le risque à couvrir ;

• les constats et observations de l’auditeur, présentant les causes et les conséquences ;
• la conclusion, qui peut prendre la forme d’une évaluation du risque, compte tenu du
contrôle réalisé, ou d’une échelle de satisfaction (non satisfaisant, satisfaisant) ;
• la(les) recommandation(s) ou mesure(s) corrective(s) ;
• les commentaires des audités.

Si vous choisissez de formuler la conclusion sous la forme d’une évaluation du risque, je vous
invite à suivre le cours sur l’analyse des risques. En l’occurrence, vous allez réévaluer la criticité

85
du risque brut en fonction de la conception et de l’efficacité du contrôle qui a été constaté lors
de l’audit. Vous obtiendrez ainsi la criticité nette du risque.

Ces fiches de constat constituent le corps du rapport d’audit.

Le format peut être différent selon les pratiques documentaires. Il n’y a pas de formalisme
préconisé.

Je vous présente ci-dessous un exemple de fiche de constat à partir de l’illustration précédente.

Fiche
de constat

Cette image est également accessible en format Excel.

Partagez une première version du rapport d’audit

Le rapport d’audit détaillé, à l’attention des audités, doit au minimum contenir les informations
suivantes :

• l’objet de la mission d’audit, en rappelant le contexte et les objectifs ;

• le périmètre de la mission (activités auditées, période, sites audités...) ;
• les résultats : observations, conclusions, recommandations, plan d’action.

La conclusion peut prendre la forme d’une évaluation du risque. En l'occurrence, je vous invite à
suivre le cours sur l’analyse des risques.

86
Si le risque est accepté, la recommandation peut ne pas faire l'objet d'un plan d'action.

Le format peut être différent selon les pratiques documentaires de chaque service d’audit
interne. Il n’y a pas de formalisme préconisé.

Une synthèse, à l’attention de votre direction et des parties prenantes, pourra être rédigée. Dans
ce cadre, le directeur de l’audit se prononce sur la maîtrise des risques et la bonne gestion, ou
non, des activités et des opérations sur le périmètre audité.

Cette synthèse contient :

• les résultats de la mission d’audit ayant un impact sur l’ensemble de l’organisation et sur
l’atteinte des objectifs de l’entreprise ;
• une opinion globale, positive ou négative, sur la capacité du domaine audité à maîtriser
les risques majeurs.

Cette synthèse peut être intégrée au rapport d’audit ou faire l’objet d’une note à part.

Comme indiqué à plusieurs reprises dans ce cours, je vous invite à communiquer les résultats de
l’audit, voire la première version du rapport d'audit, aux différentes personnes que vous avez
sollicitées et à leur responsable. Vous rentrez ainsi dans la phase de validation.

La démarche contradictoire peut se dérouler au cours d’un nouvel entretien avec les audités.
Vous y présenterez les points forts et les axes d’amélioration, de manière factuelle et en
argumentant à partir des tests d’audit réalisés.

Vos interlocuteurs pourront vous fournir des compléments d'information et de preuves à

analyser. Le cas échéant, les constats et recommandations seront reformulées. N’hésitez pas à
faire valider par les responsables du domaine audité la cohérence et la formulation définitive de
l’ensemble des observations d’audit.

À la suite de ces ajustements, vous disposerez d’une version quasiment finalisée du rapport
d’audit. Ce sera le résultat tangible de l'audit, qui pourra être partagé et communiqué au cours
de la réunion de clôture.

Organisez la réunion de clôture

La réunion de clôture permet de partager les observations d'audit, qui ont été préalablement
validées par les audités, et de présenter les modalités de suivi de la mission d'audit.

Les principaux objectifs de cette réunion sont les suivants :

• rappeler les objectifs de la mission et les objectifs d’audit, ainsi que les modalités
d’élaboration et de diffusion du rapport ;
• présenter les points forts, ce qui permettra à l’organisation de capitaliser sur ses bonnes
pratiques et de les diffuser ;
• présenter les observations d’audit, au cours de laquelle il peut être demandé aux
auditeurs de produire les preuves pour justifier un constat d’audit ;

87
 • présenter les modalités de suivi de la mission, telles que la définition d’une date limite de
diffusion du plan d’action et l’identification d’un responsable du suivi de la mise en œuvre
des mesures correctives.

La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des
plans d’action à mettre en œuvre afin de maîtriser les risques et améliorer les dispositifs de
contrôles, et in fine aider à atteindre les objectifs de l’entreprise. Cette phase ne relève pas du
champ de responsabilité d’un directeur de l’audit, qui ne peut être juge et partie.

L’audité est un client

Notre cours s’achève. Comme vous pouvez le noter, l’audit est une discipline transversale, qui
demande une certaine polyvalence, avec de fortes compétences à la fois techniques et
fonctionnelles, des compétences également en stratégie et en management.

En matière de savoir-être, avoir des qualités relationnelles permet de rendre les missions plus
appréciables, car la communication à tous les niveaux hiérarchiques de l’entreprise est un
facteur clé de succès.

L’audit est loin de l’image de l’inspecteur austère et fermé. Pour améliorer les processus et aider
l’entreprise à atteindre ses objectifs stratégiques, l’audit doit être à l’image d’un juge, intègre et
neutre.

Pour conclure, j’ajouterai que l’audit a pour objectif de produire un service et donc de satisfaire
ses clients. Et les clients ne se résument pas à la direction générale et aux parties prenantes. Les
clients de la fonction d’audit s’étendent à toute l’entreprise, puisque c’est elle qui bénéficie du
service. En d’autres termes, les audités sont les clients que l’audit doit chercher à satisfaire, en
leurs proposant notamment des recommandations utiles et pertinentes.

Votre volonté de servir et votre sens du service seront donc des atouts pour mener vos missions
d’audit avec succès. Pensez bien à soigner la première impression et la dernière impression que
vous laisserez !

88