Résumé audit

CHAPITRE 1
Audit interne vs audit externe :

L’audit interne

- permet une certaine continuité des analyses réalisées,

- possibilité de reprendre les conclusions des interventions précédentes
- Possède une meilleure connaissance de la culture d’entreprise
- il est moins coûteux.

L’audit externe

- permet une plus grande indépendance pour l’auditeur,

- une plus large gamme de références extérieures (degré de professionnalisation plus élevé).
- permet de cacher la personnalité du prescripteur.

L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à
créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

 les objectifs stratégiques : la manière dont le management entend atteindre les objectifs de
l’organisation.

 les objectifs opérationnels concernent l’efficacité et l’efficience des activités d’une

organisation.

 les objectifs de reporting concernent la fiabilité du reporting interne & externe.

 les objectifs de conformité concernent le respect des lois et des réglementations.

3 étapes dans le processus d’audit interne : planification + réalisation + communication des résultats

Création de l’IIA en 1941  professionnaliser et donner du crédit aux missions d’audit interne

CHAPITRE 2
Publication du CRIPP en 2006 (Cadre de Référence International des Pratiques Professionnelles) :
donne les compétences des auditeurs, les caractéristiques du service et la nature des missions ainsi
que les critères de qualité permettant de mesurer la performance des activités.

Dispositions obligatoires : définition, code de déontologie et normes

Dispositions fortement recommandées : lignes directrices de mises en œuvre, ligne directrices

complémentaires.

Audit interne : assurance (gouvernance, gestion des risques et contrôle) // point de vue (catalyseur,
analyses et évaluations) // objectivité (intégrité, devoir de rendre compte et indépendance)

4 principes fondamentaux (dont 12 règles de conduite) : intégrité + objectivité + confidentialité +

compétence
3 types de normes :

- qualification : caractéristiques des organisations et des auditeurs (série 1000)

- fonctionnement : nature des missions et critères de qualité (série 2000)
- mise en œuvre : précisent les normes de qualification et de fonctionnement en indiquant les
exigences applicables aux activités d’assurance et de conseil (A et C)

Les normes de qualifications :

- 1000 : mission, pouvoirs et responsabilités  charte qui énonce la mission, les pouvoirs et
les responsabilités de l’audit interne. La charte prend acte que l’auditeur respecte le CRIPP
- 1100 : indépendance et objectivité  indépendance c’est la capacité à assumer de manière
impartiale ses responsabilités. Objectivité : attitude impartiale qui permet aux auditeurs
d’accomplir leur mission de sorte qu’ils soient certains de la qualité de leurs travaux. Pas de
subordination de leur jugement aux autres personnes
- 1200 : compétence et conscience professionnelle  connaissances suffisantes pour évaluer
le risque de fraude et la capacité de l’entreprise à géré ce risque. Connaissances suffisantes
des principaux risques liés aux technologies de l’information et aux techniques d’audit
informatisés.
- 1300 : programme d’assurance et d’amélioration qualité. Evaluations internes et externes.
Internes = surveillance de la performance, évaluations périodiques. Externes = réalisé tous les
5 ans par un évaluateur indépendant, extérieur à l’organisation

Les normes de fonctionnement :

- 2000 – Gestion de l’audit interne ;

- 2100 – Nature du travail ;
- 2200 – Planification de la mission ;
- 2300 – Accomplissement de la mission ;
- 2400 – Communication des résultats ;
- 2500 – Surveillance des actions de progrès ;
- 2600 – Communication relative à l’acceptation des risques

Lignes directrices de mise en œuvre sont une série plus étoffée et plus complète d’orientations qui
aident les auditeurs interne à se mettre en conformité avec les Normes.

Lignes directrices complémentaires fournissent des instructions détaillées pour mener des activités
d’audit interne. Elles concernent des domaines d’activité, des thématiques sectorielles et proposent
des processus et des procédures, des approches séquentielles ainsi que des exemples de livrables.

Nouveau CRIPP de juillet 2015 : GTAG et GAIT deviennent des lignes directrices complémentaires.

CHAPITRE 3
Gouvernance : processus piloté par le conseil qui consiste à autoriser, diriger et surveiller les activités
de directions générales en vue de réaliser les objectifs de l’organisation.

Conseil : orientation stratégique + définition des objectifs

Une fois que le Conseil a déterminé les seuils de tolérance et le champ des opérations, il doit
déléguer aux membres de la direction générale le pouvoir de gérer les opérations dans le respect de
ces seuils.
La direction générale a alors pour responsabilité de mettre en œuvre les orientations données par le
Conseil de façon à atteindre les objectifs de l’organisation, tout en respectant les seuils de tolérance
que celui-ci a définis.

Propriétaire des risques : personnes qui ont la responsabilité de veiller à ce que les activités de
gestion des risques permettent de gérer efficacement les risques conformément aux seuils de
tolérance au risque de l’organisation

Activités d’assurance : dernière composante de la gouvernance. Donne au conseil et à la DG, une

évaluation objective de l’efficacité des activités de gouvernance et de gestion des risques. Ces
assurances sont souvent données par l’audit interne.

Modèle des lignes de maitrises multiples : différents niveaux d’assurance pour maitriser les risques :

- Ligne 1 : activités de contrôle interne réalisées par des collaborateurs et le management

- Ligne 2 : autres activités d’assurance réalisées par des collaborateurs rattachés à des niveaux
hiérarchiques différents des contrôleurs internes
- Ligne 3 : forme d’assurance la plus indépendante et objective  géré par l’audit interne car
rattaché au conseil et ne fais pas de gestion

CHAPITRE 4
Définition du COSO pour les risques : la possibilité qu’un évènement survienne et ait un impact
défavorable sur la réalisation des objectifs.

COSO (Committee of Sponsoring Organizations of the Treadway Commission) : créé en 1985 aux USA
avec l’objectif d’identifier les facteurs causant une information financière frauduleuse et proposer des
recommandations pour réduire la fréquence.

Définition du COSO pour le management des risques : processus mis en place par l’organisation. Il est
pris en compte dans l’élaborations de la stratégie et dans toutes les activités de l’organisation. Il est
conçu pour identifier les risques, les gérer et les maintenir dans les limites de l’organisation pour son
appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs.

Cube COSO :

- Face supérieure : objectifs de l’organisation

- Face avant : composant du management des risques
- Face latérale : caractère multidimensionnel du management des risques

Norme ISO 31000 : approche de la gestion universelle des risques. Trois sections : principes, cadre
organisationnel et processus

Norme 2120 du CRIPP : l’audit interne doit évaluer l’efficacité des processus de management des
risques.

CHAPITRE 5 : CONTROLE INTERNE

Etape 1 : saisie des procédures  recenser toutes les procédures qui conduisent aux travaux de
comptabilisation. Choisir les procédures en fonction de l’organisation, de la nature des risques, du
caractère répétitif des données. Objectif : comprendre le système d’information et le contrôle interne
et mener un programme de test pour s’assurer du bon fonctionnement du système et de ses
contrôles.

Etape 2 : tests de conformité ou d’existence : s’assurer que l’auditeur a bien appréhendé les systèmes
et les procédures de l’entreprise et que ce qui a été décrit correspond à une réalité non déformée.
Objectifs : rectifier les erreurs de compréhension, corriger les inexactitudes dans les informations
recueillies.

Etape 3 : évaluation préliminaire du contrôle interne : dégager les sécurités et les défaillances qui font
naitre un risque d’erreurs et de fraudes. Objectifs : mettre en évidence les points faibles et les points
forts des procédures.

Etape 4 : tests de permanence : vérifier que les procédures correspondent aux points forts du
système comptable et sont appliquées de manière constante.

Etape 5 : évaluation définitive du contrôle interne : les tests de permanence permettent de distinguer
parmi les points forts théoriques ceux qui ne font pas l’objet d’application. Ces points doivent être
rangés comme faiblesse lors de la première évaluation du contrôle interne. A cette étape, nous
rédigeons un rapport.

TECHNIQUES D’APPRECIATION DU CONTROLE INTERNE : interviews, questionnaires de contrôle

interne et diagramme de circulation.

Les différents types de diagramme :

- Vertical : simple à rédiger + peu de problème au lecteur grâce à la correspondance qui existe
entre les parties graphiques et les parties narratives. Ses défauts : s’étale sur plusieurs pages
et ne permet pas de déterminer si la séparation des tâches est suffisante.
- Horizontal : opérations chronologiques. Plus complexe d’utilisation mais outil d’évaluation
efficace. Il peut y avoir plusieurs lignes de flux donc faut faire attention à la clarté. Avantage :
par une simple visualisation, on analyse les aspects d’une transaction et rendre aisée
l’élaboration de la synthèse par le repérage des contrôles clés.

CHAPITRE 6 :
Définition système d’info : système de traitement informatisé qui permet l’acquisition et le traitement
d’informations ainsi que la restitution des données et des résultats sous différentes formes, fiables et
objectifs.

A ne pas confondre avec le système informatique qui est l’outil employé pour traiter une information.
Le système informatique est le support du système d’infos.

Référentiel COBIT 2019 : bonnes pratiques en matière de SI

Principales composantes du SI : Matériel informatique, réseaux, logiciels, database, information et

ressources humaines.

Opportunités des SI : progiciels de gestion intégré des ressources et échange de données

informatisées

Risques : risque de sélection, matériel/logiciel, indisponibilités, fraude et actes malveillants….

Norme 2110 A.2 : audit interne doit évaluer si la gouvernance des SI soutient la stratégie et les
objectifs de l’organisation. Le GTAG 17 précise que le SI relève de la responsabilité du Conseil et de la
DG.

CONTROLES RELATIFS A LA GOUVERNANCE DES SI : sous-ensemble du contrôle interne et relève de la

compétence du conseil et de la DG

J’ai pas fini le résumé du chap 6 mais sah trop la flemme <3