Académique Documents
Professionnel Documents
Culture Documents
L'AUDIT INTERNE
ENCG Casablanca - 2015 2
Plan de la présentation
A) L’audit interne
- Définition
- Rôles
- Conditions d’exercice (indépendance)
B) Les champs d’évaluation de l’audit interne
- Contrôle interne- cadre de référence : le COSO I
- Management des risques- COSO II
- COSO III
- Rôle de l’audit interne
C) Les processus clefs de l’audit interne
- Planification du programme d’audit,
- Conduite de la mission : planification, accomplissement, communication des résultats, suivi des actions de progrès
D) Les normes : leur finalité, leur rôle, leur évolution
INTRODUCTION
ENCG Casablanca - 2015 4
Introduction
Audit interne : Activité qui a connu beaucoup de changements courant les dernières années.
Fonction qui prend de plus en plus d’importance suite aux différents scandales financiers.
Objectif : vérifier la conformité aux lois et normes, donner un avis indépendant sur le fonctionnement du
contrôle interne, la gestion des risques, la gouvernance, …
Est devenu au fil des ans un outil de management de la direction générale au service de l’organisation.
Métier normalisé et cadré.
A) L’audit interne
- Définition
- Rôles
- Conditions d’exercice (indépendance)
ENCG Casablanca - 2015 6
« L'Audit Interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de contrôle, et de gouvernement
d'entreprise, et en faisant des propositions pour renforcer leur efficacité. »
Normes IIA
ENCG Casablanca - 2015 7
l’objectivité :
Se définit comme une attitude impartiale grâce à laquelle les auditeurs internes exécutent leurs
missions en étant sincèrement convaincus de la légitimité du résultat de leur travail et sans transiger
sur la qualité. Pour être objectifs, les auditeurs ne doivent pas subordonner leur jugement à celui
d’autrui sur des questions liées à l’audit.
Activité d’assurance :
Examen objectif dont le but est de fournir une évaluation indépendante des processus de
gouvernance, gestion des risques et contrôle d’une organisation, exemples des missions portant sur
les informations financière,; performances, la sécurité des systèmes…
ENCG Casablanca - 2015 8
Risque :
L’incertitude que se produise un événement qui pourrait avoir un impact sur la réalisation des
objectifs d’une entité.
Processus de Contrôle :
Politiques, procédures et activités qui font partie d’un cadre de contrôle, conçues pour obtenir les
risques dans les limites de tolérance établies par le processus de gestion des risques.
ENCG Casablanca - 2015 9
• Evaluation = Analyser et évaluer les processus de gouvernement d’entreprise, de management des risques et de
contrôle ;
• Recommandation = Formuler des recommandations pour améliorer leur efficacité ;
• Communication = Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés ;
• Conformité = Vérifier que les dispositifs mis en place assurent la conformité aux lois et réglementations ;
• Participer aux missions d’investigation dans le cadre de fusions/acquisitions ;
• Contribuer à la mise en place du processus de management des risques ;
• Animer, quand elle existe, une démarche d’auto-évaluation des risques et des contrôles.
• …
Définition Examen objectif dont le but est de fournir une évaluation Activités de conseil et de service client, dont la nature et le
indépendante des processus de gouvernance, gestion des périmètre sont définis en accord avec le client et qui sont
risques et contrôle d’une organisation. destinées à offrir une valeur ajoutée et à améliorer la gouvernance
Les missions portant sur les informations financières, les d’une organisation, ainsi que ses processus de contrôle et de
performances, la conformité, la sécurité des systèmes et le gestion des risques, sans que l’auditeur interne soit responsable de
professionnalisme en sont quelques exemples. l’encadrement.
Parties L’auditeur interne détermine la nature et le périmètre de la Les activités de conseil impliquent généralement deux parties.
concernées mission d’assurance. En général, 3 parties sont impliquées - La personne ou le groupe dispensant des conseils (auditeur
dans les activités d’assurance. interne),
- La personne ou le groupe directement impliqué dans le - La personne ou le groupe sollicitant et recevant les conseils (le
processus, le système ou tout autre objet d’évaluation : client de la mission).
audité,
- L’auditeur interne (personne réalisant l’évaluation).
- La personne ou le groupe utilisant l’évaluation : DG,
Conseil.
Périmètre L’auditeur interne détermine la nature et le périmètre de la Le client détermine la nature et le périmètre en accord avec
des activités mission. l’auditeur.
Eléments Une évaluation, une opinion ou une conclusion du résultat de Conseils et apport d’une valeur ajoutée aux processus de
livrables la mission d’assurance est communiquée. gouvernance, gestion des risques et contrôle de l’organisation.
ENCG Casablanca - 2015 11
Code de déontologie
L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière impartiale, leurs
responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses
responsabilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction
générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement.
Attachement fonctionnel
• Approuve la charte d’audit,
• Approuve le plan d’audit interne fondé sur l’approche par les risques,
• Soit tenu informé des résultats de l’activité d’audit,
• Approuve les résultats de l’évaluation de la performance, la nomination et la destitution du RAI,
• Approuve la rémunération et la revalorisation du salaire du RAI.
Attachement hiérarchique
• Donner les moyens nécessaires à l’accomplissement de sa mission,
• Donner les moyens nécessaires pour la mise en place des recommandations,
• Faciliter la communication interne et le flux d’information,
• Gérer des ressources humaines, y compris l’évaluation et la rémunération,
ENCG Casablanca - 2015 16
La charte d’audit annonce le cadre de l’exercice de l’activité d’audit interne au sein d’une entreprise,
Document signé par le Président du Comité d’audit, la Direction Générale et le Responsable d’audit interne et
transmis à l’ensemble du personnel,
Ce document spécifie la fonction, les pouvoirs et les responsabilités du service d’audit interne, y compris le
rattachement au comité d’audit, les accès nécessaires à l’exécution du travail d’audit, toutes les restrictions de
périmètre et/ou de pouvoir, le respect d’un code de déontologie et des normes d’audit interne, ainsi que les
relations avec les auditeurs externes.
Ce document est revu périodiquement pour garantir son adéquation au fonctionnement de l’activité.
ENCG Casablanca - 2015 17
Il est constitué de 2 à 3 administrateurs, membres du Conseil. La bonne gouvernance stipule que l’un d’eux doit être un administrateur
indépendant, et de préférence ayant des connaissances en matière de gouvernance, gestion de risques ou encore en contrôle interne.
Le secrétariat du Comité d’audit interne est généralement tenu par le Responsable d’audit interne.
le Comité d’audit tient ses réunions selon un planning défini et avant la tenue du Conseil. L’ordre du jour de ses réunions est établi en
collaboration avec le Responsable de l’audit interne :
La gouvernance de l’entreprise,
La gestion des risques,
Les arrêtés comptables,
Les rapports d’audit interne,
Les rapports du commissaires aux comptes, …
Le comité d’audit va s’appuyer sur les avis des experts, et surtout celui du commissaire aux comptes, qui est systématiquement présent dans les
réunions du comité d’audit (pour alimenter le Comité mais aussi pour observer les travaux de ce dernier).
Comme pour l’audit interne, le Comité d’audit se dote d’une charte de fonctionnement qui va préciser son périmètre, ses obligations, ses
engagements, son fonctionnement, …
ENCG Casablanca - 2015 18
Historique du COSO
• A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The American Accounting Association (AAA), The American
Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), The National
Association of Accountants maintenant appelé The Institute of Management Accountants (IMA) se sont alliées pour établir une Commission
Nationale appelée « Treadway Commission ».
• Cette commission, indépendante de chacun des organismes qui la composent, se consacre aux fraudes financières.
• Cette commission, comprenant des représentants de l’industrie, de la comptabilité nationale, des sociétés de placement en immobilier et de la bourse
de New York, a mené une étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses et a formulé des recommandations
pour les sociétés anonymes et leurs auditeurs indépendants ou pour la Securities and Exchange Commission (SEC) et d’autres régulateurs.
• Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses interrogations quant au système
comptable, aussi bien au niveau des normes actuelles que de leur mise en œuvre et leur contrôle.
•
COSO (Committee Of Sponsoring Organizations of the Treadway Commission) établit en 1992 une définition standard du contrôle interne et crée un
cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.
• En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, …), promulgue la loi Sarbanes–Oxley (the
Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs
conclusions dans les états demandés par la Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le
SOX act a favorisé l'adoption du COSO comme référentiel.
• En France, la loi de sécurité financière (dite loi LSF) promulguée peu après en 2003, a également contribué à sa diffusion.
ENCG Casablanca - 2015 20
Historique du COSO
• En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau
référentiel COSO 2 qui est axé davantage sur le processus de management des
risques en entreprise (notion d’opportunité, appétence au risques, objectifs
stratégiques, élargissement du périmètre aux filiales, ..).
• En 2013, la commission met à jour le 1er référentiel COSO I axé sur le contrôle
interne afin d’adapter le référentiel aux évolutions de l’environnement et de
l’entreprise : nouveaux risques émergeants comme la cybercriminalité, le rôle de la
technologie, les problématiques d’externalisation, les nouveaux enjeux de la
gouvernance, …
ENCG Casablanca - 2015 21
Historique du COSO
Selon le COSO I :
« le contrôle interne est un processus mis en œuvre par le Conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
- La réalisation et l’optimisation des opérations,
- La fiabilité des informations financières,
- La conformité aux lois et aux réglementations en vigueur. »
COSO I
ENCG Casablanca - 2015 24
Identifier les risques par process critique liés aux objectifs de l’entreprises,
Facteurs Interne / externe
Organisation, techniques, réglementaire, …
L’application des normes et procédures destinées à assurer l’exécution des directives émises par le management
en vue de maitriser les risques.
Couvrent :
- Le domaine opérationnel : réalisation et optimisation des opérations,
- La fiabilité de l’information comptable et financière,
- Le respect des règlements et lois en vigueur.
ENCG Casablanca - 2015 28
L’information pertinente doit être identifiée, recueillie et diffusée dans les meilleures conditions de forme et de délai :
• Le management des risques traite des risques et des opportunités ayant une incidence sur la
création ou la préservation de la valeur. Il se définit comme suit :
– Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’ organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l'atteinte des objectifs de l'organisation. »
• Source : COSO II
ENCG Casablanca - 2015 31
Environnement interne L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les
risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception
du management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel
l’organisation opère.
Fixation des objectifs Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les
événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction
a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec
son appétence pour le risque.
Identification des événements Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une
organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en
compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs.
ENCG Casablanca - 2015 33
Traitement des risques Le management définit des solutions permettant de faire face aux risques évitement, acceptation,
réduction ou partage. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le
niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation.
Activités de contrôle Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l application
effective des mesures de traitement des risques.
Information et communication Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans
des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler
verticalement et transversalement au sein de l organisation de façon efficace.
Pilotage Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s
effectue au travers des activités permanentes de management ou par le biais d évaluations indépendantes ou encore par une
combinaison de ces deux modalités.
ENCG Casablanca - 2015 34
• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cyber-
criminalité, le cloudcomputing, etc.) ;
• En matière de gouvernance (notamment les rôles des comités au niveau du conseil mais aussi de la direction
générale sur des enjeux importants comme les risques, la conformité, etc.) ;
• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation
(le « tone in the middle » et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;
• La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;
• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions
support, et l’audit interne) ; et
• Les exigences de reporting au-delà de la communication financière (développement durable, environnement,
qualité, etc.).
ENCG Casablanca - 2015 35
Le COSO III :
« le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs, et
qui est destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au
reporting et à la conformité. »
1992 2013
Réalisation et optimisation des opérations Les opérations : réalisation de la mission de l’entité,
comprennent la protection du patrimoine, …
Conformité aux lois et règlements en vigueur La conformité : lois, règlements, procédures, notes
internes, …
• Un résumé ;
• Le référentiel et ses annexes qui définissent le contrôle interne, le positionnent par rapport à trois catégories
d’objectifs, présentent les cinq composantes du contrôle interne, déclinées en 17 principes structurants, et
décrivent les exigences en matière d’efficacité ;
• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour faciliter l’évaluation des
17 principes qui constituent un dispositif de contrôle interne efficace ; et
• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe (Internal Control over
External Financial Reporting, « ICEFR ») qui propose des exemples de mise en pratique des 17 principes dans le
cadre de la réalisation des états financiers.
ENCG Casablanca - 2015 38
1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité sociale et
environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et l’alignement avec le business
model) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la direction générale) ;
4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support, et l’audit interne) ;
5. La relation entre risque, performance et rémunération (notamment le principe portant sur la responsabilisation) ;
6. L’articulation du « tone at the top » avec les comportements à travers l’organisation (« tone in the middle ») ;
7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au code de conduite, au respect
des contrôles au-delà du reporting financier) ; et
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée par exemple à la mise en
place de nouveaux processus, rôles, structures, systèmes d’information, centres de services partagés, périmètre d’activité, etc.
Le périmètre du contrôle interne n’élargit pas aux objectifs stratégiques, à l’appétence pour le risque ou autres sujets du ressort de
l’Enterprise Risk Management et du référentiel de 2004 (COSOII). Le COSO 2013 s’articule logiquement avec le COSO ERM, le
contrôle interne étant défini comme une partie intégrante de l’ERM.
ENCG Casablanca - 2015 39
1. ce sont les opérationnels (par exemple les chargés de production, des ventes, etc.) qui doivent s’assurer de la bonne
conception et du bon fonctionnement du dispositif de contrôle interne ;
2. les fonctions support (par exemple les chargés de conformité, sécurité, gestion des risques) apportent expertise et conseil par
rapport aux objectifs de performance et de contrôle ; et
3. l’audit interne permet un regard indépendant et des revues variées dans un but, notamment, d’améliorer le contrôle interne de
l’organisation.
Les auditeurs internes procèdent à un examen direct du système de contrôle interne et recommandent des
améliorations :
- Examiner la fiabilité et l’intégrité des informations financières et d’exploitation, ainsi que les moyens utilisés pour
identifier, mesurer, classer et diffuser ces informations,
- Examiner les systèmes mis en place afin de vérifier la conformité aux normes, plans, procédures lois et
réglementations sur les activités
ENCG Casablanca - 2015 42
• La nomenclature se fait selon le découpage adopté par l’entreprise et sont systématiquement liés à des
objectifs.
ENCG Casablanca - 2015 46
Vie
Réass
ENCG Casablanca - 2015 47
Vue 1
Vue 2
ENCG Casablanca - 2015 48
Vue 3
ENCG Casablanca - 2015 49
Vue 4
Début
Réception de la déclaration de
Etape 0 sinistre
Oui
Etape 3 Règlement
Règlement financier
Règlement judiciaire
Ecriture comptable
Traitement : sous Etape
Etape 4 Inventaire du dossier Clôture du dossier
N° Risques
RS1 Risque d'une évaluation erronée de la PSAP
RS2 Risque de règlement erroné
RS8 Risque de perte, disparition ou destruction de dossiers physiques de sinistres ou d'éléments de dossiers
• L’importance du risque
Mesure des impacts : impact financiers, impact image et réputation, impact réglementaire et légal, …
ENCG Casablanca - 2015 53
Proposition d’échelles :
ECHELLES DE PROBABILITE
ECHELLES D’IMPACT
Probabilité
4- Probable
3- Assez probable
2- Peu propable
1- Improbable
Echelle Gravité
4 Majeure
3 Importante
2 Moyenne
1 Faible
ENCG Casablanca - 2015
Respect des règles de souscription - ► Non respect des règles de souscription par le réseau Bancassurance
Bancassurance 2,8 2,2
Respect des règles de souscription - Agents ► Non respect des règles de souscription par le réseau des agents (tarification, risques exclus,
risques non délégués) 2,6 2,4
Fiabilité des données pour l’appréciation / ► Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou
tarification du risque frauduleuses - -
Concentration / souscription - Entreprises ► Dépassement des engagements acceptables sur un même site, un même client ou un même risque
d’assurance 3,5 1,8
Dépassements des pleins – identification ► Dépassement des pleins ou non identification des risques devant faire l'objet d'une assurance
des risques / réassurance facultative facultative :
► Dépassement de plein lors de la souscription d’un contrat
► Non identification des polices reconduites tacitement devant faire l’objet de réassurance
4,0 2,0
facultative
► Non respect des conditions du réassureur (délais de règlement de la prime,…) impliquant la
non couverture des sinistres cédés en réassurance facultative
Risques non réassurés ► Acceptation d'un risque exclu par la réassurance 3,0 3,7
ENCG Casablanca - 2015
Emission de polices et triptyques Emission de polices et triptyques frauduleux : non autorisés, non déclarés à la Compagnie,
3,7 1,0
frauduleux antidatés..
Formulaires, contrats, documents Utilisation de formulaires, contrats et autres documents contractuels qui ne sont plus en vigueur par
périmés - Bancassurance le réseau bancassurance 3,3 1,3
Approbation du contrat par le client Contrats d’assurance en cours d’exécution non signés par le client (essentiellement pour l’AT) 3,0 3,3
Qualité des clauses contractuelles Absence ou manque de précisions de certaines clauses dans le contrat (exclusions,…) 3,0 1,2
Gestion des stocks de triptyques Gestion des triptyques inefficiente : suivi du stock de la Compagnie et des intermédiaires, sécurité
3,2 1,6
du stockage, détournement des triptyques par des employés / intermédiaires, …
Fiabilité des données clients pour la Les données utilisées pour la cotation des affaires en AT sont inexactes, incomplètes ou 2,5 1,8
tarification AT frauduleuses
Base clients bancassurance / Ecarts entre la base clients bancassurance (banque et filiales) et la Compagnie:
Exhaustivité du chiffre d’affaires Nombre de têtes
3,8 2,0
Données clients (âge,…)
Cotisations
Annulation des primes Annulation de prime erronée, non exhaustive ou non autorisée 3,2 2,0
ENCG Casablanca - 2015 57
• Contrôles manuels/Informatiques
1. ► Effectuer une cartographie des risques assurés par Semestriel. ► État ► Cartographie des Responsable Prévention.
garantie (risques divers) : des risques assurés.
► Relevé des points GPS pour l’ensemble du portefeuille, polices. ► Cumuls des capitaux
et mettre les capitaux garantis, dépassant la politique de
► Mise à jour semestrielle (nouvelles souscriptions / concentration de la Cnie.
modifications)
1. ► Inventaire tournant en partant du physique vers le ► Tournant avec ► État des dossiers ► État des Responsable Indemnisations
système comme critère que physiques (source anomalies
► Contrôle de l’exactitude de la réserve système par l’ensemble des archivage)
rapport au dossier physique dossiers doivent être
► Contrôle de l’exactitude des règlements effectués revus au moins une
fois par trimestre
2. ► Inventaire tournant en partant du système vers le ► idem ► État des réserves ► État des Responsable Indemnisations
physique système anomalies
► Contrôle de l’exactitude de la réserve système par
rapport au dossier physique
► Contrôle de l’exactitude des règlements effectués
3. ► Contrôle de la mise à jour de la réserve par rapport ► Trimestrielle ► Inventaire des ► État des Responsable Indemnisations
aux dossiers physiques pour certains critères dossiers système anomalies
► Réserves nulles,
► Réserves non mouvementées,
► Modifications importantes de réserves,
► Dossiers en police universelle.
4. ► Mesure du délai de traitement du courrier : ► Trimestrielle ► Backlog traité et état ► Reporting sur les Directeur du Pôle Assurances des
► Mesure du délai de traitement du courrier, des documents traités délais de traitement Entreprises
► Mesure des délais de traitement sur la base des ► État des dossiers du courrier par
dossiers mouvementés (date de réception du courrier, date mouvementés branche
de mise à jour de la réserve). ► Dossiers sinistres
physiques
ENCG Casablanca - 2015 62
• Jugements erronés
• Dysfonctionnements dus à des erreurs ou défaillances humaines
• Collusion entre deux ou plusieurs personnes
• Dirigeants qui outrepassent le système de contrôle interne
• Rapport coût/bénéfice
ENCG Casablanca - 2015 63
• Une analyse coût / bénéfice du projet : le dispositif de contrôle doit être simple et adapté à la taille de
la compagnie, à son exposition aux différentes natures de risque, à la complexité de ses produits ou
structures
• Une organisation de projet performante, sous la responsabilité d’une structure dédiée : vision des
rôles et responsabilités des acteurs, définition des objectifs et de la trajectoire projet, fixation des
livrables attendus, définition du cadencement du projet (comités de pilotage,…)
• Un socle méthodologique robuste : Analyse fondée sur une modélisation claire des processus et des
risques, utilisation de bonnes pratiques et référentiels de place (COSO 2, IFACI,…), pérennisation du
contrôle interne au sein de l’organisation de la compagnie (gouvernance, positionnement, pilotage…).
ENCG Casablanca - 2015 64
« Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir des priorités
cohérentes avec les objectifs de l’organisation.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties prenantes) lorsqu’il
fournit une assurance objective et pertinente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus
de gouvernement d’entreprise, de management des risques et de contrôle interne. »
Une fois établi, le plan d’audit doit être communiqué à la Direction générale et au Comité d’audit pour examen et approbation.
Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit interne soient :
- Adéquates : connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit,
- Suffisantes : quantité (JH) nécessaires à la réalisation du plan d’audit.
L’état d’avancement de la réalisation du plan d’audit doit être périodiquement communiqué à la Direction générale et au Comité
d’audit.
Tout changement dans le plan d’audit approuvé doit être également présenté et expliqué à la Direction générale et au Comité
d’audit.
ENCG Casablanca - 2015 67
La phase de préparation
L’ordre de mission :
L’ordre de mission formalise le mandat donné par la Direction Générale à l’audit Interne et répond à deux fonctions
essentielles :
L’étape de familiarisation :
Outils :
-- Questionnaire de prise de connaissance
ENCG Casablanca - 2015 70
Identifier les zones ou les risques sont susceptibles de se produire, cette étape va permettre à
l’auditeur de construire son programme et le construire de façon modulée.
C’est un contrat passé avec l’audité et qui va préciser objectifs et champ d’action de la mission d’audit.
A ce stade, le contenu du contrat est élaboré par l’audit interne et porté à la connaissance de l’autre
partie et soumis à son approbation lors de la réunion d’ouverture.
ENCG Casablanca - 2015 71
La réunion d’ouverture :
Cette réunion marque non pas le début de la mission mais plutôt le commencement des opérations de
réalisation et on ne peut la tenir tant qu’il y’a pas un « programme » à présenter à l’audité.
Le programme d’audit :
Planning du travail
Appelé aussi « programme de vérification », il s’agit du
document interne au service et dans lequel on va procéder à la
détermination et à la répartition des tâches. Son contenu est
essentiellement technique:
Objectifs
C’est un guide pour l’auditeur pour réaliser son programme, il inclut toutes les bonnes questions à se
poser pour réaliser une observation complète .
La phase de réalisation
Preuves
Cohérences et validations:
L’auditeur s’assure par un travail de synthèse de la cohérence de ses observations.
ENCG Casablanca - 2015 74
La phase de conclusion
Le rapport d’audit :
• Pas d’audit interne sans rapport d’audit interne,
• Document final,
• Présentation préalable aux audités,
• Droit de réponse de l’audité,
• La forme : page de garde et lettre d’envoi, introduction et synthèse, le corps du rapport, conclusion et plan
d’action.
• Annexes.
ENCG Casablanca - 2015 76
De quoi il s’agit ?
• L’esprit positif : encourager la critique constructive et éviter le négativisme. Éviter les jugements de valeur.
• L’esprit d’équipe : Un bon auditeur interne doit être affable et capable de travailler en équipe.
• L’imagination et le sens pratique : L’auditeur interne doit avoir la perspicacité nécessaire pour distinguer les faits
importants des banalités. Il doit faire preuve d’imagination et de sens pratique pour que ses recommandations soient
utiles et applicables.
• Le sens des relations humaines et l’écoute : L’auditeur interne doit savoir écouter. Il doit avoir l’aptitude à
communiquer efficacement verbalement ou par écrit. Il doit maintenir de bonnes relations avec les personnes verifiees. Il
doit savoir non seulement expliquer et convaincre, mais aussi transcender pour mieux avancer.
• Le soin professionnel et la discipline : être sans cesse à la recherche d’informations probantes, suffisantes et
adéquates pour appuyer ses conclusions et ses recommandations. Mettre le soin professionnel nécessaire pour
analyser et présenter les informations.
• Le jugement professionnel : ne pas confondre jugement personnel et jugement professionnel. Accepter que ses points
de vue soient questionnés et trouver des arguments objectifs pour défendre ses points de vue ou pour convaincre ses
interlocuteurs. Le jugement est professionnel lorsqu’il est émis sur la base de connaissances et principes établis et pour
autant qu’il puisse être objectivement justifié ou défendu.
84
Etude menée aux USA par The Korn/Ferry Institute et The Institute of Internal Auditors – 2010, que le poste de responsable
d’audit interne peut être occupé par d’autres profils que les profils standards : expert comptable, auditeur interne de
formation et de carrière. Ex : contrôle de gestion, finance, risque et conformité ou encore opérationnel.