Vous êtes sur la page 1sur 91

MASTER PROFESSIONNEL AUDIT ET

CONTRÔLE DE GESTION

AUDIT INTERNE

N’GUESSAN IFPG - ISFPT 2013-2014.


2 1.

CADRE DE LA PRATIQUE
PROFESSIONNELLE
1.Historique
3

L’Audit interne est né aux Etats-Unis dans les années 30 pour assister
les réviseurs externes dans le contrôle des comptes de l’entreprise. Il
s’est implanté en France dans les années 60, en bénéficiant de
l’expérience américaine qui, au fil des ans avait élargi son champ
d’intervention du domaine purement comptable à l’ensemble des
fonctions significatives de l’entreprise.
La discipline s’est développé en France dans les années 70 mais ne
prendra réellement essor qu’à partir des années 80 à la faveur de la
réglementation bancaire et de la conjoncture économique Française.
C’est en fait la recherche de la compétitivité et de la performance
d’une part et l’assainissement de la gestion et la survie des entreprises
d’autre part qui ont permis le développement décisif de l’audit interne
en France et la création d’organismes comme l’IFACI.
2. Définition
4

« L’audit interne est une activité indépendante et


objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses
opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs
en évaluant, par une approche systématique et
méthodique, ses processus de management des
risques, de contrôle et de gouvernement
d’entreprise, et en faisant des propositions pour
renforcer leur efficacité »
3. Caractéristiques
5

L’audit interne est à la fois :


 une fonction nouvelle (issue de l’audit
comptable);
 une fonction universelle (concerne tous les
fonctions);
 une fonction périodique (les audités rencontrent
l’auditeur de façon périodique)
4. Objectifs
6

Le but de l’Audit Interne est de seconder la direction dans


l’accomplissement efficace de ses responsabilités en
déterminant, et en l’en informant, si les contrôles garantissent
ou non :
 que l’organisation, les procédures et les plans de la société
sont respectées et conformes aux réglementations légales ;
 que des sécurités efficaces existent afin de prévenir les
pertes ou dommages qui pourraient affecter les actifs
corporels et incorporels de la société ;
 que les états et les rapports d’activité sont fiables. Cette
appréciation devra porter sur toute statistique utilisée par
la direction pour la prise de décision opérationnelle ou en
matière d’investissement ;
 qu’un souci d’efficacité préside à l’utilisation des moyens
matériels humains et financiers.
Attributions générales
7

 Recevoir les objectifs et les moyens de la part


de la Direction;
 Evaluer l’efficacité et la pertinence du système
de contrôle interne, faire des propositions pour
l’améliorer et promouvoir son appropriation
par les responsables dans l’organisation.
Attributions spécifiques
8

 gérer le suivi de l’application et l’actualisation des


procédures de contrôle interne, le recensement et le
classement des notes de service;
 apprécier la pertinence du dispositif de protection des
actifs, la qualité du système d’information, l’efficacité des
organisations et l’utilisation de leurs moyens et ressources;
 organiser et contrôler les inventaires de fin d'exercice
(stocks, caisse, immobilisations)
 être l’interlocuteur des commissaires aux comptes
(organisation de leurs interventions);
 examiner et apprécier la suffisance et l’application des
contrôles comptables, financiers et opérationnels ;
5. Champ d’application
9

Le champ d’application correspond à l’étendue des


activités dont s’est approprié l’audit interne
progressivement au fur et à mesure de son évolution
dans l’entreprise. On y retrouve :
 l’audit de conformité : à ce niveau, le travail de
l’auditeur consiste à vérifier la bonne application
des règles, procédures, description de poste,
organigramme, système d’information….en bref,
il va comparer la règle à la réalité ;
l’audit d’efficacité : progressivement, on est allé
plus loin dans les objectifs assignés à l’auditeur
interne. Etant devenu, un spécialiste du diagnostic,
l’auditeur émet une opinion non seulement sur la
bonne application des règle mais également sur
leur qualité ;
l’audit de management : consiste à vérifier si la
politique de l’organisation concernant une fonction
particulière est en cohérence avec la stratégie
globale de l’entreprise et identifie les points à
modifier pour réaliser cette adéquation ;
 l’audit de stratégie : consiste à s’assurer de la
cohérence des fonctions de l’entreprise entre
10
elles.
6.Normes de l’audit interne et Code de Déontologie
11

Il existe un cadre de référence pour la pratique


professionnelle de l’audit interne, reconnu à l’échelle
internationale en raison des conseils judicieux qu’il
offre aux auditeurs internes afin de leur permettre
d’exécuter leurs missions avec toute la rigueur voulue.
Ce cadre comprend :
 La Définition de l’Audit Interne; (document à
distribuer)
 Le Code de Déontologie; (document à distribuer)
 Les Normes (de qualification et de fonctionnement)
(document à distribuer)
12 2.
LE CONTRÔLE INTERNE ET
LES FAMILLES DE DISPOSITIFS
DU CONTRÔLE
1. Définition
13

Le Contrôle Interne est « l’ensemble des sécurités


contribuant à la maîtrise de l’entreprise. Il a pour but
la sauvegarde du patrimoine et la qualité de
l’information d’une part, et d’autre part l’application
des instructions de la direction et de favoriser les
performances. Il se manifeste par l’organisation, les
méthodes et les procédures de chacune des
activités de l’entreprise pour maintenir la pérennité
de celle-ci » (René KERAVEL)
Le contrôle interne apparaît comme un état de fait et
qui peut évoluer du fait de l’intervention humaine.
Les éléments du système de contrôle interne
Les principes du contrôle interne
Organisation, intégration,
permanence, universalité,
Objectifs du contrôle interne indépendance, information,
harmonie ou d’adéquation,
Bonne image auprès des prévision, qualité du personnel
parties prenantes:
1. Maîtrise des risques;
2. Protection du patrimoine;
3. Qualité de l’information; Les composantes du contrôle interne
4. Amélioration des − Environnement de contrôle
performances; − Management des risques (définition des
5. Conformité aux lois, objectifs, identification des événements,
règlements, directives, évaluation des risques, traitement des
procédures… risques)
− Activités de contrôle
− Information et communication
− Pilotage.
14
2. Objectifs
15

 Objectif général

 construire et conserver une image favorable


au sein du secteur et auprès des parties
prenantes ;
 présenter des états financiers fiables aux
partenaires ;
 agir en conformité avec les lois et règlements.
 Objectifs spécifiques
Assurer / favoriser (et non garantir) suivant le cas:

la protection et la sauvegarde du patrimoine


la qualité de l'information, dont la fiabilité des
informations financières,
la conformité aux lois et réglementations en
vigueur ainsi que l'application des instructions
de la direction, des politiques de gestion, des
plans et procédures.
la réalisation et l’optimisation des opérations, et
l'amélioration des performances.
16
3.Conditions d’un bon contrôle
17
interne (utilité, composantes)
Suivant le COSO1, 5 éléments essentiels sont jugés
nécessaires à une bonne maîtrise des activités au
sein d’une organisation:
l’environnement de contrôle (« environnement
favorable de contrôle » dans le COSO 2) ;
une évaluation des risques ;
des activités de contrôle ;
une information et une communication
convenable ;
un pilotage de l’ensemble par chaque responsable
à son niveau.
Composantes du contrôle interne/Management
des risques

Selon le COSO 1: ICIF Selon le COSO 2: ERM


1. Environnement de contrôle 1. Environnement de contrôle
2. Évaluation des risques
2. Définition des objectifs
3. Identification des
risques/événements;
4. Evaluation des risques
5. Traitement des risques
6. Activités de contrôle
3. Activités de contrôle
4. Information et communication 7. Information et communication
5. Pilotage. 8. Pilotage.
18
Composantes du management des
19
risques (COSO ERM)
 Le management des risques est un processus mis
en œuvre par le conseil d’ administration, la
direction générale, le management et l'ensemble
des collaborateurs de l’ organisation.
 Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de
l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les
limites de son aversion pour le risque. Il vise à
fournir une assurance raisonnable quant à l'atteinte
des objectifs de l'organisation.
Eléments de l’ERM
20
4. Spécificités du contrôle interne
21

Ces spécificités peuvent être analysées sous trois


dimensions:
 la dimension culturelle : l’auditeur doit nécessairement
s’adapter au cadre culturel de son entreprise.
 la dimension universelle: le contrôle interne concerne
toutes les activités de l’organisation, il se construits avec
les même dispositifs, il s’apprécie avec les mêmes outils et
la même méthode dans tous les domaines
 la dimension relative: qui s’appuie sur l’idée que le
contrôle interne n’est pas une fin en soi et ne devrait pas
donner lieu à des procédure exagérément complexes,
lourdes et compliquées qui bloque mais bien au contraire
l’auditeur interne est celui qui allège.
5. Les différentes familles de dispositifs
et la mise en œuvre du contrôle interne
22

1.Préalables

Avant la mise en œuvre des dispositifs, il existe


trois préalables: la mission, les facteurs de
réussites et les règles à respecter.
5.2.Les grandes familles de
23
dispositifs de contrôle
IL existe six grandes familles de dispositifs de
contrôle :
 les objectifs : Ils sont à insérer dans les objectifs
permanents et qui doivent être mesurables,
suivis par le système d’information, situé dans le
temps, déclinés à l’intérieur du service (J Renard:
2006) ;
 les moyens (humains, financiers et techniques) :
ils doivent être adaptés
 le système d’information (fiables, exhaustifs,
vérifiables, disponibles, utiles, pertinents pour
toutes les fonctions)
l’organisation: elle doit être adaptée, objective et
basée sur la séparation des tâches. Elle contenant
quatre éléments principaux: l’organigramme,
l’analyse de poste, le recueil des pouvoirs,
l’ensemble des éléments matériels de protection.
les méthodes et procédures : elles doivent être
définies et concerner toutes les activités de
l’entreprise. Elles doivent être écrites; simples et
spécifiques; régulièrement mises à jour; portées à
la connaissance des exécutants.
la supervision: c’est un dispositif souvent oublié,
particulièrement au niveau des hautes instances
mais son importance est capitale.
24
5.3. La mise en place du contrôle
interne d’une activité ou d’un processus
25

PREMIERE ETAPE: Découper l’activité en tâches


élémentaires
DEUXIEME ETAPE: Identifier les risques attachés à
chaque tâche et les évaluer
TROISIEME ETAPE: Identifier les dispositifs
QUATRIEME ETAPE : Qualification chaque dispositif
CINQUIEME ETAPE : Vérifier la présence des
catégories
26 3

ORGANISATION DE L’AUDIT INTERNE


1- Missions et attributions de l’audit
27
interne
1. Missions d’assurance.
2. Missions de conseil.

Il s’agit de :
 Evaluer le processus de management des
risques ;
 Evaluer le processus de contrôle ;
 Evaluer le processus de gouvernement
d’entreprise.
2- Attribution
28

 Attributions générales

 Evaluer la qualité (efficacité, efficience et


pertinence) du système de contrôle interne.
 Faire toutes propositions pour l’amélioration du
système de contrôle interne.
 Promouvoir et aider les responsables à
s’approprier le contrôle interne dans
l’organisation.
 Attributions spécifiques

 Assurer la gestion de l'ensemble des procédures


de l’organisation visant la sauvegarde du
patrimoine et la bonne circulation ainsi que la
fiabilité des informations financières et comptables.
 Assurer le suivi de la mise en œuvre des
procédures par tout le personnel.
 Assurer le suivi de la mise à jour des procédures
pour tenir compte des mutations dans
l’environnement interne et externe.
 Recenser et classer l'ensemble des notes de
service.
 Assurer l'organisation, le suivi et le contrôle des
29
inventaires de fin d'exercice (stocks, caisse,
immobilisations).
 Apprécier :
 la pertinence du dispositif de contrôle
interne,
 la qualité et la performance du système
d’information,
 l’efficacité des organisations et l’utilisation
de leurs moyens et ressources,
 les moyens mis en place pour définir et
appliquer la stratégie et les objectifs définis
par la direction générale.

30
 Être l’interlocuteur des commissaires aux
comptes (organisation de leurs interventions).
 Echange des rapports.
 Participation conjointe aux réunions du
comité d’audit.
 Réunions formelles de travail.
 Coordination des plans d’audit.
 Travaux spécifiques à la demande du CAC.
 Examiner et apprécier la rectitude, la suffisance
et l’application des contrôles comptables,
financiers et opérationnels et promouvoir un
contrôle efficace à un coût raisonnable.

31
 Vérifier le degré de mise en œuvre des
politiques, des plans et des procédures
institués dans l’organisation.
 Vérifier à quel point les actifs de l’organisation
sont justifiés et préservés des pertes de toutes
sortes.
 Vérifier le degré de confiance qui s’attache aux
renseignements comptables et autres élaborés
dans le cadre de l’entreprise.
 Apprécier la qualité avec laquelle sont
remplies les différentes responsabilités
déléguées dans le cadre de l’organisation.
 Recommander des améliorations stratégiques
32
opérationnelles.
3- Aptitudes professionnelles
33

• Humilité
• Dynamisme
• Rigueur
• Intégrité
• Pouvoir de persuasion
• Sens élevé de relations humaines
• Pédagogie
• Recherche de l'excellence.
34
4- Types d’audit
35

 Audit de régularité/conformité.
 Audit d’efficacité ou opérationnel.
 Audit de management.
 Audit stratégique.
5- Rattachement hiérarchique et
36
organisation de l’audit interne
5-1- Rattachement hiérarchique

Les services d'audit doivent être rattachés à l'échelon


le plus élevé pour garantir leur indépendance et leur
efficacité. Le niveau de rattachement le plus approprié
est la Direction générale, bien que certains services
d'audit soient rattachés à la direction financière.
Ce qui est important c’est plus l'esprit du rattachement
(comportement de celui auquel le service est rattaché)
et la force de caractère des auditeurs que le
rattachement formel lui-même.
5-2- Organisation hiérarchique

Organisation Hiérarchique : Directeur de l'audit


interne, Directeur Adjoint, Chef de mission,
Superviseur, Auditeur.
Structure Centralisée : Organisation en divisions, en
fonction de la formation des auditeurs, avec un chef
de mission qui dirige l’équipe d’auditeurs pour les
activités de leur secteur de compétence.
Structure Décentralisée : Elle se caractérise par
l’existence d’un service central, qui a pour mission de
définir les normes de travail (l’homogénéité), la
politique de formation, faire l’audit de l’audit et des
missions spécifiques.
37
Structure élémentaire
38

la fonction d'audit est


Direction exercée par une seule
générale personne (ou deux)

Service Audit
interne

Autres fonctions
Structure simple
39

 L'Audit Interne à moins de 10


Direction générale auditeurs.
 Existence d’un responsable, d’un ou
Service Audit interne plusieurs chefs de missions et
d’auditeurs.
Chef de service  La mission d’Audit Interne est
menée par une équipe d’auditeurs,
Chef de mission dirigée par un chef de mission. Les
auditeurs produisent, le chef de
mission conduit la mission, et le
responsable de l’Audit Interne dirige
Auditeur Auditeur l’ensemble du service et en assume
la responsabilité générale.

Autres fonctions
Facteurs déterminants de la structure
40
de l’audit interne
Types de structures Facteurs déterminants

- Taille de l'entreprise

- Diversité des activités


Audit interne centralisé

- Type d’audit (conformité, efficacité)

- Taille de l‘équipe d’audit


Audit interne décentralisé

- la nature de l'activité

- la structure de l'entreprise

- l'ampleur des missions confiées aux auditeurs


Audit interne spécialisé
- la volonté des dirigeants

- la prospérité de l'organisation
6- Moyens techniques de l’audit interne
41

6.1. La charte d’audit

Fondements: normes 1000.


La charte d'audit interne est un document officiel qui
précise la mission, les pouvoirs et les responsabilités
de cette activité. Elle définit la position de l'audit
interne dans l'organisation, autorise l'accès aux
documents, aux personnes et aux biens, nécessaires
à la réalisation des missions. Elle définit le champ
des activités d'audit interne. L’approbation finale de la
charte d’audit interne relève de la responsabilité du
Conseil.
6.2.Le manuel d’audit interne
42

C’est un document matérialisant l’organisation et les


procédures du service d’audit interne. C’est un document
d’entreprise qui va refléter l’organisation et les habitudes de
travail du service d’audit interne. Ce document, sorte de bible
du service, doit remplir trois objectifs :
 définir façon précise le cadre de travail (organigramme du
service, analyse des postes des auditeurs, condition
générale de travail) ;
 aider à la formation de l’auditeur débutant (objectifs et
spécificités de fonctionnement du service : procédures de
travail de l’audit interne) ;
 servir de référentiel (normes et standards de l’audit interne,
conduite d’une mission d’audit).
6.3.La cartographie des risques
43

La cartographie des risques est un document


permettant de recenser les principaux risques
d’une organisation et de les présenter
synthétiquement sous une forme hiérarchisée
pour assurer une démarche globale d’évaluation
des risques.
6.3.1.Objectifs

Elle a pour objectif :


 d’évaluer les risques identifiés en termes de
connexité, d’importance et de probabilité ;
 de calculer le score de chaque risque ;
 de classer, de comparer et de hiérarchiser les
risques entre eux;
 de définir un plan d’action de management des
risques en fonction des ressources disponibles;
 d’en assurer le suivi ;
 de communiquer les informations sur les
risques de l’organisation aux dirigeants.
44
6.3.2.Utilité

 Plan d’audit: pilotage de la gestion des risques en


identifiant les domaines d’actions prioritaires,
programmation/rationalisation des missions
d’audit ;
 Référentiel d’analyse des risques ;
 Communication/reporting en matière de risques ;
 Règlementation professionnelle: approche par les
risques ;
 Pressions des gouvernements d’entreprise et du
Comité d’audit.
 La cartographie est à la fois un outil :
• de gestion des risques ;
45
• de gestion des ressources ;
• de communication.
6.3.3. Définition du risque et classification des risques

6.3.3.1. Définition du risque


 Risque: tout événement, comportement ou situation
susceptible de provoquer un dommage non
négligeable à l’organisation et/ou de l’empêcher de
réaliser ses objectifs ou de maximiser ses
performances ou de saisir une opportunité.
 Risque: l’occurrence d’un fait imprévisible ou plus ou
moins certain susceptible d’affecter les membres, le
patrimoine, l’activité de l’organisation et de modifier
son patrimoine et/ou ses résultats.
 Risque: évènement (externe ou interne) résultant
d’une action ou d’une inaction, d’une opportunité,
susceptible de se produire et de nature à avoir un
46
impact surtout négatif sur la réalisation des objectifs
d’une entité.
Le risque opérationnel
 le risque opérationnel défini selon le "nouvel
accord de Bâle" comme le risque de perte
directe résultant d’une inadéquation ou d’une
défaillance attribuable à des personnes, des
procédures, des systèmes mis en place et à
des évènements extérieurs.

Ce qui donne quatre sources de risques:


 Défaillance due aux processus.
 Défaillance due aux personnes.
 Défaillance due aux systèmes d’information.
 Défaillance due aux événements extérieurs
47
6.3.3.2. Classification des risques selon leur
nature

 Risque inhérent (environnement).


 Risque de non contrôle (dispositifs de
contrôle interne).
 Risque de non détection ou d’audit
(procédures d’audit).
 Risque résiduel (gestion des risques).
 Risque cible (niveau acceptable/tolérable).

48
6.4.Le plan d’audit
49

Véritable feuille de route, le plan d’audit permet à


l’audit interne de planifier ses activités dans le
respect d’un esprit de rigueur et de méthode. Il
est établi à partir d’une cartographie des risques.
En général, le plan d’audit aborde les points
suivants : analyse des risques ; activités et
services à auditer ; types d’intervention ;budget
des ressources humaines, temporelles et
financières ; planning des interventions
;soumission à l’approbation de la direction pour lui
donner force exécutoire et le rendre fonctionnel.
6.5.Le manuel de procédure
50

Le manuel des procédures est un document qui, sous la


forme d’instructions claires et précises contient l’ensemble
des opérations courantes de l’entreprise. Il constitue, pour
celle-ci, le concentré de son organisation, sa mémoire
capitalisant les savoir-faire individuels et collectifs
C’est un référentiel à usage commun pour tous acteurs au
sein de l’entreprise. C’est un guide opératoire qui indique le
circuit de traitement des opérations tout en spécifiant :
 La tâche à faire (quoi) ;
 Le niveau de responsabilités (qui) ;
 Les différentes étapes de traitement (quand) ;
 Les lieux de réalisation (où) ;
 Le mode d’exécution (comment).
Le manuel des procédures regroupe en un
document écrit ou en ligne sur l’intranet la
description de l'ensemble des procédures
relatives à un process ou une activité. Il peut
également regrouper des normes ou règles
internes. Par exemples : Manuel des procédures
achats, Manuel des procédures comptables,
etc…

51
6.6.Les dossiers d’audit
52

Les dossiers constituent la mémoire de l’entreprise et


doivent faire l’objet d’archivage en faisant un choix
des informations pertinentes. Le responsable de
l’audit interne pourra définir des normes d’archivage,
relativiser l’importance des documents, proscrire la
conservation indéfinie et programmer un nettoyage
périodique des archives.
 Le dossier d’analyse: il comprend papiers de
travail explicatifs, jugés utiles à la conservation. Il
est détruit et remplacé dès la réalisation d’une
nouvelle mission sur le même sujet.
 Le dossier de synthèse: il comprend
 Les rapports d’audit,
 Les notes de suivi et de mise en œuvre des
recommandations
 Les informations générales;
Il fait l’objet d’un nettoyage permanent avant et après la
mission.
 Le dossier global: Il comprend sept parties qui sont :
 rappel et suivi des faiblesses graves
 exemplaires du rapport d’audit
 le tableau des risques
 indications à suivre pour les audits à venir
 programme et planning de la mission
 informations générales (organigramme, notes de
service, extraits de rapport d’audit antérieurs
 les papiers de travail (à détruire après l’audit suivant).
53
6.7.Les papiers de travail
54

Ils sont établis généralement sur des imprimés de papier


coloré qui permettent le référencement. Le papier de
travail est le support des constats et observations, car en
audit, on doit tout noter et éviter de se fier à la mémoire.
L’objet des papiers de travail est de servir de support à
l’opinion des auditeurs en donnant une preuve
documentée des procédures utilisées, des informations
reçues et des conclusions tirées.
 FRAP
 FAR
 Feuilles de couverture
 Autres.
55 5

PROCESSUS DE CONDUITE D’UNE


MISSION D’AUDIT INTERNE
Tiré du latin « Mittere » qui signifie fonction
temporaire, une mission d’audit est un travail
temporaire que l’auditeur est chargé d’accomplir
dans l’intention de la Direction Générale.
Pour y parvenir, certains auteurs comme J.
Renard (2002 : 183), trouvent qu’il y a quatre (4)
principes fondamentaux pour réussir une mission
d’audit.
 Simplicité : une bonne méthode est une
méthode simple. Pour dire que la méthodologie
de l’audit doit être simple et facile d’assimilation
tant pour l’auditeur que pour la structure
auditée.
56
 Rigueur : Le déroulement d’une mission d’audit interne
exige la plus grande rigueur et pour s’appliquer celle-ci
doit obéir à des règles. Il a été vu plus haut que la
fonction d’audit interne devait respecter les Normes
professionnelles, ces normes ne définissant pas de
méthodologie précise mais imposent d’en avoir une (cf.
Normes de fonctionnement).
 Relativité du vocabulaire : des termes fondamentaux
sont admis et reconnus par tous. Toutefois, dès que
l’on se rapproche des pratiques quotidiennes dans les
organisations, on rencontre des appellations
différentes. Ces appellations signifient souvent les
mêmes choses. L’auditeur doit s’imprégner de la
culture de l’entreprise mais ne doit pas oublier son
sens de rigueur, savoir s’adapter au vocabulaire et
57
adapter son vocabulaire sans pour autant tomber dans
la médiocrité.
 Adaptabilité : l’auditeur étant dans un milieu de
travail avec ses collègues doit utiliser une méthode
adaptable à ce milieu. La méthodologie proposée
ci-après décrit que les principes à respecter ; la
latitude est laissée à la structure de l’audit interne
de les appliquer avec rigueur ou avec souplesse.
Notons que dans la pratique, il y a des
interprétations différentes mais avec le temps les
meilleures pratiques émergent et s’imposent.

NB : Les Normes professionnelles de l’audit énoncent


en général des principes mais se gardent bien de dire
comment s’y prendre pour les appliquer, réservant
ces règles aux Modalités Pratiques d’Application
58(MPA) non obligatoires, mais faisant autorité.
1- Phase de préparation de la mission
59

Cette phase désigne l’ouverture de la mission d’audit. Elle


exige des auditeurs une capacité importante de lecture, de
recherche documentaire, d’attention et d’apprentissage.
Aussi, exige-t-elle une aptitude à apprendre et à
comprendre car le contrôle de chaque structure est une
expérience nouvelle. L’auditeur doit avoir une bonne
connaissance de l’entreprise ou de la structure à contrôler, il
doit savoir où trouver la bonne information et avec qui la
trouver.
C’est à cette étape aussi que l’ordre de mission, la prise de
connaissance, l’identification des risques et des objectifs
d’audit sont élaborés.
C’est aussi à cette étape que l’auditeur élabore le référentiel
de contrôle interne et le programme de travail.
 L’ordre de mission
60

L’ordre de mission formalise le mandat donné par la


Direction Générale à l’Audit Interne. L’ordre de
mission est différent de la lettre de mission comme
certains théoriciens et praticiens ont tendance à le
croire. La lettre de mission est la matérialisation d’un
contrat entre une entreprise et une structure d’audit
externe. L’ordre de mission est important pour les
raisons suivants :
 l’Audit Interne ne peut pas s’autosaisir pour
l’exécution des missions. Il n’est pas un gendarme,
il réalise les missions qui lui sont confiées par la
hiérarchie ;
l’ordre de mission doit toujours émaner d’une
Autorité compétente, de la plus Haute Hiérarchie
au sein de l’organisation. Il émane de la Direction
Générale ou du Comité d’audit, tout dépend de la
configuration de l’organe de décision au sein de
l’organisation ;
l’ordre de mission permet d’informer tous les
responsables concernés de la réalisation d’une
mission d’audit.

61
L’ordre de mission comporte les mentions obligatoires
et facultatives. Les mentions obligatoires sont les
suivantes :
 La désignation précise du mandant,
 La signature du mandant,
 Les noms et prénoms des membres de l’équipe
d’audit à commencer par le Chef de la mission,
 L’objet de la mission.
Les mentions facultatives sont :
 Le champ d’application de la mission,
 Les modalités d’intervention sur le terrain,
 Les lieux à visiter ainsi que les moyens
logistiques,….
Il convient de noter que l’insertion de ces mentions
dans l’ordre de mission tend à limiter les manœuvres de
62
l’équipe d’audit.
 La prise de connaissance
63

Cette étape est d’une importance capital pour le bon


déroulement et la réussite de la mission. En effet, la prise de
connaissance permet de :
 avoir une vision d’ensemble de l’organisation objet de la
mission et des contrôles internes mis en place pour la
maitriser ;
 identifier les risques ;
 préparer les entretiens ;
 définir les objectifs de la mission ;
 organiser et planifier la mission ;
 estimer le budget temps et le coût de la mission ;
 permettre à l’auditeur de mieux s’imprégner dans la
mission en donnant le maximum de lui-même et en y
mettant du professionnalisme dans son travail.
La prise de connaissance s’avère nécessaire car on ne peut
contrôler une structure dont on a une méconnaissance.
L’auditeur pour y arriver doit avoir une grande capacité de
lecture et un bon esprit de compréhension et de synthèse. Il
doit disposer aussi d’une bonne capacité à organiser son
travail et d’une méthodologie adaptée. Enfin, l’auditeur doit
avoir une culture générale assez satisfaisante.
En théorie comme dans la pratique, c’est le pré-audit qui
détermine la durée de la phase de réalisation et des points
de contrôle, tout dépendra de la complexité de la mission.
La prise de connaissance se fait à l’aide du Questionnaire
de Prise de Connaissance (QPC) en fonction des acquis et
de l’expérience de l’auditeur. Ces questions sont orientées
selon les objectifs visés par l’auditeur. Cependant, les
questions portent généralement sur le contexte socio-
économique, l’organisation, les méthodes et procédures,
64etc.
 L’identification des risques
65

Appeler aussi l’identification des zones à risque,


c’est à cette étape que l’auditeur identifie les
endroits où les risques sont susceptibles de se
réaliser. Ensuite, le programme de travail de
l’auditeur sera réalisé en tenant compte des
risques encourus et en fonction du dispositif qui a
été mis pour y faire face.
 Le Référentiel de Contrôle Interne (RCI)
66

Le RCI permet à l’auditeur interne de déterminer les objectifs


d’audit, lesquels se retrouveront dans le programme de
travail. La démarche doit permettre à l’auditeur d’organiser
sa mission en identifiant les points qu’il devra approfondir et
a contrario ceux sur lesquels il pourra passer rapidement
voire même faire l’impasse.
Le RCI devra être un inventaire le plus complet possible et
tendre à l’exhaustivité :
 des objectifs d’un processus audité ;
 des risques associés à ces objectifs ;
 des conséquences associées à ces risques ;
 des dispositifs de contrôle interne destinés à maîtriser
ces risques.
Toutefois, l’élaboration du RCI n’est pas obligatoire ou
nécessaire, si le sujet de la mission est simple ou si
les risques sont déjà identifiés dans l’ordre de
mission. Le RCI doit être validé par le responsable de
l’audit interne.
Les étapes de la mise en œuvre d’un RCI sont :

Première étape
 découper le processus en activités ou
opérations élémentaires (1)
 indiquer en face de chaque activité son but ou
objectif. On se pose donc la question à quoi
sert-elle ? (2)

67
Deuxième étape

Déterminer les risques encourus c'est-à-dire tout


événement qui empêche la réalisation des objectifs. Il
s’agit tout simplement de reprendre les risques essentiels
attachés à l’activité et non chercher à identifier tous les
risques susceptibles de se manifester (3)

Troisième étape

Déterminer les causes des risques (4)

Quatrième étape

Déterminer les conséquences des risques (5)


68
Cinquième étape

Indiquer les dispositifs de contrôle interne que l’on


devrait trouver en bonne logique normalement pour
faire échec au risque identifié (6)

Sixième étape

Indiquer si le dispositif de contrôle interne identifié


existe (oui) ou n’existe pas (non). On ne regarde que
l’existence du dispositif et non son fonctionnement
(7).

69
Exemple de RCI : Processus d’organisation de formations

70
 Le Programme de travail
71

Il est aussi appelé programme d’audit ou programme


de vérification ou encore planning de réalisation. Il
s’agit d’un document interne au service et dans lequel
on va procéder à la détermination et à la répartition
des tâches. Dans certaines structures, le programme
de travail est validé par la hiérarchie.

Le programme de travail contient l’indication des


travaux préliminaires à accomplir pour mettre en
œuvre les techniques et outils d’une part et la nature
des techniques et outils à utiliser.
Le programme de travail est réalisé par l’équipe sous la
supervision du Chef de la mission. Il répond à 6 objectifs :
 Document contractuel : il va lier l’équipe de
mission à la hiérarchie. Quel que soit les
modifications apportées sur le terrain, il constitue la
référence utilisée pour apprécier le travail effectué.
C’est pour cela qu’il faut toujours l’accord de la
hiérarchie avant d’y apporter des modifications.
 Planning de travail : On répartit les tâches entre
les différents membres de la mission (les tâches
élémentaires aux auditeurs juniors, les analyses
complexes aux auditeurs séniors, les tâches
spécifiques aux auditeurs spécialistes.). Le
programme de travail permet d’organiser le travail
en fonction des compétences, dans le temps et
l’espace.
72
 Fil conducteur : c’est la feuille de route pour
chaque auditeur, ce qui évite aux auditeurs
d’aller en aventure. Il permet ainsi d’éviter les
pertes de temps et de faire des travaux inutiles
dans le cadre de la mission.
 Point de départ du QCI: le programme de
travail indique le détail de ce qu’il convient de
faire pour explorer les différentes zones à
risque identifiées lors de la phase préparatoire.
En d’autres termes, c’est à partir du programme
de travail et parallèlement à son élaboration que
se construit, dans tous ses éléments de détail,
le Questionnaire de Contrôle Interne.

73
 Suivi du travail : le PT permet au Chef de la mission de
suivre avec efficacité le travail des auditeurs. Le suivi lui
permet de s’assurer du déroulement normal des
opérations dans le temps et don d’anticiper les avances
ou retards par rapport au planning préétabli. Il lui permet
de savoir où en est chaque auditeur dans les tâches qui
ont été assignées (cela permet d’apprécier la
contribution individuelle des auditeurs et de situer
aussitôt les causes des avances, retards et
éventuellement d’y porter des remèdes.)
 Documentation : L’existence d’un programme de travail
précis pour chaque thème ou sujet d’audit constitue un
modèle pour les audits à venir surtout lorsqu’il s’agit
d’une mission d’audit portant sur un thème ou un sujet
déjà traité. Le programme de travail fait parti des
documents considérés comme la mémoire du service
d’audit compte tenu que les acteurs partent et
74
l’entreprise évolue.
 Le Questionnaire de Contrôle Interne (QCI)
75

C’est un document que l’on a déjà commencé à


élaborer avec le découpage en tâches élémentaires
puisque lui aussi comme le tableau des risques part
de ce découpage fondamental.
Le QCI est le guide de l’auditeur sur le terrain et
permet de réaliser le programme de travail.
Pour bâtir un bon QCI, il convient de se poser les 5
questions fondamentales à savoir : Qui? Quoi? Où?
Quand? Comment?
Dans la pratique, il y a autant de QCI que de
missions à réaliser mais il convient tout simplement
de compléter ou de mettre à jour les anciens QCI.
2- Phase de réalisation de la mission
76

A cette étape, l’auditeur n’est plus dans son


bureau, il passera tout le temps sur le terrain à
faire des entretiens, des sondages, des revues
littéraires, des circularisations et d’autres des
tests. La phase terrain commence toujours par
une réunion d’ouverture et se termine par une
réunion de clôture dans certains cas.
 La réunion d’ouverture
77

C’est une réunion symbolique qui se tient généralement dans


les locaux de la structure auditée. Cette importante réunion
permet aux auditeurs de connaître ou de se faire connaître des
interlocuteurs que sont les audités.
L’ordre du jour de cette réunion doit être transmis à la structure
auditée au moins dix (10) jours avant sa tenue. Les points à
aborder sont :
 La présentation des membres de la mission. Cette
présentation est obligatoire même si les auditeurs sont
connus des membres de la structures auditées ;
 Le rappel sur l’audit interne. A cette phase, le Chef de
la mission doit faire une brève présentation sur l’audit
interne en insistant sur son importance pour une
entreprise et particulièrement sur la structure auditée ;
 Les rendez-vous et les contacts. Il est important que le
Chef de la mission demande les noms, les localisations
des bureaux et numéros de téléphone des personnes
désignées par les responsables de la structure auditée.
Les personnes désignées sont généralement les
responsables des structures concernées par la mission ;
 La logistique de la mission. Il convient pour l’équipe
d’audit de connaître les bureaux dans lesquels, ils seront
installés. Dans certains cas, une visite est réalisée pour
s’assurer des conditions ergonomiques. En plus, les
auditeurs doivent s’assurer que le bureau dispose d’un
minimum de sécurité, de connexion téléphonique et
internet, de photocopieuse, d’imprimante, etc ;
 Le rappel sur la procédure d’audit. Il est important
pour le Chef de la mission d’expliquer la méthodologie
de travail aux audités car les audités n’ont pas forcement
78
connaissance des procédures internes de la structure en
charge de l’audit.
 La mise en œuvre du programme de travail
79

Elle consiste à mettre en œuvre les contrôles qui ont été


programmés et validés par le Chef de la mission au cours de la
phase de pré-audit.
Au cours de cette phase, l’auditeur va procéder au déroulement
de son QCI à travers des entretiens, des vérifications physiques
ou documentaires, des inventaires, des tests de conformités et de
régularités. Il effectue aussi des visites de site et fait recourt à des
circularisations.
Les résultats des investigations sont consignés sur les papiers de
travail qui font l’objet d’un référencement adéquat.
Les problèmes jugés importants sont transcrits sur un document
appelé « Feuille de Révélation et d’Analyse de Problème ou
FRAP ».
La FRAP a été mise en forme par l’IFACI dans le but de se
Exemple de FRAP
Feuille de Révélation et d’Analyse de Problème
Exercice :
Entité : Objet : FRAP n° :

Risque

Constats

Causes

Conséquences

Priorité d’action
Recommandations

80
Toutefois, il convient de savoir qu’il existe plusieurs
types de documents de reporting autre que la FRAP.
En effet, ce modèle a fait l’objet d’adaptation et
d’enrichissement au sein des entreprises à travers le
monde.
Les papiers de travail et les FRAP doivent être
soumis au Chef de la mission pour observation et
avis. Le Chef de mission à travers ses orientations
peut demander des contrôles supplémentaires ou des
informations complémentaires. C’est la Revue
Qualité.
Elle commence depuis le pré-audit et s’accentue à la
phase terrain. Le Chef de mission dans son rôle de
coordination de la mission supervise, contrôle les
81travaux des auditeurs et les oriente à l’aide de son
expérience.
Après avoir fini de déroulement tous les points d’audit ou
de contrôle, le Chef de mission doit s’assurer que tous les
constats ont fait l’objet de validation auprès du
responsable de la structure auditée.
L’auditeur doit toujours disposer de Preuve. Selon la
Norme 2310, un constat peut être considéré comme
prouvé, donc valable si les informations réunies
présentent les quatre caractéristiques suivantes :
 l’information doit être nécessaire donc
indispensable ;
 l’information doit être fiable donc permet d’aboutir à
une conclusion précise ;
 l’information doit être pertinente c'est-à-dire en
rapport avec les observations et recommandations
et conforme aux objectifs de la mission ;
82
 l’information doit être utile donc doit permettre
d’atteindre un meilleur niveau de contrôle interne.
3- Phase de réalisation de la mission
83

Selon L. Sawyer, il y a quatre catégories de preuve


en audit interne. La preuve doit être :
 Physique, c'est-à-dire visible, palpable. C’est
la meilleure des preuves car le plus souvent
non discutable ;
 Testimoniale, c’est la plus fragile des preuves
selon certains puristes. En effet, comment se
fier au témoignage d’autrui, frappé d’un double
aléa (constat fait par autrui et la façon dont il
est rapporté) ;
 Documentaire, elle se présente sous forme de tout
support physique sur lequel est gravé des écritures
(pièces comptables, procédures écrites, comptes
rendus, notes, courriers, plans, rapports, etc.).
Malgré sa force toute sa force de l’écrit, elle est
frappée d’un double aléa (lié à la qualité du
document et lié à la façon dont on effectue la
lecture ou le déchiffrage) ;
 Analytique, c’est celle qui résulte de calculs, de
rapprochement, déductions et de comparaisons
diverses. Il est frappé aussi d’un double aléa
(source des documents et informations servant de
bases et erreurs dans le traitement de
l’information).
Au regard de ces incertitudes, l’auditeur interne doit
84
pour avoir une assurance raisonnable procéder
toujours à la validation des constats avec l’audité.
4- Phase de conclusion de la mission
85

A cette phase de la mission, l’auditeur rédige le projet


de rapport qu’il doit soumettre au responsable de la
structure auditée pour validation.

Cette validation à lieu à la réunion de clôture.


 Le projet de rapport d’audit interne
86

Il est ainsi nommé pour trois raisons.


 Les observations (problèmes, constats, causes,…) n’ont
pas encore été validées par la hiérarchie de l’entreprise
malgré leurs validations avec les responsables des
structures opérationnelles ;
 C’est un document incomplet car les recommandations
ne sont pas accompagnées les réponses officielles de la
structures auditées. Toutefois, la norme 2410 ne rend
pas cet acte obligatoire ;
 Il ne comprend pas encore le plan d’action qui est un
document joint au Rapport définitif et sur lequel le
responsable de la structure auditée indique quand et par
qui seront mises en œuvre les recommandations qu’il a
acceptées. Ce point est rendu obligatoire par la norme
Il y a deux pratiques en la matière :
 Le plan d’action est joint au rapport d’audit.
Cette pratique est usitée aux USA et dans de
grandes entreprises ou dans des entreprises
qui ont des responsables pragmatiques.
 Le plan d’action est rendu ultérieurement,
c’est-à-dire après la publication du rapport
d’audit. C’est la pratique dans des entreprises
en Afrique et dans le monde francophone.

NB : la norme 2410 retient la première pratique.

87
 La réunion de clôture
88

C’est l’étape qui déclenche le départ des auditeurs


des locaux de la structure auditée. Cette séance
réunit les mêmes participants que la réunion
d’ouverture.
 L’organisation et le déroulement de la réunion
89

Le Chef de mission communique le projet de rapport au


responsable de la structure auditée et convient avec lui de la
date et l’heure de la réunion de validation.
Cette réunion a lieu dans les locaux de la structure auditée,
avec un seul ordre du jour qui est l’examen du projet de
rapport.
Le Chef de mission et les auditeurs internes doivent bien
préparer cette réunion.
La préparation consiste à :
 Élaborer les diapositives si possibles,
 Classer les papiers de travail et y aller avec à la réunion,
 Connaître le contenu des travaux des autres collègues,
 Etre ponctuel à la réunion,
 Organiser la prise de parole.
La contestation a lieu lorsque le responsable de la
structure ou un de ses collaborateurs n’est pas
d’accord avec un constat. Dans ce cas, l’auditeur
dispose de tous les éléments de preuves et la
contestation prend fin ou il n’est pas en mesure de
fournir les éléments de preuves. Car il a mal organisé
ses éléments de preuves ou il a tiré des conclusions
hâtives.
Dans ce cas de figure, il convient au Chef de mission
de mettre fin de manière subtile au débat et passer à
un autre point.
Les auditeurs doivent prendre des notes et exigé la
rédaction d’un compte rendu ou un PV de réunion
par la structure auditée. Ou le faire dans le cas
90 échéant.
 Le rapport d’audit interne
91

La rédaction du rapport de mission et sa


communication sont régies par la norme 2400 (Voir
Normes 2400 de l’IIA). Le rapport doit être rédigé
dans un français clair et concis. Le rapport d’audit est
un document d’information pour le responsable du
service d’audit et pour le responsable de la structure
auditée.