Vous êtes sur la page 1sur 101

REFORME DU CONTRÔLE DE LA DEPENSE PUBLIQUE

_______

RENFORCEMENT DE LA CAPACITE DE GESTION


DES ORDONNATEURS
_______

Formation à l’audit interne


Objectifs de la formation

1. L’audit interne
- Les Concepts : Définition et notions clefs

- Les Normes professionnelles de l’Audit interne

2. Le Déroulement d’une mission d’audit interne


- La phase de préparation

- La phase de travail terrain


- La phase de restitution et de suivi

2
définition de l’audit interne

DEFINITION

3
définition de l’audit interne

Définition de l’audit interne

L’Audit interne est une activité indépendante et


objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses
opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur
ajoutée.

Source : Institute of International Auditors

4
définition de l’audit interne

Définition de l’audit interne

Il aide cette organisation à atteindre ses objectifs en


évaluant, par une approche systématique et
méthodique, ses processus de management des
risques, de contrôle, et de gouvernement
d ’entreprise, et en faisant des propositions pour
renforcer leur efficacité.

5
définition de l’audit interne

 Typologies de l’audit
 L'audit de régularité : vise à s’assurer de la conformité des
actes et des procédures à l ’ensembles des normes juridiques
comptables et financières applicables.

 L'audit de performance : évalue les résultats (les 3 E :


Efficacité, Economie, Efficience), évalue la pertinence des
indicateurs. Il intègre l’audit de management (politique managériale et
stratégie).

6
définition de l’audit interne

 Ce que n’est pas l’audit interne

 L’audit n’est pas une inspection

 L’audit n’est pas une certification


La certification se prononce sur la validité des comptes (portée
juridique) alors que l ’audit donne une assurance raisonnable sur la
qualité des comptes (préalablement à leur certification).

 L’audit n’est pas une étude ou une expertise


Il n ’intervient pas préalablement à la mise en place d ’une
procédure, mais au contraire il l ’évalue a posteriori.

7
L’audit interne : l ’auditeur

Rôle de l’auditeur

1) Evaluer et apprécier le degré de maîtrise des risques


de la structure à travers sa politique de contrôle interne.

2) Proposer des mesures d’amélioration réalistes et


opérationnelles afin de permettre à la structure de mieux
maîtriser ses risques et d’atteindre ses objectifs.

8
L’audit interne : l’auditeur


Ce qu’est l’auditeur : 
un professionnel du traitement de l’information qui aide
un manager à mieux maîtriser ses risques, à
fonctionner
plus efficacement, afin d ’atteindre ses objectifs.


Ce que n’est pas l’auditeur : 
un inspecteur, un certificateur de comptes, un policier,
un juge.

9
L’audit interne : l’auditeur

L’auditeur est un professionnel du traitement de


l ’information
 Qualités :
 Intégrité
 Objectivité - capacité d’écoute
 Indépendance
 Compétence
 Esprit d’équipe

10
Les normes de l’audit interne

LES NORMES DE L’AUDIT

11
Les normes de l’audit interne

L’activité de l’auditeur est menée dans le respect d ’un cadre


de référence :
«Les normes internationales pour la pratique
professionnelle de l’audit interne ».
 Elles définissent les principes de base de la pratique de l’audit interne.
 Elles sont un cadre de référence.
 Elles établissent les critères d‘appréciation du fonctionnement de
l’audit.
 Elles favorisent l’amélioration des processus organisationnels et des
opérations.

12
L’audit interne : normes de qualification

 Les normes de qualification


 Mission, pouvoirs et responsabilité (1000)
 Indépendance et objectivité (1100)
 Compétence et conscience professionnelle (1200)
 L’assurance qualité (1300)

13
Normes de qualification :
mission, pouvoirs et responsabilités

Mission, pouvoirs et responsabilités (N1000)

La mission, les pouvoirs et les responsabilité de l’audit


interne doivent être :

1) formellement définis dans une charte

2) cohérent avec les normes et dûment approuvés par


la direction générale (administrations publiques).

14
Normes de qualification :
mission, pouvoirs et responsabilités

La charte de l’audit interne


 La charte de l’audit interne est un document écrit qui fixe
les droits et les devoirs des auditeurs. Elle doit être remise à
l ’audité.
 Elle informe sur les objectifs et les méthodes de l’audit.
 Elle permet de clarifier la mission.
 Elle fixe les règles de conduites.
 Elle autorise l’accès des auditeurs aux documents et aux personnes.
 Elle doit être un document officiel validé par la direction
générale et le comité d’audit, conforme aux normes de l’audit.

15
Normes de qualification :
indépendance et objectivité

Indépendance et objectivité (N1100)

L’audit interne doit être indépendant et les auditeurs


doivent effectuer leur travail avec objectivité pour émettre
des opinions impartiales :
1) position dans l ’organisation
2) objectivité

16
Normes de qualification :
indépendance et objectivité

1) Position dans l’organisation


 La structure d’audit interne est placée sous l’autorité
directe de la direction ; elle exerce un fonction distincte de
celle de gestion courante.
 La structure d’audit n’est pas impliquée dans la conception et
l’exécution des opérations de gestion.
 La structure d’audit est indépendante de l’entité auditée.
 La structure d ’audit est composée d ’auditeurs d ’un niveau
hiérarchique élevé permettant d’obtenir la coopération des audités.
 La structure d ’audit communique directement avec le plus haut
niveau.

17
Normes de qualification :
indépendance et objectivité

2) Objectivité

 L’objectivité s’exerce dans la gestion de l’information,


l’appréciation et l’évaluation de l’entité auditée. Les travaux
d’audit doivent être documentés et les informations probantes.
 Les constats doivent être corroborés (traçabilité).
 Les conclusions ne doivent jamais dépendre des préjugés.
 Les situations de conflit d’intérêt doivent être évitées.
 Les constatations et recommandations retracées dans un rapport.
 Les travaux d’audit sont documentés.
 Les travaux d’audit sont supervisés.

18
Normes de qualification :
compétence et conscience professionnelle

Compétence et conscience professionnelle (N1200)

Les missions d’audit doivent être remplies avec compétence et


conscience professionnelle grâce à la compétence et au
professionnalisme des auditeurs :
1) les audits doivent être effectués avec compétence
2) les audits doivent être effectués avec conscience
professionnelle

19
Normes de qualification :
compétence et conscience professionnelle

1) La compétence des auditeurs


 Les auditeurs doivent s’engager dans les travaux pour
lesquels ils sont habilités et dûment formés. Ils doivent
toujours s’efforcer d’améliorer leur compétence : Il faut
savoir faire pour faire.
 Modalités de recrutement.
 Connaissances, aptitudes et compétences techniques.
 Respect du code de déontologie.
 Relations humaines et communication.
 Formation continue.
 Une méthodologie et des outils opérationnels.

20
Normes de qualification :
compétence et conscience professionnelle

2) La conscience professionnelle

 Les auditeurs doivent accomplir leur mission avec


honnêteté, diligence, et responsabilité.

 Intégrité et probité : honnêteté stricte et scrupuleuse.


 Respect des règles et des normes.
 Révélations requises par les lois et normes d’audit.

21
Normes de qualification :
l’assurance qualité

L’assurance qualité (N 1300)

L’audit interne doit évaluer son efficacité, l’efficience de


son organisation et la qualité de ses prestations grâce à
un programme d’assurance et d’amélioration qualité :
1) la démarche qualité
2) les évaluations internes et externes

22
Normes de qualification :
l’assurance qualité

1) La démarche qualité
 L’assurance qualité est une exigence pour les services de
l’audit interne. La mise en œuvre d’une démarche qualité pour
l ’ensemble des secteurs de l’audit répond à cette exigence.
 Déterminer et formaliser une organisation et une méthodologie
rigoureuse de l’audit interne qui doit être mise en œuvre de manière
uniforme par l’ensemble des auditeurs.
 Veiller de manière permanente au professionnalisme des auditeurs
grâce à une politique de formation et à la mise à disposition d’outils
adaptés.
 Manager les services d’audit avec un objectif qualité clairement affirmé.
 S ’assurer de la création de valeur ajoutée pour l’organisation.

23
Normes de qualification :
l’assurance qualité

2) Les évaluations internes


 L’assurance qualité repose sur l’évaluation régulière de la
performance de l’audit interne au plan interne
 Dans le cadre de la supervision permanente du service de l’audit
interne (management et pilotage)
 Dans le cadre d’évaluations internes réalisées au moyen de contrôles
spécifiques :
- enquête de satisfaction (des audités, et des commanditaires),
- indicateurs d’activité (nombre de missions, nombre de jours d’audit
…),
- indicateurs qualité (suivi du plan annuel, recommandations mises en
œuvre, modalités d’archivage et de conservation de l’information…)

24
L ’audit interne : normes de fonctionnement

 Les normes de fonctionnement


 gestion de l’audit interne (2000)
 nature du travail (2100)
 planification de la mission (2200)
 réalisation de la mission (2300)
 communication des résultats (2400)
 surveillance des actions de progrès (2500)

25
Normes de fonctionnement :
gestion de l’audit interne

Gestion de l’audit interne (N2000)


Le responsable de l’audit interne doit gérer le service d’audit de
façon a apporter une véritable valeur ajoutée à l’organisation :
1) grâce à une planification fondée sur les risques
2) avec une communication à la direction générale du
programme et des besoins nécessaires
3) en mobilisant des ressources de manière efficace et
adaptée à l’activité
4) dans un cadre normé d’activités
5) en effectuant des restitutions périodiques

26
Normes de fonctionnement :
gestion de l’audit interne

1) La planification fondée sur les risques


 Le processus de planification doit comporter la définition
d’objectifs, un programme de missions, une prévision des
moyens à mettre en œuvre.
 Le programme des missions doit préciser les activités à
auditer, la période des missions, ainsi qu’une évaluation du
temps des travaux.
 Les priorités sont fixées en tenant compte :
 des normes de périodicités,
 des demandes de la direction générale,
 de l’évaluation à jour des risques et de l’efficacité des dispositifs de
management (notamment du contrôle interne),
 des modifications survenus (activité ou management).

27
Normes de fonctionnement :
gestion de l’audit interne

2) Une Communication du programme et des besoins


 Le plan d’audit (programme et moyens mobilisés) doit
être en adéquation avec les attentes de la direction générale
et faire l’objet d’une approbation par ses soins.
 Toute modification du programme liée à des changements
intervenus dans le service d’audit doit être signalée.
 La communication doit contenir suffisamment d ’éléments
d ’information pour permettre à la direction générale
d’apprécier la qualité du programme au regard des ses
attentes.

28
Normes de fonctionnement :
gestion de l’audit interne

3) La gestion efficiente des ressources


 Le responsable de l’audit interne doit veiller à l’adéquation
entre l’activité d’audit et les ressources affectées. L’objectif de
performance doit être au cœur des préoccupations des
gestionnaires publics des services d’audit.
 La programmation doit s’appuyer sur les compétences des
auditeurs et favoriser une synergie.
 La formation des auditeurs est un paramètre essentiel pour
une mobilisation efficiente des ressources.
 Il appartient aussi au responsable de l’audit de veiller à la
bonne coordination de l’activité.

29
Normes de fonctionnement :
gestion de l’audit interne

4) Un cadre normé par des règles et procédures


 Le responsable de l’audit interne doit fournir un cadre à
l’activité d’audit, en fonction de l’importance et de la structure
de l ’audit interne.
 Pour les services importants, des guide de procédures
doivent être mis à disposition des auditeurs pour assurer le
respect des normes de fonctionnement, harmoniser les
pratiques, et atteindre un «objectif qualité».
 Des manuels, guides et outils d’audit peuvent être utilement
mis à la disposition des auditeurs afin de renforcer leur
professionnalisme et de favoriser la qualité des travaux.

30
Normes de fonctionnement :
gestion de l’audit interne

5) Les restitutions périodiques


 Le responsable de l’audit interne doit rendre compte
périodiquement à la direction générale des missions et
résultats au regard du programme prévu.
 Un rapport d’activité doit être soumis à la direction générale
et faire état des principales constatations et recommandations
formulées lors des audits.
 Les constats d ’audits relatifs à des dysfonctionnements
néfastes à l’organisation, des irrégularités, des gaspillages,
des conflits d’intérêt, des faiblesses dans les dispositifs de
contrôle interne … doivent être communiqués à la direction
générale.

31
Normes de fonctionnement :
nature du travail

Nature du travail (N2100)


L’audit interne, pour apporter une plus value, doit évaluer les
processus de management des risques, de contrôle et de
gouvernement d’entreprise, et contribuer à leur amélioration
sur la base d ’une approche systématique et méthodique :
1) le management des risques
2) le dispositif de contrôle
3) le gouvernement d’entreprise

32
Normes de fonctionnement :
nature du travail

1) Le management des risques


 L’audit interne participe à l’évaluation et à l’identification des
risques. Il surveille et évalue le système de management des
risques et contribue à son amélioration. Il s’assure de la
constante adaptation de l’entité à l’évolution des risques.
 La gestion du risque est une responsabilité majeure du manager qui
doit s’assurer de la mise en place de dispositif rigoureux lui
permettant d’atteindre ses objectifs et d ’éviter la survenance de
risques.
 L’audit interne évalue les processus de management des risques et
rend compte de ces évaluations.
 Il contribue à l’instauration d’un dispositif de management des
risques et de contrôles appropriés.

33
Normes de fonctionnement :
nature du travail

Le management des risques


 Notion de risques : tout événement, tout comportement, toute
situation, affectant la réalisation des objectifs.
 Nature des risques :
 environnemental, organisationnel,
 opérationnel,
 juridique, administratif,
 comptable, financier, patrimonial
 risque de fraude.
 analyse et cartographie des risques :
 vulnérabilité de l’entité, risques potentiels liés à l’environnement, à la
sécurité,
 risque inhérent à l’activité, aux procédures et opérations,
 qualité du contrôle interne.
34
Normes de fonctionnement :
nature du travail

2) Le système de contrôle interne

 Les travaux d ’audit interne doivent s’assurer que le système


de contrôle interne fournit une assurance raisonnable sur la
maîtrise des opérations et que les objectifs seront atteints
d’une manière efficiente.
 Objectifs fondamentaux et pertinence du système de contrôle interne.
 Analyse et efficacité du contrôle interne.
 Fiabilité et exhaustivité des informations.
 Respect des plans, procédures, lois et réglementations.
 Protection du patrimoine.
 Utilisation économique et efficace des ressources.
 Réalisation des objectifs.

35
Normes de fonctionnement :
nature du travail

3) Les éléments du gouvernement d ’entreprise


 Les travaux d’audit interne doivent évaluer le processus de
gouvernement d’entreprise et formuler des recommandations
en vue de son amélioration.
 Règles d’éthique et valeurs appropriées au sein de l’organisme
 Politique de l’organisation et de gestion des ressources humaines
 Efficacité de la gestion des performances de l ’organisme
 Obligation de rendre compte et modalités
 Communication au sein de l ’organisation, en particulier des
informations relatives aux risques et aux contrôles internes.

36
Normes de fonctionnement :
planification de la mission

Planification de la mission (N2200)

Les auditeurs internes doivent formaliser un plan pour


chaque mission, précisant :
1) les objectifs de la mission
2) le programme de travail
3) les ressources allouées
.

37
Normes de fonctionnement :
planification de la mission

1) Les objectifs de la mission d’audit


 Les objectifs doivent être précisés pour chaque mission ce
qui nécessite préalablement d’identifier les risques liés à
l’activité et de les évaluer.
 L’auditeur interne est responsable de la planification et de la
conduite de la mission qui lui est confiée.
 Analyser en amont l’environnement et les enjeux de la mission.
 Identifier les procédures, opérations, transactions et les risques qui en
découlent, qui méritent d’être audités (documentation préalable).
 Prévoir le degré de corroboration des informations (nature et étendus
des tests).
 Elaboration du cahier des charges de la mission

38
Normes de fonctionnement :
planification de la mission

2) Le programme de travail
 Les auditeurs doivent formaliser une programme de travail
permettant d’atteindre les objectifs
 Le programme de travail doit être approuvé par le
responsable de l’audit interne
 Détermination des procédures d’audit et des techniques de sondage
et d ’échantillonnage...
 Modalités de collecte des informations et de la documentation.
(questionnaire, entretiens…)
 Ajustement éventuel du programme au tout début des travaux.

39
Normes de fonctionnement :
réalisation de la mission

Réalisation de la mission d’audit (N2300)

L’auditeur interne doit identifier, analyser, évaluer et


documenter les informations nécessaires pour atteindre
l’objectif de la mission :
1) Identification des informations
2) Analyse et évaluation des informations
3) Documentation des informations

40
Normes de fonctionnement :
réalisation de la mission

1) Identification des informations


 L’auditeur interne doit identifier des informations utiles,
fiables et pertinentes permettant d ’atteindre les objectifs de la
mission.
 L’utilisation des informations répond aux exigences de la
législation, notamment pour assurer la protection de la vie
privée.
 Des informations nécessaires, suffisantes et précises.
 Des informations fiables, non contestables et concluantes.
 Des informations utiles à l’organisation pour atteindre ses objectifs
 Des informations qui préservent les personnes.

41
Normes de fonctionnement :
réalisation de la mission

2) Analyse et évaluation des informations


 L’auditeur interne doit fonder les résultats de ses travaux et
ses conclusions qui doivent être incontestables.
 Les informations recueillies par l’auditeur interne au cours
de la mission doivent être analysées, comparées et évaluées.
 Des informations comparées et recoupées : indicateurs, ratios,
pourcentage ; taux d ’erreurs ou d’anomalies ; prévisions /réalisations ;
résultats/ objectifs/écarts ; fiches de procédures et application ;
 Des informations pertinentes en rapport avec les constats et les
recommandations : enjeux ; seuil de signification ; niveau décisionnel...

42
Normes de fonctionnement :
réalisation de la mission

3) Documentation des informations


 L’auditeur interne doit documenter les informations pour
étayer ses conclusions.
 Un dossier de travail doit être utilement conservé par
l’auditeur pour appuyer les constats figurant dans le rapport
d ’audit.
 Les «papiers de travail » documentent les travaux, consignent les
informations obtenues et les analyses faites, confortent les conclusions
et recommandations de l’audit.
 Le dossier de travail doit être complet et archivé. Il inclut les «papiers
de travail», les documents de programmation et de planification de la
mission, les questionnaires, les compte rendus d ’entretiens, les
documents de l’audit, les correspondances, le rapport d ’audit ...

43
Normes de fonctionnement :
communication des résultats

La communication des résultats (N2400)


L’auditeur interne doit communiquer rapidement les résultats
de la mission d ’audit :
1) de manière formalisée et de qualité
2) aux personnes appropriées

44
Normes de fonctionnement :
communication des résultats

1) Une communication des résultats formalisée et de


qualité
 Il n’y a pas d’audit interne sans rapport d’audit formalisé.
 La communication doit inclure les objectifs et le champ de la
mission, la nature des constats, les conclusions et les
recommandations de l’auditeur.
 Un document final écrit et signé, dont le contenu a été préalablement
présenté au responsable de l’entité audité lors de la réunion de clôture.
 Un document établi en temps utile.
 Un document relu et supervisé (respect des normes).
 Un document d’information synthétique, structuré, clair et utile à
l’audité (outil de travail) : sommaire, synthèse,corps du rapport,
conclusion et plan d’action, annexes (FRAP).

45
Normes de fonctionnement :
communication des résultats

2) Une communication effectuée aux personnes


appropriées
 Le responsable de l’auditeur interne doit communiquer les
résultats définitifs aux membres de l’organisation en mesure
de donner suite aux recommandations.
 La communication des résultats doit respecter le principe de
confidentialité, et les destinataires doivent être identifiés.
 Communication au responsable de l’unité auditée
 Communication au supérieur hiérarchique
 Communication à des tiers autorisés (désignés dans le cahier des
charges)
 Autres communications sur autorisations ou dispositions légales.

46
Normes de fonctionnement :
suivi des actions de progrès

La surveillance des actions de progrès (N2500)

Le responsable de l’audit interne doit mettre en place un


dispositif permettant de surveiller les suites données aux
résultats de l’audit :
1) la réponse au rapport d’audit
2) la mise en œuvre du plan d’action

47
Normes de fonctionnement :
suivi des actions de progrès

1°) Le suivi des réponses au rapport d’audit


 Le responsable de l’audit interne doit établir des procédures
permettant de suivre les suites données au rapport d’audit.

 Les réponses du management permettent à l’auditeur de


d’apprécier l’engagement dans la mise en œuvre des
mesures correctives.
 Délai de réponse du responsable de l’unité auditée.
 Qualité des réponses.
 Niveau d’acceptation des risques
 Engagement pour la mise en œuvre du plan d ’action.

48
Normes de fonctionnement :
suivi des actions de progrès

2°) La mise en œuvre du plan d ’action


 Les auditeurs ont le souci de connaître la suite réservée à
leurs recommandations, et d’apprécier par la-même l’efficacité
de leurs travaux.
 L’auditeur interne ne participe pas à la mise en œuvre de
ses propres recommandations qui incombe au management ;
mais il doit être informé des suites données à ses propositions
afin de mesurer la qualité des travaux d’audit et d’alimenter le
fond documentaire.
 Le suivi permet d’apprécier si les actions correctives mises
en œuvre par le management sont appropriées, réelles, et
rapides.
49
Méthodologie
d’audit

Déroulement de la Mission
Rappels sur les normes
d’audit interne

Le déroulement de la
mission : préparation et
travail terrain
Rappel sur les Normes professionnelles de
l ’Audit interne

• 2100 – Nature du travail : L'audit interne doit évaluer les


processus de management des risques, de contrôle et de
gouvernement d’entreprise et contribuer à leur
amélioration sur la base d’une approche systématique et
méthodique.

52
Rappel sur les Normes professionnelles de
l ’Audit interne
• Selon la charte de l ’audit interne, l ’auditeur ne décide pas
lui-même d’une mission. Il intervient sur mandat et à la
demande du Ministre auprès duquel il est placé. Il dispose
d’une lettre de mission.

• 2200 – Planification de la mission : Les auditeurs internes


doivent concevoir et formaliser un plan de mission (ou
cahier des charges) pour chaque mission. Ce plan précise
le champ d’intervention, les objectifs, la méthodologie et la
durée de la mission, ainsi que les ressources allouées.

53
Rappel sur les Normes professionnelles de
l ’Audit interne

• 2201 – Considérations relatives à la planification : Lors de


la planification de la mission, les auditeurs internes
doivent prendre en compte :
– les objectifs de l’activité soumise à l'audit et la manière dont elle
est maîtrisée ;
– les risques significatifs liés à l’activité, ses objectifs, les
ressources mises en œuvre et ses tâches opérationnelles, ainsi
que les moyens par lesquels l'impact potentiel du risque est
maintenu à un niveau acceptable ;
– la pertinence et l'efficacité des systèmes de management des
risques et de contrôle de l’activité, en référence à un cadre ou
modèle de contrôle appropriés ;
– les opportunités d’améliorer de manière significative les systèmes
de management des risques et de contrôle de l’activité.

54
La méthode

• Une approche systématique et méthodique

Procédure

Environnement
Général

Risque
s Inhére
nt s
Contr
ôles m
i s en o
euvre
Risq
ue s liés
au c o
ntrôl
e

55
La méthode

• Une approche en 3 phases :


Lettre
Lettrede
de Rapport
Rapport
Mission
Mission ++
++ Plan
Plan Plan
Plande
de d’action
mission
mission
d’action

L’Auditeur interne aide le manager à mieux


maîtriser ses risques et atteindre ses objectifs.
Il fait des recommandations pour améliorer
25% les dispositifs existants.

25%

Programme
Programmede de
travail (ou plan
travail (ou plan 50%
d’audit)
d’audit)

56
Déroulement de la
mission

Une démarche classique en trois phases : La


phase d ’étude, la phase de terrain et la
phase de restitution.
Une démarche qui a comme point de départ
la lettre de mission.
Les documents préparatoires

• La lettre de mission est le


point de départ de l ’audit Lettre
Lettrede
deMission
Mission::
– Lettre de mission : Mandat donné cadre juridique
cadre juridique
aux auditeurs par le Ministre pour objet de la mission
objet de la mission
auditer. champ de l’audit
champ de l’audit
modalités d’intervention
– Lettre d’information : Lettre modalités d’intervention
calendrier et identification
calendrier et identification
d ’annonce, information remise à des
desutilisateurs
utilisateursdes
desrésultats
résultats
l’audité par l’auditeur (envoi de l’audit
de l’audit
préalable ou lors de la réunion
d ’ouverture)
– Plan de mission ou cahier des
charges ou termes de référence

58
Les documents préparatoires

Le Plan de Mission doit :


– ·définir les objectifs de la mission
– ·établir le champ d’intervention et le degré
d'approfondissement nécessaire des tests pour atteindre les
objectifs de chaque phase de la mission
– ·identifier les aspects techniques, les risques, les processus et
les opérations qui doivent être audités
– ·documenter les procédures d’audit permettant aux
inspecteurs-auditeurs de collecter, analyser, interpréter et
documenter les informations pendant la mission
– ·définir la méthodologie et les sites audités
– ·préciser les ressources allouées et le calendrier prévisionnel
de la mission

59
Déroulement de la
mission

La Phase de Préparation
La phase d ’étude - Présentation

• La phase d ’étude permet à l ’auditeur de dresser le plan


d ’audit de la mission (ou programme de travail). Pour ce
faire il va devoir :
– Identifier les principaux objectifs de l ’entité et recenser les risques
généraux associés (risque comptable, patrimonial, …)
– Découper le process en procédures élémentaires, ou « objets
auditables ».
– Analyser l ’environnement de contrôle interne, et le cas échéant
l ’environnement informatique.
– Évaluer pour chaque étape du process le niveau des risques
inhérents à l ’activité, et apprécier pour ceux qui présentent un
niveau significatif leur degré de maîtrise en évaluant le niveau des
risques liés au contrôle (c ’est à dire le risque que le contrôle mis
en œuvre pour maîtriser un risque inhérent à une procédure ne soit
pas suffisant, adapté …)

61
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• L ’étude de l’environnement :
– Il s ’agit de la première étape de la phase de prise de
connaissance
– Étape théoriquement facilitée par la mise à disposition de guides
de contrôle interne
Guides de – ·        les objectifs et les buts de l’activité
Guides de
contrôle ·        les indicateurs de performance et les valeurs cibles adossés
contrôle –
interne
interne ·        les contrats-programmes et les contrats de performance
– ·        les cadres de dépenses à moyen terme (CDMT)
Manuels
Manuels – ·        les règles, plans, procédures, lois, réglementations, contrats
de
de et conventions qui peuvent avoir un impact significatif sur les
procédure
procédure opérations, et les rapports.
ss – ·        d’éventuelles problématiques importantes
– ·        la littérature technique (normes, bonnes pratiques, directives
techniques…) faisant autorité pour l'activité concernée

62
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• L ’étude de l’environnement :
– ·l'organisation, par exemple, l’effectif des fonctionnaires et
autres agents, les collaborateurs occupant des postes de
responsabilités et/ou des postes clé, la description des
postes, ainsi que les détails relatifs aux derniers
changements de l'organisation, y compris les changements
importants des systèmes d’information
– ·le budget, les données comptables et financières sur
l'activité à auditer
– · le dossier de travail de la mission précédente
– ·les résultats d'autres missions, y compris ceux des audits
externes et des inspections
– ·les dossiers de correspondance / liaison afin de détecter
d’éventuelles problématiques importantes
– ·la littérature technique (normes, bonnes pratiques,
directives techniques…) faisant autorité pour l'activité
concernée
63
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• L’étude des chiffres significatifs :


– Recenser les données propres à la Rapport
Rapport
procédure et connaître leur évolution, à la d ’activité
d ’activité
fois au sein de l ’entité auditée mais aussi
par comparaison à d ’autres entités
– Se faire expliquer les évolutions Base
Basede
de
Données
Données
significatives ( changement de la
réglementation, réorganisation du service,
… ) par écrit Question
QuestionÉcrite
Écrite

Questionnaire Volume et Type de transactions


Données chiffrées
Question ? Exercice N Exercice N-1 Exercice N-2 Evolution %
> 30%

64
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Détermination des risques généraux :


– Risque comptable : Non respect des principes comptables de base
( régularité, sincérité, exactitude, imputation, rattachement à la bonne
période )
– Risque opérationnel : Non utilisation efficace des moyens humains
( organisation en portefeuille, par nature d’impôt …. ) et matériels ( sous-
utilisation de l ’outil informatique … ). Non documentation des procédures,
non formation des personnels
– Risque patrimonial : Perte financière pour l’Etat ( recouvrement non opéré,
ou un délai trop important dans le traitement des flux financiers )
– Risque juridique : Non respect des lois et règlements; Non traitement
égalitaire du citoyen; Interruption du service public
– Risque de fraude : Inexistence d’une évaluation des risques majeurs dans
la structure; Insuffisance des dispositifs de contrôle ( y compris contrôle
interne )
– ...

65
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Identification des différentes étapes


du process :
– Découper la procédure en étapes générales

Etape 1

Etape 2
Procédure

Etape 3


Etape N

66
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Identification des acteurs :


– Quels sont les acteurs qui interviennent
dans la procédure? Internes et
externes : les recenser tous
– A quel titre interviennent - ils ?
– Quelles sont leurs fonctions ?
– Quels outils utilisent t-ils ?
– Quels comptes ?
– De quelles informations disposent t-ils ?
– Quels sont leurs niveaux d ’habilitation ?

67
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Identification des acteurs :


Questionnaire
QuestionnaireAgents
Agents
Quelles sont vos fonctions ? • L ’organigramme fonctionnel
Quelles sont vos fonctions ?
Avez-vous reçu une délégation pour est servi par les chefs d ’unités
Avez-vous reçu une délégation pour
exercer
exercercescesfonctions
fonctions?? • Les questionnaires agents
Qui vous remplace ? viennent compléter, le cas
Qui vous remplace ?
A t-il reçu une délégation ?
A t-il reçu une délégation ? échéant, l ’organigramme
Quelle application informatique
Quelle application informatique fonctionnel et permettent de
utilisez
utilisezvous
vous??
Quel est votre niveau d'habilitation comprendre le degré
Quel est votre niveau d'habilitation
sur d ’appropriation par l ’équipe de
surcette
cetteapplication
applicationinformatique
informatique??
Quels comptes utilisez-vous ?
Quels comptes utilisez-vous ?
l ’organisation définie par le
responsable de l ’entité.

ORGANIGRAMME FONCTIONEL
Titulaire Remplaçant Application
Habilitation Comptes
Fonction Délégation ( Délégation ( informatique
Nom Nom informatique Mouvementés
oui / non ) oui / non ) utilisée

68
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Organisation des entrevues :


Comptes
Comptesrendus
rendus
avec qui l'auditeur doit-il avoir des d ’entretiens,
d ’entretiens,
entretiens ( prise de rendez-vous, à formalisés
formalisésetet
réaliser chez l'audité ) pour la suite validés
validés
des travaux ?
– Un entretien se prévoit et se prépare !
– Les comptes-rendus d ’entretiens sont
des documents confidentiels établis
sur la base de la confiance entre
l ’auditeur et l ’audité. Ces documents
ne figurent pas au rapport d ’audit,
mais son conservés dans le dossier
d ’audit.
– Savoir conduire un entretien
s’apprend!

69
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Découpage du process en objets auditables :


– Des différentes étapes de la procédure …
– … vers les différents objets auditables.

Objet Auditable 11
Etape 1
Objet Auditable 12
Objet Auditable 21
Objet Auditable 22
Etape 2

Procédure
Objet Auditable 23
Objet Auditable 24
Objet Auditable 31
Etape 3 Objet Auditable 32
Objet Auditable 33
… …
Objet Auditable N1
Etape N
Objet Auditable Nn

70
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Matérialisation des flux : pour achever la phase d ’étude et au vu


de l ’ensemble des informations récoltées en amont l ’auditeur dresse
un schéma de circulation des informations lui permettant de
comprendre la circulation des flux d ’information de la procédure dans
ses différents lieux. Ce schéma, outre l ’aspect « outil de synthèse »
permet de mettre en avant des points forts, mais aussi des points de
fragilité, et va servir de support à l ’analyse de la validité et de
l ’efficacité du contrôle interne.
Schéma de circulation des informations
Lieu 1 Lieu 2 Lieu 3 Lieu 4
Objet Auditable 1
Info 1
Objet Auditable 2
Info 1
Objet Auditable 3
Info 2

71
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase d ’étude :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 1 : Connaître le process


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Cartographie des risques : l ’auditeur indique le risque


inhérent, c’est à dire avant contrôle interne à chaque objet
auditable du process.
– Le tableau ci-dessous présente un modèle de cartographie. L ’auditeur, à
ce stade, va renseigner les quatre premières colonnes :
• Procédure, Étape, Objet auditable et Risque Inhérent
Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire
Auditable inhérent du être fait pour sur le niveau

Risque Comptable
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

72
L ’audit de Performance :
méthodologie et outils associés

Déroulement de la
mission

La Phase de Terrain
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• L ’évaluation des dispositifs transversaux : le contrôle


interne, et l’informatique:
– Utilisation d ’un questionnaire déroulé dans le cadre d ’un entretien
portant sur les principes suivants :
• Organisation
• Intégration
• Universalité
• Permanence
• Information et/ou documentation
• Circulation de l ’information
– Approche spécifique de l’environnement informatique

74
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• Une évaluation articulée autour d’un questionnaire déroulé dans le


cadre d’un entretien :
– Le principe d’organisation
• une définition claire et précise des tâches
• un contrôle réciproque
• l ’existence d ’un système de supervision
• la protection des biens, valeurs et documents
– La validité du plan d’organisation
• le contrôle des tâches
• question : comment détecter « automatiquement » les erreurs ?
• l’existence d’un système de supervision
• question : comment l’encadrement s’assure-t-il de la qualité du travail de son
service? (Par exemple : signer les courriers "départ" du service, vérification des
contrôles de 1er niveau)
– Organiser la protection des biens, valeurs, et documents :
• conservation des fonds, valeurs, chèques en coffre-fort
• dispositif de surveillance et d’alarme des locaux

75
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• Une évaluation articulée autour d ’un questionnaire déroulé dans le


cadre d’un entretien :
– Le principe d’intégration
• directement lié au principe d’organisation (recoupement des informations,
contrôles mutuels, supervision)
• donne l’assurance que seules les opérations régulières et appropriées sont
autorisées, exécutées et enregistrées rapidement
• les erreurs de décision, d’exécution ou d ’enregistrement sont détectées
rapidement
• question : la supervision est-elle effective, y a-t- il un rapprochement et contrôle
des pièces, une exploitation des listes d ’anomalie ?
– Le principe d ’universalité
• Aucune personne, aucun service, aucune activité ne peut échapper au contrôle
interne et déroger aux règles établies
• question : toutes les missions ont-elles bien été prises en compte dans la
démarche ?
• Détection et la correction de toutes ruptures de chaînes de traitement, et entre
chaînes de traitement
• question : y a-t-il des points obérant la fluidité de la circulation des pièces, de
l’information comptable ?
76
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• Une évaluation articulée autour d ’un questionnaire déroulé dans le


cadre d’un entretien :
– Le principe de permanence
• Le principe de permanence implique la pérennité de l’organisation et du
fonctionnement de la structure
• Les mesures doivent être respectées de façon permanente et les opérations
doivent être exécutées en temps utile
• question : y a t il des procédures dérogatoires ? (exemple : le non-
remplacement d’un titulaire, impliquant l’arrêt d’une procédure ou le
contournement de ses fonctions et la non-réalisation de ses tâches)
– Le principe d ’information et/ou de documentation
• Conservation de l ’information
– archivage (conservée dans un délai utile)
– classement (disponibilité, accessibilité)
– pertinence (adaptée à son objet et son utilisation)
– clarté et objectivité, vérifiable et d ’un coût adapté
– Cette information peut-être comptable (journaux, pièces justificatives), juridique
(textes applicables aux missions et à l ’organisation du service, délégation de
signature) ou administrative (fiches de procédures, diagramme de circulation)

77
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• Une évaluation articulée autour d ’un questionnaire déroulé dans le


cadre d ’un entretien :
– Le principe d ’information et/ou de documentation
• Formalisation et description des procédures
– L’organigramme fonctionnel
– question : comment l’encadrement et le personnel sont-ils informés de la répartition
des tâches, de l ’exécution des missions ?
– Les fiches de procédures
– question : comment l ’encadrement et le personnel sont-ils informés des modalités
d ’exécution des missions ?
• Le système de preuves, condition de la validité de l’exécution des procédures
– Numérotation séquentielle des opérations et des journaux
– Preuve de l’exécution des opérations ( journaux)
• La circulation de l’information condition d’évaluation du contrôle interne
– Faire circuler l ’information
– Indicateurs et tableaux de bords
– Évaluer et améliorer

78
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des

La phase de terrain :
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

Étape 2 : Évaluer le dispositif


et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process

de CI
en objets auditables

Cadrage Périmètre

• L ’évaluation des dispositifs transversaux : le contrôle


interne, et l ’informatique :
– S ’agissant de l ’informatique :
• Sécurités physiques :
– Protection des locaux ( accès sécurisé, salle fermée … )
– Protection des matériels ( incendie, humidité, … )
– Modalité de stockages des supports d ’information ( disques, disquettes --> armoire
ignifuge, stockage externe … )
• Sécurités logiques
– Habilitations / délégations
– Procédures de sauvegardes ( modalités, fréquence, suivi formalisé …. )
– Procédures de restauration des données ( simulations d ’incidents, … )
• Contrôles spécifiques
– Traçabilité des opérations de modification des données ( liste, journal des
modifications … )

79
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Rappel Théorique

• L’approche par les risques :


– Définition de l’IIA (Institut of International Auditors) “ tout
événement, toute action, toute situation, tout comportement
affectant la réalisation des objectifs de l’organisme ”.
• L ’auditeur doit évaluer le niveau du risque en mesurant sa
probabilité et son impact

80
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Rappel Théorique

• L ’approche par les risques :


– Le risque d ’audit : risque pour l ’auditeur de ne pas formuler une
réserve sur des irrégularités ou des inexactitudes significatives.
– Le risque d ’audit se compose de trois éléments :
– Risque de non détection
– Risque Inhérent
– Risque lié au Contrôle

81
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Rappel Théorique

• L ’approche par les risques :


– Le risque de non-détection : il s ’agit du risque qu ’une irrégularité
ou une inexactitude significative qui n ’a pas été corrigée lors des
contrôles internes à l ’organisme ne soit pas décelée par l ’auditeur.
– L ’inverse du risque de non-détection est représenté par
l ’assurance, ou « niveau de confiance » que l ’auditeur doit retenir
pour ses sondages de corroboration.

82
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Rappel Théorique

• L ’approche par les risques :


– Le risque inhérent : il s ’agit du risque inhérent à la procédure dans
son environnement de contrôle
– Le niveau du risque inhérent est évalué par l ’auditeur au vu de
l ’analyse de l ’environnement de contrôle interne réalisée dans
l ’étape 2.

83
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Rappel Théorique

• L ’approche par les risques :


– Le risque lié au contrôle : il s ’agit du risque que les contrôles
internes à l ’organisme examiné ne permettent pas de prévenir ou
de déceler une irrégularité ou une inexactitude significative. Pour
ce faire, l ’auditeur doit :
– Analyser dans le détail la pertinence des mesures de contrôle
( évaluation approfondie, différente de l ’étape 2 )
– Analyser l ’efficacité de ces mesures grâce à des contrôles de
conformité ( 30 à 100 opérations )

84
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Pour chaque étape de la procédure, les risques


inhérents listés sont qualifiés :
 Bas
 Moyen
 Élevé
• Ce travail d ’évaluation est réalisé en fonction des éléments
recueillis lors de la prise de connaissance ( Étape 1 ), mais
aussi lors de l ’évaluation du dispositif de contrôle interne
( Étape 2 )
• L ’évaluation des risques doit être commentée par l ’auditeur qui
doit formaliser les choix réalisés.

85
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Pour chaque objet auditable de la procédure, les risques inhérents


listés sont qualifiés :
– La cartographie pré remplie à la fin de la phase 1, est complétée. La
cotation se fait en évaluant le poids ( Impact X Probabilité ) de chacun des
risques généraux selon l ’évaluation suivante :
0 Faible
1 Moyen
2 Élevé
4 Maximum

Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire


Auditable inhérent du être fait pour sur le niveau
Risque Comptable
Risque Opérationnel
Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 XXXX XXXXXXXX


Elevé

86
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Pour les risques élevés, l ’auditeur indique les contrôles qui doivent
être réalisés, pour permettre leur maîtrise. L ’auditeur indique « ce qui
doit être fait », pour ensuite comparer avec « ce qui est fait » !

Procédure Etape Objet Risque Cotation Niveau Cequi doit Commentaire


Auditable inhérent du être fait pour sur le niveau

Risque Comptable
Risque Opérationnel

Risque Patrimonial
Risque Juridique
Risque de Fraude
risque maîtriser le du risque
Inhérent risque inhérent
inhérent

XXX XXXX XXXX XXXXXXXXX 2 4 2 4 4 XXXX XXXXXXXX


Elevé

87
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Recenser les contrôles :


– Après avoir évalué le niveau des risques inhérents, l ’auditeur
recense les contrôles réalisés pour déterminer le niveau des
risques de contrôle. Le niveau du risque de contrôle est élevé si le
contrôle mis en œuvre pour maîtriser le risque inhérent élevé
apparaît comme insuffisant.
– L ’auditeur, à partir de la cartographie sert le tableau de description
du process

88
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

Ce tableau permet d’évaluer le niveau de maîtrise des risques dans


l’organisation et d’en permettre la réalisation de la cartographie des risques.
1.  Identification et Évaluation du (ou des) risque(s) inhérent(s) pour chaque
sous-processus
2.  Identification et Évaluation des mesures de contrôle interne existantes
3. Détermination et classement du niveau de risque résiduel

89
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du

La phase de terrain :
Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau

Étape 3 : Évaluer les risques


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

• Recenser les contrôles :


– Le recensement des contrôles réalisés repose sur les
questionnaires de contrôle interne ( cf diapo suivante ), et sont
complétés par des entretiens plus poussés et par des contrôles de
corroboration :
• Le contrôle de corroboration : il s ’agit d ’un contrôle portant sur un
nombre limité d ’opérations ( 30 à 100 opérations ) et qui permet à
l ’auditeur d ’affiner son appréciation du degré de maîtrise par l ’entité
du risque inhérents

90
Etape 1 : La prise de connaissance Etape 2 : L'évaluation du Etape 3 : L'évaluation des
dispositif de risques inhérents
Contrôle Interne de la Procèdure
et autres fonctions transversales et de leur maîtrise

Etude de la Réglementation Approche globale Qualification du


Chiffres significatifs permettant la compréhension niveau des Risques Inhérents
du dispositif à chaque étape de la
de contrôle interne procédure
Objectifs Généraux Identification des contrôles

La phase de terrain
et Risque Généraux à réaliser et réalisés
par l'entité auditée

Identification des Acteurs Evaluation du niveau


Oragnisation des entrevues des Risques de non
Contrôle

Découpage du Process
en objets auditables

Cadrage Périmètre

n
ti o
n da
a
m
m
co
 Haut Re
 Haut
 Moyen Plan
Plan
 Moyen d ’Audit
d ’Audit
CONTRÔLES
CONTRÔLES

Co
 Bas rro
bo
ra tio
n
Risques Risques
Inhérents de Contrôle
91
La phase de terrain

• Les fiches de corroboration :


– Afin de s ’assurer de l ’effectivité et de la réalité des contrôles mis
en œuvre dans les entités auditées, l ’auditeur réalise un
échantillon sur lequel il va réaliser des tests de corroboration.
– La fiche de corroboration sert à définir les modalités
d ’établissement de l ’échantillon et à formaliser les conclusions du
travail réalisé.

n n e l deelala
d
u n p ro
rofe
fe ionneels et
ssssio
e s ttppaass un p randeesslilg i nnes et
g
r n  ’ e s
n : l   ’ a
’ uudditie
a t uur n ’
e p re n d dreelelessggran)d
r
tio : l  doit coom pren ( Excceel,l,…
tenntioin
AAttte u e , ili l d oi t c m
u ti l ( E x …)
ist q e, un o t il
tattistiqu uutitliilsiseerr un ou
ssta

92
La phase de terrain

• Les papiers de travail :


– documentation des faits recueillis par l ’auditeur et constitutifs de la
preuve d ’audit qui va permettre à l ’auditeur de formuler une
recommandation matérialisée dans une Fiche de révélation et
d ’analyse des problèmes FRAP.
– Éléments mis à la disposition des membres de l ’équipe d ’audit et
du superviseur

93
Déroulement de la
mission

La Phase de Restitution
La phase de restitution

• La rédaction des Fiches de


Révélation et d ’Analyse des
Problèmes ( FRAP ) :

PPr séérrie
roob ieuux
s
blèl
– La FRAP sert à mettre en avant les

èmm x
insuffisances du dispositif de

ee
contrôle et à formaliser les
recommandations qui figureront
dans le rapport d ’audit. FRAP
FRAP
– La FRAP est soumise à
l ’approbation de l’entité auditée
– La FRAP est un document de
travail qui pourra, in fine, être utilisé
comme support technique à la mise
en œuvre du plan d ’action par
l ’entité auditée
95
La phase de restitution

• La rédaction des Fiches de Révélation et d ’Analyse des


Problèmes ( FRAP ) :
Date d’établissement
Date d’établissement
I – Données générales de la fiche :
de la fiche :
. Service ou organisme concerné
Responsable :
. Service détecteur Responsable :

. Nature de l’anomalie
 dysfonctionnement incombant à l’unité de travail
 dysfonctionnement lié aux directives ou procédures nationales
II – Analyse de l’anomalie
. Problème :
. Constat :
. Causes :
. Conséquences :
. Recommandations / Propositions / Corrections déjà apportées.

96
La phase de restitution

• Le rapport d ’audit :
– Une synthèse : Points Forts / Points Faible et principales
recommandations
– Un Rapport, qui par objectif de la procédure est articulé de la façon
suivante :
– constats: points forts / points faibles
– analyse des risques
– recommandation
– Des annexes constituées des FRAP. Rapport
Rapport
d ’audit
d ’audit

97
La phase de restitution

• Le rapport d ’audit :
PRINCIPAUX CONSTATS
L’audit de la procédure …..

POINTS FORTS POINTS FAIBLES


 la séparation des fonctions opérées …..  le paiement …..
 l’application informatique de …..  le …..,
 le rôle de conseil et d’animation aux travers…...  l’absence de traçabilité …..

RECOMMANDATIONS
Ces trois points faibles devront faire l’objet d’actions spécifiques ……..

CONSTATS PAR OBJECTIF I – DONNEES GENERALES


. Service ou organisme concerné
 Détail du constat . Service détecteur
 Risques associés . Nature de l’anomalie
 Recommandations  dysfonctionnement incombant à l’unité de travail
 dysfonctionnement lié aux directives ou procédures nationales
II – ANALYSE DE L’ANOMALIE
. Problème :
. Constat :
. Causes :.
. Conséquences :
. Recommandations / Propositions / Corrections déjà apportées.

98
La phase de restitution

• La proposition de plan d ’action :


– C ’est un tableau simple réalisé par l ’auditeur et qui permet à
l ’audité d ’indiquer pour chaque recommandation qui fera quoi et
quand.

Plan d'action
Personne responsable de la
Recommandations Date limite de réalisation Indicateur
mise en œuvre

N° 1

N° 2

N° n

Servi par l'auditeur Servi par l'audité

99
La phase de restitution

• La proposition de plan d ’action : le suivi est réalisé ...


– Soit par l ’auditeur
– Soit par une structure indépendante
– Soit par une structure relevant de l ’entité auditée

100
La phase de restitution

• La réunion de clôture :

– Présenter les résultats de l ’audit


– Présenter les recommandations et les actions à mettre
en œuvre
– Obtenir l ’adhésion.

101