CHAPITRE 4 : MOYENS TECHNIQUES DE GESTION

D’UN SERVICE D’AUDIT INTERNE

I. La charte d’audit
II. Le code de déontologie
III. Manuel d’audit interne
IV. Cartographie des risques
V. Planification des activités d’audit
VI. Conditions d’efficacité d’un service audit interne
I. La charte d’audit
1.1 Définition
La charte d’audit peut être définie comme un texte
solennel émanent de la plus haute autorité de
l’entreprise qui fixe les droits et les devoirs du service
d’audit, constitue sa loi fondamentale et autorise son
développement.
La charte d’audit ainsi définie, est considérée comme le
document constitutif de la fonction d’audit interne et
destiné à la présenter et à la faire connaître aux autres
acteurs de l’entreprise. C’est un instrument de
régulation de la fonction en ce sens qu’elle encadre le
pouvoir de l’auditeur interne et lui rend une certaine
légitimité.
I. La charte d’audit
1.2 Processus d’élaboration de la charte
Les facteurs à prendre en compte dans la mise en
place d’une charte d’audit sont assez diversifiés. On
peut citer les éléments suivants :
Le document doit être conçu dans une forme
cohérente avec la culture et les habitudes de
l’organisation.
Les références normatives doivent être prises en
compte, ce qui donnerait à la charte une caution
internationale ;
I. La charte d’audit
 Le document doit être approuvé par la plus haute
hiérarchie de l’entreprise notamment la direction
générale et accepté par le Conseil d’administration.
Cela confère une autorité morale à la charte.
En dernier ressort, le document doit être porté à la
connaissance des audités.
I. La charte d’audit
1.3 Contenu d’une charte d’audit
Il n’existe pas un contenu standard pour toutes les
chartes d’audit. Cependant, l’Institut de l’Audit interne
(IIA) estime que le contenu d’une charte doit informer
sur un minimum indispensable et ceci, il doit:
Définir la position du service d’audit interne dans
l’entité (rattachement hiérarchique) ;
 autoriser l’accès aux documents, aux personnes et
aux biens, nécessaires à la bonne exécution des
missions d’audit;
I. La charte d’audit
définir les pouvoirs et la responsabilité du service
d’Audit interne
définir l’étendue des missions d’audit et les objectifs
visés
II. Le code de déontologie
Le code de déontologie est un référentiel instauré par
l’IIA en juin 2000 à la suite des normes définies pour
la pratique de l’audit interne.
Le code de déontologie est un document instauré
dans les services d’audit interne dans le but de
promouvoir une culture d’éthique dans la fonction
d’audit. Ce référentiel énonce quatre principes
fondamentaux déclinés en des règles de bonne
conduite des auditeurs internes.
II. Le code de déontologie
2.1 Principes fondamentaux
Les principes que doivent respecter les auditeurs internes
sont :
l’intégrité : c’est la base de la confiance accordée aux
auditeurs ;
l’objectivité : il s’agit pour les auditeurs de traiter les
informations et de communiquer les résultats de leurs
travaux de façon impartiale, avec professionnalisme. Cela
signifie que leur jugement ne doit pas être influencé par
leurs propres intérêts ou par autrui.
II. Le code de déontologie
la confidentialité : les auditeurs internes ne doivent
pas divulguer les informations reçues au cours de
leur mission d’audit sauf obligation légale. Ils sont
tenus au secret professionnel ;
la compétence : les auditeurs internes doivent
disposer les compétences nécessaires pour la
réalisation de leurs travaux. Cela implique la mise à
jour des connaissances.
II. Le code de déontologie
2.2 Règles de conduite
Il s’agit de la manière pratique dont les auditeurs internes
doivent appliquer les principes fondamentaux.
2.2.1 Intégrité
Les auditeurs internes :
doivent accomplir leur mission avec honnêteté, diligence
et responsabilité ;
doivent respecter la loi et faire les révélations requises
par les lois et les règles de la profession ;
II. Le code de déontologie
ne doivent pas sciemment prendre part à des
activités illégales ou s’engager dans des actes
déshonorants pour la profession d’Audit Interne ou
leur organisation ;
doivent respecter et contribuer aux objectifs éthiques
et légitimes de leur organisation.

2.2.2 Objectivité
Les auditeurs internes :
II. Le code de déontologie
ne doivent pas prendre part à des activités ou établir
des relations qui pourraient compromettre ou risquer
de compromettre le caractère impartial de leur
jugement. Ce principe vaut également pour les
activités ou relations d’affaires qui pourraient entrer
en conflit avec les intérêts de leur organisation ;
ne doivent rien accepter qui pourrait compromettre
ou risquer de compromettre leur jugement
professionnel ;
doivent révéler tous les faits matériels dont ils ont
connaissance et qui, s’ils n’étaient pas révélés,
auraient pour conséquence de fausser le rapport sur
les activités examinées.
II. Le code de déontologie
2.2.3 Confidentialité
Les auditeurs internes :
o doivent utiliser avec prudence et protéger les
informations recueillies dans le cadre de leurs
activités ;
o ne doivent pas utiliser ces informations pour en
retirer un bénéfice personnel, ou d’une manière qui
contreviendrait aux dispositions légales ou porterait
préjudice aux objectifs éthiques et légitimes de leur
organisation.
II. Le code de déontologie
2.2.4 Compétence
Les auditeurs internes :
o ne doivent s’engager que dans des travaux pour
lesquels ils ont les connaissances, le savoir-faire et
l’expérience nécessaires ;
o doivent réaliser leurs travaux d’Audit Interne dans le
respect des Normes pour la Pratique Professionnelle
de l’Audit Interne (Standards for the Professional
Practice of Internal Auditing) ;
o doivent toujours s’efforcer d’améliorer leur
compétence, l’efficacité et la qualité de leurs travaux.
III. Manuel d’audit interne
Définition et Objectifs
Le manuel d’audit est un document interne qui décrit
l’organisation et les procédures du service d’audit
interne. Ce document sert de guide et va refléter les
habitudes de travail de ce service.
Le manuel d’audit a pour objectif de :
 définir le cadre de travail ;
 servir de référentiel ;
 permettre une bonne application de la méthodologie ;
 aider à la formation des auditeurs débutants.
III. Manuel d’audit interne
3.1 Définir le cadre de travail
Pour définir de façon précise le cadre de travail, le
manuel d’audit interne comporte l’organigramme du
service et mentionne son rattachement hiérarchique.
Il fait ressortir l’analyse de postes des membres du
service d’audit, leurs pouvoirs avec les missions
assignées à chacun.
III. Manuel d’audit interne
3.2 Servir de référentiel
Le manuel étant un guide, il doit rappeler les normes
de l’IIA qui s’imposent aux auditeurs internes ou à
défaut, faire un renvoi aux documents sur lesquels ces
normes peuvent être consultées. Il doit également
indiquer les normes spécifiques du service d’audit
interne de l’entreprise considérée.
Les normes spécifiques peuvent concerner :
les règles d’engagement et de gestion du personnel
du service d’audit ;
les règles et modalités servant à l’élaboration du plan
d’audit ;
III. Manuel d’audit interne
l’application du planning de travail ;
l’établissement et le classement des dossiers de
travail ;
la présentation des rapports d’audit et le respect des
délais de production ;
etc, … ;
III. Manuel d’audit interne
3.3 Permettre une bonne application de la
méthodologie ;
Pour atteindre cet objectif, le manuel d’audit décrit le
déroulement des missions d’audit, ses différentes
étapes, les délais nécessaires et le rôle de chaque
membre de l’équipe.
3.4 Aider à la formation des auditeurs débutants.
L’auditeur débutant fait une prise de connaissance
des procédures de travail du service d’audit interne à
partir du manuel d’audit. La lecture de ce document
lui permet de se familiariser avec les objectifs et les
spécificités de fonctionnement de son service.
IV. Cartographie des risques
4.1 Définition et objectifs
La cartographie des risques est un état d’inventaire
des risques. Elle permet d’atteindre les objectifs
suivants:
évaluer, comparer et hiérarchiser les risques de
l’entreprise ;
communiquer les risques de l’organisation aux
responsables ;
mettre en place des plans d’action pour gérer ces
risques.
IV. Cartographie des risques
4.2 Démarche pour l’élaboration d’une
cartographie des risques
Il existe plusieurs méthodes pour l’élaboration de la
cartographie des risques. Mais en général, le
processus se déroule suivant quatre étapes
essentielles.
Etape 1 : Identification des risques
Il s’agit d’élaborer une nomenclature des risques
contenant une liste de toutes les natures des risques
susceptibles d’être rencontrés dans l’entreprise
(risque financier, risque opérationnel, risque fiscal…).
IV. Cartographie des risques
Etape 2 : identification des fonctions et activités
de l’organisation
Il s’agit de faire un découpage de l’activité ou des
processus en rubriques devant faire l’objet d’une
estimation en terme de risque. Chaque rubrique doit
être détaillée en éléments auditables.
Ex de rubriques ou processus auditables :
o Processus de gestion des immobilisations ;
o Gestion du personnel ;
o Procédures d’achat ;
o Gestion de la trésorerie.
IV. Cartographie des risques
Ex de découpage d’une rubrique en éléments
auditables :
Processus d’achat
o Expression du besoin ;
o Sélection du fournisseur ;
o Passation de la commande au fournisseur ;
o Réception des biens ou de la prestation ;
o Réception et comptabilisation de la facture ;
o Paiement de la facture et comptabilisation du
paiement.
IV. Cartographie des risques
Etape 3 : analyse des risques
L’évaluation du niveau des risques des activités
dépend essentiellement:
o de leur sensibilité (vulnérabilité estimée ou la probabilité de
survenance du risque) ;
o de l’impact du risque (faible-moyen-élevé) ;
o du contrôle interne en place (maîtrise des systèmes de
gestion).
Après avoir retenu les critères, l’analyse à proprement dite
des risques va impliquer la mesure ou l’appréciation de ces
critères. Pour formaliser cette appréciation, l’auditeur interne
affecte une échelle à trois positions c’est-à-dire une note de
1 à 3 à chacun des critères.
• :
IV. Cartographie des risques
Ainsi, on aboutit à la situation suivante
i. Appréciation de la probabilité de survenance
du risque
Note qualificative « P »
P= 1 si probabilité faible
P= 2 si probabilité moyenne
P= 3 si probabilité élevée
ii. Appréciation de l’impact (par exemple impact
sur les états financiers)
Note qualificative « I »
I= 1 si impact faible (non significatif) ;
IV. Cartographie des risques
I= 2 si impact moyen
I= 3 si impact élevé (très significatif)
iii. Appréciation de l’adaptation du dispositif de
contrôle interne en place
Note qualificative « C»
C= 1 si contrôle interne adapté
C= 2 si contrôle interne insuffisant
C= 3 si contrôle interne défaillant
IV. Cartographie des risques
Etape 4: Appréciation globale des risques
C’est le résultat du produit des trois appréciations
spécifiques précédentes. Ainsi, pour chaque activité
ou rubrique, le niveau de risque (R) sera : R= P*I*C
C’est à l’issue de cette appréciation globale que
la cartographie des risques peut être formalisée
sous forme de tableau de classement des
niveaux de risques par activité.
IV. Cartographie des risques
Activité/ Niveau de
Critères probabilité Contrôle risques
d'appréciation P Impact I interne C Combinaison R= P*I*C

A1 Faible Faible Adapté 1*1*1 1

A2 Faible Faible Insuffisant 1*1*2 2

A3 élevée Faible Adapté 3*1*1 3

A4 -------- --------- ---------- ------------ **

A5 Moyenne Elevé Adapté 2*3*1 6

A6 Moyenne moyen défaillant 2*2*3 12

A7 ------------- -------- --------- ----------- **

A8 Moyenne Elevé défaillant 2*3*3 18

A9 --------- --------- --------- ----------- **

An Elevée Elevé défaillant 3*3*3 27

IV. Cartographie des risques
Une telle analyse rigoureuse des risques permet une
couverture convenable des activités ou entités de
l’entreprise. Et c’est sur la base de la cartographie
des risques que les plans et programmes d’audit
pourront être élaborés.
V. Planification des activités d’audit
La nécessité de planifier les activités de l’audit interne
est une exigence des normes internationales d’audit.
Ainsi, la norme 2010 stipule que : « Le responsable de
l’audit interne doit établir une planification fondée sur
les risques afin de définir les priorités cohérentes avec
les objectifs de l’organisation ».
La structure du plan d’audit interne peut se limiter à une
année ou s’étaler sur plusieurs années suivant
l’importance des résultats de l’analyse globale des
risques.
Par exemple on peut adopter la règle selon laquelle :
les activités dont le niveau de risque est compris entre
1 et 6 seront auditées tous les 3 ou 4 ans ;
V. Planification des activités d’audit
 les activités dont le coefficient de risque est compris
entre 7 et 15 seront auditées tous les 2ans ;
les activités dont le coefficient de risque est
supérieur à 15 sont auditées chaque année.
V. Planification des activités d’audit
5.1 Plan pluriannuel
Le plan pluriannuel d’audit est un plan comportant
tous les sujets susceptibles d’être audités. Il s’agit
d’une couverture minimale de toutes les activités ou
fonctions de l’entreprise sur une période plus ou
moins longue (3 à 5 ans). Ce plan ainsi élaboré
nécessite d’être enrichi, complété et mis à jours au fil
des années. Le processus d’élaboration passe par la
fixation des objectifs et par plusieurs approches
possibles. Parmi ces approches, on peut retenir trois
types.
V. Planification des activités d’audit
1. Approche par les métiers
Cette approche consiste à découper les sujets d’audit
en fonction des grands métiers de l’entreprise :
acheter, vendre, gérer, produire, etc. Cette forme est
aussi appelée « approche par les structures » où
chaque métier correspond à un ou plusieurs services.
Par conséquent, on peut être guidé par
l’organigramme où chaque case (direction,
département, service) devient un sujet à auditer.
V. Planification des activités d’audit
2. Approche par les cycles
Cette démarche prend en compte les processus et les
grands cycles de l’entreprise :
Cycle de gestion du personnel ;
Cycle achat/fournisseurs ;
Cycle vente/clients ;
Cycle de gestion de la trésorerie ;
Etc.
La prise en compte de ces fonctions permet d’analyser
les activités de l’entreprise de façon transverse et,
passant d’un service à l’autre, de regarder le
fonctionnement des interfaces et
V. Planification des activités d’audit
l’efficacité du traitement des opérations. Elle semble
être l’approche la mieux partagée par les auditeurs
internes du fait qu’elle a l’avantage de permettre de
mieux apprécier l’efficacité du contrôle interne dans
son ensemble.
V. Planification des activités d’audit
Approche par les thèmes
Cette approche est adaptée aux missions d’audit
spécifique puisque par définition, un thème ne
correspond ni à un seul service ni à une seule
fonction.
Comme thème d’audit, on peut citer :
 Audit informatique ;
 Audit du système d’archivage ;
 Audit des contrats ;
 Etc.
V. Planification des activités d’audit
Toutes ces approches sont fondées sur l’analyse des
risques car c’est l’importance du niveau de risque qui
détermine la fréquence des audits à réaliser.

Exemple de plan pluriannuel d’audit:

V. Planification des activités d’audit
Plan d'audit 2013-2015 établi le JJ/MM/AA

Missions d'audit 2013 2014 2015

Durée de la mission (exprimée en
semaine)
1. Structures/services à
auditer
Service patrimoine 5 12
Service achat 5 4
Service comptabilité 7 12 11
Service gestion du
personnel 4
etc, …
V. Planification des activités d’audit
Missions d'audit 2013 2014 2015
2. Cycles/Fonctions à
auditer
Gestion de la trésorerie 3 3
Procédures comptables et
financières 10 8
Procédures d’octroi de
crédits et procédures de
recouvrement 2 7
Cycle de
vente/Facturation client 4 2
etc, …
V. Planification des activités d’audit
Missions d'audit 2013 2014 2015

3.Thèmes à auditer
Archivage 2 1
Contrats des prestataires 3
Système informatique 2 4
etc,….
4. Audit non programmé
(à la demande) 5 5 5

Total budget temps 40 39 47

V. Planification des activités d’audit
5.2 Plan annuel d’audit
Cela renvoie à la planification des activités d’audit au
cours d’une année donnée. Planifier les activités,
c’est élaborer un plan, définir un planning et prévoir
un reporting. Le plan d’audit annuel à l’image du plan
pluriannuel repose sur une analyse rigoureuse des
risques. Il trouve sa particularité par le fait qu’il est
élaboré sur la base de l’identification des unités ou
fonctions à risques élevés.
Une fois, le plan d’audit élaboré, il doit être soumis à
l’approbation de la direction générale ou du comité
d’audit.
VI. Conditions d’efficacité d’un
service audit interne
Traiter de l’efficacité de l’audit interne revient à poser
la question de savoir si l’auditeur a une obligation de
résultat ou de moyen ?
En tant que service de conseil ou de consultant,
l’auditeur interne a une obligation de moyen.
L’efficacité de l’audit interne dépend de plusieurs
critères dont les plus importants semblent résider
dans l’intégration de cette fonction dans l’entreprise,
de l’organisation et du rôle de son premier
responsable.
VI. Conditions d’efficacité d’un
service audit interne
6.1. Les éléments liés aux conditions d’une bonne
efficacité
Les conditions d’efficacité du service d’audit interne sont
liées aux critères d’intégration et d’organisation du
service : pour l’intégration d’un service d’audit interne il
faut que soient réunies les conditions culturelles et
matérielles :
o Les conditions culturelles sont remplies si toute la société
a reçu une sensibilisation sur le contrôle interne, si la
culture d’audit est partagée (auditeurs considérées comme
des partenaires) et si une bonne image de l’audit interne
est véhiculée ;
•.
VI. Conditions d’efficacité d’un
service audit interne
o Les conditions matérielles sont réunies notamment à
travers des objectifs précis, une méthodologie
rigoureuse, des recommandations pertinentes, une
bonne communication avec les audités et un
professionnalisme des auditeurs reconnu
VI. Conditions d’efficacité d’un
service audit interne
6.2. Les défis à relever
Pour une efficacité du service d’audit interne au sein
d’une société, les défis à relever tiennent à
l’environnement de contrôle et à la communication. La
culture de contrôle interne au sein de l’entreprise
entraine celle de l’audit interne. Si cette culture n’est
pas de mise dans l’entreprise, les auditeurs internes
sont perçus comme des personnes qui font perdre du
temps et de l’argent aux opérationnels. Au pire des
cas, ils seront considérés comme des gendarmes de
la société dont il faut s’en méfier. Pour pallier à ces
faits, il faut nécessairement une bonne communication
VI. Conditions d’efficacité d’un
service audit interne
La communication sur l’audit interne doit émaner
du plan de communication élaboré par le
responsable du service d’audit interne. Ce plan
doit être adapté de par les messages véhiculés
aux différents groupes – cibles d’agents pour
assurer l’efficacité des missions ultérieures.