audit interne.cfc-one toubali
TRANSCRIPT
1
Séminaire audit interne
Formation de développement pour Cadres de l’ONE
Plan du séminaire
Thème n°1 : Le contrôle interne.
Thème n°2 : Le référentiel de l’audit interne.
Thème n°3 : Le déroulement d’une mission d’audit.
Thème n°4 : Le rôle, la place et les missions de l’audit interne dans une organisation.
Thème n°5 : La gestion des risques.
Thème n°6 : Un cas de synthèse.Nota : Un test noté est prévu à la dernière heure du séminaire.
2
Partie 1 – Contrôle interne
Séminaire audit interne
Contrôle interne selon le COSO
« un processus de gestion, mis en œuvre par le conseil d’administration, les dirigeants et/ ou le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs entrants dans les catégories suivantes :* La réalisation et l’optimisation des opérations ;* La fiabilité des informations financières ;* La conformité aux lois et règlements en vigueur.
3
Principes de base associés au contrôle interne
1. Le principe d’organisation qui doit être préalable, adaptée, adaptable, vérifiable, formalisée et comportant une séparation convenable des tâches.
2. Le principe d’universalité : Le dispositif concerne toutes les personnes et toutes les activités en tout temps et en tout lieu.
3. Le principe d’intégration ou d’autocontrôle : le dispositif doit intégrer des procédures routinières permettant de déceler les anomalies.
4. Le principe de permanence ou de continuité.5. Le principe d’harmonie signifie l’adéquation du contrôle interne aux
caractéristiques de l’organisation et à son environnement. 6. Le principe d’indépendance : Après adoption, les objectifs et exigences
sont à respecter indépendamment des compétences, méthodes et moyens. 7. Le principe d’information : l’information utilisée doit être disponible,
pertinente, utile, objective, communicable et vérifiable. 8. Le principe de la qualité du personnel (compétence et éthique).
Composantes du contrôle interne selon le COSO
1. L’environnement de contrôle.2. Le système d’évaluation des
risques.3. Les activités de contrôle.4. L’information et
communication.5. Le pilotage.
4
Partie 2 – Référentiel de l’audit interne
Séminaire audit interne
Définition de l’audit interne selon l’IIA
« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité ».
5
« Processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits ».
Définition de l’audit interne selon l’ISO9000 : 2000
Principes d’audit énoncés dans la norme ISO19011 : 2002 (§4)
• Déontologie : Le fondement du professionnalisme (confiance, intégrité, confidentialité & discrétion).
• Présentation impartiale : L’obligation de rendre compte (des constats, des conclusions & dans le rapports d’audit) de manière honnête et précise.
• Conscience professionnelle : L’attitude diligente et avisée au cours de l’audit (importance de la compétence).
• Indépendance : Le fondement de l’impartialité de l’audit et de l’objectivité des conclusions de l’audit.
• Approche fondée sur la preuve : La méthode rationnelle pour parvenir à des conclusions d’audit fiables et reproductibles dans un processus d’audit systématique.
Le Code de Déontologie défini par l’IIA compte 4 valeurs :L’intégrité, l’objectivité, la confidentialité et la compétence .
6
Eléments clés ressortant des normes de l’IIA
• Possibilité de recourir à des sources de compétence externespour l’exécution de types de missions particulières.
• Des activités et domaines de compétence d’audit interne élargis.• Des commanditaires de l’audit interne situés au plus haut niveau
de l’organisation.• Un positionnement de l’audit au cœur de l’organisation grâce à
une plus grande implication dans sa stratégie et une meilleure communication.
• Des règles précises d’organisation des activités d’audit interne et de conduite des missions.
• Une grande importance accordée à l’apport de la valeur ajoutée par l’audit interne.
• Une base d’évaluation des performances de l’audit interne.
Caractéristiques générales de l’audit interne
Les points d’ancrage : La création de la valeur ajoutée.L’évaluation du dispositif de contrôle interne et non pas des hommes.L’indépendance dans l’exercice de ses fonctions.
Le mode opératoire : Un rapprochement entre un état réel et un état désiré. L’audit s’exerce à travers le contrôle mais ne s’identifie pas à lui.Les techniques et les outils : Exigence d’une compétence.La méthodologie basée sur la simplicité, rigueur & relativité du vocabulaire.Le référentiel : constitué par• Un cadre commun : Les techniques, les outils et le référentiel général qui
sont communs à tous les auditeurs.• Un cadre spécifique dépendant de l’environnement de l’auditeur.
7
Partie 3 – Déroulement d’une mission d’audit interne
Séminaire audit interne
La conduite d’une mission d’audit interne
Les différentes étapes d’une mission d’audit interne
8
Etablissement du premier contact avec l’audité
Détermination de la faisabilité de l’audit
Définition des objectifs, du champ et des critères d’audit
Constitution de l’équipe d’audit
Nomination du Responsable d’équipe d’ audit
La Direction mandatel’équipe d’audit à
conduire une mission.
La prise de contact sert àexpliquer clairement aux audités les objectifs de la mission et à présenter la démarche qui sera utilisée.
Phase de lancement (ρ1)
Revue des documents pertinents et détermination de leur adéquation par rapport aux critères d’audit. Si la documentation se révèle inadéquate, il convient d’informer le commanditaire, le responsable d’équipe d’audit et l’audité. Une décision est alors prise sur la poursuite de l’audit ou sa suspension jusqu’à la résolution des problèmes relatifs à la documentation.
Egalement, acquisition d’une connaissance générale du domaine à auditer :La recherche de tout élément de définition, de connaissance, d’analyse de l’activité à cerner dans les supports de l’organisation ou du métier.L’analyse des raisons qui ont motivé la demande d’audit.L’étude des incidents possibles ou enregistrés.
Phase de lancement (ρ1)
9
Phase de lancement (ρ1)
Choix des objectifs de l’audit : « Contrat » de prestation de service fixant les axes d’investigation de la mission et ses limites pour les audités.
Organisation des phases ultérieures de la mission d’audit : Figer la démarche à adopter pour la suite de la mission d’audit ainsi que les moyens à déployer et le planning de réalisation.
Fiche Litige
Détermination des risques : Révéler les points de contrôle interne qui semblent poser problème.
Un découpage des activités.Une identification des points de contrôle interne en place.Un recensement des faiblesses apparentes et des risques potentielsinternes et externes susceptibles d’empêcher le service audité de remplir correctement ses missions et d’atteindre les objectifs qui lui sont assignés.
Phase de vérification (ρ2)
Réunion d’ouverture d’audit : Présenter les travaux de la phase de lancement et prendre les rendez-vous nécessaires au déroulement des vérifications.
Conduite des prospections in-situ : Les faiblesses relevées sont validées au fur et àmesure avec les opérationnels.
Compte rendu finale au site : Présentation orale, au responsable de l’entité auditée, des principales observations relevées.
10
Sources d’information
Conclusions d’audit
Revue
Recueil par échantillonnageapproprié & vérification
Preuves d’audit
Constats d’audit
Evaluation par rapport auxcritères d’audit
Conduite des prospections in situ
Conduite de l’audit qualité selon l’approche processus
SpécificationsNormesProcéduresInstructions….
Critères d’Audit
Ce qui doit être fait
Les activités de l'organisme et ses résultats obtenus
Réalité
Ce qui se fait
∆1Conformité
Diminuer le coût de la non qualité de 15%
Palier au risque d'insatisfaction du client
…
Objectifs
Ce qu’on vise
∆2∆3
Efficacité
11
Phase de synthèse (ρ3)
Élaboration du projet de rapport d’audit :Recueil de l’ensemble des vérifications et des constats effectués. Il est envoyé aux seuls audités puis aux autres destinataires des recommandations.Réunion de clôture d’audit : Elle vaut accord sur les faits et les déductions et arrête les recommandations définitives. L’audit modifie alors éventuellement ses recommandations ou prend acte des divergences exprimées par les audités.Rapport d’audit définitif : Il est diffusé à la Direction Générale et au comité d’audit.
Suivi du traitement des écarts et de la réalisation des recommandations (ρ4)
État des actions et progrès : Accord de l’audit sur le programme d’action défini par les audités au vu des recommandations du rapport définitif.
Audit
Non-conformité
Fin
Non
Actions correctives
Mise en place d’une action
Oui
Problème
Cause
Solution
EfficaceNon
Oui
Mise en œuvre de l’AC
Fin
Bilan final des actions et progrès : Évaluation des améliorations enregistrées et des progrès effectués.
12
La conduite d’une mission d’audit interne
Les outils utilisés & les documents produits lors des
différentes phases d’une mission d’audit interne
Étape de prise de connaissance (ρ1) :Les analyses statistiques,
économiques et financières
Objectifs des méthodes :Situer l’importance des éléments à auditer et/ou mesurer les enjeux.Analyser l’évolution dans le temps et par rapport à l’environnement.Détecter certains risques globaux, des ratios dangereux, des évolutions d’activité inadéquates, anormales, illogiques …
Application de l’analyse économique et financière :Étude de l’évolution du budget sur plusieurs exercices.Analyse ABC des clients et des fournisseurs.Suivi de l’évolution des indicateurs…
Application de l’analyse statistique du volume et des types de transactions : Comparaisons chronologiques, synoptiques ou par recherche de corrélation.Les anomalies constatées, qu’elles soient apparentes ou réelles, sont expliquées par la suite de la mission d’audit.
13
Autres méthodes liées à l’étape de prise de connaissance (ρ1) :
La grille d’analyse des tâches : Elle permet, grâce à une confrontation entre la liste exhaustive des tâches et les personnes nommément désignées pour leur exécution, de voir notamment la répartition de la charge de travail à un instant t, les manquements à la séparation des tâches et les tâches non réalisées, répétées…
L’organigramme fonctionnel : Il est développé sur la base des fonctions existantes au sein de l’organisation. Son intérêt réside dans le fait que, par confrontation avec l’organigramme hiérarchique et les fiches postes, il permet de s’assurer que toutes les fonctions existantes sont remplies.
Les diagrammes de circulation : La schématisation graphique d’un processus ou la retranscription graphique d’une procédure et ce à travers la ‘photographie’ de la circulation des informations à traiter et des documents qui les véhiculent.
T1
T5
T7
T9
T2 T3 T4
Fin
Début
T6
T8Amélioration
Amélioration
LOGIGRAMME DES TACHES D’UN PROCESSUS
O9G9M9T9T8T7T6T5T4T3
O2G2M2T2O1G1M1T1
Toute tâche est supportée par une méthode, un guide, un outil et donne un résultat(=Dossier)
- Groupe de tâches simultanéesT2, T3, T4 : « ingénierie simultanée »- Une ou plusieurs tâches regroupées sur un plateau : « équipes intégrées »
RQCCT9
CCCRCAT8
CCCST7
RACCCT6
RQCCCT5
CCRPCCT4
CCRLT3
CRLT2
CCCRCAT1
S6S5S4S3S2S1
DACDQOTBUSBU
Chaque tâche a un responsable [RXX] et des coopérants [C] dans l’organisation et utilise les principes de fonctionnement matriciel
RCA : Responsable chargé d’affaireRL : Responsable de lotRP : Responsable produitCS : Chef de serviceRA : Responsable achatRQ : Responsable qualitéDQO : Direction Qualité & OpérationsDAC : Direction AchatsC : Coopérant
MISE EN ŒUVRE D’UN PROCESSUS
FONCTIONNEMENT MATRICIEL
14
Étape de prise de connaissance (ρ1) :
L’identification des risques
Point de départ : L’objet auditable qui est un élément pouvant être :Observé, constaté par l’auditeur « objet »& comparés à un référentiel « auditable »
Exemples : Une activité élémentaire du domaine audité, enrichie de ses objectifs spécifiques et de ses risques, et de ses modalités de fonctionnementsouhaitables (ou ‘référentiel’) ou bien un élément observable du domaine de la mission, dont on peut définir les caractéristiques souhaitées (ou ‘référentiel’) et constater les caractéristiques réelles.
Ensuite : A partir des objets auditables liés au processus, réalisation d’une analyse par processus pour identifier les risques opérationnels. Le découpage peut alors se faire de différentes manières : par phases successives, par domaines liés, par mode de gestion (combinaison de l’organisation, le fonctionnement et le pilotage), par questions (réponses aux questions qui ?, quoi ?, comment ?, quand ? où ?, avec quoi ? & pourquoi ?) par actes de gestion (PODCC) ou par nature d’activité.
Les vérifications : Les plus répandues sont celles arithmétiques (reprise des calculs réalisés préalablement).Les rapprochements : Confirmer l’identité d’une information obtenue à partir de deux sources non liées. Il s’agit d’une vérification ponctuelle et à posteriori, par d’autres sources ou moyens de la validité d’un fait, d’une affirmation ou d’une déclaration. Les reconstitutions : C’est le rétablissement d’un résultat, à partir d’éléments réels et ponctuels, soit par utilisation du processus lui-même, soit par mise en œuvre de processus différents mais homologue au premier contrôle.Les observations physiques : C’est la constatation de la réalité instantanée de l’existence et du fonctionnement d’un processus, d’un bien, d’une transaction ou d’une valeur. Elles sont particulièrement utilisées dans les audits de conformité. La narration : Elle consiste à demander à Monsieur X d’expliquer ce qu’il fait.
Utilisation de plusieurs méthodes lors de la conduite des prospections in situ (ρ2) :
15
Les interviews : Plusieurs étapes sont à respecter :• 1ère étape - La préparation de l’interview : Il s’agit essentiellement de
définir le sujet de l’interview, connaître l’audité, élaborer le questionnaire du contrôle interne et prendre un rendez-vous.
• 2ème étape – Le début de l’interview : L’auditeur doit se présenter et rappeler à l’audité la mission menée et l’objectif de cette interview.
• 3ème étape – Les questions.• 4ème étape – La conclusion : Il s’agit de valider les principaux points
abordés par l’audité, de lui demander si d’autres points importants n’ont pas été soulevés et de le remercier du temps accordé à l’interview.
• 5ème étape – L’élaboration du compte rendu. Il doit intervenir dans des délais courts (après l’entrevue) et se focaliser essentiellement sur les points importants.
Utilisation de plusieurs méthodes lors de la conduite des prospections in situ (ρ2) :
Le sondage : un « test représentatif » basé sur toute méthode de sélection d'un individu en vue d‘y effectuer un contrôle. La nature du contrôle opéré dépend de l'objectif visé : Contrôle arithmétique, comparaison avec un autre document, contrôle de la présence d'un visa ou d'une autorisation, vérification de l'existence d'un article en stock…etc.La démarche comporte plusieurs étapes :
• La détermination des objectifs du sondage (avec prise en compte dans l’analyse du degré de confiance recherché, du taux d'erreur acceptable, du taux d'erreur attendu, des possibilités de stratification possibles…).
• La définition de la population, de l’échantillon et des conditions d’exception.• La détermination de la taille de l’échantillon.• Le choix des méthodes d’échantillonnage.• L’exécution des travaux d’audit.• Enfin l’évaluation des résultats d’audit.
Utilisation de plusieurs méthodes lors de la conduite des prospections in situ (ρ2) :
16
Les méthodes d’analyse des causes et des effets :Le digramme d’Ichikawa . Le diagramme de PARETO : Il met en évidence ce qui est important par rapport à ce qui est trivial. Il oriente le choix prioritaire sur le principe du 20/80 (80% des effet sont dus à 20% des causes)…
Les Technique d'Audit Assisté par Ordinateur (TAAO) : Cette pratique consiste à extraire selon certains critères et éventuellement traiter des informations existant sur les supports électronique de l‘organisation. Ces techniques suppriment une partie importante de l'aspect mécanique du travail de vérification. Le recours à ces méthodes reste toutefois conditionné par la capacité de l'entité auditée à fournir les données dont l’auditeur a besoin au bon moment et sous une forme qu'il pourra lire avec ses logiciels.
Utilisation de plusieurs méthodes lors de la conduite des prospections in situ (ρ2) :
Les diagrammes de causes -effet (arrête de poisson ou ISHIKAWA )
Visualisation simple des causes potentielles concernant le constat d'un effet.Le déploiement de la démarche consiste en :
Identifier le problème en terme d'effet & l’inscrire dans le cadre prévu à cet effet.Préciser les facteurs qui influencent sur la caractéristique.
Matière Milieu Main d’œuvre
Méthode Matériel
Fait
Vérifier que toutes les causes potentielles apparaissent sur le diagramme.Rechercher les causes du problème qui influencent fortement sur la caractéristique.
17
La conduite d’une mission d’audit interne
Les documents produits lors des différentes phases d’une
mission d’Audit Interne
Documents inhérents à la phase de lancement (ρ1)
L’ordre de mission est un document signé par la Direction Générale, précisant notamment l’origine ou circonstance de la mission, le champs d'investigation retenu, les objectifs, les limites et le calendrier de déroulement de la mission ainsi que les auditeurs désignés.Le plan d'approche organise la phase d'étude . Il comporte notamment :
L'origine et les circonstances de la demande d'audit, et les principales préoccupations du commanditaire de la mission et de l’entité auditée.La description du domaine audité : données chiffrées, évolution de ces données, décomposition en objets auditables et limites de la mission. La démarche de travail pour la suite de la mission.
Le Tableau des Forces et faiblesses Apparentes conclut l’analyse des risques. Il s’agit d’un tableau renseigné qui comporte les rubriques suivantes : Objet auditable, Objectif du contrôle interne, Risques, Indicateurs du contrôle interne, l’opinion de l’auditeur (Force / faiblesse, Conséquence & Degré de confiance) & des Commentaire (ou référence).
18
Documents inhérents à la phase de lancement (ρ1)
Le rapport d’orientation précise les axes d’investigation et les limites d’intervention des auditeurs, ainsi que les objectifs à atteindre par l’équipe des auditeurs internes. Il comporte ainsi :
Les objectifs généraux de la mission : Ceux définis dans la lettre de mission.Les objectifs spécifiques de la mission : Ceux décidés à la lumière des risques encourus et de l’opinion de l’auditeur dégagé de la précédente phase.Les critères de l’audit et tous les documents de référence.Le champ d’action fonctionnel (programmation sur site en termes d’horaires & dates, de lieux à visiter, de personnes à rencontrer…).
Le programme de vérification : C’est un document interne à l’AI destiné àdéfinir, répartir, planifier et suivre les travaux des auditeurs internes.
Plan d’audit (utilisé surtout en audit qualité) = Rapport d’orientation + programme de vérification.
Elaboration des listes et formulaires de vérification (ρ1&2)
Objectif :• Moyen d’intégrer les caractéristiques
particulières de chaque mission, champ de la mission, organisation adoptée pour répondre aux objectifs de l’audit… & de capitaliser le savoir faire des auditeurs.
• Vérification de l’exhaustivité des investigations menées au regard des critères d’audit.
• Rattachement des questions soulevées & investigations menées aux critères d’audit.
• Aide mémoire de l’auditeur.• Moyen de collecte et de transcription des
données, facilitant ainsi la rédaction du rapport final.
Composition :• Des listes de vérification
utilisées pour l’évaluation de chaque élément du système.
• Des formulaires pour rendre compte des observations de l’audit ou pour consigner les éléments de preuves étayant les conclusions auxquelles sont arrivés les auditeurs.
Fiche Litige Fiche Litige
19
Documents essentiellement utilisés lors de la phase de vérification (ρ2)
Les papiers de travail établis au fur et à mesure du déroulement de la mission d’audit. La feuille de couverture est le document, qui établie en deux temps, décrit les modalités de mise en œuvre d’une tâche définie dans le programme de vérification, puis met en évidence les conclusions qui en ont été tirées.La Feuille de Révélation et d'Analyse de Problème (FRAP) : Papier de travail par lequel l’auditeur présente et documente chaque dysfonctionnement, conclut chaque section de travail et communique avec l’audité concerné.
Recommandations :
Conséquences :
Causes :
Faits :
Problème :
Préparation, approbation et diffusion du rapport d’audit (ρ3)
Consistance du rapport d’audit
• Les objectifs de l’audit.• Le champ d’audit concerné.• L’identification du commanditaire.• L’identification de l’équipe de l’audit.• Les dates et lieux de déroulement des activités d’audit sur
site, ainsi que les représentants de l’audité consultés.• Les critères de l’audit.• Les constats de l’audit, y compris les opinions divergents
qui persistent entre les auditeurs et audités.• Les conclusions de l’audit.• Si demandé, les recommandations émises par l’équipe
d’audit & le plan d’action retenu pour la mise en œuvre des recommandations et le traitement des écarts.
Rapport d’audit
20
Difficultés inhérentes au métier d’audit interne et moyens de
s’en affranchir
Principales difficultés :La vision du reste de l’organisation.La critique touche toujours le responsable concerné ;Le changement est déstabilisant pour une organisation.
Moyens de vaincre ses difficultés :Identifier les attentes des différents interlocuteurs.Favoriser la pertinence des constats.Assurer l’objectivité des conclusions.Instaurer un climat de confiance.Faire aboutir les actions d’amélioration continue.
Partie 4 – Place, rôle et missions de l’audit interne dans une
organisation
Séminaire audit interne
21
Les cinq éléments de base dans une organisation selon Mintzberg
Technostructure
Fonctions de support
Centre opérationnel
Sommet stratégique
Ligne
hiér
arch
ique
Ligne
hiér
arch
ique
Rattachement hiérarchique et mode d’organisation de la structure d’audit interne
Modes de rattachement :• Au top management :
Garantie d’indépendance.Encadrement limité.Intérêt beaucoup du top management plus porté à la qualité des hommes qu’à l’organisation. Production d’audit interne faiblement exploitée.
• A un comité d’audit indépendant. • Un double rattachement, quotidien au top
management et fonctionnel au comité d’audit, reste généralement la meilleure solution.
Structuration adéquate : Elle dépend de la taille de l’organisation, de la répartition géographique de ses unités et du caractère spécialisé de ses activités. Différentes possibilités peuvent être examinées :
• Segmenter par métiers, compétences et natures des missions.• Segmenter par domaine, filiales et destinations…
AI
22
L’assistance et le conseil au management : Évaluation pour le compte du management de tous ou d’une partie des aspects du fonctionnement de l’organisation.
La promotion et le développement de la culture du contrôle. • Lors de la création de l’entité d’audit interne, les actions de
communication et de formation font prendre conscience aux responsables de l’intérêt de la mise en œuvre d’un processus de contrôle interne efficient. Par ailleurs, sachant qu’ils vont être audités, les responsables font preuve d’un meilleure respect du référentiel (procédures, directives, textes de loi…).
• A la suite de chaque mission d’audit, les faiblesses et dysfonctionnements de l’entité sont mis en évidence et un plan d’action, àmême d’y remédier, est arrêté et mis en œuvre.
Rôle de l’audit interne dans la création de la Valeur ajoutée
L’accompagnement des changements de l’organisation : Évaluation de l’introduction des nouveaux processus et pratiques managériales, en particulier celles axés sur la qualité, la performance et l’utilisation des nouvelles technologies de l’information.La prévention des difficultés de l’organisation.
La détection des fraudes et des détournements. La validation de la fiabilité des informations. La mise en évidence des risques majeurs pour l’organisation : La non-conformité aux lois et règlements en vigueur, l’insuffisance de la sécuritédu système informatique, la non-compétitivité de l’outil de production et du système de commercialisation du fait de contraintes internes àl’organisation, la détérioration du climat social, la non-pertinence des choix stratégiques opérés…etc.
Rôle de l’audit interne dans la création de la valeur ajoutée
23
Différences de l’audit interne avec des fonctions proches : L’inspection
L’inspection se différencie de l’audit par les aspects suivants :Elle est assurée généralement par la hiérarchie ou des services spécialisés ;Elle n’a pas pour vocation d’interpréter ou de remettre en cause les règles ou les directives de l’organisation ;Elle peut intervenir spontanément ;Elle réalise des contrôles exhaustifs.
Des différences fondamentales existent en l’audit interne & l’inspection en matière des objectifs fixés, des méthodes de travail, des bases d’évaluation des écarts relevés et de la prestation assurée au niveau de l’organisme.
Différences de l’audit interne avec des fonctions proches : Le Risk Management
Le risk management est une fonction d’ingénierie des risques purs visant à les identifier, à les évaluer et à les hiérarchiser, àdéfinir des stratégies de gestion intégrées dans le dispositif de contrôle interne et à piloter les aléas résiduels.
La fonction s’intéresse aux risques purs (aléatoires ou accidentels sans espérance de gain) portant sur les biens, les personnes, l’environnement et les processus, et ce à l’opposé de l’audit interne axé sur les risques de dysfonctionnements du dispositif de contrôle interne.
24
Différences de l’audit interne avec des fonctions proches : L’audit
financier externe
Les principales différences :• Le statut de l’intervenant.• Les bénéficiaires.• La finalité de l’intervention.• Le champ d’action.
Des points de rapprochement avec l’AI :• L’exploitation des résultats établis par l’une ou l’autre des parties.• L’utilisation des mêmes outils d’investigation.• L’interdiction mutuelle de toute immixtion dans la gestion.
La complémentarité : Connaissance de l’environnement et des organisations similaires (benchmarking) ≠ Meilleure connaissance de l’organisation (le «dit» et le «non dit»).
Différences de l’audit interne avec des fonctions proches : Le consultant externe
Cette appellation regroupe différents types d’intervenants n’appartenant pas à l’organisation : les experts métiers, les organisateurs, les consultants… etc. Les caractéristiques de la mission d’un consultant externe :
Elle porte sur des problèmes définis au préalable correspondant à l’expertise des consultants auxquels l’organisation a fait appel. Le suivi du déroulement des missions et les validations sont faites par des responsables déterminés de l’organisation.
⇒ Des différences importantes avec l’audit interne en matière des objectifs de chaque intervention, des méthodes de travail, du rattachement hiérarchique au sein de l’organisation et de la responsabilité engagée. ≠ Il existe une complémentarité.
25
Management d’un programme d’audit
La place, le rôle et les missions de l’audit interne dans une
organisation
Planification :Objectifs - Champ
FréquenceRessource
Mise en ouvre du plan d’audits :Programmation
Qualification des auditeurs
Révision du plan d’audits :Evolution
AC&AP - Voies d’amélioration
Réalisation des améliorations
« Plan »
« Do »
« Check »
« Act »
Modalités de management d’un programme d’audit
26
Nécessité d’une procédure d’audit interne
S’assurer des compétences des auditeurs
et de l’équipe d’audit
Définir les règles de la programmation des audits
Définir les rôles et lesresponsabilités des auditeurs
Décrire la façon de conduire un audit
Assurer le maintien des enregistrements
Préciser mode d’analyse des résultats
pour l’amélioration
Indiquer les modalité derévision du programme
Méthodes de définition du programme d’audit interne
Différentes façon de procéder
Auditer tous les services pour un même
élément de la norme
Permet à l’auditeur d’être plus efficace et mieux évaluer l’application du SMQ.
Auditer tous les éléments de la norme pour un service
Permet de minimiser les interruptions de fonctionnement du service, mais il est difficile de ne rien oublier.
Audit par domaine Audit par service
Audit orientéprocessus
On augmente la fréquence et on la diminue en fonction :- d’un changement significatif des politiques ou de la technologie employée.- de la complexité et l’importance de l’activité auditée.- de la maturité de l’organisation.- des résultats d’audits antérieurs….
27
Mise en œuvre du programme d’audit interne
• Communiquer le programme d’audit aux parties concernées.• Coordonner & programmer dans le temps les audits et les
autres activités du programme d’audit.• Etablir un processus pour l’évaluation des auditeurs et pour
leur perfectionnement professionnel.• Assurer la constitution des équipes d’audit.• Fournir les ressources nécessaires aux équipes de l’audit.• Assurer que les audits sont réalisés conformément au
programme d’audit.• Assurer que les enregistrements du processus sont maîtrisés.• Assurer que les rapports sont revus, approuvés et diffusés.• Assurer le suivi d’audit.
Partie 5 – Gestion des risques
Séminaire audit interne
28
Risque « Un danger éventuel plus ou moins prévisible » (définition du petit Robert).
La détermination des risques est réalisée par rapport :• Aux objectifs globaux de l’organisation.• Aux objectifs spécifiques associés aux Entités : Approche
par processus, projets ou métiers des entités.
Evénement à occurrence incertaine, une action ou une inaction dont la survenue affecte la capacité de
l’organisation à atteindre ses objectifs.
Indentification des risques
Qualification des risques
♦ Risque informatique
♦ Risque accident du travail
♦ Risque environnemental
♦ Risque malveillance
♦ Risque incendie
♦ Risque financier
Gravité du risque
Prob
abilit
édu
risqu
e
29
♦ Lacunes dans la sécuritéinformatique
Risque résiduel surl’environnement de contrôle
Risque résiduel sur la sécurité informatique
♦
♦
♦Gravité du risque
Probabilité du risque
♦ Environnement de contrôle inadapté à la performance
Modalités de traitement des risques
Moyens de contrôle du risque :Suppression du risque (f=0) : Traitement des causes, renonciation à l’activité ou changement du mode opératoire. Prévention du risque (f↓) : Adoption de mesures anticipées, telles que la sensibilisation, la standardisation ou le renforcement des contrôles…Eclatement du risque (G↓) : Partition des actions, duplication des ressources...Transfert contractuel du risque (f ou G↓) : Faire adosser aux fournisseurs par voie de contrats la responsabilité juridique ou les conséquences des évènements dommageables.Limitation des conséquences des situations dommageables (G↓) : Plan de secours, plan de redéploiement temporaire & plan d’actions de communication.
Moyens de financement du risque : Financement interne : Trésorerie, provisions ou recours à l’emprunt.Transfert contractuel du financement en externe : contraction d’assurances.
Modalités de traitement des risques
30
Partie 6 – Cas de synthèse
Séminaire audit interne
Principales références utilisées et recommandées
Alain GERBIER / IFACI – La charte d’audit : Support de légitimité - 1996. PricewatherhouseCoopers et IFACI - La pratique du contrôle interne – COSO Report - 2002. Henri MINTZBERG – Structure et dynamique des organisations - Traduit de d’après l’ouvrage « The Structuring of Organisations : a synthesis of the Research », par Pierre ROMELAR.IFACI - La conduite d’une mission d’audit interne - 1995. IFACI - La direction d’un service d’audit interne - 1995. Mohammed LARAQUI HOUSSAINI– L’audit interne opérationnel et financier : Les fondements et les techniques – 1999.Jacques RENARD– Théorie et pratique de l’audit interne – 5ème édition - 2004. Normes ISO9000 : 2000, Système de Management de la Qualité (SMQ) : Principes essentiels et vocabulaire, ISO9001 : 2000, SMQ : Exigences, ISO9004 : 2000, SMQ : Lignes directrices pour l’amélioration des performances et ISO19011 : 2002, Lignes directrices pour l’audit des systèmes de management de la qualité et/ou environnemental.IIA et IFACI – Normes Professionnelles de l’Audit Interne – 2002 et leur mise à jour - 2004.
www.theiia.org & www.ifaci.com