audit interne.cfc-one toubali

1

Séminaire audit interne

Formation de développement pour Cadres de l’ONE

Plan du séminaire

Thème n°1 : Le contrôle interne.

Thème n°2 : Le référentiel de l’audit interne.

Thème n°3 : Le déroulement d’une mission d’audit.

Thème n°4 : Le rôle, la place et les missions de l’audit interne dans une organisation.

Thème n°5 : La gestion des risques.

Thème n°6 : Un cas de synthèse.Nota : Un test noté est prévu à la dernière heure du séminaire.

2

Partie 1 – Contrôle interne


Contrôle interne selon le COSO

« un processus de gestion, mis en œuvre par le conseil d’administration, les dirigeants et/ ou le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs entrants dans les catégories suivantes :* La réalisation et l’optimisation des opérations ;* La fiabilité des informations financières ;* La conformité aux lois et règlements en vigueur.

3

Principes de base associés au contrôle interne

1. Le principe d’organisation qui doit être préalable, adaptée, adaptable, vérifiable, formalisée et comportant une séparation convenable des tâches.

2. Le principe d’universalité : Le dispositif concerne toutes les personnes et toutes les activités en tout temps et en tout lieu.

3. Le principe d’intégration ou d’autocontrôle : le dispositif doit intégrer des procédures routinières permettant de déceler les anomalies.

4. Le principe de permanence ou de continuité.5. Le principe d’harmonie signifie l’adéquation du contrôle interne aux

caractéristiques de l’organisation et à son environnement. 6. Le principe d’indépendance : Après adoption, les objectifs et exigences

sont à respecter indépendamment des compétences, méthodes et moyens. 7. Le principe d’information : l’information utilisée doit être disponible,

pertinente, utile, objective, communicable et vérifiable. 8. Le principe de la qualité du personnel (compétence et éthique).

Composantes du contrôle interne selon le COSO

1. L’environnement de contrôle.2. Le système d’évaluation des

risques.3. Les activités de contrôle.4. L’information et

communication.5. Le pilotage.

4

Partie 2 – Référentiel de l’audit interne


Définition de l’audit interne selon l’IIA

« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité ».

5

« Processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits ».

Définition de l’audit interne selon l’ISO9000 : 2000

Principes d’audit énoncés dans la norme ISO19011 : 2002 (§4)

• Déontologie : Le fondement du professionnalisme (confiance, intégrité, confidentialité & discrétion).

• Présentation impartiale : L’obligation de rendre compte (des constats, des conclusions & dans le rapports d’audit) de manière honnête et précise.

• Conscience professionnelle : L’attitude diligente et avisée au cours de l’audit (importance de la compétence).

• Indépendance : Le fondement de l’impartialité de l’audit et de l’objectivité des conclusions de l’audit.

• Approche fondée sur la preuve : La méthode rationnelle pour parvenir à des conclusions d’audit fiables et reproductibles dans un processus d’audit systématique.

Le Code de Déontologie défini par l’IIA compte 4 valeurs :L’intégrité, l’objectivité, la confidentialité et la compétence .

6

Eléments clés ressortant des normes de l’IIA

• Possibilité de recourir à des sources de compétence externespour l’exécution de types de missions particulières.

• Des activités et domaines de compétence d’audit interne élargis.• Des commanditaires de l’audit interne situés au plus haut niveau

de l’organisation.• Un positionnement de l’audit au cœur de l’organisation grâce à

une plus grande implication dans sa stratégie et une meilleure communication.

• Des règles précises d’organisation des activités d’audit interne et de conduite des missions.

• Une grande importance accordée à l’apport de la valeur ajoutée par l’audit interne.

• Une base d’évaluation des performances de l’audit interne.

Caractéristiques générales de l’audit interne

Les points d’ancrage : La création de la valeur ajoutée.L’évaluation du dispositif de contrôle interne et non pas des hommes.L’indépendance dans l’exercice de ses fonctions.

Le mode opératoire : Un rapprochement entre un état réel et un état désiré. L’audit s’exerce à travers le contrôle mais ne s’identifie pas à lui.Les techniques et les outils : Exigence d’une compétence.La méthodologie basée sur la simplicité, rigueur & relativité du vocabulaire.Le référentiel : constitué par• Un cadre commun : Les techniques, les outils et le référentiel général qui

sont communs à tous les auditeurs.• Un cadre spécifique dépendant de l’environnement de l’auditeur.

7

Partie 3 – Déroulement d’une mission d’audit interne


La conduite d’une mission d’audit interne

Les différentes étapes d’une mission d’audit interne

8

Etablissement du premier contact avec l’audité

Détermination de la faisabilité de l’audit

Définition des objectifs, du champ et des critères d’audit

Constitution de l’équipe d’audit

Nomination du Responsable d’équipe d’ audit

La Direction mandatel’équipe d’audit à

conduire une mission.

La prise de contact sert àexpliquer clairement aux audités les objectifs de la mission et à présenter la démarche qui sera utilisée.

Phase de lancement (ρ1)

Revue des documents pertinents et détermination de leur adéquation par rapport aux critères d’audit. Si la documentation se révèle inadéquate, il convient d’informer le commanditaire, le responsable d’équipe d’audit et l’audité. Une décision est alors prise sur la poursuite de l’audit ou sa suspension jusqu’à la résolution des problèmes relatifs à la documentation.

Egalement, acquisition d’une connaissance générale du domaine à auditer :La recherche de tout élément de définition, de connaissance, d’analyse de l’activité à cerner dans les supports de l’organisation ou du métier.L’analyse des raisons qui ont motivé la demande d’audit.L’étude des incidents possibles ou enregistrés.


9


Choix des objectifs de l’audit : « Contrat » de prestation de service fixant les axes d’investigation de la mission et ses limites pour les audités.

Organisation des phases ultérieures de la mission d’audit : Figer la démarche à adopter pour la suite de la mission d’audit ainsi que les moyens à déployer et le planning de réalisation.

Fiche Litige

Détermination des risques : Révéler les points de contrôle interne qui semblent poser problème.

Un découpage des activités.Une identification des points de contrôle interne en place.Un recensement des faiblesses apparentes et des risques potentielsinternes et externes susceptibles d’empêcher le service audité de remplir correctement ses missions et d’atteindre les objectifs qui lui sont assignés.

Phase de vérification (ρ2)

Réunion d’ouverture d’audit : Présenter les travaux de la phase de lancement et prendre les rendez-vous nécessaires au déroulement des vérifications.

Conduite des prospections in-situ : Les faiblesses relevées sont validées au fur et àmesure avec les opérationnels.

Compte rendu finale au site : Présentation orale, au responsable de l’entité auditée, des principales observations relevées.

10

Sources d’information

Conclusions d’audit

Revue

Recueil par échantillonnageapproprié & vérification

Preuves d’audit

Constats d’audit

Evaluation par rapport auxcritères d’audit

Conduite des prospections in situ

Conduite de l’audit qualité selon l’approche processus

SpécificationsNormesProcéduresInstructions….

Critères d’Audit

Ce qui doit être fait

Les activités de l'organisme et ses résultats obtenus

Réalité

Ce qui se fait

∆1Conformité

Diminuer le coût de la non qualité de 15%

Palier au risque d'insatisfaction du client

…

Objectifs

Ce qu’on vise

∆2∆3

Efficacité

11

Phase de synthèse (ρ3)

Élaboration du projet de rapport d’audit :Recueil de l’ensemble des vérifications et des constats effectués. Il est envoyé aux seuls audités puis aux autres destinataires des recommandations.Réunion de clôture d’audit : Elle vaut accord sur les faits et les déductions et arrête les recommandations définitives. L’audit modifie alors éventuellement ses recommandations ou prend acte des divergences exprimées par les audités.Rapport d’audit définitif : Il est diffusé à la Direction Générale et au comité d’audit.

Suivi du traitement des écarts et de la réalisation des recommandations (ρ4)

État des actions et progrès : Accord de l’audit sur le programme d’action défini par les audités au vu des recommandations du rapport définitif.

Audit

Non-conformité

Fin

Non

Actions correctives

Mise en place d’une action

Oui

Problème

Cause

Solution

EfficaceNon

Oui

Mise en œuvre de l’AC

Fin

Bilan final des actions et progrès : Évaluation des améliorations enregistrées et des progrès effectués.

12


Les outils utilisés & les documents produits lors des

différentes phases d’une mission d’audit interne

Étape de prise de connaissance (ρ1) :Les analyses statistiques,

économiques et financières

Objectifs des méthodes :Situer l’importance des éléments à auditer et/ou mesurer les enjeux.Analyser l’évolution dans le temps et par rapport à l’environnement.Détecter certains risques globaux, des ratios dangereux, des évolutions d’activité inadéquates, anormales, illogiques …

Application de l’analyse économique et financière :Étude de l’évolution du budget sur plusieurs exercices.Analyse ABC des clients et des fournisseurs.Suivi de l’évolution des indicateurs…

Application de l’analyse statistique du volume et des types de transactions : Comparaisons chronologiques, synoptiques ou par recherche de corrélation.Les anomalies constatées, qu’elles soient apparentes ou réelles, sont expliquées par la suite de la mission d’audit.

13

Autres méthodes liées à l’étape de prise de connaissance (ρ1) :

La grille d’analyse des tâches : Elle permet, grâce à une confrontation entre la liste exhaustive des tâches et les personnes nommément désignées pour leur exécution, de voir notamment la répartition de la charge de travail à un instant t, les manquements à la séparation des tâches et les tâches non réalisées, répétées…

L’organigramme fonctionnel : Il est développé sur la base des fonctions existantes au sein de l’organisation. Son intérêt réside dans le fait que, par confrontation avec l’organigramme hiérarchique et les fiches postes, il permet de s’assurer que toutes les fonctions existantes sont remplies.

Les diagrammes de circulation : La schématisation graphique d’un processus ou la retranscription graphique d’une procédure et ce à travers la ‘photographie’ de la circulation des informations à traiter et des documents qui les véhiculent.

T1

T5

T7

T9

T2 T3 T4

Fin

Début

T6

T8Amélioration

Amélioration

LOGIGRAMME DES TACHES D’UN PROCESSUS

O9G9M9T9T8T7T6T5T4T3

O2G2M2T2O1G1M1T1

Toute tâche est supportée par une méthode, un guide, un outil et donne un résultat(=Dossier)

- Groupe de tâches simultanéesT2, T3, T4 : « ingénierie simultanée »- Une ou plusieurs tâches regroupées sur un plateau : « équipes intégrées »

RQCCT9

CCCRCAT8

CCCST7

RACCCT6

RQCCCT5

CCRPCCT4

CCRLT3

CRLT2

CCCRCAT1

S6S5S4S3S2S1

DACDQOTBUSBU

Chaque tâche a un responsable [RXX] et des coopérants [C] dans l’organisation et utilise les principes de fonctionnement matriciel

RCA : Responsable chargé d’affaireRL : Responsable de lotRP : Responsable produitCS : Chef de serviceRA : Responsable achatRQ : Responsable qualitéDQO : Direction Qualité & OpérationsDAC : Direction AchatsC : Coopérant

MISE EN ŒUVRE D’UN PROCESSUS

FONCTIONNEMENT MATRICIEL

14

Étape de prise de connaissance (ρ1) :

L’identification des risques

Point de départ : L’objet auditable qui est un élément pouvant être :Observé, constaté par l’auditeur « objet »& comparés à un référentiel « auditable »

Exemples : Une activité élémentaire du domaine audité, enrichie de ses objectifs spécifiques et de ses risques, et de ses modalités de fonctionnementsouhaitables (ou ‘référentiel’) ou bien un élément observable du domaine de la mission, dont on peut définir les caractéristiques souhaitées (ou ‘référentiel’) et constater les caractéristiques réelles.

Ensuite : A partir des objets auditables liés au processus, réalisation d’une analyse par processus pour identifier les risques opérationnels. Le découpage peut alors se faire de différentes manières : par phases successives, par domaines liés, par mode de gestion (combinaison de l’organisation, le fonctionnement et le pilotage), par questions (réponses aux questions qui ?, quoi ?, comment ?, quand ? où ?, avec quoi ? & pourquoi ?) par actes de gestion (PODCC) ou par nature d’activité.

Les vérifications : Les plus répandues sont celles arithmétiques (reprise des calculs réalisés préalablement).Les rapprochements : Confirmer l’identité d’une information obtenue à partir de deux sources non liées. Il s’agit d’une vérification ponctuelle et à posteriori, par d’autres sources ou moyens de la validité d’un fait, d’une affirmation ou d’une déclaration. Les reconstitutions : C’est le rétablissement d’un résultat, à partir d’éléments réels et ponctuels, soit par utilisation du processus lui-même, soit par mise en œuvre de processus différents mais homologue au premier contrôle.Les observations physiques : C’est la constatation de la réalité instantanée de l’existence et du fonctionnement d’un processus, d’un bien, d’une transaction ou d’une valeur. Elles sont particulièrement utilisées dans les audits de conformité. La narration : Elle consiste à demander à Monsieur X d’expliquer ce qu’il fait.

Utilisation de plusieurs méthodes lors de la conduite des prospections in situ (ρ2) :

15

Les interviews : Plusieurs étapes sont à respecter :• 1ère étape - La préparation de l’interview : Il s’agit essentiellement de

définir le sujet de l’interview, connaître l’audité, élaborer le questionnaire du contrôle interne et prendre un rendez-vous.

• 2ème étape – Le début de l’interview : L’auditeur doit se présenter et rappeler à l’audité la mission menée et l’objectif de cette interview.

• 3ème étape – Les questions.• 4ème étape – La conclusion : Il s’agit de valider les principaux points

abordés par l’audité, de lui demander si d’autres points importants n’ont pas été soulevés et de le remercier du temps accordé à l’interview.

• 5ème étape – L’élaboration du compte rendu. Il doit intervenir dans des délais courts (après l’entrevue) et se focaliser essentiellement sur les points importants.


Le sondage : un « test représentatif » basé sur toute méthode de sélection d'un individu en vue d‘y effectuer un contrôle. La nature du contrôle opéré dépend de l'objectif visé : Contrôle arithmétique, comparaison avec un autre document, contrôle de la présence d'un visa ou d'une autorisation, vérification de l'existence d'un article en stock…etc.La démarche comporte plusieurs étapes :

• La détermination des objectifs du sondage (avec prise en compte dans l’analyse du degré de confiance recherché, du taux d'erreur acceptable, du taux d'erreur attendu, des possibilités de stratification possibles…).

• La définition de la population, de l’échantillon et des conditions d’exception.• La détermination de la taille de l’échantillon.• Le choix des méthodes d’échantillonnage.• L’exécution des travaux d’audit.• Enfin l’évaluation des résultats d’audit.


16

Les méthodes d’analyse des causes et des effets :Le digramme d’Ichikawa . Le diagramme de PARETO : Il met en évidence ce qui est important par rapport à ce qui est trivial. Il oriente le choix prioritaire sur le principe du 20/80 (80% des effet sont dus à 20% des causes)…

Les Technique d'Audit Assisté par Ordinateur (TAAO) : Cette pratique consiste à extraire selon certains critères et éventuellement traiter des informations existant sur les supports électronique de l‘organisation. Ces techniques suppriment une partie importante de l'aspect mécanique du travail de vérification. Le recours à ces méthodes reste toutefois conditionné par la capacité de l'entité auditée à fournir les données dont l’auditeur a besoin au bon moment et sous une forme qu'il pourra lire avec ses logiciels.


Les diagrammes de causes -effet (arrête de poisson ou ISHIKAWA )

Visualisation simple des causes potentielles concernant le constat d'un effet.Le déploiement de la démarche consiste en :

Identifier le problème en terme d'effet & l’inscrire dans le cadre prévu à cet effet.Préciser les facteurs qui influencent sur la caractéristique.

Matière Milieu Main d’œuvre

Méthode Matériel

Fait

Vérifier que toutes les causes potentielles apparaissent sur le diagramme.Rechercher les causes du problème qui influencent fortement sur la caractéristique.

17


Les documents produits lors des différentes phases d’une

mission d’Audit Interne

Documents inhérents à la phase de lancement (ρ1)

L’ordre de mission est un document signé par la Direction Générale, précisant notamment l’origine ou circonstance de la mission, le champs d'investigation retenu, les objectifs, les limites et le calendrier de déroulement de la mission ainsi que les auditeurs désignés.Le plan d'approche organise la phase d'étude . Il comporte notamment :

L'origine et les circonstances de la demande d'audit, et les principales préoccupations du commanditaire de la mission et de l’entité auditée.La description du domaine audité : données chiffrées, évolution de ces données, décomposition en objets auditables et limites de la mission. La démarche de travail pour la suite de la mission.

Le Tableau des Forces et faiblesses Apparentes conclut l’analyse des risques. Il s’agit d’un tableau renseigné qui comporte les rubriques suivantes : Objet auditable, Objectif du contrôle interne, Risques, Indicateurs du contrôle interne, l’opinion de l’auditeur (Force / faiblesse, Conséquence & Degré de confiance) & des Commentaire (ou référence).

18

Documents inhérents à la phase de lancement (ρ1)

Le rapport d’orientation précise les axes d’investigation et les limites d’intervention des auditeurs, ainsi que les objectifs à atteindre par l’équipe des auditeurs internes. Il comporte ainsi :

Les objectifs généraux de la mission : Ceux définis dans la lettre de mission.Les objectifs spécifiques de la mission : Ceux décidés à la lumière des risques encourus et de l’opinion de l’auditeur dégagé de la précédente phase.Les critères de l’audit et tous les documents de référence.Le champ d’action fonctionnel (programmation sur site en termes d’horaires & dates, de lieux à visiter, de personnes à rencontrer…).

Le programme de vérification : C’est un document interne à l’AI destiné àdéfinir, répartir, planifier et suivre les travaux des auditeurs internes.

Plan d’audit (utilisé surtout en audit qualité) = Rapport d’orientation + programme de vérification.

Elaboration des listes et formulaires de vérification (ρ1&2)

Objectif :• Moyen d’intégrer les caractéristiques

particulières de chaque mission, champ de la mission, organisation adoptée pour répondre aux objectifs de l’audit… & de capitaliser le savoir faire des auditeurs.

• Vérification de l’exhaustivité des investigations menées au regard des critères d’audit.

• Rattachement des questions soulevées & investigations menées aux critères d’audit.

• Aide mémoire de l’auditeur.• Moyen de collecte et de transcription des

données, facilitant ainsi la rédaction du rapport final.

Composition :• Des listes de vérification

utilisées pour l’évaluation de chaque élément du système.

• Des formulaires pour rendre compte des observations de l’audit ou pour consigner les éléments de preuves étayant les conclusions auxquelles sont arrivés les auditeurs.

Fiche Litige Fiche Litige

19

Documents essentiellement utilisés lors de la phase de vérification (ρ2)

Les papiers de travail établis au fur et à mesure du déroulement de la mission d’audit. La feuille de couverture est le document, qui établie en deux temps, décrit les modalités de mise en œuvre d’une tâche définie dans le programme de vérification, puis met en évidence les conclusions qui en ont été tirées.La Feuille de Révélation et d'Analyse de Problème (FRAP) : Papier de travail par lequel l’auditeur présente et documente chaque dysfonctionnement, conclut chaque section de travail et communique avec l’audité concerné.

Recommandations :

Conséquences :

Causes :

Faits :

Problème :

Préparation, approbation et diffusion du rapport d’audit (ρ3)

Consistance du rapport d’audit

• Les objectifs de l’audit.• Le champ d’audit concerné.• L’identification du commanditaire.• L’identification de l’équipe de l’audit.• Les dates et lieux de déroulement des activités d’audit sur

site, ainsi que les représentants de l’audité consultés.• Les critères de l’audit.• Les constats de l’audit, y compris les opinions divergents

qui persistent entre les auditeurs et audités.• Les conclusions de l’audit.• Si demandé, les recommandations émises par l’équipe

d’audit & le plan d’action retenu pour la mise en œuvre des recommandations et le traitement des écarts.

Rapport d’audit

20

Difficultés inhérentes au métier d’audit interne et moyens de

s’en affranchir

Principales difficultés :La vision du reste de l’organisation.La critique touche toujours le responsable concerné ;Le changement est déstabilisant pour une organisation.

Moyens de vaincre ses difficultés :Identifier les attentes des différents interlocuteurs.Favoriser la pertinence des constats.Assurer l’objectivité des conclusions.Instaurer un climat de confiance.Faire aboutir les actions d’amélioration continue.

Partie 4 – Place, rôle et missions de l’audit interne dans une

organisation


21

Les cinq éléments de base dans une organisation selon Mintzberg

Technostructure

Fonctions de support

Centre opérationnel

Sommet stratégique

Ligne

hiér

arch

ique

Ligne

hiér

arch

ique

Rattachement hiérarchique et mode d’organisation de la structure d’audit interne

Modes de rattachement :• Au top management :

Garantie d’indépendance.Encadrement limité.Intérêt beaucoup du top management plus porté à la qualité des hommes qu’à l’organisation. Production d’audit interne faiblement exploitée.

• A un comité d’audit indépendant. • Un double rattachement, quotidien au top

management et fonctionnel au comité d’audit, reste généralement la meilleure solution.

Structuration adéquate : Elle dépend de la taille de l’organisation, de la répartition géographique de ses unités et du caractère spécialisé de ses activités. Différentes possibilités peuvent être examinées :

• Segmenter par métiers, compétences et natures des missions.• Segmenter par domaine, filiales et destinations…

AI

22

L’assistance et le conseil au management : Évaluation pour le compte du management de tous ou d’une partie des aspects du fonctionnement de l’organisation.

La promotion et le développement de la culture du contrôle. • Lors de la création de l’entité d’audit interne, les actions de

communication et de formation font prendre conscience aux responsables de l’intérêt de la mise en œuvre d’un processus de contrôle interne efficient. Par ailleurs, sachant qu’ils vont être audités, les responsables font preuve d’un meilleure respect du référentiel (procédures, directives, textes de loi…).

• A la suite de chaque mission d’audit, les faiblesses et dysfonctionnements de l’entité sont mis en évidence et un plan d’action, àmême d’y remédier, est arrêté et mis en œuvre.

Rôle de l’audit interne dans la création de la Valeur ajoutée

L’accompagnement des changements de l’organisation : Évaluation de l’introduction des nouveaux processus et pratiques managériales, en particulier celles axés sur la qualité, la performance et l’utilisation des nouvelles technologies de l’information.La prévention des difficultés de l’organisation.

La détection des fraudes et des détournements. La validation de la fiabilité des informations. La mise en évidence des risques majeurs pour l’organisation : La non-conformité aux lois et règlements en vigueur, l’insuffisance de la sécuritédu système informatique, la non-compétitivité de l’outil de production et du système de commercialisation du fait de contraintes internes àl’organisation, la détérioration du climat social, la non-pertinence des choix stratégiques opérés…etc.

Rôle de l’audit interne dans la création de la valeur ajoutée

23

Différences de l’audit interne avec des fonctions proches : L’inspection

L’inspection se différencie de l’audit par les aspects suivants :Elle est assurée généralement par la hiérarchie ou des services spécialisés ;Elle n’a pas pour vocation d’interpréter ou de remettre en cause les règles ou les directives de l’organisation ;Elle peut intervenir spontanément ;Elle réalise des contrôles exhaustifs.

Des différences fondamentales existent en l’audit interne & l’inspection en matière des objectifs fixés, des méthodes de travail, des bases d’évaluation des écarts relevés et de la prestation assurée au niveau de l’organisme.

Différences de l’audit interne avec des fonctions proches : Le Risk Management

Le risk management est une fonction d’ingénierie des risques purs visant à les identifier, à les évaluer et à les hiérarchiser, àdéfinir des stratégies de gestion intégrées dans le dispositif de contrôle interne et à piloter les aléas résiduels.

La fonction s’intéresse aux risques purs (aléatoires ou accidentels sans espérance de gain) portant sur les biens, les personnes, l’environnement et les processus, et ce à l’opposé de l’audit interne axé sur les risques de dysfonctionnements du dispositif de contrôle interne.

24

Différences de l’audit interne avec des fonctions proches : L’audit

financier externe

Les principales différences :• Le statut de l’intervenant.• Les bénéficiaires.• La finalité de l’intervention.• Le champ d’action.

Des points de rapprochement avec l’AI :• L’exploitation des résultats établis par l’une ou l’autre des parties.• L’utilisation des mêmes outils d’investigation.• L’interdiction mutuelle de toute immixtion dans la gestion.

La complémentarité : Connaissance de l’environnement et des organisations similaires (benchmarking) ≠ Meilleure connaissance de l’organisation (le «dit» et le «non dit»).

Différences de l’audit interne avec des fonctions proches : Le consultant externe

Cette appellation regroupe différents types d’intervenants n’appartenant pas à l’organisation : les experts métiers, les organisateurs, les consultants… etc. Les caractéristiques de la mission d’un consultant externe :

Elle porte sur des problèmes définis au préalable correspondant à l’expertise des consultants auxquels l’organisation a fait appel. Le suivi du déroulement des missions et les validations sont faites par des responsables déterminés de l’organisation.

⇒ Des différences importantes avec l’audit interne en matière des objectifs de chaque intervention, des méthodes de travail, du rattachement hiérarchique au sein de l’organisation et de la responsabilité engagée. ≠ Il existe une complémentarité.

25

Management d’un programme d’audit

La place, le rôle et les missions de l’audit interne dans une

organisation

Planification :Objectifs - Champ

FréquenceRessource

Mise en ouvre du plan d’audits :Programmation

Qualification des auditeurs

Révision du plan d’audits :Evolution

AC&AP - Voies d’amélioration

Réalisation des améliorations

« Plan »

« Do »

« Check »

« Act »

Modalités de management d’un programme d’audit

26

Nécessité d’une procédure d’audit interne

S’assurer des compétences des auditeurs

et de l’équipe d’audit

Définir les règles de la programmation des audits

Définir les rôles et lesresponsabilités des auditeurs

Décrire la façon de conduire un audit

Assurer le maintien des enregistrements

Préciser mode d’analyse des résultats

pour l’amélioration

Indiquer les modalité derévision du programme

Méthodes de définition du programme d’audit interne

Différentes façon de procéder

Auditer tous les services pour un même

élément de la norme

Permet à l’auditeur d’être plus efficace et mieux évaluer l’application du SMQ.

Auditer tous les éléments de la norme pour un service

Permet de minimiser les interruptions de fonctionnement du service, mais il est difficile de ne rien oublier.

Audit par domaine Audit par service

Audit orientéprocessus

On augmente la fréquence et on la diminue en fonction :- d’un changement significatif des politiques ou de la technologie employée.- de la complexité et l’importance de l’activité auditée.- de la maturité de l’organisation.- des résultats d’audits antérieurs….

27

Mise en œuvre du programme d’audit interne

• Communiquer le programme d’audit aux parties concernées.• Coordonner & programmer dans le temps les audits et les

autres activités du programme d’audit.• Etablir un processus pour l’évaluation des auditeurs et pour

leur perfectionnement professionnel.• Assurer la constitution des équipes d’audit.• Fournir les ressources nécessaires aux équipes de l’audit.• Assurer que les audits sont réalisés conformément au

programme d’audit.• Assurer que les enregistrements du processus sont maîtrisés.• Assurer que les rapports sont revus, approuvés et diffusés.• Assurer le suivi d’audit.

Partie 5 – Gestion des risques


28

Risque « Un danger éventuel plus ou moins prévisible » (définition du petit Robert).

La détermination des risques est réalisée par rapport :• Aux objectifs globaux de l’organisation.• Aux objectifs spécifiques associés aux Entités : Approche

par processus, projets ou métiers des entités.

Evénement à occurrence incertaine, une action ou une inaction dont la survenue affecte la capacité de

l’organisation à atteindre ses objectifs.

Indentification des risques

Qualification des risques

♦ Risque informatique

♦ Risque accident du travail

♦ Risque environnemental

♦ Risque malveillance

♦ Risque incendie

♦ Risque financier

Gravité du risque

Prob

abilit

édu

risqu

e

29

♦ Lacunes dans la sécuritéinformatique

Risque résiduel surl’environnement de contrôle

Risque résiduel sur la sécurité informatique

♦

♦

♦Gravité du risque

Probabilité du risque

♦ Environnement de contrôle inadapté à la performance

Modalités de traitement des risques

Moyens de contrôle du risque :Suppression du risque (f=0) : Traitement des causes, renonciation à l’activité ou changement du mode opératoire. Prévention du risque (f↓) : Adoption de mesures anticipées, telles que la sensibilisation, la standardisation ou le renforcement des contrôles…Eclatement du risque (G↓) : Partition des actions, duplication des ressources...Transfert contractuel du risque (f ou G↓) : Faire adosser aux fournisseurs par voie de contrats la responsabilité juridique ou les conséquences des évènements dommageables.Limitation des conséquences des situations dommageables (G↓) : Plan de secours, plan de redéploiement temporaire & plan d’actions de communication.

Moyens de financement du risque : Financement interne : Trésorerie, provisions ou recours à l’emprunt.Transfert contractuel du financement en externe : contraction d’assurances.

Modalités de traitement des risques

30

Partie 6 – Cas de synthèse


Principales références utilisées et recommandées

Alain GERBIER / IFACI – La charte d’audit : Support de légitimité - 1996. PricewatherhouseCoopers et IFACI - La pratique du contrôle interne – COSO Report - 2002. Henri MINTZBERG – Structure et dynamique des organisations - Traduit de d’après l’ouvrage « The Structuring of Organisations : a synthesis of the Research », par Pierre ROMELAR.IFACI - La conduite d’une mission d’audit interne - 1995. IFACI - La direction d’un service d’audit interne - 1995. Mohammed LARAQUI HOUSSAINI– L’audit interne opérationnel et financier : Les fondements et les techniques – 1999.Jacques RENARD– Théorie et pratique de l’audit interne – 5ème édition - 2004. Normes ISO9000 : 2000, Système de Management de la Qualité (SMQ) : Principes essentiels et vocabulaire, ISO9001 : 2000, SMQ : Exigences, ISO9004 : 2000, SMQ : Lignes directrices pour l’amélioration des performances et ISO19011 : 2002, Lignes directrices pour l’audit des systèmes de management de la qualité et/ou environnemental.IIA et IFACI – Normes Professionnelles de l’Audit Interne – 2002 et leur mise à jour - 2004.

www.theiia.org & www.ifaci.com