madeline cidre - esa : formation en assurance –...

1

Audit Interne : Quelle valeur ajoutée pour l’entreprise ? – Madeline CIDRE - 2012

Thèse professionnelle

Madeline CIDRE

AUDIT INTERNE :

Quelle valeur ajoutée pour

l’entreprise ?

Année scolaire : 2011/2012

Formation : MBA Audit et Management des

Risques et des Assurances de l’Entreprise

Tutrice : Mme JEAN AUGUSTIN Editeur de solutions de gestion

fonction publique depuis 1997

2


REMERCIEMENTS

Je tiens à remercier l’ensemble des professeurs de la formation MBA Audit et Management

des Risques et des Assurances de l’Entreprise, intervenant à l’ESA, qui m’ont permis cette année

d’acquérir de nouvelles connaissances et de découvrir de nouveaux métiers liés à l’assurance.

Je remercie ma tutrice et professeur, Mme Nathalie JEAN AUGUSTIN, responsable du

contrôle interne et de l’audit au sein de la MNRA (Mutuelle des Artisans) qui m’a apporté son savoir

et qui a su m’accompagner dans ma démarche.

Un grand merci à mes collègues de travail, et plus particulièrement à Mme Francine MASSÉ,

pour son aide précieuse dans la rédaction de ce mémoire.

Je tiens à remercier mes camarades de classe, Coralie, Aurélien, Alexandre, Cédric et plus

particulièrement Caroline, qui a su m’épauler et qui a grandement participé à la réalisation finale de

ce mémoire.

Enfin, j'adresse mes remerciements à ma mère, à Estelle et à Kevin, qui m'ont toujours

soutenu dans la poursuite de mes études et m’ont apporté toute leur aide dans la réalisation

complète de ce mémoire.

Madeline CIDRE

3


Sommaire

Introduction ...............................................................................................................................P 6

I) Audit interne : un contexte, une profession encadrée, une recherche d’efficacité .................P 8

A) Deux fonctions et un processus........................................................................................P 9

1. La fonction d’audit externe ..........................................................................................P 9

2. La fonction d’audit interne ......................................................................................... P 12

3. Le processus de contrôle interne ................................................................................ P 15

B) L’audit interne : une profession encadrée ...................................................................... P 17

1. Les normes de qualification ....................................................................................... P 18

2. Les normes de fonctionnement .................................................................................. P 20

3. Le code de déontologie .............................................................................................. P 23

C) L’audit, quelle efficacité ? .............................................................................................. P 25

1. Les ressources humaines ............................................................................................ P 25

2. Les ressources financières .......................................................................................... P 28

3. Les contraintes règlementaires .................................................................................. P 29

4


II) Mission d’audit interne : les 3 phases ................................................................................ P 31

A) La phase de préparation ................................................................................................ P 32

1. L’ordre de mission ..................................................................................................... P 32

2. La prise de connaissance / familiarisation ................................................................... P 34

3. L’identification des risques ........................................................................................ P 36

4. La définition des objectifs .......................................................................................... P 37

B) La phase de réalisation .................................................................................................. P 38

1. La réunion d’ouverture .............................................................................................. P 38

2. Le programme d’audit ............................................................................................... P 40

3. Le travail de terrain ................................................................................................... P 41

4. La validation des recommandations ........................................................................... P 44

C) La phase de conclusion .................................................................................................. P 44

1. Le projet de rapport d’audit ....................................................................................... P 44

2. La réunion de clôture ................................................................................................. P 45

3. Le rapport d’audit interne .......................................................................................... P 47

4. Le suivi du rapport ..................................................................................................... P 50

5


III) Application pratique d’une mission d’audit interne dans une PME .................................. P 52

A) Etape 1 : la phase de préparation ................................................................................... P 53

1. L’ordre de mission d’Info Décision .............................................................................. P 54

2. La prise de connaissance du secteur entreprise .......................................................... P 55

3. L’identification des risques et la définition des objectifs ............................................. P 60

B) Etape 2 : la phase de réalisation ..................................................................................... P 61

1. La réunion d’ouverture .............................................................................................. P 61

2. La concrétisation de mon action ................................................................................. P 63

3. La pré finalisation ...................................................................................................... P 65

C) Etape 3 : la phase de conclusion ..................................................................................... P 66

1. La préparation et le déroulement de la réunion de clôture ......................................... P 67

2. Le rapport d’audit interne .......................................................................................... P 67

3. Le suivi des recommandations ................................................................................... P 89

Conclusion ............................................................................................................................... P 91

Bibliographie ............................................................................................................................ P 93

6


Introduction

« Effectuer les mesures nécessaires pour vérifier la couverture effective des réseaux de l’opérateur

Free Mobile »1

Eric BESSON, ancien ministre de l’industrie.

Cette phrase illustre la présence de la fonction d’audit dans la vie quotidienne des entreprises, mais

aussi des particuliers. Les contraintes extérieures peuvent parfois obliger les entreprises ou

institutions à mener un audit. Janvier 2012, Free se lance sur le marché porteur de la téléphonie

mobile. Une des conditions à respecter est la couverture réseau, dite propre. L’ancien ministre a

mobilisé l’ARCEP2 et l’ANFR3 pour vérifier la conformité de cette partie technique et pour s’assurer

du respect de la couverture minimale par le nouvel entrant.

Aujourd’hui, l’audit ne se limite plus au secteur de l’entreprise. Pour la vente et l’acquisition

de biens immobiliers, par exemple, il est obligatoire depuis quelques années, de procéder à une

multitude de contrôles énergétiques et environnementaux. Régulièrement, la liste s’allonge,

obligeant les particuliers à procéder à ces contrôles en choisissant un prestataire homologué et

qualifié.

Dans une société où la performance, l’efficacité et la sincérité sont devenues des critères

nécessaires à la pérennité d’une entreprise, l’audit est devenu l’outil indispensable.

Mais comment se déroule un audit en fonction de la structure de l’entreprise ? Quelles solutions

l’audit apporte-t-il ? Ces solutions sont-elles réellement appliquées ? Toutes ces interrogations

trouveront leurs réponses dans la suite de ce mémoire.

Audit Interne : quelle valeur ajoutée pour l’entreprise ?

Nous allons comprendre comment s’articule la fonction d’audit interne dans les entreprises,

découvrir quels sont les acteurs sollicités dans ces missions et mettre en valeur les actions

correctives préconisées. Pour animer l’intérêt de ce sujet, la réalisation d’un cas réel permettra

d’illustrer les tenants et les aboutissants de l’audit interne.

1 http://lci.tf1.fr - Free: Besson demande une aide technique à l'ANFR pour vérifier le réseau

2 ARCEP : Autorité de Régulation des Communications Electroniques et des Postes

3 ANFR : Agence Nationale des Fréquences

http://lci.tf1.fr/

7


De manière générale, l’audit interne est amené à analyser une multitude de processus variés.

Toutefois, le cas pratique de ce mémoire sera axé sur un processus précis : l’assurance dommages

dans une PME.

De la première rencontre à la diffusion du rapport et de la mise en place des actions

correctives jusqu’au suivi de ces recommandations, je rentrerais dans la peau d’une auditrice interne.

8


I) Audit interne : un contexte, une profession encadrée, une recherche

d’efficacité

Le terme « audit » vient du latin « audire (audio, audium) » qui signifie « écouter » et dont les

dérivés français se rapprochent de mots comme « ouïe », « auditif », « auditeur », « audition »…. Du

côté de la langue anglaise, nous retrouvons le verbe « to audit » qui signifie « vérifier ». Enfin, le

terme audit, en français, désigne plus communément une analyse approfondie d’un service ou d’une

fonction de l’entreprise et l’auditeur est la personne chargée de réaliser cette analyse.

Depuis, le terme s’est répandu et généralisé, entrainant une perte de sa signification.

Aujourd’hui, il est courant d’employer le mot « audit » pour qualifier tout type d’action ayant la

fonction de contrôler et analyser. Devenu tendance, c’est désormais un mot qui valorise la personne

ou le nom s’y rapportant. Faire de l’audit, peu importe le sujet ou le thème, est à la mode.

Cependant, cette médiatisation n’a pas que des aspects positifs. Par exemple, parler d’audit du

climat social est un contre sens puisqu’il s’agit d’une enquête et non d’un audit en tant que tel, qui

consisterait à analyser la cohérence de la politique de gestion, d’organisation, de formation, de

rémunération…. Ces abus de langage peuvent rendre obsolète le cœur même du métier d’auditeur

alors que cette profession est encore, au 21ème siècle, en pleine expansion.

L’ISO 19011 est une des normes qualités concernant l’audit de tous les systèmes de

management (santé, sécurité, qualité, environnemental,…). Elle définit l’audit comme un processus

systématique, indépendant et documenté permettant de récupérer des informations, dans le but de

réaliser une évaluation objective et de vérifier l’atteinte des objectifs. En fonction de ces objectifs et

de leur périmètre, il existe 3 types d’audit :

- audit produit : Analyse de certaines caractéristiques d’un service ou d’une fonction, par

rapport à un référentiel ou à un cahier des charges.

- audit processus : Audit de l’ensemble des processus du service ou de la fonction ainsi que

des processus externes qui interviennent en amont et en aval (fournisseur, client).

- audit système : Analyse complète du système global de tous ces processus.

Cette norme ISO est applicable à tous types d’entreprises, dès lors qu’un audit interne ou externe est

réalisé sur les systèmes de management.

9


Dans cette partie, nous allons nous pencher sur les termes d’audit interne, d’audit externe et

de contrôle interne. Aujourd’hui, connus et reconnus, ces termes font références à des fonctions

précises et définies. C’est pourquoi, nous allons aborder les caractéristiques propres de chacune de

ces fonctions ou processus. Puis, nous nous focaliserons sur l’audit interne pour la suite de cet

exposé et nous observerons que cette fonction est encadrée règlementairement par le biais de

normes professionnelles et par le respect d’un code de déontologie, auquel les auditeurs internes

doivent adhérer. Enfin, nous analyserons dans quelles mesures la réalisation d’un audit est synonyme

d’efficacité.

A) Deux fonctions et un processus

Il n’est pas rare aujourd’hui d’entendre des erreurs d’association de thème entre l’audit

interne, l’audit externe et le contrôle interne. Et finalement, quelles sont les différences et les

similitudes ? Comment reconnaitre chacun de ces processus ou de ces fonctions ? Les trois termes ne

sont-ils pas complémentaires ? Beaucoup de questions auxquelles nous apporterons des réponses

par la suite. L’analyse particulière de chaque fonction va être présentée. Et nous verrons qu’elles ne

sont peut-être pas si opposées, le contrôle interne étant un processus découlant de la fonction

d’audit interne et l’audit externe permettant, dans certains cas, de révéler des points faibles

apparaissant au niveau du contrôle interne.

1. La fonction d’audit externe

Commençons par la définition de l’audit externe:

« Fonction indépendante de l’entreprise dont la mission est de certifier l’exactitude des comptes, des

résultats et des états financiers, et plus précisément, si on retient la définition des commissaires aux

comptes : certifier la régularité, la sincérité et l’image fidèle des comptes et états financiers.»4

Cette définition met en avant le coté comptable et financier lié à cette activité. Chaque

entreprise doit tenir à jour et publier ses ressources et dépenses sur une période donnée, sous la

forme d’un document comptable, permettant de définir le résultat, positif ou négatif, de ses

activités. L’audit externe consiste à analyser les états financiers de ces entreprises afin d’apporter

aux parties prenantes qui le demandent, une confirmation quant à la sincérité des comptes et à la

bonne image financière de l’entreprise.

4 « Théorie et Pratique de l’Audit Interne », Jacques Renard, Editions d’Organisation, 6

ème édition, page 57

10


La particularité de l’audit externe est d’être exécuté par des d’intervenants externes à

l’organisation. Ce sont des cabinets indépendants, dont l’objet principal de travail est lié à la

certification des états financiers pour des clients souvent externes à l’entreprise (clients,

fournisseurs, banquiers, actionnaires,…).

Ces missions d’audit peuvent être commanditées par différentes personnes. Le conseil

d’administration peut avoir besoin d’une confirmation sur les résultats. Les investisseurs extérieurs

peuvent vouloir se renseigner sur la bonne santé financière de l’entreprise dans laquelle ils

souhaitent prochainement investir. Des bailleurs de fonds peuvent vouloir être sûr de la validité des

informations fournies… Certains audits peuvent même être rendu obligatoires par la loi, comme c’est

le cas pour les ONG (Organisations Non Gouvernementales) dans certains pays, comme le

Luxembourg.

Différents types d’audits externes existent : audits des états financiers, audits spéciaux,

audits sur la base de procédures convenues et audits limités.

- L’audit des états financiers est le plus courant des audits réalisés. L’auditeur externe a pour

but d’analyser le bilan, le compte de résultat, les flux de trésorerie…. Lors de cette analyse,

l’auditeur va exprimer son opinion, en se basant sur des principes comptables établis,

regroupés dans un document que l’on appelle « normes comptables5 » mais également sur

des « normes d’audit » (Normes Internationales d’Audit de l’IIA6 ou normes d’audit

reconnues par la profession d’expert-comptable du pays). Toutefois, ce type d’audit connait

certaines limites et ne peut pas mettre à jour tous les problèmes existants.

- Les audits spéciaux vont intervenir lorsque : les normes comptables, auxquelles se réfère

l’entreprise, sont différentes des normes comptables internationales ; ou bien lorsque l’audit

que l’on souhaite entreprendre ne concerne qu’une partie spécifique des états financiers ; ou

si derrière cet audit, on cherche à analyser des clauses contractuelles ; ou enfin lorsque

l’audit porte sur des comptes simplifiés.

- L’audit sur des procédures convenues est mis en place lorsque la personne, à l’initiative de

cet audit, souhaite que l’audit se base sur des tests (analyse de dossier par exemple) et des

procédures spécifiques, avec l’établissement d’un rapport sur les résultats obtenus. Lors de

cet audit, l’auditeur externe n’émet pas d’opinion et c’est à l’initiateur de l’audit de tirer ses

propres conclusions à partir du rapport établi par l’auditeur externe.

5 http://www.anc.gouv.fr

6 The Institute of Internal Auditors, fondé en 1941 aux Etats-Unis

11


- Un audit limité est un audit nécessitant moins de travail qu’un audit « normal ». Son but est

de mettre en place les procédures habituelles et d’avertir des problèmes mis à jour pouvant

se révéler négatifs pour la suite. A noter que l’apport de preuves et la certification de l’image

sincère des comptes n’est pas demandé.

La finalité de l’audit externe est l’émission d’un rapport. Celui-ci doit comporter certaines

données indispensables répertoriées dans la norme ISA 7007, telles que : un titre, un destinataire,

une introduction, un paragraphe définissant les responsabilités de la Direction et des auditeurs, un

paragraphe sur l’opinion des auditeurs, une signature, une date et l’adresse de l’auditeur. De tous

ces éléments, c’est le paragraphe d’opinion de l’auditeur qui est le plus intéressant. En effet, dans ce

paragraphe l’auditeur va émettre une opinion plus ou moins favorable. Plusieurs choix sont

possibles8 :

- Opinion sans réserve : les éléments sont conformes aux règlementations et les états

financiers reflètent correctement l’image de l’entreprise.

- Opinion sans réserve mais avec quelques observations : l’opinion est sans réserve mais

l’auditeur va informer, dans un paragraphe d’observation, des éléments pouvant affecter les

états financiers.

- Opinion avec réserve : l’auditeur rencontre des problèmes l’empêchant de pouvoir émettre

une opinion sans réserve (désaccord avec la Direction par exemple) ou ne lui permettant pas

de s’abstenir d’opinion ou de donner une opinion défavorable.

- Sans opinion : nécessaire lorsque l’auditeur n’a pas réussi à obtenir les preuves suffisantes

pour pouvoir apporter une opinion réelle.

- Opinion défavorable : les résultats apparaissent biaisés et non conformes.

Le rapport est accompagné d’une « note », informant la Direction des problèmes et erreurs

rencontrés et donnant certains axes d’amélioration pour l’avenir.

Aujourd’hui, l’audit externe est souvent opposé à l’audit interne du fait que leurs statuts et

leurs missions soient différentes. Toutefois, on s’aperçoit que certaines techniques de travail sont

similaires et qu’ils partagent les mêmes objectifs, notamment celui de s’assurer de la fiabilité du

contrôle interne de l’organisation.

7 Normes ISA 700, page 7 à 11 (annexe)

8 Audit Externe des institutions de Micro finance : guide pratique, volume 2

12


2. La fonction d’audit interne

L’IIA9 a établi une définition officielle de la fonction d’audit interne, repris sur le site de

l’IFACI10 :

« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une

assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer et

contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant

par une approche systématique et méthodique, ses processus de management des risques, de

contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer son

efficacité. »

Cette définition décrit l’audit interne comme une activité « indépendante et objective »

« d’assurance et de conseil ». Sa mission est d’apporter de la valeur ajoutée à l’entreprise en

améliorant son fonctionnement et en l’aidant dans l’atteinte de ses objectifs. Pour cela, l’audit

interne doit mettre en place une approche systématique et méthodique d’évaluation et

d’amélioration des procédés de gestion des risques, de contrôle et de gouvernement d’entreprise.

Le terme d’audit interne est apparu en 1929. Alors que la crise économique frappe les Etats-

Unis, toutes les entreprises cherchent à réduire au maximum leurs coûts. Toutes les économies sont

bonnes et tous les moyens sont bons pour réduire les dépenses. Les entreprises, à cette époque, font

appel aux cabinets d’audit externe pour examiner minutieusement les comptes et les résultats. Mais

les dirigeants se sont aperçus que recourir à ces cabinets externes avait un coût et qu’il était

intéressant de faire appel à des salariés de l’entreprise. Ayant une connaissance complète de

l’organisation, ils étaient une aide précieuse pour ces cabinets. D’un commun accord, ils décidèrent

que les auditeurs externes travailleraient en collaboration avec du personnel «interne ». Le terme

« audit interne » était né, mais la fonction restait à définir et à développer.

L’audit interne est apparu en France dans les années 60, très emprunt de ses origines comptables.

Puis à partir des années 80, la fonction s’est développée, ne se basant plus uniquement sur l’aspect

comptable mais touchant désormais à tous les services et à toutes les fonctions de l’organisation.

9 The Institute of Internal Auditors, fondé en 1941 aux Etats-Unis

10 IFACI : Institut Français des Auditeurs et des Contrôleurs Internes

13


Les objectifs de la fonction d’audit interne se sont développés au fur et à mesure, en fonction

de l’avancée de chaque entreprise. Elles n’ont pas toutes évolué conjointement. Certaines ont déjà

un service d’audit ancré dans l’organisation, alors que d’autres cherchent encore comment intégrer

l’audit interne dans leur entreprise. C’est pourquoi, les objectifs d’audit s’établissent par étape. Il

existe 4 types d’audits :

- l’audit de conformité : l’auditeur vérifie la bonne application des règlementations et des

procédures par rapport à un référentiel. Il vérifie que la théorie est mise en pratique. En cas

d’anomalies, il informe les responsables des dysfonctionnements. Au préalable, il aura

analysé les causes et les conséquences, afin de pouvoir faire des recommandations aux

responsables concernés. Cet audit fait parti des « incontournables », les lois et règlements

devenant de plus en plus contraignants.

- l’audit d’efficacité : l’auditeur, maintenant qu’il a tout analysé, doit également s’intéresser à

la qualité de l’application des procédures. Il fait appel à ses connaissances, son savoir-faire,

son expérience et son ressenti afin de définir quelle est la meilleure solution pour

l’organisation. Ce type d’audit va permettre d’aider l’entreprise dans sa recherche

d’efficacité, dans l’atteinte des objectifs fixés et dans la façon de les atteindre le plus

efficacement possible.

- l’audit de management : l’auditeur va analyser les choix pris par la Direction Générale afin

de déterminer leurs conséquences pour l’entreprise et l’avertir sur les éventuels risques ou

dysfonctionnements. L’auditeur commence par demander aux responsables quelle vision ils

ont de leurs tâches respectives afin de voir si cette vision est en accord avec la stratégie

suivie par l’entreprise. Puis l’auditeur va analyser cette politique sur le terrain pour voir si elle

est comprise et appliquée.

- l’audit de stratégie : l’auditeur va chercher à analyser la cohérence globale des politiques et

stratégies misent en place, en les confrontant. Ce type d’audit requiert d’importantes

compétences puisque l’auditeur va devoir veiller à ce que les objectifs définis soient

performants, que les ressources mises en œuvre pour y parvenir soient suffisantes et que les

systèmes d’informations puissent les analyser.

De façon plus globale, l’audit interne est qualifié de fonction « hétérogène » puisqu’elle

s’intéresse à des activités et à des secteurs différents et que chaque entreprise à sa propre façon de

pratiquer l’audit interne. De plus, les outils utilisés lors des missions vont varier d’une entreprise à

l’autre, selon l’activité. Mais nous verrons, que la fonction d’audit interne est encadrée et

règlementée par des normes professionnelles et un code de déontologie, qui permettent de la

rendre plus unifiée.

14


Fonction universelle, l’audit interne se retrouve partout, que les entreprises soient de petite

taille ou que ce soit des multinationales, qu’elles fassent parties du secteur privé, public, marchand,

ou non marchand. L’audit interne s’intéresse à tous les sujets et à toutes les activités (commerciale,

financière, gestion, production,…) dans le but de les maitriser de manière optimale.

L’audit interne a une position clé dans l’entreprise. Rattaché à la Direction Générale, le

service d’audit interne travaille en étroite collaboration avec le comité d’audit en lui apportant une

vision nouvelle sur la gestion des risques et le contrôle interne.

Schéma des rôles et responsabilités des différents acteurs clé de l’organisation11 :

Ce schéma positionne le service en relation directe avec le comité d’audit ainsi que la Direction

Générale, le Management et les opérationnels. Cette position dans l’entreprise permet à l’équipe

d’audit interne de connaitre parfaitement l’organisation, sa culture, ses méthodes et son

fonctionnement.

Pour conclure, le but de l’audit interne est de collaborer avec les parties concernées pour

améliorer l’existant, mais pas d’enquêter pour punir les responsables.

11

AMRAE – IFA : Rôle de l’administrateur dans la maîtrise des risques, page 25

15


3. Le processus de contrôle interne

Le référentiel de contrôle interne COSO12, établit en 1992, donne une définition standard du

processus :

« Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, la Direction

Générale, la hiérarchie, le personnel d’une entreprise et destiné à fournir une assurance raisonnable

quant à la réalisation d’objectifs entrant dans les catégories suivantes :

- réalisation et optimisation des opérations ;

- fiabilité des informations financières ;

- conformité aux lois et règlementations en vigueur. »13

Cette définition pose quelques principes importants. Le contrôle interne est un processus,

contrairement à l’audit interne qui est une fonction. Il est le moyen d’atteindre les objectifs fixés en

fournissant une assurance raisonnable. Il est mis en pratique par des personnes, membres du

personnel, faisant partie intégrante de toute la hiérarchie de l’organisation.

Au cours de la dernière décennie, et suite aux différents scandales financiers et aux faillites,

les lois et règlementations se sont accentuées et renforcées. Sont nées de ces renforcements, la loi

Sarbanes Oxley Act (SOX en 07/2002) aux Etats-Unis et la loi de Sécurité Financière (LSF en 08/2003)

en France. Ces récentes lois imposent aux entreprises de renforcer leur gouvernement d’entreprise,

ainsi que leur communication en termes de gestion des risques, tout en s’assurant de la maitrise de

leurs risques. Elles doivent désormais « rendre des comptes » en facilitant l’accès aux informations

financières et en les diffusant dans un rapport. Dans le secteur de l’assurance par exemple, cela se

traduit par la directive Solvency II, obligeant les sociétés d’assurance et de réassurance à avoir un

certain niveau de fonds propres, définit en fonction de leur taille.

Le premier référentiel de contrôle interne, appelé COSO 1, a été rédigé aux Etats-Unis en

1992. D’autres pays ont ensuite publié leur propre référentiel de contrôle interne, comme par

exemple, le « Coco » au Canada ou le « KontraG » en Allemagne. En France, c’est l’AMF, Autorité des

Marchés Financiers14, qui a publié le « Cadre de Référence Français » en 2006. Toutefois, le COSO est

le plus utilisé des référentiels en entreprise. En France, plus de la moitié des entreprises l’utilisent,

malgré qu’elles ne soient pas soumises au champ d’application de la loi Sarbanes Oxley.

12

Commission à but non lucratif - Committee Of Sponsoring Organizations of the treadway commission 13

COSO REPORT (Committee of Sponsoring Organizations of the Treadway Commission) 14

Créée par la loi n° 2003-706 de sécurité financière du 1er août 2003 - http://www.amf-france.org

16


Selon le COSO, le contrôle interne est composé de 5 éléments interdépendants, devant être

intégrés au processus de gestion, afin de répondre aux objectifs (listés dans la définition précédente

du contrôle interne par le COSO). En voici une illustration sous forme de pyramide :

A la base de cette pyramide, se trouve « l’environnement de contrôle ». Il contient la culture de

contrôle de l’organisation ainsi que l’intégrité, l’éthique, l’autorité, la philosophie, le style de

management et la politique des responsabilités. Cet environnement doit être connu, structuré et

formalisé.

Puis vient « l’évaluation des risques ». Lors de cette phase, le but va être d’identifier, analyser et

évaluer les risques permettant ou empêchant l’atteinte des objectifs de l’organisation.

« Les activités de contrôle » regroupent toutes les activités, procédures, contrôles mis en œuvre pour

maitriser les risques. Ces éléments sont répertoriés et évalués afin d’en analyser la pertinence et

l’efficacité.

Au sommet de cette pyramide se trouve « le pilotage ». C’est la mise en place d’un processus, par

l’audit interne, permettant l’évaluation de la qualité du contrôle interne par le biais de la

cartographie des risques.

Reliant l’évaluation des risques et les activités de contrôle, « l’information et la communication »,

sont essentielles. Les informations doivent être identifiées, collectées et diffusées dans les délais

impartis, pour permettre de définir en temps voulu les responsabilités de contrôle interne.

L’établissement d’un rapport de contrôle interne est une obligation légale. En effet, la loi de

sécurité financière, impose que toutes les sociétés faisant appel à l’épargne, diffusent leurs résultats

dans ce rapport.

17


Le Contrôle Interne doit être vecteur de communication, il doit permettre aux entreprises de

maitriser leur trajectoire, de mesurer et d’anticiper les risques. Ce ne doit pas être un outil de

surveillance, empêchant les entreprises d’avancer. Par ailleurs, il est important que le contrôle

interne ne se limite pas à l’analyse des seuls procédures et processus comptables et financiers.

B) L’audit interne : une profession encadrée

Ces normes professionnelles ont été instaurées par l’IIA15. A l’origine, ces normes étaient

répertoriées sous la forme d’une liste de responsabilités incombant aux auditeurs. Puis, certaines

évolutions et améliorations ont été apportées, pour être finalement complètement restructurées et

finalisées le 1er janvier 2002. Aujourd’hui, ces nouvelles normes permettent de réaliser des contrôles

plus poussés et performants dans des domaines importants et de mettre en commun le savoir des

auditeurs, sous la forme de méthodologie, apportant une clarification de la fonction. Le but est

d’améliorer la visibilité de la profession en lui donnant un cadre de référence par le biais de principes

de bases et de critères d’appréciation. Ce cadre de référence devient un facteur d’amélioration et de

performance, et renforce le professionnalisme de la fonction d’audit interne.

Ce cadre de référence est transcrit sous la forme d’un document regroupant les éléments

suivants :

L’explication des 3 différents types de normes :

- Les normes de qualification (1000) : regroupent les caractéristiques que doivent présenter

les services et les personnes réalisant l’audit.

- Les normes de fonctionnement (2000) : regroupent les activités de l’audit interne et ses

critères de qualité.

- Les normes de mise en œuvre (1000 et 2000) : regroupent les 2 types de normes

précédents. Elles sont utilisées pour des missions spécifiques et assorties d’une lettre

définissant si l’activité est liée à l’assurance (A) ou au conseil (C).

le Code de déontologie regroupe les principes et les valeurs applicables à la

profession.

15

The Institute of Internal Auditors, fondé en 1941 aux Etats-Unis

18


1. Les normes de qualification

Pour comprendre la portée de ces normes de qualification16, nous allons étudier certaines

d’entre elles en les commentant.

1000 – Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans

une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie

ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte

d’audit interne et la soumettre à l’approbation de la Direction Générale et du Conseil.

Cette norme, la première de la liste des normes de qualification, pose les bases concernant le

périmètre d’action des auditeurs internes. Elle rappelle qu’une charte d’audit interne doit être

établie afin de définir la mission, les pouvoirs et les responsabilités et que l’acceptation finale de

celle-ci dépendra des organes supérieurs de gouvernance.

Précédemment nous avons vu qu’une des caractéristiques de la fonction d’audit interne est d’être

indépendante et objective. Ce n’est pas anodin, puisqu’une norme y est consacrée.

1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec

objectivité.

Le caractère indépendant de la fonction va lui permettre d’avoir une plus grande flexibilité

dans ces choix et de pouvoir endosser le poids de ces responsabilités. Pour être le plus indépendant

possible, les auditeurs doivent avoir accès à tous les services, à toutes les personnes et à tous les

documents de l’entreprise et être en relation directe avec la Direction Générale et le Conseil

d’Administration.

L’objectivité des travaux de l’auditeur est une notion indispensable pour révéler la qualité de

l’audit fourni. Un auditeur qui ne serait pas objectif et qui émettrait un jugement personnel ne serait

pas en accord avec les compétences qui lui sont demandées.

16

Document d’introduction des Normes, IFACI, page 7

19


D’ailleurs, les compétences professionnelles sont, elles aussi, concernées par les normes.

1210 – Compétence

Les auditeurs internes doivent posséder les connaissances, le savoir‐faire et les autres compétences

nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit

collectivement posséder ou acquérir les connaissances, le savoir‐faire et les autres compétences

nécessaires à l'exercice de ses responsabilités.

L’essence même de la fonction d’audit interne est de savoir analyser toute sorte de risques

dans des domaines d’activités variés ainsi que des services et des fonctions totalement différents. Le

niveau de compétences et de savoir-faire des auditeurs doit être riche et varié afin qu’ils puissent

exercer efficacement leur mission. Afin de maintenir ces connaissances à jour, il est conseillé aux

auditeurs de participer à tous types de réunions, colloques… et d’obtenir des certifications, diplômes

et qualifications professionnelles.

Afin d’améliorer en continu les efforts fourni par les auditeurs, des systèmes d’évaluation sont mis en

place.

1311 – Évaluations internes

Les évaluations internes doivent comporter :

- une surveillance continue de la performance de l'audit interne ;

- des revues périodiques, effectuées par auto‐évaluation ou par d'autres personnes de

l'organisation possédant une connaissance suffisante des pratiques d'audit interne.

Il est indispensable de surveiller et évaluer en continu l’activité de l’audit interne. C’est

d’ailleurs une pratique courante. Il s’agit d’évaluer le service et de voir si tout est conforme aux

normes professionnelles, au code de déontologie et à la définition de la fonction d’audit interne.

Quant aux revues périodiques, elles sont réalisées pour mettre par écrit l’évaluation faite lors de la

surveillance.

20


1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une

équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit

s'entretenir avec le Conseil au sujet :

- du besoin d'augmenter la fréquence de ces évaluations externes ;

- des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur

indépendance y compris au regard de tout conflit d'intérêt potentiel.

Pour qu’un « évaluateur » puisse porter un regard qualifié sur le travail du service d’audit

interne, il faut qu’il possède au moins deux compétences : la connaissance des pratiques

professionnelles mises en place dans la fonction d’audit interne et la connaissance des processus

d’évaluation externe. C’est le responsable d’audit interne qui jugera de la qualification de cette

équipe à pouvoir établir une évaluation constructive et neutre. En effet, il faut que cette équipe soit

externe et indépendante à l’organisation, afin que son jugement ne soit pas faussé par des intérêts

personnels qui entraineraient des conflits.

2. Les normes de fonctionnement

Tout comme les normes de qualification, nous allons dans cette partie aborder certaines

normes de fonctionnement17 en les commentant dans le but de mieux comprendre leur portée dans

la fonction d’Audit Interne.

2000 – Gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle

apporte une valeur ajoutée à l’organisation.

Objectif même de l’activité d’audit interne, l’apport de valeur ajoutée à l’entreprise est une

notion primordiale. C’est pourquoi le responsable d’audit doit veiller à ce que les missions réalisées,

le soient dans le respect des objectifs et responsabilités définies dans la charte d’audit interne. Cette

valeur ajoutée va se traduire par l’apport d’une « assurance objective » permettant d’établir

l’efficacité des processus de contrôle, de management et de gouvernement d’entreprise.

17

Document d’introduction des Normes, IFACI, page 14

21


Cette gestion va passer par plusieurs étapes et notamment celle de la planification.

2010 – Planification

Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des

priorités cohérentes avec les objectifs de l'organisation.

La fonction d’audit interne est, par nature, claire et encadrée, les normes sont là pour le

prouver. Par conséquent, il serait impensable que les auditeurs ne fassent pas de même avec leurs

travaux. Pour cela, ils doivent mettre en place un « plan d’audit » basé sur les risques, permettant de

définir les priorités d’actions dans un planning regroupant les dates et les étapes clés.

2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son plan

d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible

d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de

toute limitation de ses ressources.

Cette norme rappelle la place occupée par l’audit interne dans l’organisation. La fonction est

en étroite collaboration avec la Direction Générale et le conseil d’administration, et rien n’est validé

sans l’accord préalable de cette hiérarchie.

La réalisation d’un audit va demander la mobilisation de certaines ressources du service d’audit

interne et c’est au responsable d’audit que va revenir la mission de veiller à ce que ces ressources

soient suffisantes, adaptées et utilisées de manière efficace.

2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient

adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé.

Ces ressources vont rassembler le savoir-faire, l’expérience et la compétence de l’équipe

d’audit. Utilisées à bon escient et en quantité suffisante, elles serviront à optimiser le plan d’audit.

22


Pour rejoindre la norme 2020, le service d’audit doit fournir des rapports périodiques à la Direction

Générale et au Conseil.

2060 – Rapports à la Direction Générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au

Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de

réalisation du plan d’audit. Il doit plus particulièrement rendre compte :

- de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles

correspondants ;

- des sujets relatifs au gouvernement d’entreprise et ;

- de tout autre problème répondant à un besoin ou à une demande de la Direction Générale

ou du Conseil.

Selon les entreprises, la fréquence et le contenu de ces rapports dépendra de la volonté de la

Direction Générale et du Conseil.

L’outil premier, gage d’un audit de qualité, est la communication. Elle est essentielle entre les

différents acteurs.

2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise en

temps utile.

La communication ne doit pas contenir d’erreurs ou être déformée, elle doit être juste, non

altérée par un jugement personnel. Elle est le fruit d’une évaluation juste, logique, significative et

pertinente des faits. Elle doit éviter tout superflu qui serait inutile et doit être constructive, étayée de

quelques commentaires et recommandations, permettant aux audités de prendre des décisions en

toute connaissance de cause.

Etape décisive dans la réalisation d’une mission, la diffusion des résultats.

23


2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

Le rapport définitif est vu, lu et approuvé par le responsable de l’audit interne, qui décide ou

non de sa diffusion et des personnes concernées par cette diffusion.

Ces différentes normes professionnelles traduisent les pratiques et les missions liées à la

fonction d’audit interne. Par conséquent, l’application de ces normes par le service d’audit interne

est synonyme de travail bien fait, dans le respect des règles. Nous allons maintenant aborder un

autre aspect de ce cadre de référence : le code de déontologie.

3. Le code de déontologie

Ce document, regroupant de manière synthétique les principes de l’audit interne, est placé

en tête de liste des normes. Ce code de déontologie permet de rappeler aux auditeurs, qui y ont

adhéré, l’importance des principes spécifiques et de la culture de l’éthique de la profession.

L’application de ce code permet aux audités d’avoir confiance dans l’équipe d’audit. Il va avoir pour

but de placer certaines frontières, de donner un cadre de référence à l’équipe d’audit et de montrer

aux audités que la profession d’audit interne est une profession cadrée par des normes et un code de

déontologie. Ce code s’applique aux entreprises ayant un service d’audit interne ainsi qu’aux

personnes fournissant ce même service. Toute personne ayant adhéré à ce code de déontologie, ne

peut le violer, sous peine d’une sanction disciplinaire.

Ce code énonce 4 principes18 :

1. Intégrité : L’intégrité de l’équipe d’audit est à la base de la confiance qui lui est accordée.

Ce principe est composé des règles de conduite suivantes :

- la mission doit être accomplie avec honnêteté, diligence et responsabilité ;

- les auditeurs doivent respecter la loi ;

- ils ne doivent pas prendre part de leur plein gré à des activités illégales ou à des actes

déshonorant la profession ;

- ils doivent respecter et contribuer aux objectifs éthiques de l’entreprise.

18

Normes professionnelles internationales, IFACI

24


2. Objectivité : Leur rôle est de collecter, évaluer et communiquer sur des informations liées à

l’entreprise ou à l’activité auditée. Cette évaluation doit se faire de manière équitable et

objective afin d’éviter tout jugement personnel générant de l’intérêt pour soi ou pour autrui.


- leur jugement est impartial, ils ne doivent pas prendre parti ;

- ils doivent refuser tout ce qui pourrait compromettre ou risquer de compromettre leur

jugement ;

- ils doivent révéler les faits significatifs dont ils ont connaissance, sous peine de fausser le

rapport final.

3. Confidentialité : Les auditeurs doivent respecter la valeur et la propriété des informations

qu’ils vont obtenir. Rien ne doit être divulgué sauf obligations légales ou professionnelles.


- les informations doivent être protégées et manipulées avec prudence ;

- les auditeurs ne doivent pas utiliser ces informations dans le but d’en tirer un bénéfice

personnel.

4. Compétence : Lors de leurs actions, les auditeurs appliquent leur savoir-faire et leur

compétence acquise durant les années. Mais cela sous-entend également une mise à jour

des connaissances pour être constamment informé des évolutions dans la profession et dans

les domaines audités (lois, règlements,…).


- ne s’engager que dans les travaux pour lesquels les auditeurs ont les connaissances

requises ;

- les travaux doivent être réalisés dans le respect des règles et des normes internationales de

la profession ;

- les auditeurs se doivent d’améliorer constamment leurs connaissances pour apporter à

leurs travaux toute l’efficacité et toute la qualité attendue.

L’appellation « code de déontologie » traduit son rôle de guide dans la profession en

définissant « des principes et non des règles »19.

19

Francis GUILBERT, Directeur de l’IAE de Lille

25


La création et la publication de ces normes professionnelles ont permis d’amorcer la forte

évolution de la fonction d’audit interne dans les entreprises. Cette concrétisation de la fonction

modifie les relations entre l’équipe d’audit, les responsables et les opérationnels. Désormais, l’audit

interne n’est plus perçu comme un service qui dérange mais plutôt comme une fonction permettant

d’apporter de la valeur ajoutée à l’organisation.

C) L’audit, quelle efficacité ?

De manière générale, l’audit est une activité d’évaluation, de contrôle et de conseil. Elle

consiste à examiner, sans jugement, une organisation, un service, des procédures ou toutes

opérations mises en place dans l’entreprise, par une personne ayant la qualité d’auditeur et les

compétences nécessaires. La réalisation d’un audit va surtout permettre à l’entreprise auditée

d’avoir un outil d’amélioration continue. En effet, son rôle est de faire le point sur les biens et

procédures existants, afin d’en définir les points forts et les points faibles et mettre en place des axes

d’amélioration, synonyme d’efficacité.

Aujourd’hui, notre étude se focalise particulièrement sur l’audit interne et sa méthodologie.

Après avoir expliqué de manière générale la fonction de l’audit interne et les normes qui lui sont

propres, il est important de mettre en avant les enjeux de cette fonction dans les entreprises.

En commanditant des missions d'audit, les responsables, la Direction Générale ou le conseil

d'administration, vont chercher à renforcer l'efficacité et la productivité de l’entreprise, tant au

niveau humain, financier que règlementaire. C’est ce que nous expliquerons dans cette partie.

1. Les ressources humaines

L’audit interne se réalise au cœur de l’entreprise. Un audit interne au niveau humain peut

avoir différentes conséquences sur l’organisation d’une entreprise. L’efficience d’une équipe dépend

de sa cohésion, de sa manière de fonctionner et du management mis en place.

Au niveau des ressources humaines, les entreprises sont obligées d’adapter leur stratégie aux

résultats économiques et aux tendances du marché. Les différentes décisions prises sont plus ou

moins importantes et peuvent être classées selon leur degré de risque.

26


Selon le modèle d’Igor Ansoff20, il est possible de distinguer trois niveaux de décision en

fonction de leur importance :

Dans cette pyramide, les décisions stratégiques sont prises au niveau hiérarchique le plus important

de l’entreprise. Ce sont des décisions qui impactent directement la stratégie globale de l’entreprise.

Elles sont en général lourdes de conséquences, et incertaines, leur impact se vérifiant uniquement

sur le long terme.

Les décisions tactiques sont la continuité des décisions stratégiques. Elles sont prises par les

directeurs qui commandent les opérationnels. Leurs impacts sont moins importants car ils se

mesurent sur le moyen terme.

Le dernier niveau de la pyramide concerne les exécutants, ce sont eux qui prennent les décisions

opérationnelles, celles qui concernent la gestion de l’ensemble des tâches au quotidien. Ce niveau de

décision assure l’efficacité de l’ensemble de l’organisation.

L’audit réalisé au niveau du service des ressources humaines dépend de plusieurs éléments :

- étude de l’organigramme de l’entreprise ;

- analyse des relations entre les différents salariés ;

- évaluation des différents niveaux de hiérarchie ;

- compréhension du rôle et des missions de chacun.

Et pour mettre en place ces actions, l’auditeur doit passer un entretien avec chaque personne du

service audité pour être au plus proche de la réalité.

20

Igor Ansoff, Corporate Strategy, 1965

Décisions opérationnelles

Décisions tactiques

Décisions

stratégiques

Direction Générale

Direction fonctionnelle

Exécutants

27


La main d’œuvre et le personnel de l’entreprise sont indispensables pour la bonne

organisation de l’entreprise ainsi que pour les résultats quantitatifs et qualitatifs. L’audit des

ressources humaines va permettre d’évaluer le potentiel et les performances du personnel,

améliorant le climat social. C’est un gain de productivité non négligeable pour une entreprise.

L’analyse individuelle de chaque acteur va permettre de mettre en avant l’effort du travail personnel.

Voici quelques exemples de services administratifs recherchant une productivité plus efficace

grâce à la réalisation d’un audit interne sur le personnel :

- le service achat: son but est de fournir au meilleur coût et dans les délais impartis, les biens

ou les services demandés par les directions opérationnelles. L’auditeur aura pour mission, par

exemple, d’analyser les différentes étapes qui mènent à cet objectif : qui reçoit la demande ? Quels

sont les délais de traitement ? Qui étudie les offres ? Qui est organe décisionnaire ?

- le service recrutement : il garanti à l'entreprise de disposer en permanence des personnes

ayant les compétences adaptées à la réalisation des différents objectifs selon les services. L’auditeur

devra analyser les processus de recrutement et d’accompagnement des personnes recrutées.

La mise en place de cette fonction audit au niveau des ressources humaines permet de

conduire le changement au sein de l’entreprise. Elle est obligée d’adapter son personnel en fonction

de ses stratégies et l’audit devient un outil d’accompagnement sur le long terme. Pour conduire ce

changement, il faut prendre en compte la dimension humaine de l’entreprise pour mettre en place

un plan d’actions. Trois étapes sont primordiales :

- l’évaluation des réticences qui pourront survenir de la part des employés ;

- l’accompagnement des acteurs au centre du changement ;

- la mesure de l’impact sur le long terme.

La plus value de l’auditeur est de ne jamais prendre le rôle du responsable de service. Il est là pour

conseiller et aider à travers l’analyse des comportements, des aptitudes et des méthodes de

management.

L’autre axe de développement possible pour les entreprises de taille moyenne est de créer

leur propre service d’audit interne afin d’amoindrir les couts. L’efficacité financière rentre alors en

jeu.

28


2. Les ressources financières

Au niveau financier, l’efficacité de l’audit va permettre d’étudier et d’évaluer les

performances de l’entreprise afin qu’elles restent compétitives et demeure présentes sur le marché.

Pour rappel, l’activité d’audit était initialement mise en place pour l’analyse des états financiers. Le

développement rapide de l’apport en capitaux dans les entreprises a renforcé le besoin, pour les

actionnaires, les clients, les fournisseurs et les bailleurs de fonds de disposer de comptes vérifiés et

certifiés par des professionnels. Il est logique que ces futurs actionnaires s’intéressent de près au

système de gestion des dirigeants et à la performance financière de l’entreprise dans laquelle ils

souhaitent investir.

Le cas de l’affaire ENRON, illustre en tous points les craintes que peuvent avoir les

actionnaires. En effet, l’entreprise ENRON, spécialisée dans le gaz naturel et la revente d’électricité,

était l’une des plus grandes entreprises américaines, du fait de sa capitalisation boursière. Mais en

décembre 2001, la faillite de cette entreprise est annoncée. Elle est due aux diverses opérations

spéculatives des dirigeants qui ont été masquées en bénéfices par le biais de manipulations

comptables. Dans son sillage, la chute de l’entreprise entrainera le licenciement de 4 500 salariés et

la perte de la mise de départ des différents actionnaires. Ce cas met en avant l’importance de

l’analyse poussée des états financiers par l’audit, qui devient alors un outil d’efficacité financière.

L’audit peut servir à améliorer l’économie d’échelle d’une entreprise. Selon la taille de celle-

ci, l’économie d’échelle permettra de réaliser des économies, parfois non négligeables, surtout si

l’entreprise est de grande taille.

Prenons l’exemple d’une entreprise qui souhaite mettre en place une mutuelle collective pour ses

salariés. Le pouvoir de négociation d’une grande entreprise sera beaucoup plus important que le

pouvoir de négociation d’une TPE de 5 salariés.

La réalisation d’un audit va donc permettre d’évaluer les coûts au plus serré pour une entreprise.

Cette analyse approfondie aura pour but de réduire certaines dépenses parfois jugées inutiles.

L’audit est aussi un outil efficace pour l’amélioration des performances commerciales de

l’entreprise car il va permettre :

- l’évaluation des ressources disponibles ;

- la définition claire et concrète des objectifs ;

- l’attribution des moyens et ressources nécessaires ;

- la mise en place d’indicateurs de performance individuelle et collective.

Une fois tous ces points analysés et corrigés, l’entreprise devient plus performante et productive.

29


3. Les contraintes règlementaires

Aujourd’hui la règlementation applicable aux sociétés est de plus en plus complexe. Les lois

et les règlements d’un point de vue général sont en perpétuel changement. En théorie, si ces

modifications sont suivies et appliquées avec soins et dans les délais impartis, cela ne doit pas poser

de problèmes aux entreprises. Mais parfois, ces modifications ne sont pas toujours bien anticipées,

mettant à jour le risque de conformité. Dans la plupart des cas, la mise en conformité est réalisée

avec succès, preuve de réactivité de l’entreprise, lui offrant un outil de différenciation, d’efficacité et

de compétitivité stratégique face aux concurrents.

Pour n’aborder que la règlementation applicable aux sociétés d’assurances, aux mutuelles et

aux institutions de prévoyance, le premier contexte règlementaire commence avec la création en

2002 de la Loi de Sécurité Financière (LSF), obligeant celles-ci à présenter un rapport sur l’état du

contrôle interne.

Puis, adoptée en 2009, la directive sur Solvency II oblige les sociétés d’assurances à adapter leur

niveau de capitaux propres, en fonction de leur taille, dans le but qu’elles puissent faire face aux

risques majeurs auxquels elles sont exposées. Les objectifs de Solvency II sont :

- le renforcement du marché européen de l’assurance ;

- l’amélioration de la protection des assurés ;

- le renforcement de la compétitivité entre assureurs et réassureurs européens ;

- la mise en place d’une meilleure règlementation.

Cette directive est composée de 3 piliers. Le premier pilier concerne les exigences quantitatives telles

que des provisions techniques harmonisées ou l’exigence d’un capital minimum de solvabilité. Le

deuxième pilier aborde les exigences qualitatives avec le renforcement des principes de

gouvernance, du contrôle interne, de la gestion des risques ainsi que du processus de contrôle

prudentiel. Le troisième pilier concerne l’information au public et au superviseur avec la mise en

place d’une définition commune des états d’analyses financières et la diffusion d’un maximum

d’informations au grand public.

Actuellement, le pilier 2 est en action et il est composé de 7 thèmes majeurs : gouvernance et fit &

proper, Risk management, ORSA, contrôle interne et conformité, audit interne, fonction actuarielle

et sous-traitance. Son entrée en vigueur est prévue pour le 01/01/2014.

Autres textes de référence, les décrets n° 2006-287 du 13 mars 2006 (pour les sociétés

d’assurances) et n°2008-468 du 19 mai 2008 (pour les mutuelles et institutions de prévoyance)

relatifs à la mise en place d’un dispositif de contrôle interne et de l’émission d’un rapport de contrôle

interne communiqué à l’Autorité de Contrôle Prudentiel.

30


L’ordonnance n°2008-1278 du 8 décembre 2008, quant à elle, concerne le renforcement des

règles applicables aux commissaires aux comptes et l’obligation de mettre en place un comité d’audit

pour : « les personnes et entités dont les titres sont admis à la négociation sur un marché

règlementé, ainsi que dans les entreprises d’assurances et de réassurances, les mutuelles régies par

le livre II du code de la mutualité et les institutions de prévoyance régies par le titre III du livre IX du

code de la sécurité sociale… »21. L’objectif de ce comité est d’aider les conseils d’administration à

positionner leur responsabilité sur la clôture des comptes, le contrôle interne, la gestion des risques

ainsi que l’audit interne et externe.

Enfin, le 21 janvier 2010 a été instituée l’Autorité de Contrôle Prudentiel (ACP). Elle a pour

mission de veiller à la stabilité financière des entreprises et par conséquent à la protection des

assurés. C’est elle qui statue sur les demandes d’agrément des entreprises.

Aujourd’hui, la multiplication des opérations de fusion-acquisition, de rapprochement,

d’externalisation, complexifient la structure des entreprises. Elles doivent faire face à l’apparition de

risques plus fréquents, voire l’apparition de risques inconnus. C’est pourquoi, les entreprises qui

montreront une gestion claire et rigoureuse de leurs états financiers, de leur performance, une

gestion saine et efficace de leurs ressources humaines et une facilité d’adaptation face aux

modifications de règlementation, auront un avantage concurrentiel fort. Elles donneront envie aux

actionnaires d’investir et aux salariés de donner le meilleur d’eux-mêmes pour atteindre les objectifs

afin de rendre l’entreprise plus performante.

L’audit interne est un des éléments clés dans l’apport de valeur ajoutée à l’entreprise. C’est

pourquoi, nous allons analyser les 3 phases principales concernant la réalisation d’une mission

d’audit interne afin de définir la méthodologie applicable au cas pratique réalisé dans la dernière

partie de ce mémoire.

21

http://www.legifrance.gouv.fr

31


II) Mission d’audit interne : les 3 phases

Dans le dictionnaire Larousse22, la définition d’une mission est la suivante :

Mission : (nom féminin) du latin missio, -onis, qui signifie la charge donnée à quelqu’un d’accomplir

une tâche définie. C’est une fonction temporaire et déterminée dont un organisme charge une

personne ou un groupe.

Appliquer au domaine de l’audit, une mission doit revêtir deux critères importants : le champ

d’application et la durée.

Le champ d’application concerne l’objet et la fonction de la mission. Une mission est soit, d’ordre

général, sans limite géographique (audit des ventes), soit spécifique, portant sur un point précis et un

lieu déterminé (audit des ventes de véhicules électriques dans un garage Renault à Douai). De même,

une mission est soit unifonctionnelle, portant sur une seule fonction (audit du système informatique,

au siège), soit plurifonctionnelle, portant sur une multitude de fonction (audit d’une filiale de petite

taille où tout va devoir être analysé).

La durée d’une mission ne se quantifie pas à l’avance, à l’heure ou au jour près. La durée d’une

mission d’audit va s’analyser en temps passé sur une mission par un auditeur. Si une mission requiert

l’intervention de plusieurs auditeurs, la durée sera égale à la durée prévue pour un auditeur, divisé

par le nombre d’auditeur requis pour cette même mission.

Exemple : Mission d’audit de 10 jours. 10 jours / auditeur mais 2 auditeurs sont prévus pour cette

mission, soit une mission d’audit de 5 jours (10 jours / 2 auditeurs = 5 jours).

Une mission d’audit courte représentera un temps de travail inférieur à un mois, à l’inverse une

mission d’audit longue représentera un temps de travail de plusieurs mois. Toutefois, le planning

établi est toujours prévisionnel et un nombre d’heures, de jours ou de mois fixé au départ ne devra

pas empêcher un auditeur de terminer sa mission si le délai déterminé est dépassé ou à l’inverse

l’obliger à faire de la présence si le délai initialement prévu était plus long que la durée réelle de la

mission. La seule atteinte des objectifs est représentative de la durée d’une mission.

22

Larousse 2008

32


Une mission d’audit est composée de trois phases principales :

- la phase de préparation : C’est la phase d’ouverture de la mission d’audit. L’auditeur va

prendre connaissance des procédures et des règlementations applicables.

- la phase de réalisation : L’auditeur entre en action et va devoir se faire accepter et désirer

par les parties prenantes. Il devra mener cette mission pour mettre en avant un état des lieux et

souligner des incohérences.

- la phase de conclusion : C’est la présentation du travail de la mission achevée.

A) La phase de préparation

Lors de cette phase, l’auditeur va adopter une position d’observateur. Il va analyser la

situation, se renseigner sur les procédures appliquées et les personnes concernées par l’objet de la

mission d’audit. Il prépare le terrain et prend note des fonctionnements et dysfonctionnements qui

l’aideront dans la phase de réalisation.

Cette phase de préparation débute par l’établissement de l’ordre de mission. Ensuite, les auditeurs

sont amenés à prendre connaissance du fonctionnement de l’organisation, identifier les risques et

enfin définir les objectifs à atteindre dans les phases de réalisation et conclusion.

1. L’ordre de mission

Avant de commencer la phase de préparation, l’auditeur doit établir et diffuser aux parties

concernées le document permettant le déclenchement de toute mission d’audit : l’ordre de mission.

Ce document joue le rôle de mandat initié par la Direction Générale, à destination de l’équipe d’audit

Interne.

33


Cet ordre de mission doit répondre à trois principes. Le premier est qu’aucune mission ne

peut être déclenchée par le simple fait d’un auditeur, elle est forcément le fait d’une direction

supérieure. En théorie, l’équipe d’audit interne est seulement là pour la réaliser mais c’est

généralement elle qui impulse une nouvelle mission avec l’aval de la direction. Le second principe est

que l’ordre de mission provienne d’une autorité compétente telle que la Direction Générale ou le

Comité d’audit. Enfin le dernier principe tient au fait que cet ordre de mission doit permettre la

transmission d’informations à tous les responsables concernés, à savoir l’équipe d’audit mais aussi à

toutes les personnes concernées par cette mission (chefs de service, responsables…).

L’ordre de mission a une fonction de mandat et d’informations. Celui-ci doit contenir le minimum

d’informations requis avec, pour un ordre de mission de type « court », des renseignements sur le

champ d’application et les objectifs à atteindre. Pour un ordre de mission de type « long », les

mêmes renseignements avec les modalités d’intervention en supplément (dates, lieux, moyens à

mettre ou ne pas mettre en œuvre).

En possession de cet ordre de mission, le service d’audit peut alors démarrer la phase de

préparation.

Celle-ci est composée de trois étapes, comme l’explique certains auteurs23 :

0 : Observer et écouter = Familiarisation / prise de connaissance

1 : Identifier les signes (symptômes)

2 : Décomposer les signes, faits, phénomènes

3 : Repérer les interrelations

4 : Classer

5 : Situer par rapport à un système de référence

L’étape de « prise de connaissance » sert à avoir une vision d’ensemble.

L’étape d’identification des risques attire l’attention de l’auditeur sur les points essentiels.

L’étape de définition des objectifs permet la planification du temps et des coûts pour une meilleure

efficacité.

23

P.HERMEL, « Audit et management et changement », cahiers de Recherche du diagnostic d’entreprise, n°1

Identification des risques

Définition des objectifs

34


2. La prise de connaissance / familiarisation

L’étape de « prise de connaissance » est l’étape la plus importante en termes de temps. C’est

une étape où l’auditeur prend connaissance de l’organisation et de son fonctionnement. Et pour

mieux comprendre les informations et les explications qu’il va rechercher et déclencher, l’auditeur

doit appréhender rapidement le domaine ou la fonction audité afin d’y apporter les solutions

adéquates.

Exemple : audit des installations de fabrication de pièces de l’industrie automobile. L’auditeur devra

posséder des connaissances et une culture technique pour parvenir à comprendre les explications des

techniciens.

Cette action de prise de connaissance de l’organisation est composée de six objectifs :

- Avoir une bonne vision globale dès le début (diagrammes) ;

- Identifier les objectifs de la mission ;

- Identifier les problèmes essentiels ;

- Poser les questions importantes et pertinentes ;

- Eviter les considérations abstraites et inutiles ;

- Permettre la mise en place des missions d’audit dans l’organisation.

Plusieurs facteurs vont être pris en compte dans cette étape de prise de connaissance. Tout

d’abord le facteur « durée ». Celle-ci va dépendre de la complexité du sujet traité, du profil de

l’auditeur et de la qualité des dossiers d’audit. En effet, plus complexe sera le sujet de la mission, plus

difficile sera la prise de connaissance et plus la durée de mise à jour des connaissances sera longue.

De même, si l’auditeur n’a aucune expérience, la durée de familiarisation sera plus longue que pour

un auditeur ayant de l’expérience dans le domaine. L’équipe d’audit sera d’ailleurs choisie en

fonction de ces connaissances et de ces expériences dans le domaine à auditer, afin d’éviter toute

perte de temps inutile. Enfin, des audits ont parfois déjà été réalisés. Il est important que ces dossiers

d’audit soient clairs et complets, permettant de gagner du temps et une prise de connaissance plus

rapide.

Cette prise de connaissance doit être clairement étudiée et planifiée, en sélectionnant les moyens les

plus efficaces pour la récolte d’informations (connaissance large de l’organisation, ses objectifs et

son environnement, ses contraintes et ses points forts, les responsables en charge des tâches

auditées, connaissance des techniques de travail).

35


Le principal moyen utilisé pour obtenir les informations souhaitées est le « questionnaire de

prise de connaissance » (QPC). Ce questionnaire consiste à se questionner soi-même en tant

qu’auditeur. Les réponses à ce questionnaire sont tirées des observations et documents récupérés au

sein du service interne audité. Il regroupe les questions les plus importantes et dont les réponses

doivent être connues, pour éviter tous risques d’incompréhension du domaine audité. Ce document

est indispensable pour définir le champ d’application et l’organisation du travail.

La structure globale du questionnaire24 :

Connaissance du contexte socio-économique :

- taille et activités du secteur audité ;

- situation budgétaire ;

- situation commerciale ;

- effectifs et environnement de travail.

Connaissance du contexte organisationnel de l’unité :

- organisation générale et structure ;

- organigrammes et relations de pouvoirs ;

- environnement informatique.

Connaissance du fonctionnement de l’entité auditée :

- méthodes et procédures ;

- informations règlementaires ;

- organisation spécifique de l’entité ;

- système d’information ;

- problèmes passés ou en cours ;

- réformes en cours ou prévues.

Toutefois, il faut garder à l’esprit que ces questionnaires doivent être couplés à la

documentation transmise (rapports, compte rendus, procédures de travail, notes, interviews,…).

24

« Théorie et Pratique de l’Audit Interne », Jacques Renard, Editions d’Organisation, 6ème

édition, page 212

36


3. L’identification des risques

La norme 2210.A125 traduit l’application de cette étape : « L'auditeur interne doit procéder à

une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission

doivent être déterminés en fonction des résultats de cette évaluation. »

A travers cette norme, il faut comprendre que l’identification passe par les emplacements où les

risques sont susceptibles de se produire et non par l’analyse des risques en eux-mêmes.

Cette norme est complétée par la MPA 2210-126 qui explique que « le but de l’évaluation des risques

pendant la phase de planification de l’audit est d’identifier les secteurs importants de l’activité à

auditer ».

Toutefois les normes ne proposent pas une méthode unique, chaque auditeur ou groupe d’audit

effectuera donc cette identification selon ses habitudes et sa culture.

Lors de cette étape, certains auditeurs préféreront faire l’impasse, pensant connaitre

suffisamment le sujet audité. Toutefois cette impasse, même si les connaissances sont réelles, pourra

malgré tout entrainer des problèmes tels que l’omission d’une zone à risque ou encore l’obligation

de devoir bâtir un programme de travail complet. Alors qu’avec cette identification des risques, le

programme de travail aurait pu être allégé en tenant compte uniquement des zones à risque et à

traiter.

A l’inverse, certains auditeurs vont préférer une analyse poussée et minutieuse mais qui semble trop

excessive à ce stade de la réalisation de l’audit et qui fait parfois double emploi avec la phase de

réalisation.

Pour mener à bien cette identification, la méthode la plus utilisée est celle du « tableau des

risques ». Ce tableau doit prendre en compte les trois facteurs suivants :

- l’exposition : risques pesants sur les biens de l’organisation tels que : malveillances,

dommages,…

- l’environnement : ce qui se trouve autour du bien et qui est susceptible de devenir

dangereux.

- la menace : imprévisible et invisible. Fait appel au sens de l’imagination des auditeurs et

sous-entend la multiplication de procédures excessives et contraignantes.

25

IFACI, Normes professionnelles internationales de l’Audit Interne, p. 18 26

IFACI, Site internet

37


Il va permettre de segmenter le secteur audité en taches élémentaires et concrètes et d’associer à

chacune d’elles, l’objectif recherché et son utilité. En face de chaque tâche segmentée et objectivée,

l’auditeur indiquera alors les risques encourus. En face de ces risques, l’auditeur procède à une

évaluation simple, en général de 3 niveaux : risque important (i), moyen (m) et faible (fa).

Ensuite, l’auditeur indique quels sont les moyens et solutions à mettre en œuvre pour contrer le

risque identifié (personnes qualifiées, outils et machines adaptés,…). Enfin, dans la dernière colonne,

l’auditeur indique si le dispositif à mettre en œuvre est existant ou absent.

Exemple de tableau27 :

Tâches Objectifs Risques Evaluation Dispositif de contrôle interne Constat

Réception des

marchandises

Sécurité - Pertes

- Avaries

- M

- FA

Normes de livraison et

entreposage

Non

4. La définition des objectifs

Egalement nommé « Rapport d’orientation » par l’IFACI28. Ce document est bref et doit être

conforme à la norme 224029 « ce programme de travail doit être formalisé ».

C’est une sorte de cahier des charges qu’établissent les auditeurs avec les audités et qui va préciser

les objectifs recherchés, le champ d’action de la mission et les éléments d’identification des risques

relevés lors de la phase de préparation qui vient de se dérouler.

Les objectifs sont de deux types :

- objectifs généraux : ce sont des objectifs permanents du contrôle interne (protection du

patrimoine, fiabilité et intégrité des informations, respects des lois et règlements, efficacité

et efficience des opérations, suivi du précédent audit).

- objectifs spécifiques : va dépendre des risques identifiés et des dispositifs en place ou à

mettre en place.

Le champ d’action est de deux types également :

- fonctionnel : regroupe les services, divisions qui vont être audités

- géographique : dans quels lieux (usine, région, pays,…)

27

Théorie et Pratique de l’Audit Interne, Jacques RENARD, Editions d’Organisation, 6ème

édition, page 224 28

IFACI : Fondé en 1965. Institut Français de l’Audit et du Contrôle Interne 29

IFACI, Normes professionnelles internationales de l’Audit Interne, p. 19

38


Ce cahier des charges devient réel et applicable lors de sa signature par l’audité, au moment

de la réunion d’ouverture. Ce caractère « contractuel » (document signé par les deux parties) insiste

bien sur le fait que chacune des parties doit savoir en tout état de cause de quoi il s’agit et dans quoi

elle s’engage. Ce rapport va devenir le document de référence de l’auditeur.

B) La phase de réalisation

La phase de réalisation prend place au sein même de la structure, afin de mener une étude

« terrain ». L’auditeur va être en contact direct avec les responsables et les équipes de travail. Cette

phase de réalisation débute par la réunion d’ouverture, puis par la réalisation du programme d’audit,

la mise en place de tout le travail de terrain et enfin la validation des conclusions pour établir le

rapport.

1. La réunion d’ouverture

La réunion d’ouverture doit avoir lieu à l’endroit où se déroulera la mission d’audit (un

service, une filiale, un secteur,…). Le fait que l’auditeur se rende sur les lieux précis où il fera son

audit montre aux responsables que la phase de préparation est terminée et que les choses concrètes

vont commencer. Et cela va permettre à l’auditeur d’être en contact direct avec les principaux

acteurs qui interviendront tout au long de cette mission d’audit. L’auditeur disposera de toutes les

informations et documents nécessaires dans l’accomplissement de la mission.

La simplification des démarches est essentielle pour l’auditeur, sinon il risque d’être submergé

d’informations et dans l’impossibilité de se concentrer sur son sujet principal. Une présence physique

dans les locaux est indispensable pour mener à bien cette mission.

La réunion a pour objectif de présenter les parties prenantes de l’audit, responsables,

niveaux intermédiaires et divers interlocuteurs, présents pour se découvrir et prendre connaissance

du groupe. Le chef de mission est également présent lors de cette mission, et le sera plus ou moins

ponctuellement durant la mission, selon l’expérience des auditeurs. Du côté des audités, seront

présents les responsables du service ou du secteur concerné, accompagnés, la plupart du temps, par

un supérieur hiérarchique ou un collaborateur direct. Parmi ces participants, un rapporteur est

désigné et il aura pour mission de rédiger un compte rendu de la réunion, consultable dès la fin de

celle-ci.

39


Une fois les participants réunis et le rapporteur désigné, l’étude de l’ordre du jour peut être

abordée. En effet, l’ordre du jour a été envoyé à tous les participants, plusieurs jours avant la

réunion, accompagné du rapport d’orientation. Les participants ont eu le temps de prendre

connaissance de ces documents et d’entamer une réflexion sur certains points.

Cet ordre du jour est composé de six points devant systématiquement être abordés :

la présentation de l’équipe d’audit en charge de la mission : Lors de cette présentation,

chaque auditeur expose rapidement son expérience passée, ses compétences spécifiques et

le rôle qu’il jouera dans la mission d’audit. De leur côté les audités se présentent également,

afin que tous connaissent la ou les personnes avec qui ils seront amenés à travailler.

la présentation de la fonction d’audit interne : Selon les entreprises, l’activité d’audit interne

est peu ou mal connue, parfois même inconnue. Le but de cette présentation est d’expliquer

la fonction d’audit interne ou de la « réactualiser » auprès de personnes connaissant cette

activité mais dont les idées sont fausses ou trop anciennes. Les auditeurs font un rappel des

objectifs généraux de la fonction afin d’obtenir la meilleure des collaborations entre

auditeurs et audités et instaurer une relation de confiance en leur expliquant le but de cet

audit.

l’examen du rapport d’orientation : Ce rapport est au centre de l’ordre du jour et la durée

même de la réunion dépend de ce rapport. Plus le rapport présenté est important, plus

longue sera la réunion. Les auditeurs reprennent avec les audités les zones à risques

identifiées durant la phase de préparation, pour prendre connaissance de leurs

commentaires et ressenti. L’étude de ce rapport permet aux audités de poser des questions

et de faire le point avec les auditeurs sur des aspects mal ou peu assimilés. Une fois toutes

les zones d’ombre éclairées, chacune des parties dispose du document « contractuel » qui

servira de référentiel aux auditeurs.

la prise de rendez-vous et de contact : C’est lors de cette réunion que les auditeurs vont

pouvoir définir précisément, avec les responsables ou chefs de service présents, quelles

seront les personnes avec qui ils devront être en contact durant les différentes étapes de

leurs travaux. C’est également à ce moment que les auditeurs vont fixer clairement la date

de rendez-vous et le temps approximatif passé avec cette personne, afin d’éviter le manque

d’informations et la difficulté ultérieure à obtenir un rendez-vous.

40


l’organisation matérielle de la mission : Les auditeurs profitent que tous les responsables

soient présents pour définir les conditions matérielles dans lesquelles va se dérouler la

mission d’audit. Ils vont définir les ressources matérielles (avoir un bureau équipé à

disposition), la prise en charge du repas (budget, restaurant, cantine,…), le transport, le

logement, l’obtention d’un badge pour avoir accès aux locaux,….

rappel sur la procédure d’audit à suivre : Les auditeurs vont faire un dernier rappel sur la

suite des opérations, à savoir la réalisation de l’audit, la possibilité de nouvelles réunions

intermédiaires, l’explication des constats établis, la réunion de clôture, la rédaction du

rapport d’audit suite à cette réunion de clôture, sa distribution, la mise en place et le suivi

des recommandations indiquées dans le rapport. A la fin de ce rappel, les audités savent tout

ce qu’il y a à savoir en raison du principe de « transparence ». Les audités sont en confiance

et acceptent de jouer le « rôle » qui leur est confié.

Au terme de cette réunion, toutes les modifications vont être apportées au rapport

d’orientation, afin d’obtenir la version définitive qui servira de référence aux parties prenantes.

Suite à cette réunion, les auditeurs vont réaliser le deuxième document de référence : le programme

d’audit.

2. Le programme d’audit

Etabli par l’équipe d’audit et le chef de mission, c’est un document interne au service d’audit,

regroupant la définition et la répartition des différentes actions à entreprendre. Au même titre que

l’ordre du jour, le programme d’audit répond à six objectifs :

le caractère contractuel : Ce programme va lier contractuellement l’équipe d’audit à sa

hiérarchie, de ce fait le programme sera la référence utilisée par les auditeurs et toutes

modifications, ajouts, retraits, ne pourront se faire qu’avec accord tacite de la hiérarchie,

permettant ainsi d’éviter tout égarement de la part de l’équipe d’audit.

la planification du travail : C’est sur ce programme que chaque tâche va être répartie entre

les auditeurs, selon leurs compétences spécifiques, leurs expériences et selon un temps

organisé et planifié.

41


le rôle de « fil conducteur » : Ce programme permet à l’équipe d’audit de suivre les

différentes étapes établies au préalable. Le tout étant à la fin d’obtenir un ensemble

cohérent permettant d’atteindre les objectifs fixés.

l’outil de réalisation du Questionnaire de Contrôle Interne : C’est à partir de ce programme

de travail que l’équipe d’audit établira ensuite le Questionnaire de Contrôle Interne (QCI),

reprenant alors les différentes étapes d’identification des risques et du rapport d’orientation.

Ce questionnaire va permettre de préciser un peu plus les différentes tâches à accomplir

pour atteindre les objectifs fixés dans le rapport d’orientation. Le QCI est l’aboutissement

concret des précédentes démarches d’identification des risques et d’établissement du

rapport d’orientation.

le suivi du travail : Ce programme permet au chef de mission de pouvoir suivre l’avancée du

travail de l’équipe d’audit. Il permet également de prévoir une éventuelle avancée ou à

contrario un éventuel retard par rapport au planning établi et de suivre individuellement

l’avancée de chaque auditeur.

un document « modèle » pour les audits à venir : Selon le thème de la mission d’audit, ce

programme de travail pourra servir de « modèle » aux futurs audits réalisés. De manière

systématique, lorsqu’une mission d’audit est réalisée dans un domaine déjà audité

auparavant, l’équipe d’audit va baser l’établissement de son programme de travail sur

l’ancien programme, permettant une amélioration constante des moyens utilisés. Toutefois,

le programme de travail antérieur devra toujours être revu et adapté à la nouvelle situation

auditée, au risque de ne pas prendre en compte les éventuelles modifications ayant eu lieu

entre le précédent et le nouveau programme de travail.

Le programme d’audit va regrouper les travaux préliminaires à accomplir par l’équipe d’audit

et répertorier les techniques et outils à utiliser (diagramme, sondage, interview, …).

3. Le travail de terrain

Lors de cette démarche, l’équipe d’audit va réaliser des tests à l’aide d’outils spécifiques.

Chaque anomalie fait alors appel à la réalisation d’une Feuille de Révélation et d’Analyse de

Problème, plus couramment appelée FRAP.

42


La première chose que l’équipe d’audit va mettre en place est l’observation globale. Cette

observation va leur permettre de comprendre les méthodes de travail et révéler des situations

imprévues. Ensuite, l’équipe d’audit va observer les zones à risques définies lors des phases

précédentes. Pour s’assurer de la qualité des résultats, ces tests doivent remplir un certain nombre

de conditions :

- les questions posées doivent être précises pour déclencher une réponse tout aussi précise ;

- l’outil choisi doit l’être de façon réfléchie ;

- l’auditeur doit intégrer des révélations imprévues pouvant faire surgir des interrogations ;

- les résultats doivent être correctement interprétés ;

- le(s) test(s) doivent être élaboré(s) de façon logique et ordonnée.

Mais cette observation peut également faire ressortir les bonnes pratiques et les mettre en

avant par le biais de la FRABOP (Feuille de Révélation d’Analyse de Bonne Pratique). Ce document

regroupe sur une feuille les informations suivantes : la pratique, les faits, les facteurs clés de succès,

les résultats obtenus. Son objectif est de pouvoir transmettre à d’autres sites ou services audités, les

informations et les avancées observées.

Cependant, la FRAP reste le document le plus utilisé puisqu’elle est établie à destination des audités

afin de leur indiquer quels sont les problèmes et comment on peut les résoudre. Chaque FRAP est

divisée en cinq parties : les problèmes, les constats, les causes, les conséquences et les

recommandations.

Pour remplir cette feuille, l’auditeur va commencer par lister le constat, pour ensuite remplir dans

l’ordre les causes, les conséquences, les recommandations et terminer avec l’énoncé du problème,

celui-ci ne pouvant être rédigé qu’une fois les tenants et les aboutissants listés.

la constatation : Il s’agit de constater un fait unique (une FRAP par constat) et de le

synthétiser dans ce document en quelques mots brefs et précis, sans périphrases.

Exemple : l’alarme incendie n’est pas enclenchée tous les soirs. L’auditeur ne doit pas écrire :

« suite à notre visite le …. à l’entrepôt de…, nous avons pu constater que… », mais :

« problème de non mise en route quotidienne de l’alarme lors de la fermeture des locaux ».

les causes : Définir les causes ne consiste pas à établir l’origine du problème, mais à

comprendre pourquoi les causes d’origines se produisent. Plusieurs méthodes existent mais

pour prendre la plus connue, nous allons étudier le « diagramme d’Ishikawa » ou « méthode

des 5M », qui rappelle les cinq domaines dans lesquels sont susceptibles de se trouver les

causes du problème : la Main d’œuvre, le Milieu, la Matière, le Matériel, la Méthode.

43


Diagramme d’Ishikawa :

Cette méthode va permettre de remonter aux causes fondamentales du problème.

Les conséquences : Lors de la rédaction des conséquences, l’auditeur va devoir éviter de les

juger de manière qualitative et quantitative, au risque d’alarmer les audités sur des points

qui finalement ne sont pas si critiques que ça. La qualification et la quantification

« raisonnable » sont cependant indispensables pour permettre aux audités de mesurer

l’importance des conséquences.

Les recommandations : Elles sont le but même de l’auditeur. C’est en quelque sorte son

« cœur de métier ». Dans cette partie, l’équipe d’audit va faire en sorte que les problèmes

soient traités, afin d’éviter qu’ils ressurgissent par la suite. Toutefois, l’équipe d’audit ne peut

prétendre, dans certains cas, pouvoir éradiquer complètement le problème.

Le problème : C’est le point final de la FRAP. Il est déterminé à la fin, une fois que les

dernières recommandations ont été écrites. C’est cet énoncé qui indiquera aux parties

prenantes, dès la première lecture, si le problème évoqué sur la FRAP mérite ou non d’être

traité rapidement.

Les FRAP établies pendant le travail de terrain seront indispensables lors de la phase de

rédaction du rapport. Deux options s’offrent à l’équipe d’audit, soit les FRAP sont retranscrites dans

un document de manière moins « télégraphique », soit l’équipe décide de les garder telles quelles et

de les considérer comme le seul rapport existant.

Main d’œuvre Matériel Milieu

Matière Méthode

44


4. La validation des recommandations

Une fois les FRAP établies et classées, l’équipe d’audit va toutefois s’assurer de la cohérence

de ses observations avant la validation. Les auditeurs s’assurent que les problèmes soulevés sont

réellement des dysfonctionnements pouvant atteindre la structure ou le service. Si c’est le cas, ils

s’assurent également que les risques identifiés soient correctement qualifiés et quantifiés, afin

d’éviter les mauvaises surprises.

Ensuite, c’est l’étape de la validation. L’équipe d’audit valide au fur et à mesure les constats

faits au préalable. Cette validation se fait de deux manières :

- individuelle : chaque FRAP va être validée en recoupant chaque constat avec les interviews

ou les documents obtenus. On recoupe les outils d’audit entre eux pour obtenir la meilleure

confrontation possible. L’auditeur cherche également à avoir l’avis et le ressenti de son

responsable afin d’éviter tout désaccord par la suite.

- générale : ce sont les validations qui ont lieu en cours de mission, lors des réunions

intermédiaires, par exemple. Ce sont aussi celles de fin de mission, présentées lors de la

réunion de clôture.

C) La phase de conclusion

La présence de l’équipe d’audit sur le terrain est terminée et le déroulement de cette

dernière phase a lieu dans les locaux de l’équipe d’audit interne. C’est lors de cette phase, que les

auditeurs vont rédiger le projet de rapport d’audit, validé lors de la réunion de clôture. Après

validation, ce projet devient définitif et c’est aux audités de mettre en place les actions correctives.

1. Le projet de rapport d’audit

Au début de la phase de conclusion, le rapport est au stade de « projet » car il est incomplet

et n’a pas fait l’objet d’une validation générale. En effet, à ce stade, les audités n’ont pas encore

indiqué leur réponses face aux recommandations faites par l’équipe d’audit et n’ont pas rendu leur

plan d’actions regroupant les informations de temps et d’acteurs mobilisés.

45


La norme 241030 mentionne en effet la nécessité d’avoir le plan d’action à ce moment-là.

2410 – Contenu de la communication :

La communication doit inclure les objectifs et le champ de la mission, ainsi que les

conclusions, recommandations et plans d'actions.

A ce stade, le rapport peut se présenter sous deux formes. Soit l’équipe d’audit a choisi de ne

garder que les FRAP, de les classer, sans y ajouter de rédaction plus poussée. Soit elle choisit de

réaliser un document plus élaboré avec un sommaire et des notes particulières. Dans les deux cas,

c’est le document qui constituera l’ordre du jour de la réunion de clôture au même titre que le

rapport d’orientation lors de la réunion d’ouverture dans la phase de réalisation.

2. La réunion de clôture

Les participants de cette réunion sont les mêmes que lors de la réunion d’ouverture.

Désormais l’exposé des auditeurs aux audités n’est plus « nous allons faire… », mais « ce que vous

avez fait… ».

Au même titre que la réunion d’ouverture, celle de clôture obéit à plusieurs principes.

- La totale transparence de diffusion de l’information de l’équipe d’audit aux audités lors

de leur mission. En effet, aucun document, aucune observation ne sauraient être cachés

aux audités. Tout leur est dit et expliqué, rien n’est mis de côté, que ce soit les certitudes

comme les doutes. Et c’est par le biais de ce principe que l’équipe d’audit va réussir à

susciter le dialogue.

- Le respect de la hiérarchie. Cela signifie que rien ne doit être divulgué en termes

d’informations tant que le responsable de l’audit interne n’en est pas informé et tant que

la réunion de clôture n’a pas eu lieu. Chaque chose doit être faite en son temps et c’est la

première personne de la « liste » (le responsable) qui choisit ensuite de divulguer ou non

les informations et ainsi de suite. Ne pas respecter ce principe peut conduire à des

situations délicates et conflictuelles entre auditeurs et audités.

30


46


- La priorisation des recommandations. Elles doivent être répertoriées selon leur degré

d’importance et selon l’analyse des conséquences. Ce principe va permettre d’éviter de

donner de l’importance à des choses qui n’en ont pas et de ne s’occuper que des

éléments qui doivent être traités.

- La mise en place immédiate des actions correctives. Ce principe traduit la possibilité

qu’ont les audités de mettre en place les mesures correctives dès qu’ils en ont

connaissance et avant même la publication du rapport d’audit. Ces actions sont alors

indiquées comme prise en compte et correctement exécutées dans le rapport d’audit au

moment de sa rédaction. Cela permet à l’audité de montrer sa capacité d’action et de

réaction.

- La connaissance collective des problèmes et recommandations. Tous les audités doivent

connaitre l’existence d’un dysfonctionnement et avoir conscience que ce

dysfonctionnement est connu de tous. C’est le maître de conférence Bernard GRAND31

qui a démontré ce principe de « connaissance commune » dans la collaboration audités /

auditeurs. C’est à partir de cette situation là que l’auditeur interne va pouvoir jouer son

rôle de conseil.

Cette réunion permet de revenir sur tous les points vus lors du travail de terrain. Rien ne doit

surprendre l’une des parties et cette réunion doit éventuellement permettre de prendre en compte

les dernières contestations. Celle-ci va se dérouler en deux phases.

Phase 1 : la présentation

La réunion doit être au préalable préparée et il ne s’agit pas là d’une simple lecture du projet

de rapport. Chaque participant, que ce soit du côté des audités ou du côté des auditeurs, doit être

acteur de cette réunion. Celle-ci doit être vivante et concrète. Les auditeurs doivent avoir en leur

possession tous les documents, classés rigoureusement, que les audités seraient susceptibles de

réclamer pour appuyer une information à éclaircir. Rien ne doit être fait au hasard et cette réunion

doit avoir fait l’objet d’une préparation.

31

Maitre de conférence à l’IAE d’AIX – « Theorical approaches to audit », Internal Auditing vol.13, déc. 1998

47


Phase 2 : les contestations

En règle général, si le travail a été correctement fait et si les constats et recommandations ont été

validés au fur et à mesure avec les audités, la validation générale du projet de rapport d’audit ne

pose pas de problème. Toutefois, cela n’empêche pas certaines contestations de surgir. Le

traitement de ces contestations peut être de deux sortes. Soit l’auditeur a les documents nécessaires

à l’explication et à la résolution de la contestation soulevée, et dans ce cas, l’audité a la réponse à sa

question et tout rentre dans l’ordre. Soit, dans le cas le plus délicat, en termes d’image pour l’équipe

d’audit, l’auditeur n’a pas les documents adéquats. Auditeurs et audités passent sur ce point et

décident de ne plus le traiter, sauf dans le cas où ce point est très important et dans ce cas la réunion

est suspendue le temps de récupérer les documents nécessaires.

Dans tous les cas, le rapport présenté est un projet et cela sous-entend que les audités sont

amenés à le faire vivre et à le modifier. Tout est bon pour enrichir ce projet par rapport aux

recommandations. L’équipe d’audit va laisser un délai supplémentaire durant lequel ils pourront

indiquer par écrit leur opinion sur ce rapport.

A la fin de cette réunion de clôture les auditeurs vont remercier les audités pour leur

collaboration et vont leur rappeler la procédure de suivi qui va suivre cette réunion et

l’établissement du rapport d’audit interne.

3. Le rapport d’audit interne

Comme tout ce qui a pu se dérouler durant les phases de préparation et de réalisation, ce

rapport d’audit répond à un certain nombre de principe, respectant également une certaine forme et

un certain contenu.

Exposons tout d’abord les quelques principes concernant ce rapport.

- L’émission du rapport : Une mission d’audit (de manière générale) se conclue forcément

sur l’émission d’un rapport. Même dans le cas d’un audit où tout fonctionne

correctement et où aucune action correctrice ne doit être menée (cas rare). La norme

244032 confirme d’ailleurs cette obligation :

2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

32


48


- La finalité : En effet, ce rapport est le document final qui signifie que désormais le relais

est passé aux audités. C’est à eux de mettre en place les recommandations indiquées

dans ce rapport. Bien sûr l’équipe d’audit continue de jouer son rôle et notamment dans

la réalisation du suivi (que nous verrons dans la partie 4.).

- Présentation préalable aux audités : Ce rapport a été validé lors de la réunion de clôture,

les audités ont donc été préalablement informés sur le contenu de ce rapport d’audit

interne et c’est ce qui rend définitif ce document final.

- Droit de réponse de l’audité : Lors de la réunion de clôture, les audités auront pu donner

leur point de vue et leur éventuel accord sur le projet de rapport, le validant

définitivement. Malgré tout, les audités devront communiquer par écrit leurs réponses

aux recommandations, qui seront alors insérées dans le rapport définitif d’audit interne.

Ce type de document « officiel » doit revêtir une forme précise et incontournable dans le

domaine de l’audit. D’autant plus, qu’il va être à la fois un document d’information destiné à la

hiérarchie de l’équipe d’audit interne, présentant clairement l’identification des risques et les

mesures à prendre, et un outil de travail destiné aux audités, indiquant précisément les constats et

recommandations à mettre en place par les responsables. Afin de pouvoir concilier ces deux

fonctions, la forme du rapport d’audit peut être découpée en 4 parties33.

la page de garde et la lettre d’envoi : La page de garde va regrouper toutes les informations

essentielles à ne pas oublier. Elle fera mention, entre autre, du rappel de la mission et de la

date d’envoi du rapport qui met un point final à la mission, des noms des auditeurs ayant

participé à la mission et à la rédaction du rapport, mais également des noms des audités

ayant participé et surtout les noms de ceux à qui s’adresse le rapport et le suivi des

recommandations. Enfin, la mention « confidentielle » devra apparaitre sur le rapport,

obligeant à numéroter les différents exemplaires transmis à chaque destinataire.

La lettre d’envoi n’est pas obligatoire et n’est présente que s’il est dans les règles de

l’entreprise de transmettre le rapport avec une lettre brève d’accompagnement de l’envoi.

33

« Théorie et Pratique de l’Audit Interne », Jacques Renard, Editions d’Organisation, 6ème

édition, page 286

49


le sommaire, l’introduction et la synthèse : Le sommaire est indispensable pour une lecture

pratique et ordonnée du rapport, surtout lorsque le rapport est volumineux et qu’il comporte

un grand nombre de documents annexes.

L’introduction doit être courte et doit regrouper deux informations : le rappel du champ

d’action de la mission et ses objectifs afin de rappeler le but et les limites de la mission pour

les personnes n’ayant pas eu l’ordre de mission initial ; et le descriptif de l’unité ou fonction

auditée.

La synthèse, positionnée en début de rapport, va devoir regrouper les informations

nécessaires pour que la hiérarchie puisse avoir une opinion sur la mission d’audit ayant eu

lieu dans sa structure de manière brève mais complète et sans devoir aller chercher les

informations dans le rapport (sauf si la hiérarchie souhaite avoir des compléments

d’informations sur telle ou telle partie du rapport). Toutefois cette note ne doit pas être le

simple résumé du rapport complet, mais doit au contraire permettre la corrélation entre les

aspects négatifs et positifs de l’audit réalisé, comme le mentionne la norme 2410.A2.

2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la

communication des résultats de la mission.

le corps du rapport : Il s’agit du document dans sa version intégrale, destiné aux audités et

devant comporter les constats, recommandations et réponses des audités face à ces

recommandations. La forme de ce contenu reprend les deux choix qui s’offrent aux

auditeurs, à savoir, d’opter pour la rédaction claire et complète des analyses faites par les

FRAP ou d’opter pour l’intégration des FRAP telles quelles, sans ajouter de rédaction. La

forme du corps du rapport est décidée selon les méthodes pratiquées dans la structure

d’audit interne.

la conclusion, le plan d’actions et les annexes : La conclusion du rapport d’audit est en réalité

la note de synthèse insérée en début de rapport. Toutefois il est possible de prévoir une

courte conclusion à la fin du rapport permettant d’ouvrir sur d’éventuelles autres missions

ou sur la prochaine mission d’audit sur le même thème.

Le plan d’action, rédigé par les audités et indiquant quand et par qui seront entreprises les

recommandations, se situe après la conclusion. Cela permet à chaque destinataire de savoir à

qui s’adresser pour chaque point évoqué.

50


Exemple de plan d’action :

Recommandations Personne responsable de la

mise en œuvre Date limite de réalisation

N°1 Responsable des achats 03.05.2013

N°2 Responsable commercial 29.05.2013

N°3 Responsable ressources humaines

10.07.2013

Les annexes sont composées des tableaux, graphiques, textes, règles de procédures qui

appuient les faits indiqués dans le corps du rapport. Toutefois, elles ne doivent être

composées que des éléments indispensables et doivent éviter les éléments superflus.

La rédaction et la diffusion du rapport d’audit répondent à des normes précises. Les normes

2420 vont définir les normes de rédaction et les normes 2440 vont définir les normes de diffusion.

4. Le suivi du rapport

Le suivi est indispensable et notamment parce qu’il semble naturel que les auditeurs

souhaitent mesurer l’impact et l’efficacité des solutions qu’ils ont proposé et surtout enrichir leurs

dossiers pour des audits ultérieurs. Toutefois, s’il en assure le suivi, l’auditeur interne ne prend en

aucun cas la place de l’audité dans la réalisation et la mise en place des recommandations. Ce

principe est d’ailleurs repris dans la définition expliquant le rôle de conseil et non d’acteur de

l’auditeur. Ce suivi est un droit accordé aux auditeurs qui va s’appuyer sur des normes.

- La norme 2500.A1 expose le principe suivant : « Le responsable de l’audit doit mettre en

place un processus de suivi ». L’auditeur ne peut donc pas se substituer au suivi de ces

recommandations.

- La norme 2500.A1-1, quant à elle, mentionne le fait que « la responsabilité du suivi doit être

définie par écrit dans la charte d’audit ». Cette obligation va permettre de savoir qui aura à

répondre si les recommandations ne sont pas suivies ou si leur mise en œuvre est difficile.

51


A partir de ces principes normatifs, certaines méthodes se sont développées.

Il y a la méthode dite « orthodoxe » qui propose deux façons de procéder au suivi des

recommandations. La première qualifiée de « mini audit » : l’auditeur se rend sur place quelques

mois après la diffusion du rapport pour constater les problèmes ou les retards, mais cela entraine la

plupart du temps une perte d’argent et de temps. La seconde utilise l’interrogation par

questionnaire : l’auditeur reprend le plan d’action établi par les audités et demande à chaque fois

l’avancé de chaque recommandation. Toutefois, ces mesures ne permettent pas toujours le suivi du

planning. L’auditeur va mettre en place des solutions alternatives, telles que collecter les réponses

négatives des audités en vue de la prochaine mission ou faire remonter les dysfonctionnements dans

la mise en place des recommandations auprès du responsable de l’audit interne, qui le portera lui-

même à la connaissance de la Direction Générale ou du comité d’audit, qui se chargeront de la

décision finale.

Autre méthode : l’information par la hiérarchie. Dès la diffusion du rapport, l’équipe d’audit a fini son

travail et c’est la hiérarchie du secteur ou service audité qui prend le relais. L’audité va rendre

compte à sa hiérarchie de ce qui a ou non été mis en place, en précisant, pour les recommandations

n’ayant pas été exécutées, les raisons de cette impossibilité. Ensuite, elle fait le choix de prendre les

dispositions nécessaires pour que les recommandations puissent être instaurées ou bien de décider

de ne pas y donner suite. A ce moment-là, une note est rédigée, à l’intention du service d’Audit

Interne, pour les informer des actions concrétisées, permettant aux auditeurs d’enrichir leur dossier

et de mettre en place des solutions pour atteindre les objectifs fixés.

Dernière méthode : le service spécialisé. Certaines entreprises font appel à un service spécialisé dont

l’unique mission va être de suivre la mise en place des recommandations. L’avantage c’est que cela

va permettre de libérer l’équipe d’audit interne. L’inconvénient c’est que cela va contre les normes

d’audit qui donne le rôle du suivi à l’équipe d’audit et engendre une vision négative de l’équipe

d’audit interne qui ne suit pas la mise en place de son propre travail.

La réalisation complète de ces trois phases est indispensable au bon déroulement et surtout

à la qualité de l’audit effectué. La réalisation d’un audit est le fait de règles établies au fur et à

mesure des années, chaque équipe d’auditeurs aura sa manière de fonctionner mais la base restera

toujours la même, grâce aux normes professionnelles établies par l’IFACI. On retiendra également

qu’un bon audit ne peut avoir lieu sans de bonnes relations entre l’équipe d’audit et les audités.

52


III) Application pratique d’une mission d’audit interne dans une PME

Comme nous avons pu l’illustrer dans les parties précédentes, la réalisation d’une mission

d’audit interne répond à la mise en œuvre de 3 phases clés : la préparation, la réalisation et la

conclusion. Aussi, nous l’avons vu, la fonction d’audit interne n’est pas une fonction basée sur

l’unique analyse financière. Au contraire, la particularité de l’audit interne est de s’intéresser à tous

les processus et à toutes les fonctions d’une entreprise. Les entreprises elles-mêmes appartenant à

des secteurs d’activités différents. Toutefois, le cœur de métier des services d’audit est lié à l’activité

d’assurance, permettant une évaluation des risques et l’apport de valeur ajoutée pour l’entreprise.

Ce mémoire est basé sur la fonction d’audit interne. Mais ne travaillant pas dans ce type de

service au sein de mon entreprise actuelle, j’ai décidé de me mettre dans la peau d’une auditrice

interne. Pour cela, je me devais de trouver une entreprise qui puisse m’accueillir. J’ai donc défini

certains critères afin d’orienter mes recherches.

En effet, il n’est pas évident de trouver une entreprise qui accepte d’intégrer une personne

« inconnue » dans ses services. Toutes les entreprises ne sont pas ouvertes. Par conséquent, j’ai fait

le choix d’axer mes recherches sur des entreprises à taille humaine, ayant de meilleures chances de

pouvoir m’entretenir avec un responsable plutôt qu’une standardiste. De plus, n’ayant pas la

prétention d’avoir une réelle formation d’auditeur interne, le travail est fourni en fonction de mes

compétences et connaissances. Les attentes des grandes entreprises étant souvent plus importantes

et complexes que celles des petites entreprises.

D’autre part, axant cette mission d’audit sur le processus d’assurance dommages dans une

entreprise, je ne souhaitais pas réaliser ma mission dans une entreprise d’assurance.

Au terme de cette réflexion, j’ai orienté mes recherches sur les entreprises de petite taille (micro

entreprise de moins de 10 salariés ou TPE de moins de 20 salariés) travaillant dans un secteur

d’activité autre que celui de l’assurance, voire même autre que celui du secteur financier d’un point

de vue général. Par le biais du bouche à oreille, un ami travaillant dans une petite PME, spécialisée

dans la création et la vente de progiciels, m’a proposé de rencontrer sa responsable, gérante de la

société, afin de lui exposer mon projet. Au terme d’un premier rendez-vous de présentation, me

permettant d’expliquer mon projet de réalisation d’une mission d’audit interne basée sur l’aspect

assurance dommages, la gérante, Mme ALCARAZ, a accepté que j’intervienne au sein de son

entreprise.

53


Le cas pratique qui va suivre va mettre en œuvre l’application de ces aspects théoriques dans

le cadre d’un réel audit interne au sein d’une entreprise. Nous verrons comment le choix de

l’entreprise s’est fait et quelles sont ses caractéristiques. Puis viendra le cœur de ce cas pratique avec

la réalisation d’une mission d’audit interne orientée dans le domaine assurantiel, avec l’émission du

rapport définitif d’audit et le suivi de fin de mission.

A) Etape 1 : la phase de préparation

Avant toute chose, pour qu’une mission d’audit interne soit bien exécutée, certains aspects

doivent rester à l’esprit de l’auditeur interne. Tout d’abord celui-ci doit savoir rester simple dans son

discours, dans sa façon d’apporter les explications et de rendre compréhensible les actions qu’il va

mettre en place. Il va devoir faire preuve de rigueur dans le travail fourni. D’ailleurs les normes

professionnelles analysées précédemment rappellent que la fonction doit respecter les règlements

qui la gouvernent. Emploi et adaptabilité du vocabulaire lié à la fonction, celui-ci pouvant varier

d’une entreprise à l’autre mais signifiant toujours la même chose. Mais aussi adaptabilité avec les

personnes participantes à la mission. Enfin, l’auditeur interne se doit d’être transparent dans sa

démarche et dans la diffusion des résultats.

SARL créée en 1997, Info Décision propose des services adressés uniquement aux

administrations publiques, ne cherchant pas à étendre sa clientèle au secteur privé. PME de petite

taille, les salariés y sont donc polyvalents et compétents. Le principal métier de cette société est la

commercialisation de solutions chômage.

Nous commencerons cette partie avec la réception de l’ordre de mission, puis nous

analyserons la prise de connaissance de cette entreprise pour finir sur l’identification des risques et

les objectifs d’Info Décision.

54


1. L’ordre de mission d’Info Décision

En tant qu’organe décisionnaire dans l’entreprise, Mme ALCARAZ, a formalisé sa demande

d’audit interne au sein de son entreprise Info Décision par le biais d’un ordre de mission.

Etiolles, le 09 mai 2012

ORDRE DE MISSION

Destinataire : Gérante de l’entreprise, Mme ALCARAZ

Objet : Audit du processus Assurance Dommages (Incendie, Accident et Risques Divers)

La mission sera réalisée par Mlle CIDRE, auditrice interne.

La réunion d’ouverture aura lieu le lundi 14 mai 2012.

La mission durera 3 jours du mardi 15 mai au jeudi 17 mai 2012, inclus.

Elle se proposera d’analyser le domaine assurantiel dans sa globalité :

- analyse des contrats ;

- concordance de l’environnement physique de l’entreprise avec le contenu des contrats ;

- étude des besoins en rapport avec l’existant.

L’auditrice se contentera d’analyser ces seuls points.

Cette mission se déroulera dans les locaux d’Info Décision à Etiolles (91), avec un bureau mis à

disposition de l’auditeur.

Le budget de la mission sera facturé de la manière suivante : 4600€ HT

Le rapport sera diffusé sur format papier et électronique le 28 mai 2012.

La gérante

Nathalie ALCARAZ

Suite à la réception de cet ordre de mission, la réalisation de l’audit peut commencer.

55


2. La prise de connaissance du secteur entreprise

Le cœur de métier de la société est la gestion des allocations pour la perte d’emploi et la

gestion des allocations chômage dans la fonction publique. Voici les services proposés par Info

Décision aux administrations publiques :

- Des solutions chômage afin de gérer au mieux ce risque, soit en interne, avec l’aide du

progiciel, soit en externe, avec des services associés ;

- Des formations métiers, afin d’accroître les compétences des salariés du secteur public ;

- Un logiciel web qui permet d’établir les Attestations Employeurs Dématérialisées ;

- Du conseil et de l’assistance juridique dans le secteur du chômage.

Même si l’entreprise s’est diversifiée, l’activité principale reste concentrée sur le progiciel

métier de gestion des dossiers chômage ainsi que sur l’externalisation et les formations. Mais la

concurrence est dense sur ces marchés, ce qui incite la société à développer de nouvelles méthodes

pour gagner des parts de marché.

L’ensemble de la clientèle d’Info Décision, collectivités locales et territoriales, est regroupé

sur le territoire Français, France métropolitaine et DOM-TOM. En effet, l’exportation de ces services

à l’étranger serait compliqué et lourd en démarches, d’autant plus que chaque pays à sa propre

règlementation en ce qui concerne le chômage. De plus, les formations sont très spécialisées, par

domaine, que ce soit en ressources humaines, marchés publics, ou encore sur les progiciels, et

l’entreprise n’aurait pas les ressources suffisantes pour la mettre en place.

Les organismes clients sont des centres hospitaliers, des mairies, des ministères, des

organismes indépendants, des rectorats et des communautés d’agglomération. Cette diversité de

clients permet à la société de s’adapter rapidement face à un marché en perpétuelle évolution.

Nous allons faire une description de chacun des services que propose la société.

Le progiciel GALPE et l’externalisation de la gestion des allocations chômage

Ces deux solutions sont axées autour de la gestion des dossiers chômage dans les

administrations. Aujourd’hui, un employeur public peut gérer son risque chômage lui-même, c’est ce

qu’on appelle de l’auto assurance.

56


Plusieurs possibilités s’offrent alors à lui :

- Acquérir un logiciel métier, comme GALPE, qui permet d’automatiser les dossiers des

allocataires, et de fournir les éléments indispensables au moment du versement de

l’indemnité. Le logiciel est fiable, car il respecte les conventions chômage applicables depuis

plus d’une quinzaine d’années. Il équipe les plus grands organismes publics : La Poste, France

Telecom, la Réunion des Musées Nationaux, et sa qualité principale est la fiabilité juridique.

- Déléguer la gestion des dossiers à Info Décision, ce qui permet à l’organisme de se décharger

de cette charge de travail tout en ayant un droit de regard et de contrôle sur les opérations

effectuées sur les dossiers. L’équipe prend en charge le dossier dès la fin du contrat de

travail. Différents documents lui sont demandés afin de constituer son dossier, puis les

gestionnaires étudient ses droits et envoient un bilan de dossier à l’organisme public

indemniseur. Tous les mois, les éléments de la paie sont validés par le client pour indemniser

l’allocataire. Cette prestation est en plein essor face à la charge de travail dans les

administrations.

Des formations métiers

Le panel de formations s’est élargi en même temps que la société s’est développée. L’offre

de formation d’Info Décision concerne 3 secteurs :

- Les marchés publics : permettant d’acquérir les notions essentielles pour mener à bien une

procédure de marché public.

- Les formations sur logiciels et informatique : pour maitriser les outils informatiques qu’édite

Info Décision. Différentes formations existent afin de rendre autonome les gestionnaires. De

plus, une formation réservée aux informaticiens existe, afin de paramétrer, d’installer et de

comprendre GALPE.

- Les Ressources humaines : Le domaine principal est la gestion des dossiers chômage, la partie

juridique est abordée pour que le stagiaire applique les notions apprises, nécessaires à

l’exercice de ses fonctions. D’autres thèmes existent, tels que la gestion des non titulaires, du

cumul d’emploi, de la retraite additionnelle.

57


Toutes ces formations sont destinées aux personnels des administrations, qu’ils soient

gestionnaires, ou responsables de service. Différents niveaux existent du débutant au plus

expérimenté, permettant à tous de s’adapter. Chaque participant reçoit une documentation lui

servant de support. De plus, après chaque session, il est demandé à chacun d’entre eux de remplir

une évaluation afin qu’Info Décision améliore la qualité de ses services.

Le logiciel d’attestations employeur dématérialisées

La société a profité d’une nouvelle obligation légale, la transmission par voie dématérialisée

de l’attestation employeur à Pôle Emploi, pour se diversifier. Auparavant, remplies sur un formulaire

papier puis transmises à un centre de traitement, les données étaient ensuite sauvegardées.

Aujourd’hui, les établissements publics ont plusieurs possibilités pour déclarer ces données :

- le site internet de net-entreprise ;

- l’utilisation d’un module en complément du logiciel de paie (s’il existe) ;

Pour pallier à ces solutions non adaptées au secteur public, Info Décision a lancé en 2012

l’application « Web Infoattest » qui permet de déclarer ces données en prenant en compte les

particularités de ce secteur. Ce produit a achevé sa phase de lancement il y a peu et commence à

être utilisé par une cinquantaine d’établissements.

Le conseil juridique

Forte de son expérience dans le domaine des Ressources Humaines, et plus particulièrement

sur le secteur du chômage, la société propose une offre qui inclut une assistance juridique.

L’offre de ces différents produits et services est possible car l’entreprise dispose des ressources

nécessaires.

Ressources humaines :

La société est actuellement composée de 13 salariés, répartis sur trois niveaux de hiérarchie.

Mme ALCARAZ, gérante, et M. CHAFFANEL sont les deux associés, salariés, d’Info Décision. Ensuite,

les 11 salariés sont répartis selon les services, avec un mélange de statut cadre et de non cadre.

58


Organigramme d’Info Décision :

Différentes compétences sont réunies au sein de la société ce qui lui apporte un fort pouvoir

de développement.

Mme ALCARAZ, gérante, se charge de toute la gestion (ressources humaines, administratif,…) ainsi

que de la partie commerciale (appels d’offres, suivi de dossiers) et de la formation.

M. CHAFFANEL possède des compétences dans le domaine juridique, notamment celui qui encadre

les administrations.

Le reste de l’équipe, qui compose l’externalisation, est quant à elle, très polyvalente, puisque chaque

salarié sait exécuter plusieurs tâches différentes.

Les personnes qui se chargent de la gestion des dossiers chômage se chargent également de la

facturation de leurs clients.

L’équipe informatique, gère à la fois les Hotlines liées aux problèmes informatiques, mais aussi le

développement quotidien des progiciels, ainsi que les versions de mises à jour.

L’équipe commerciale quant à elle multiplie ses activités : gestion du portefeuille clients, de la

facturation, des mailings, des contrats,…

L’ensemble des salariés possède donc diverses aptitudes tant au niveau managérial

qu’organisationnel. Des connaissances dans le domaine du Marketing, de l’expertise informatique et

juridique sont les principales clés de la réussite de la société.

Gérante

N.ALCARAZ

Informatique

Compétences

chômage et RH

Externalisation

chômage

Administration

et Commercial

Conseil

juridique

Formation

59


La force principale est le fait que les salariés d’Info Décision collaborent ensemble afin de mener à

bien le travail à effectuer, même si le partage des tâches entraine parfois un léger ralentissement

dans l’avancée du travail de chacun.

Ressources financières :

Info Décision a vu croitre ses moyens financiers. Depuis 5 ans, le chiffre d’affaires progresse

de 15% par an. Celui-ci s’élevait à 1 450 000 € en 2011.

Avec une telle progression, la société peut envisager un avenir plutôt serein, même si elle

reste vigilante, surtout en ces temps de crise avec une restriction du budget de l’Etat. De plus, grâce

à une trésorerie saine, et à une bonne gestion comptable, les dépenses et recettes sont gérées au

plus juste. D’ailleurs, la société ne souscrit à aucun emprunt pour financer ses projets, ce qui lui

permet d’être autonome.

Ressources matérielles :

Aujourd’hui, la société dispose de locaux de 200 m² situés à Etiolles, en périphérie d’Evry

(Essonne). L’organisation se compose de :

- 3 bureaux : 1 pour le service externalisation, 1 pour le service commercial, 1 pour le service

informatique ;

- Chaque salarié dispose d’un bureau avec rangement et matériel informatique relié à Internet

et à un réseau interne ;

- Un téléphone est disponible pour chacun ;

- Des imprimantes sont branchées en réseau afin que chacun puisse éditer ses documents ;

- Une cave au sous sol de 80m² pour le stockage des archives (administratifs, dossiers

chômage) et la gestion des serveurs (messagerie et site web) ;

- Un parc d’ordinateurs portables et de téléphones pour les stagiaires qui sont formés par Info

Décision ;

- Une salle de réunion.

Après avoir pris connaissance de l’entreprise avec ses différentes activités et ses multiples ressources

humaines, financières et matérielles, il est maintenant tant d’identifier les risques liés aux activités

de cette entreprise.

60


3. L’identification des risques et la définition des objectifs

Pour cela, je me suis servie du « tableaux des risques » comprenant les 3 facteurs suivants :

l’exposition, l’environnement et la menace.

Pour le risque d’exposition, j’ai identifié les risques pesant sur les biens matériels de l’entreprise :

- Incendie des locaux (système électrique défaillant) ;

- Perte des données informatiques (virus ou piratage informatique) ;

- Perte des données confidentielles (support papier).

Pour le risque environnement, j’ai identifié les risques situé en périphérie de l’entreprise et pouvant

devenir source de risque :

- Responsabilité Civile du formateur lors des formations ;

- Responsabilité Civile liée aux conseils juridiques ;

- Incendie dans la résidence ;

- Dégâts des Eaux dans les locaux se situant au dessus ;

- Impossibilité d’accéder aux locaux pour cause de détérioration de la porte d’entrée

principale.

Pour le risque de menace, il a fallu analyser les menaces imprévisibles et invisibles, telles que :

- Vol par les femmes de ménage ;

- Vol par les livreurs qui viennent déposer les colis dans l’enceinte des locaux.

L’ensemble de ces risques restent généraux et nous verrons par la suite les réelles menaces qui

pèsent sur l’entreprise et pour lesquelles le processus d’assurance est envisageable.

A partir de ces risques de base, l’objectif sera de voir si tous ces risques sont couverts par le biais

d’un contrat d’assurance spécifique et si toutefois la couverture d’assurance est absente, en étudier

les causes, les conséquences et y remédier.

Cette première phase de préparation étant achevée, nous allons aborder la seconde phase

de cette mission : la phase de réalisation.

61


B) Etape 2 : la phase de réalisation

Cette phase opérationnelle est l’élément central de l’audit interne en entreprise, elle va

permettre de rencontrer les équipes et les membres du futur comité de pilotage. Une première

étude est élaborée, des échanges et des ajustements avec les audités se construisent autour de

l’ordre de mission initial.

1. La réunion d’ouverture

Une fois l’ordre de mission établi, la prise de connaissance de l’entreprise maitrisée et l’étude

des éventuelles forces et faiblesses d’Info Décision réalisée, j’ai fixé un rendez-vous avec la gérante

de la société le 14 mai 2012, par téléphone. Une fois le rendez-vous fixé, je lui ai adressé un mail

pour lui confirmer les modalités de cette réunion et lui ai demandé de préparer ce rendez-vous, en

rassemblant les éléments suivants :

- contrats d’assurances dommages ;

- organigramme des services ;

- plaquette des métiers et fonctions des salariés (si disponible) ;

- activités à risque de la société ;

- activités extérieures en présence de tiers.

De mon côté, je prépare également cette réunion en rédigeant des fiches synthétiques et des

schémas sur les éléments de mon intervention, à savoir : ma présentation personnelle, un rappel du

métier d’auditeur et du rôle de l’audit interne dans une entreprise, dans l’objectif de simplifier leur

lecture lors de l’entretien.

Arrivé le jour de la réunion, j’ai en ma possession les éléments préparés. Tenue vestimentaire

sobre et professionnelle, préparation et analyse du trajet, rappel rapide des éléments importants

sont les actions que j’effectue avant le rendez-vous physique.

Arrivée avec dix minutes d’avance dans les locaux, la secrétaire me fait patienter. J’en profite pour

prendre note des quelques aspects qui me sautent aux yeux et qui montrent la bonne santé de

l’entreprise : du matériel récent, des locaux agréables. Cela annonce une structure fiable, sérieuse et

performante. Mme ALCARAZ arrive, accompagnée de M. LEPLONGEON, son bras droit, et me guide

dans la salle de réunion où elle me propose de m’installer. Positionnée en face à face, je prononce

quelques phrases de courtoisie pour prendre contact avant d’entrer dans le vif du sujet.

62


Mon objectif est de récupérer un maximum d’informations, d’expliquer le déroulement de

l’audit et de guider l’entretien pour optimiser le temps de chacun. Je commence donc par prendre la

parole en expliquant mon métier, ma formation et l’objectif de cette réunion.

Mme ALCARAZ, à son tour, me présente la structure, son fonctionnement, le rôle des salariés

et le secteur d’activité de son entreprise. Je commence déjà à noter des informations qui me

semblent importantes et liées à ma mission. Je relève par exemple :

- la présence de documents juridiques sensibles qui n’appartiennent pas à la société mais qui

transitent par leurs locaux pendant plusieurs jours ;

- de nombreux déplacements extérieurs des salariés avec leur véhicule personnel ;

- des locations de locaux sur Paris et en province…

Ces informations se révèlent être autant de sources d’interrogations me permettant de mener à bien

cette mission.

Nous abordons l’ordre du jour, qui reprend les éléments de l’ordre de mission, à savoir :

détermination des membres qui effectueront la mission au sein de l’entreprise, délais et modes

d’échanges, moyens mis en œuvre pour effectuer l’audit (ressources,…), et planning des opérations.

Nous entamons une discussion sur les contrats d’assurances dommages et Mme ALCARAZ me

transmet les contrats d’assurances Responsabilité Civile et Multirisque professionnelles. Nous

continuons en évoquant des sujets qui m’ont alerté tels que les représentations extérieures ou

encore les déplacements professionnels. La protection des locaux est elle aussi évoquée et je relève

quelques dysfonctionnements.

Après plus d’une heure d’entretien et une prise de note synthétique, je décide de conclure,

tous les points ayant été évoqués. Nous fixons ensemble la date du prochain rendez-vous dans notre

agenda, et M. LEPLONGEON me photocopie l’ensemble des contrats, y compris ceux concernant la

location de salles extérieures pour que je les emporte.

Je prends congé en les remerciant de leur accueil et leur précise ma disponibilité future pour

leur apporter des informations à chaque stade de mon étude en attendant la phase de conclusion.

63


2. La concrétisation de mon action

A partir des documents en ma possession, je décide d’établir un tableau synthétique

regroupant tous les points à vérifier, contrôler et pour lesquels des axes d’amélioration pourront être

préconisés à la fin de ma mission.

Ce tableau est un véritable tableau de bord que j’ai alimenté au fur et à mesure de mes travaux. C’est

un point de repère indispensable pour ne pas être submergée par des informations non pertinentes.

Ce modèle est créé en fonction de la taille de la structure, de son métier et surtout de mon

expérience universitaire et professionnelle. Je décide donc de créer mon modèle, qui pourra évoluer

pour de futures missions dans de nouvelles structures.

Après rédaction de ce document de travail, sur la base des contrats d’assurance, que vous trouverez

dans le rapport d’audit page 70, certains points me semblent urgents à traiter.

Tableau de Bord - Audit Assurance Dommages 2012 INFO DECISION

Thème Assureur Sous-Thème Constat de l’existant Réglementation / Contrat Recommandations

Responsabilité

Civile GAN Aucun

Contrat conforme, à jour et

activité en adéquation avec le

contrat (création,

commercialisation, formation)

Assurance non obligatoire, mais

vivement conseillée. Souscription du contrat.

En cas de changement ou de création

d’une nouvelle activité, prévenir

l’assureur pour réajuster le contrat.

Protection et

Prévention - Extincteur - Alarme

- Extincteur non révisé - Alarme HS

Extincteur obligatoire entreprise

> 50 salariés. Révision des extincteurs – APSAD et

réparation de l’alarme.

Multirisques

Professionnelle SWISS LIFE Bureaux Etiolles - Alarme non obligatoire - Bris de machine assuré : 9.689

€

Assurance non obligatoire mais

vivement conseillée.

Pas de Pertes d’Exploitation et de

Protection juridique. Vérifier les plafonds de garantie.

Formations

extérieures

SWISS LIFE - Rejet de

responsabilité

des loueurs

- Location de salles - Présence dans les

locaux clients

Matériel professionnel, plafond

de garantie : 4.000 €

Le loueur décharge sa

responsabilité sur le preneur. Info Décision doit être couvert.

Vérifier les contrats de location

régulièrement, en cas d’événement

exceptionnel (salon,…) s’assurer.

Déplacements

véhicules

professionnels

MACIF +

assureur

personnel

- Des associés - Des salariés

- Compris dans l’assurance, les

déplacements sont assurés - Risque des déplacements des

salariés si aucune assurance

professionnelle souscrite

RC automobile obligatoire. Distinguer les déplacements

personnels et professionnels.

Vérifier que les salariés qui se

déplacent avec leur véhicule

personnel ont une extension pour les

trajets professionnels.

Données

entreprise SWISS LIFE - Données clients - Données Sté

Garantie support information lié

au bris de machine : 2.422 € Aucune obligation de protection

de ses données personnelles.

Si les données sont vitales pour

l’entreprise, sauvegarde externe +

assurance adaptée.

64


Recommandation n°1 : la garantie Pertes d’Exploitation

Ce type de garantie est optionnelle mais indispensable dans le contexte de cette entreprise.

En effet, en cas de sinistre important (Incendie important, Dégâts des Eaux complet,…), les outils de

production principaux tels que les ordinateurs, les serveurs, les dossiers présents dans les armoires,…

pourraient être sérieusement touchés et endommagés.

Souscrire à la garantie Pertes d’Exploitation permettrait à l’entreprise de surmonter les

conséquences de la diminution de son chiffre d’affaires pendant plusieurs mois jusqu’au

rétablissement de l’activité. Le but étant que l’entreprise revienne dans la situation initiale qui était

la sienne avant la survenance du sinistre.

Appliqué à Info Décision, une interruption d’activité, suite à la destruction partielle ou totale

des outils de production, serait nuisible et amputerait la pérennité de la structure.

Je recommande vivement ce type de protection qui assurera un confort en cas de besoin et

l’assurance d’un soutien pour la structure.

Recommandation n°2 : la garantie Protection Juridique

Cette garantie est également optionnelle mais elle permet d’être accompagné et aidé lors

d’une procédure juridique face à un tiers. Ce recours à la justice peut être initié par les deux parties

inscrites au contrat et sera réglé auprès du tribunal compétent.

Dans le cas d’Info Décision, la mauvaise exécution au niveau de l’externalisation des dossiers

ou une défaillance technique du progiciel vendu à une administration publique entrainant

d’importantes pertes financières, peuvent engager la responsabilité civile d’Info Décision.

L’administration publique lésée peut alors décider de faire appel à la justice pour régler ce différend.

Les procédures judiciaires étant longues et coûteuses, je recommande vivement cette

garantie.

Recommandation n°3 : un contrat Multirisques informatique

Cette garantie n’est en rien obligatoire. Toutefois, son rôle est de couvrir l’intégralité du parc

informatique en cas d’évènement imprévisibles au sein des locaux mais également en dehors de

ceux-ci, lors de déplacements professionnels par exemple. La prise en charge de reconstitution des

données informatiques et des frais bancaires peuvent y être couverts en option.

65


Info Décision a aujourd’hui une garantie Bris de Machine sur le matériel informatique,

comprise dans le contrat d’assurance Multirisques de SWISS LIFE. Mais cette garantie est limitée. Et

lorsque l’on sait que l’entreprise a, dans ses locaux, des logiciels spécifiques, une banque de données

importante, des archives qu’il serait fastidieux et couteux de remplacer et un parc de matériel

informatique coûteux, je pense qu’il est important de la proposer.

Pour ce premier bilan, j’adresse un premier compte rendu à Mme ALCARAZ par mail, en lui

précisant de me faire un retour sur ces éventuelles remarques. Je lui propose d’approfondir certains

points si elle le souhaite et de m’informer de son intention d’appliquer ces recommandations.

Après quelques jours, Mme ALCARAZ fait suite à mon mail et me sollicite pour démarcher des

assureurs et proposer une comparaison des contrats actuels avec l’ajout des garanties Protection

Juridique et Pertes d’Exploitation.

3. La pré finalisation

Ayant eu l’accord de Mme ALCARAZ concernant ces recommandations, mes nouvelles

recherches vont s’axer sur le démarchage d’assureurs afin de trouver le meilleur contrat garanties /

prix, manquant à la société Info Décision.

Le plus important sera de trouver l’assureur qui proposera le contrat le plus clair et complet

et surtout au meilleur coût pour les finances de l’entreprise. Pour cela, j’oriente mes recherches sur

Internet dans un premier temps, sur lequel j’effectue des devis en ligne. Mais les informations

données sont approximatives et il n’est pas évident de comparer et d’obtenir un tarif en rapport avec

le besoin réel. Je décide donc d’entamer une prospection téléphonique auprès d’agences et de

courtiers. Voici les résultats de mes recherches :

Garantie Pertes d’Exploitation et Protection juridique

Dans un premier temps, je fais appel au courtier, gestionnaire du contrat Multirisques

Professionnelle SWISS LIFE actuel, afin de connaitre l’augmentation annuelle qu’engendrerait l’ajout

de ces deux garanties. Il m’informe que l’ajout de ces garanties porterait la prime annuelle à 856,30€.

Puis, le résultat de mes recherches place la compagnie AXA dans les assureurs les mieux

placés en termes de prix et de garanties proposées. Le projet de contrat Multirisques Professionnelle

avec les garanties Pertes d’Exploitation et Protection juridique propose une prime annuelle de

893,14 €.

66


Suite à ces recherches, je fais part à Mme ALCARAZ des choix qui s’offrent à elle concernant

ces recommandations. Elle m’informe que la différence de tarif étant minime, elle souhaite rester

chez son courtier actuel et par conséquent chez SWISS LIFE.

Assurance Multirisques Informatique

Ce type de contrat n’a pas encore été souscrit par l’entreprise. Je dois donc effectuer des devis

auprès des assureurs proposant ce contrat spécifique. Là encore, la compagnie AXA semble être la

mieux placée en termes de rapport garanties / prix. Le coût de ce contrat Multirisques Informatique

est de 828,42 € annuel.

J’informe Mme ALCARAZ du résultat de mes recherches, qui m’indique en retour que ce type

de contrat l’intéresse mais qu’il fera l’objet d’une étude plus tardive.

Je regroupe donc ces recommandations sous la forme de Feuilles de Révélation d’Analyse de

Problèmes (FRAP), soumises et approuvée par Mme ALCARAZ et intégrées au rapport d’audit.

C) Etape 3 : la phase de conclusion

Ma présence sur le terrain a été enrichissante. Les risques présents et potentiels ont été

détectés, tous les documents sont récoltés, la phase de conclusion peut alors débuter.

Cette dernière phase est cruciale pour l’auditeur interne dans le déroulé de sa mission,

puisque c’est à ce moment là que se met en place la rédaction du rapport d’audit interne et le suivi

des recommandations. Sans cette étape, la mission d’audit est inutile. Les audités et les organes de

direction veulent savoir ce qui est bien ou moyennement fait et ce qui peut être amélioré et de

quelle façon.

Afin de pouvoir prendre tout le recul nécessaire, l’auditeur retourne dans ses bureaux pour

entamer la rédaction du projet de rapport, qui sera ensuite validé lors de la réunion de clôture, pour

devenir le rapport définitif diffusé aux personnes et services concernés. Dans ce rapport, se trouve

les actions correctrices suggérées, à mettre en place par l’entreprise.

Tout d’abord, nous verrons comment s’est préparée et déroulée cette réunion de clôture.

Pour finir sur la rédaction du rapport définitif d’audit interne et le suivi des recommandations au sein

d’Info Décision.

67


1. La préparation et le déroulement de la réunion de clôture

A la fin de la phase de réalisation, j’ai obtenu, confronté et analysé toutes les informations

capitales concernant ma mission. Certaines recommandations importantes ont été communiquées

par mail à la gérante, qui m’a informé de ces intentions par retour de mail. Je peux alors commencer

la rédaction de mon « projet » de rapport, avant la dernière validation en face en face avec Mme

ALCARAZ et M. LEPLONGEON.

Le rendez-vous est fixé avec Mme ALCARAZ au 28 mai 2012, afin de réaliser la réunion de clôture.

Le jour J, je me présente à Info Décision. Nous commençons la réunion de clôture en

reprenant le projet de rapport afin de vérifier que les points indiqués soient clairs et

compréhensibles par tous. Quelques questions de principes surgissent mais le rapport est compris et

validé par Mme ALCARAZ et M. LEPLONGEON. Toutefois, je leur indique que je leur laisse quelques

jours supplémentaires pour relire à tête reposée ce projet de rapport et y annoter toutes les

questions pouvant à nouveau surgir afin que nous fassions un dernier point et que le rapport définitif

soit complet et en adéquation avec leurs attentes.

Nous fixons d’un commun accord un délai supplémentaire d’une semaine, leur permettant

de poser leurs dernières questions et d’annoter les dernières informations pour le 04 juin 2012. Je les

informe qu’à compter de cette date butoir, je rédigerais le rapport définitif d’audit interne dans son

intégralité et que je leur remettrai en main propre le 07 juin 2012.

A cette occasion, je leur explique que dans un délai d’un mois, je prendrais à nouveau

contact avec eux afin de m’assurer du suivi des recommandations et de fixer un nouveau rendez-

vous physique.

2. Le rapport d’audit interne

Comme convenu le 28 mai 2012, je reviens vers Mme ALCARAZ le 04 juin 2012 afin de savoir

si d’autres questions ou informations doivent être éclairées ou ajoutées au rapport. A ce moment-là,

Mme ALCARAZ et M. LEPLONGEON n’ont rien d’autre à ajouter, je me lance donc dans la rédaction

définitive du rapport d’audit interne.

68


69


70


71


72


73


74


75


76


1. Contrat d’assurance Multirisques Professionnelle

77


78


79


80


81


2. Contrat d’assurance Responsabilité Civile

82


83


84


85


3. Contrat d’assurance location locaux extérieurs

86


87


88


89


3. Le suivi des recommandations

Suite à la rédaction de ce rapport d’audit, je dois désormais le remettre en mains propres à

Mme ALCARAZ et M. LEPLONGEON, comme convenu lors de la réunion de clôture.

Je me présente chez Info Décision le 07 juin 2012, ayant au préalable reconfirmé le rendez-

vous avec Mme ALCARAZ par téléphone. Nous prenons place dans la salle de réunion. Mme ALCARAZ

souhaite lire le rapport définitif en ma présence.

Après lecture, elle me remercie pour le travail fourni ainsi que pour les recommandations

faites, me confirmant que sans mon intervention, ces différents points n’auraient pas forcément été

traités et qu’en cas de sinistre elle se rend compte que les dégâts et les conséquences auraient pu

être plus critiques et déstabilisants pour l’entreprise, que prévu.

Pour ma part, je leur adresse également mes remerciements pour l’accueil chaleureux de tous les

salariés et de leur totale coopération.

A la fin de cette entrevue, je leur rappelle que ma mission d’audit est certes terminée mais

que désormais c’est à eux de mettre en place les recommandations faites au terme de cet audit.

La mission d’un auditeur étant réellement achevée que lorsque les recommandations sont mises en

place et appliquées, je les informe que je souhaite à nouveau leur rendre visite dans un délai d’un ou

deux mois. Cette visite aura pour but de venir constater si la mise en place des recommandations a

vu le jour ou, si ce n’est pas le cas, définir avec eux les éventuels problèmes rencontrés et les

résoudre.

Au moment de ce dernier rendez-vous, les vacances d’été de chacun étant fixées, Mme

ALCARAZ m’informe qu’elle est absente du 13 juillet au 10 août 2012. Nous décidons d’un commun

accord de fixé un rendez-vous de suivi des recommandations un peu plus tard dans l’année, aux

alentours de la fin du mois d’octobre. En effet, Mme ALCARAZ m’indique que la période de la rentrée

scolaire est très chargée tant d’un point de vue travail que d’un point de vue rendez-vous extérieurs,

ce qui rend sa présence rare dans les locaux.

Au terme de cette rencontre, je précise à Mme ALCARAZ que je reste à sa disposition au cas où elle

aurait des questions ou si elle rencontrait des difficultés suite à cet audit.

90


Le suivi des recommandations de cette mission n’a pas pu voir le jour au moment de la

rédaction de ce mémoire, mais les indications, faites et promises par Mme ALCARAZ, laissent

supposer que les recommandations concernant l’ajout des garanties Pertes d’Exploitation et

Protection juridique, auront bien lieu.

La réalisation de ce cas pratique m’a permis de faire la relation entre la théorie et la pratique

de l’audit interne. Je me suis rendue compte qu’il n’était pas évident d’analyser et d’identifier les

risques, chaque entreprise étant différente et chaque secteur d’activité dépendant de

règlementations différentes. L’obligation d’avoir des connaissances variées et complètes est

indispensable et c’est d’ailleurs ce qui m’a parfois manqué. D’autre part, une des principales

difficultés rencontrées a été celle d’être acceptée par les salariés. Toutefois, je me suis aperçue qu’en

communiquant et en expliquant les tenants et les aboutissants du métier d’auditeur, les regards

évoluaient. Une fois que l’objet de ma venue leur avait été expliqué, les salariés ont accepté de

collaborer. Il en ressort que l’expérience est effectivement un facteur de réussite dans cette

profession. Toutefois, cette démarche a été enrichissante d’un point de vue humain mais aussi d’un

point de vue universitaire. La plus grande satisfaction étant de savoir que notre action a été

bénéfique pour l’avenir de l’entreprise.

91


Conclusion

L’Audit Interne pour tous et tous pour l’Audit Interne

Au fil de ce mémoire, nous avons vu que l’audit, de façon générale, est un mélange

d’observation des risques, d’identification de leurs causes et conséquences et de recherche de

solutions. Toutefois, la pratique de l’audit interne est loin d’être aussi simple et uniforme. Certes,

une méthodologie existe mais rien n’est définitif et obligatoire. C’est pourquoi, l’audit interne doit

être et devenir plus innovant dans ses démarches. Chaque situation est spécifique, parfois même

complexe. Le travail apporté doit donc être individualisé et adapté.

Quel serait le but d’un audit si la fin de la mission et le suivi des recommandations étaient

bâclés ? Le rapport d’audit ne doit pas être un simple « bout de papier » récapitulant le travail

accompli. Il doit être pertinent, constructif et surtout compris par tous les acteurs. Un rapport d’audit

qui ne serait pas compris serait inefficace, voire même source de conflits, d’autant plus si l’équipe

d’audit n’a pas su communiquer avec les parties prenantes. Une bonne communication est

primordiale et notamment lors du suivi. L’équipe d’audit doit garder à l’esprit qu’en l’absence de

suivi, elle ne remplit par son contrat. Trop souvent le suivi est perçu comme une perte de temps et

d’argent par les auditeurs, qui abandonnent trop facilement les entreprises à elles-mêmes et dont les

recommandations sont rarement mises en place. Peut-être serait-il intéressant d’obliger les

auditeurs en charge de l’audit en question de vérifier la bonne application des recommandations.

D’autant plus que, si la communication a été satisfaisante, les auditeurs auront la possibilité

d’intervenir auprès des responsables et de leur hiérarchie pour débloquer les éventuels doutes.

Nous avons pu observer qu’un facteur est décisif pour la fonction d’audit interne : sa place

dans l’organisation. Trop souvent, le service d’audit interne est annexé ou mis de côté, les dirigeants

ne comprenant pas ou n’estimant pas utile que le service d’audit soit au cœur de l’entreprise. Or,

pour mener à bien ces missions et avoir une connaissance parfaite de l’organisation, de la structure,

de la culture, l’équipe d’audit interne doit être au centre des courants d’échanges et des prises de

décisions. Sans quoi les relations entre le service d’audit interne et le reste de l’entreprise risquent

d’être aléatoires et compliquées.

92


Le meilleur outil pour un audit réussi est la communication entre tous. C’est d’ailleurs le

maitre mot d’un audit abouti. Les auditeurs doivent communiquer tout au long de la mission,

adaptant leur discours à chaque personne.

Si tous les éléments que nous venons de mentionner sont réunis et appliqués par les

organisations, les dirigeants, les responsables et les auditeurs, la recherche d’efficacité n’en est plus

au stade de recherche mais bien d’accomplissement. La réalisation d’audits internes est alors

synonyme d’efficacité et de valeur ajoutée pour l’entreprise. Mais pas seulement.

En effet, les auditeurs peuvent aussi profiter de leur propre travail pour toujours plus

s’améliorer et devenir de plus en plus efficace. Cette recherche de l’excellence va passer par

l’évaluation du travail fourni par les « clients » eux-mêmes. Quoi de plus logique que d’être évalué

par les personnes qui ont pu voir l’efficacité ou non de notre travail. Les équipes d’audit devraient

mettre en place ce système d’évaluation afin d’améliorer leur méthodologie, leur communication…

En conclusion, lorsque tout est mis en œuvre, l’Audit Interne est synonyme de performance

et de valeur ajoutée, tant pour les entreprises que pour la fonction en elle-même.

93


Bibliographie

Livres :

Ouvrage collectif, Manuel d’audit interne : Améliorer l’efficacité de la gouvernance, de contrôle

interne et du management des risques, 2011.

IFACI, Méthodologie de conduite d’une mission d’audit interne : fiches méthodologiques, 2010.

Jacques RENARD, Jean-Michel CHAPLAIN ; préfacé par Louis GALLOIS, Théorie et pratique de

l'audit interne, 7ème édition, 2009.

Alain-Michel CHAUVEL, Méthodes et outils pour résoudre un problème : 55 outils pour améliorer

les performances de votre entreprise, 2006.

Benoit PIGÉ, Audit et contrôle interne – 2ème édition, 2004.

Etienne BARBIER, Mieux piloter et mieux utiliser l’audit : l’apport de l’audit aux entreprises et aux

organisations, 1999.

Olivier LEMANT, Créer, organiser et développer l’audit interne : que faire pour réussir ?, 1999.

Sites Internet :

IIA

IFACI

AMRAE

AMF

LEGIFRANCE

UFAI

COSO

ANC (Autorité des Normes Comptables)

http://www.insee.fr/

http://www.credoc.fr/

http://www.axa./

madeline cidre - esa : formation en assurance –...

Documents