WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

Audit interne et gestion des risques opérationnels

( Télécharger le fichier original )
par Meryem B
Université Mohamed V Souissi - Licence en finance des entreprises  2010
Dans la categorie: Economie et Finance
  

Disponible en mode multipage

Mémoire de fin d'études sous le thème:

Audit interne et gestion des risques opérationnels

Préparé par :

Mlle Meryem B

Année universitaire : 2009-2010

Sommaire

Introduction générale................................................................................................5

Chapitre 1 : Généralités sur l'Audit Interne......................................................................7

Section 1 : l'audit...........................................................................................8

Section 2 : l'audit interne.................................................................................11

Section 3 : les risques opérationnels....................................................................16

Section 4 : le contrôle interne............................................................................17

Section 5 : audit interne et notions voisines............................................................21

Section 6 : la performance de l'entreprise.............................................................24

Chapitre 2 : Les normes pour la pratique professionnelle de l'audit interne................................26

Section 1 : le code de déontologie......................................................................27

Section 2 : les normes de qualification.................................................................27

Section 3 : les normes de fonctionnement.............................................................31

Chapitre 3 : La méthode d'une mission d'audit interne........................................................38

Section 1 : la mission d'audit............................................................................39

Section 2 : les étapes de la mission d'audit interne...................................................40

Chapitre 4 : Les outils d'audit interne...........................................................................56

Section 1 : les outils d'interrogations...................................................................57

Section 2 : les outils de description.....................................................................60

Chapitre 5 : Mission d'audit interne du processus des ressources humaines ...........................67

Section 1 : mission d'audit interne du processus des ressources humaines........................68

Section 2 : Feuilles de Révélation et d'Analyse des Problèmes du processus des ressources humaines...................................................................................................71

Conclusion générale................................................................................................75

Bibliographie........................................................................................................76

Introduction générale

Compte tenu de la diversité et du nombre grandissant des risques opérationnels dans l'entreprise, il est difficile de définir des frontières qui limitent ce facteur inhérent à toute activité. Toutefois, il est possible, grâce à l'audit interne, de se prononcer sur l'efficacité des mesures à maitriser ces risques.

En effet, l'audit interne se propose bien comme un outil d'investigation permettant de traduire et d'accompagner la volonté de transparence et d'assister les membres de l'entreprise dans l'exercice efficace de leurs responsabilités. Dans ce but, l'audit interne veille sur l'évaluation et la gestion des risques opérationnels tout en fournissant des analyses et des recommandations afin de stimuler les performances de l'entreprise.

L'objectif de notre mémoire, consacré aux risques opérationnels, est la présentation de la méthodologie de bien mener une mission d'audit interne, tout en respectant les normes internationales, avec des outils propres à elle. Cet objectif peut se concrétiser par la réponse à la question suivante :

« Dans quelle mesure la mission d'audit interne permettra de réduire les risques opérationnels ?»

Pour répondre à cet objectif, nous avons traité le cas réel d'une mission d'audit interne effectuée par la compagnie générale immobilière, dans l'optique de réduire les risques opérationnels provenant du processus des ressources humaines.

Enfin, notre étude prend la forme suivante. Les quatre premiers chapitres présentent le cadre théorique de notre étude. Le premier chapitre permet de définir les concepts nécessaires pour la réalisation de ce travail. Le deuxième chapitre englobe l'ensemble des normes de qualification et de fonctionnement régissant la pratique professionnelle de l'audit interne. Le troisième chapitre présente la méthodologie adéquate pour l'accomplissement correct d'une mission d'audit interne. Le quatrième chapitre présente les outils et les techniques qui peuvent être amenés à mettre en oeuvre par l'auditeur interne au cours d'une mission d'audit. Et enfin, le dernier chapitre est consacré à l'application réelle d'une mission d'audit interne au sein de la CGI et qui a pour but majeur la protection de l'entreprise contre ses risques opérationnels liés au processus des ressources humaines.

Chapitre 1 : Généralités sur l'Audit Interne

L'entreprise est une structure économique et sociale qui regroupe des moyens humains, matériels, immatériels et financiers afin de réaliser l'objectif principal de toute entreprise : la rentabilité.

De manière générale, la rentabilité d'une activité intéresse, d'un premier degré, toute personne contribuant au financement de l'entreprise ou celle concernée par ses résultats et ses performances, il s'agit notamment :

§ des dirigeants de l'entreprise ;

§ de ses propriétaires (actionnaires, associés, etc.) ;

§ des salariés ;

§ des tiers en tant que clients, fournisseurs, banques, Etat etc.

Ainsi, la réalisation de ses objectifs nécessite la possession d'un certain nombre d'informations de qualité, et d'une maitrise des risques opérationnels. Tant qu'on ne peut pas poursuivre nos activités avec des informations douteuses, il est indispensable de garantir la conformité et la certitude de ses derniers, tel est le rôle d'un auditeur.

Section 1 : L'audit

I. Définition et historique

Historiquement, ce sont les informations comptables et financières qui revêtirent une importance capitale. Ainsi, le premier type d'audit qui s'est développé est l'audit financier externe dans le secteur privé. On a en effet coutume de faire remonter l'origine de l'audit (dans son acception moderne) au XIX siècle, au moment où s'est instaurée la distinction entre les détenteurs des capitaux et les gestionnaires de ces capitaux. L'auditeur était alors le garant des détenteurs de capitaux contre les éventuels abus des gestionnaires.

Progressivement il s'est développé d'autres types d'audit tel que l'audit interne et l'audit opérationnel et ils ont pu relever que l'audit pouvait être effectivement appliqué à d'autres types d'informations que celles uniquement financières.

D'une manière générale l'audit1(*) peut être défini comme l'examen professionnel d'une information en vue d'exprimer sur cette information une opinion motivée, responsable et indépendante par référence à un critère de qualité ; cette opinion doit accroître l'utilité de l'information.

II. Les domaines de l'Audit

Les principaux domaines d'Audit2(*) sont :

§ l'audit financier

§ l'audit interne

§ l'audit opérationnel

1. L'audit financier

L'audit financier est un examen critique des informations comptables, effectué par une personne indépendante et compétente en vue d'exprimer une opinion motivée sur la régularité et la sincérité des états financiers d'une entité.

Il importe de distinguer entre deux missions différentes :

§ La mission d'un audit financier contractuel, réalisé à la demande d'une entité ou d'un individu, pour des fins qui sont définies dans la convention avec l'auditeur.

§ La mission du commissariat aux comptes (dénommée parfois mission d'audit légal), prescrite par la loi sur les sociétés, qui est constitué de deux éléments distincts :

- une mission d'audit financier externe ;

- un ensemble d'obligations spécifiques mises à la charge du commissaire aux comptes par des dispositions légales et réglementaires.

2. L'audit interne

L'audit interne est un contrôle qui s'effectue au sein de l'entreprise par l'entreprise elle même, il contrôle la bonne mise en application et l'efficacité des méthodes et des pratiques préconisées par le service qualité de l'entreprise.

Selon l'Institut Français des Auditeurs et des Contrôleurs Internes (IFACI), l'audit interne est défini comme une révision périodique des instruments dont dispose une direction pour contrôler et gérer l'entreprise. Cette activité est exercée par un service dépendant de la direction générale et indépendant des autres services. Les objectifs principaux des auditeurs internes sont donc, dans le cadre de cette révision périodique, de vérifier si les procédures en place comportent les sécurités suffisantes, si les informations sont sincères, les opérations régulières, les organisations efficaces, les structures claires et actuelles.

3. L'audit opérationnel

Dans leur ouvrage "pratique de l'audit opérationnel", P. LAURENT et P. TCHERKAWSKY définissent l'audit opérationnel comme suit :

« L'audit opérationnel est l'intervention dans l'entreprise sous forme d'un projet, de spécialistes utilisant des techniques et des méthodes spécifiques, ayant pour objectifs :

§ D'établir les possibilités d'amélioration du fonctionnement et de l'utilisation des moyens, à partir d'un diagnostic initial autour duquel le plus large consensus est obtenu ;

§ De créer au sein de l'entreprise une dynamique de progrès selon les axes d'amélioration arrêtés ».

Par ailleurs, dans une fonction d'audit, il existe plusieurs méthodes qui peuvent être appliquées dans une entreprise, il s'agit notamment de :

§ Audit de conformité : Les auditeurs internes doivent déterminer si les systèmes, établis par la direction et portants sur les plans, procédures, lois et règlements, sont adéquats et efficaces et si les activités vérifiées sont en conformités avec les exigences appropriées.

§ Audit de gestion : Il évalue les décisions de la direction par rapport aux objectifs de l'organisme et à la qualité de gestion.

§ Audit informatique : Audit des contrôles en vigueur dans le cadre de la fonction informatique. Elle nécessite l'utilisation des ordinateurs pour la mise en oeuvre des procédures d'audit

§ Audit intégré : Un examen des contrôles existant qui permet de s'assurer que les ressources humaines, financières, matérielles sont protégées adéquatement et conformément aux lois et règlements en toute efficacité et efficience.

Nous avons décidé de consacrer ce travail à « l'Audit Interne ».

Section 2 : L'audit interne

I. Définitions

L'audit interne3(*) est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant par une approche systémique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise et en faisant des propositions pour renforcer son efficacité.

- C'est une activité de contrôle et de conseil qui permet d'améliorer le fonctionnement et la performance d'une organisation. Activité stratégique, l'audit interne est exercé à l'intérieur de l'organisation, même si le recours à des prestataires extérieurs est parfois nécessaire.

- Il s'agit bien d'une fonction indépendante et volontariste qui trace et identifie clairement le chemin à suivre.

- Nécessitant un apprentissage et une bonne formation, l'audit interne sollicite la disposition de spécialistes afin d'exercer cette fonction dans un cadre professionnel. C'est une fonction de direction qui concerne au premier l'intérêt des responsables de l'entreprise.

- Centré sur les enjeux majeurs de l'organisation, ses missions "d'expression d'assurance" portent sur l'évaluation de l'ensemble des processus, fonctions et opérations de celle-ci et plus particulièrement sur les processus de management des risques, de contrôle et de gouvernement d'entreprise.

L'audit interne est une activité qui applique, en toute indépendance, une démarche et des techniques d'examen et de vérification par référence à des normes. L'examen et les recommandations qui en découlent contribuent à donner au management et au conseil d'administration une assurance raisonnable quant :

§ A La protection des actifs

§ A la quantité des informations financières publiées

§ A l'utilisation efficiente et efficacité des ressources

§ Et au respect à l'application des instructions et des lois en vigueur.

En somme, l'audit inclut un diagnostic et conduit éventuellement à des recommandations pour contribuer à une meilleure maitrise des risques de l'entreprise.

II. Les objectifs

Le rôle de la mission d'audit interne est d'assister les membres de l'entreprise dans l'exercice efficace de leurs responsabilités. Sans doute, cette définition permet de comprendre le sens d'action qui est à mener ; il est cependant insuffisant de déterminer le contenu. Il parait donc nécessaire d'aborder les principaux objectifs4(*) qui préoccupent l'auditeur interne :

§ Développer une culture de contrôle dans toutes les fonctions de l'entreprise

§ Examiner la fiabilité et la rectitude des informations financières et opérationnelles, et les moyens et les méthodes utilisés pour identifier, mesurer, classer, et diffuser les informations.

§ Examiner les systèmes mis en place pour garantir la conformité avec les politiques, plans, procédures, lois et règlements pouvant avoir un impact significatif sur les opérations.

§ Renforcer la sécurisation de certaines activités identifiées potentiellement à risque en proposant des recommandations adéquates

§ S'assurer de la mise en place des mesures nécessaires pour sécuriser les zones de risques antérieurement identifiées

§ Identifier les nouvelles zones de risques potentielles

§ Réduire les risques de fraudes et développer une politique active de prévention

§ S'assurer de l'utilisation raisonnable, efficace et économe des ressources

§ Améliorer la bonne continuité des étapes et procédures

III. Les contraintes et les conditions d'efficacité de l'audit interne :

1. Les contraintes de l'efficacité de l'audit interne

Les contraintes5(*) auxquelles se heurte l'exercice de l'audit interne dans l'entreprise se manifestent doublement : au niveau de la fonction d'audit interne elle-même et au niveau de la relation auditeurs/audités.

Parmi les divers obstacles et limites liés au fonctionnement de l'activité de l'auditeur interne, on cite :

§ La formation de l'auditeur interne tourne autour des études financières et comptables, et s'éloigne des autres domaines opérationnels et techniques, ce qui limite les connaissances de l'auditeur interne et s'oppose à l'identification des risques encourus par l'entreprise en toute efficacité ;

§ La fonction d'audit interne est assurée par des équipes restreintes d'auditeurs, voir par un seul auditeur ;

§ Le rattachement de l'auditeur interne à la direction financière et son immixtion dans la gestion de l'entreprise (tenue de la comptabilité, organisation...) ;

§ La définition écrite de l'audit interne n'est pas généralisée, ce qui risque de rendre floue les attributions des auditeurs par les audités ;

§ L'insuffisance des moyens matériels accordés par la Direction générale à l'audit interne y compris la formation continue des auditeurs ;

§ l'audit interne reste un concept assez nouveau dans l'organisation des entreprises et donc il confronte l'insuffisance des cadres universitaires-chercheurs dans ce domaine.

Les contraintes organisationnelles et déontologiques font aussi l'objet d'un disfonctionnement de l'audit interne :

§ La plupart des entités d'audit interne disposent d'une structure composée de moins de 3 niveaux hiérarchiques, ce qui veut dire que les travaux de contrôle et de vérification sont confiés aux auditeurs assistants et que les travaux de supervision, de coordination, de représentation et de communication sont confiés au responsable de l'audit interne ou que ce dernier s'occupe de tout, ce qui peut peser lourdement sur ses facultés de réflexions et de ses rendement ;

§ Le rattachement de l'audit interne à la direction financière, ce qui est le cas pour plusieurs entreprises, et son immixtion dans la gestion influence négativement l'indépendance de l'audit interne par rapport aux autres pôles ou autres directions, autant qu'audités, lors de l'accomplissement de ses missions ;

§ Le travail de l'audit interne « à la demande » dans certaine situations spécifiques rendent les missions sans planification préalable et par la suite une perte d'une stratégie étudiée et bien déterminée.

Ainsi, on peut aborder autres limites liées au fonctionnement des audités, tel que :

§ L'auditeur interne est souvent considéré comme « un inspecteur » ou encore « un chasseur de fraude », c'est une conception non sympathique d'audit du point de vue de l'audité, et donc, elle génère sa méfiance à l'égard des auditeurs ;

§ L'effet psychologique influençant les recommandations de l'auditeur lors de son face à face avec l'audité ;

§ La crainte de changement en raison de son caractère déstabilisant et crainte de sanctions vue la « conception policière » formulée à l'encontre de l'audit interne ;

§ Le non engagement immédiat des audités lors d'un ordre ou d'une mission d'audit.

2. Les conditions d'efficacité relatives à la pratique de l'audit interne

L'élimination des contraintes de l'audit interne est l'un des objectifs de l'entreprise, et par la suite, son efficacité repose sur des conditions dites générales, sur des conditions relatives à la pratique de l'audit interne, et sur celles liées à la relation des auditeurs avec les audités et les autres corps de contrôle.

L'audit interne doit se disposer d'un ensemble de caractéristiques lui permettant une efficacité meilleure, il s'agit en général du fait que :

§ La fonction d'audit interne doit être parfaitement intégrée dans le fonctionnement de l'entreprise

§ La création d'une fonction doit être minutieusement préparée et qu'elle fasse l'objet d'une véritable concertation et coopération entre les parties en questions (les parties prenantes)

§ Les attributions de l'audit interne doivent être déterminées avec une précision

§ La fonction doit être un véritable « observatoire » des risques internes et externes de l'entreprise.

En ce qui concerne les conditions d'efficacité6(*) relatives à la pratique de l'audit interne, Il s'agit en effet de :

§ Faire preuve d'honnêteté, de rigueur, et de professionnalisme de l'auditeur interne

§ Raisonner en termes de clients multiples, c'est-à-dire, l'auditeur interne doit avoir une vision sur l'ensemble des activités des directions dans un même temps

§ Face à des impératifs qui induisent la restriction budgétaire, l'auditeur interne doit agir doublement : sur la longueur des missions d'audit interne tout en faisant le rapport avec les frais de son service et donc le coût de sa mission

§ Rattacher la fonction d'audit interne au plus haut niveau hiérarchique, afin d'avoir plus d'indépendance dans l'exécution des missions d'audit sur l'ensemble des niveaux hiérarchiques de l'entreprise ;

§ Elargir le champ d'application de l'audit interne en élargissant des pouvoirs dans les prises de décisions ;

§ Instituer et généraliser la charte d'audit interne ;

§ Repenser l'organisation des structures d'audit interne ;

§ OEuvrer pour le développement de la formation et de la recherche ; scientifique en matière d'audit et de conseil ;

§ Consolider le cadre associatif de l'audit interne.

Dans ce cadre, l'auditeur interne est censé bien mener sa mission tout en renforçant ses liens avec les audités. Cette amélioration peut exister en essayant de :

§ Circuler des informations internes compréhensibles, clairs, et à temps et aviser les audités de toute mission ;

§ Travailler en fraternité avec les audités et avec les autres corps de contrôle ;

§ Traiter les audités comme des clients et non pas comme des contrôlé et des inspectés ;

§ Faire participer les audités à élaborer les recommandations ;

§ Etre à l'écoute des arguments mentionnés par les audités.

3. Problèmes pratiques de l'audit interne

Face à la difficulté de sa fonction, l'auditeur interne rencontre plusieurs problèmes pratiques, à savoir :

- Intervention tardive après la clôture de l'exercice

- Absence des procédures

- Vision verticale des tâches et des manuels des procédures

- Timing des taches non systématisé

- Problème de l'inventaire du patrimoine pour les premiers bilans d'ouverture d'une entité ancienne

- Problème des provisions sur stocks rossignols

- Eléments extracomptables non systématisés

- Aspects juridiques à l'impact sur les comptes

- Evaluation du patrimoine

Section 3 : Les risques opérationnels

Le risque peut être défini comme la prise en compte d'une exposition à un danger, un préjudice ou autre événement dommageable, inhérent à une situation ou une activité. Le risque est aussi défini par la probabilité de survenue de cet événement et par l'ampleur de ses conséquences.

D'après les définitions, on peut dire que le risque est inhérent à la nature même de l'activité humaine. Tout risque n'est autre chose que le résultat d'un "processus" conscient ou inconscient qui se déroule dans le temps en mettant en cause, souvent, de nombreuses "parties prenantes".

L'un des principes de la maîtrise des risques est que leur mesure et leur évaluation ne soient pas uniquement sous la seule et unique responsabilité de l'auditeur interne. Il doit exister une structure englobant plusieurs responsables et équipes ayant les compétences et les capacités de l'identification et l'évaluation des risques.

La majorité des entreprises sont exposés à trois grands types de risques :

§ Les risques stratégiques liés par exemple à l'obsolescence des produits et les évolutions des réseaux de distribution

§ Les risques financiers comprennent la gestion bilancielle, la liquidité, l'intégrité du système.

§ Les risques opérationnels qui concernent le fonctionnement de l'entreprise et ils résident dans les points de vulnérabilité caractérisant les opérations courantes : crédit, fraude, inefficacité, sécurité.

Notre étude va se focaliser surtout sur la maitrise des risques opérationnels par l'auditeur interne. A cet effet, on va définir les risques opérationnels avant d'expliquer ses principales caractéristiques.

Les risques opérationnels7(*) sont les risques de pertes résultant de l'inadéquation ou de la défaillance de procédures, du personnel au sens large, des systèmes ou processus, ou des évènements externes, tels que les risques de détérioration de l'outil industriel, les risques technologiques, les risques climatiques, les risques environnementaux...

Ces risques peuvent être classés selon 6 grandes catégories, à savoir :

§ la fraude interne 

§ La fraude externe 

§ Les pratiques en matière d'emploi et de sécurité sur le lieu de travail 

§ Les clients, produits et pratiques commerciales 

§ Les dommages aux actifs corporels 

§ Exécution, livraisons et gestion des processus 

Le risque opérationnel est souvent considéré comme un risque séparé du reste de l'activité, ce qui lui donne une image d'un type de risque distinct.

Cette distinction peut mener à une perception que les processus de risque opérationnel constituent une duplication inutile des activités de contrôle existantes imposées par la direction, ayant peu de rapport avec la réalité.

Cependant, l'audit interne examine en toute précaution les risques opérationnels parmi toutes les catégories de risque, la gestion de ces risques constitue simplement un véhicule pour l'amélioration continue des contrôles régissant la gestion de tous les autres types de risque. L'efficacité de la gestion du risque opérationnel a été entravée par une incapacité courante à véritablement intégrer le risque opérationnel dans la gestion globale du risque et du contrôle.

Enfin, Les risques opérationnels restent les risques les plus significatifs car c'est ici que les pertes risquent d'être les plus élevées.

Section 4 : Le contrôle interne

Le contrôle interne est un ensemble de dispositions anciennes développées et modernisée au long des années afin de s'adapter aux changements globales et spécifiques des organisations.

I. Définitions

L'Ordre des Experts-Comptables avait donné, dès 1977, une première définition du contrôle interne8(*) proche de la vision et du concept de l'audit interne et maintenant répandue internationalement aux besoins des entreprises :

«Le contrôle interne est l'ensemble des sécurités contribuant à la maîtrise de l'entreprise. Il a pour but d'un côté d'assurer la protection, la sauvegarde du patrimoine et la qualité de l'information, de l'autre, l'application des instructions de la Direction et de favoriser l'amélioration des performances. Il se manifeste par l'organisation des méthodes et procédures de chacune des activités de l'entreprise pour maintenir la pérennité de celle-ci. »

Le COSO a, quant à lui, défini le contrôle interne comme : «un processus mis en oeuvre par le Conseil d'administration, les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs », entrant dans les catégories suivantes :

§ réalisation et optimisation des opérations ;

§ fiabilité des informations financières ;

§ conformité aux lois et aux réglementations en vigueur.

Le contrôle interne est axé sur la réalisation d'objectifs dans un ou plusieurs domaines (ou catégories) qui sont distincts mais qui se recoupent. »

Le COSO schématise ces éléments jugés nécessaires dans sa célèbre pyramide :

§ L'environnement de contrôle traduisant la culture de l'organisation et qui doit être favorable pour que la mise en place d'un contrôle interne satisfaisant ne rencontre pas d'obstacles

§ Une évaluation des risques afin de bien les identifier pour être en mesure de les maitriser

§ Des activités de contrôle qui regroupent toutes les règles et procédures mises en oeuvre pour traiter les risques

§ Une information et une communication bien circulée et optimisée

§ Un pilotage ou une supervision par chaque responsable à son niveau.

On constate que le contrôle interne est l'affaire de tous, mais l'attitude à la direction a valeur d'exemple pour tous. En effet, l'auditeur interne peut avoir un rôle essentiel dans l'évaluation et l'amélioration du dispositif de contrôle interne de l'entreprise.

La culture de l'entreprise est une dimension essentielle de nos jours, qui permet aux auditeurs internes d'apprécier la fonction des contrôleurs internes en prenant en compte l'environnement géographique et les enjeux économiques de l'entreprise.

L'adaptation de l'auditeur interne aux différents changements culturels vécu par l'entreprise lui permet ainsi de recommander un contrôle interne efficace.

IV. Les objectifs du contrôle interne

Le contrôle interne désigne le système global des contrôles qui s'exercent au sein de l'entreprise, visant à assurer une bonne application de la réglementation et des procédures comptables et financières.

Il n'a d'autre finalité que de rationaliser le pilotage et la gestion de l'entreprise, en particulier dans les phases périlleuses de développement et de croissance. Pour ce faire, le contrôle interne se fixe certains objectifs primordiaux, il s'agit des objectifs généraux qui peuvent dans certaines situations décliner en objectifs spécifiques. Le contrôle interne concourt à la réalisation des buts et stratégies poursuivis dans le cadre de son objectif général, hors, l'entreprise peut avoir quelques objectifs spécifiques dont le contrôle interne doit y assurer et garantir.

On assigne de façon réaliste et raisonnable l'intégralité des grands objectifs donnés par tous les niveaux hiérarchiques de l'entreprise, ainsi que par le contrôle interne, afin que la réalisation de la fonction de l'audit interne s'effectue d'une manière optimale.

Le contrôle interne est un dispositif de l'entreprise, défini et mis-en oeuvre sous sa responsabilité. Pour atteindre son objectif général, on assigne au contrôle interne des objectifs permanents, que l'on trouve d'ailleurs dans la définition de l'ordre des experts-comptables et dans les définitions subséquentes.

Selon l'Institut des Auditeurs Internes (IIA), les Normes 2110.A2 et 2120.A1on reprit la définition des quatre principales objectifs du contrôle interne9(*), à savoir :

V. Limites des objectifs du contrôle interne

Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d'atteindre ces objectifs ne relève pas de la seule volonté de la société. Il existe en effet des limites inhérentes à tout système de contrôle interne.

Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l'exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison d'une défaillance humaine ou d'une simple erreur.

En outre, lors de la mise en place des contrôles, il est nécessaire de tenir compte du rapport coût / bénéfice et de ne pas développer des systèmes de contrôle interne inutilement coûteux quitte à accepter un certain niveau de risque.

Section 5 : Audit interne et notions voisines

I. Audit interne et Audit externe

On peut distinguer entre deux grands types d'Audit, à savoir, l'audit interne et l'audit externe qui connaissent une discrimination entre les deux phénomènes au niveau de leurs statuts, bénéficiaires, objectifs, champ d'application et périodicité. Le tableau ci-dessous synthétise l'ensemble de ces différences :

Tableau 1 : Audit interne et Audit externe

 

Audit interne

Audit externe

Statut

Une personne ou un service dans l'entreprise.

Prestataire de service juridiquement indépendant.

Bénéficiaires

Direction Générale, chef de division ou de service et autres responsables.

Conseil d'administration actionnaires, clients, tiers.

Objectifs

Vérification des dispositifs du contrôle interne.

Certification, recommandation et évaluation du contrôle interne de l'activité comptable et financière.

Champ d'application

L'entreprise et son système

Les états comptables et financiers et le système d'information (vérification à la source)

Périodicité

Régulier dans le temps, mission continue dans le temps tout en long de l'année avec planification préalable et validation de la D.G.

En fin d'année, trimestriellement (saisonnier)

Conclusions

Constatations approfondies : dès qu'il existe un potentiel de dysfonctionnement, pour identifier les causes et définir qu'il y a lieu de mener.

Constatations succinctes :

Examen des circuits clés et des risques significatifs pour dresser des constats et informer.

Source : IFACI

En définitif, quelle que soit la différence qui peut exister entre l'audit interne et l'audit externe, ces deux types d'audit peuvent se compléter et collaborer entre eux afin d'avoir une bonne appréciation de l'entité auditée au service de tous les intéressés.

En effet, l'auditeur externe manque souvent de connaissances et d'informations sur l'entreprise, ce qui rend sa coopération avec l'auditeur interne essentielle pour l'accomplissement de sa mission.

A ce niveau, l'auditeur externe peut confirmer les constatations avancées par l'audit interne et confirmer même ses argumentations.

On peut conclure que, d'une part, l'audit interne est un appoint de l'audit externe à travers l'utilisation de ses résultats pour mener à bien leurs propres travaux, et d'autres parts, l'audit externe est un complément de l'audit interne dans la mesure où il confirme son travail déjà effectué.

II. Audit interne et contrôle interne

Le rôle du contrôle interne au sein de l'entreprise est devenu de plus en plus indispensable pour la gestion des risques. Ainsi, ce contrôle apparait comme la base de la fonction de l'Audit Interne dont la finalité est l'amélioration et le jugement des contrôles internes de toutes natures.

On dit que L'audit interne renforce et améliore les dispositifs de Contrôle Interne.

Toutefois, il existe quelques distinctions entre l'audit interne et le contrôle interne :

Tableau 2 : Audit interne et contrôle interne

 

Audit interne

Contrôle interne

Périodicité

*Missions ponctuelles mais régulières

*Permanent

*Préventif ou détectif

Acteurs

*Cellule Audit Interne

*Toutes personnes de l'organisation

Domaines

*Evaluation du respect des procédures et du management des risques dans une optique d'amélioration

*Toutes activités

Conséquences

*Diagnostique, recommandations

*Détection ou prévention des irrégularités

III. Audit interne et contrôle de gestion

Le contrôle de gestion est un dispositif permettant d'alimenter et d'objectiver le dialogue de gestion entre les différents niveaux d'une organisation et d'en assurer le pilotage. Il fait partie des activités opérationnelles.

Les principales différences entre Audit Interne et contrôle de gestion sont les suivantes:

Tableau 3 : Audit interne et contrôle de gestion

 

Audit interne

Contrôle de gestion

Objectifs

Il vise à mieux maîtriser les activités par un diagnostic du contrôle interne.

Il s'intéresse davantage à l'information.

Périodicité

Il est planifié en début d'année.

Il est lié à la périodicité des reportings.

Champ d'application

Il vise les problèmes rencontrés en pratiques à leurs causes et conséquences.

Il prend en compte tout ce qui est chiffré ou chiffrable.

Méthode

Il découvre les moyens organisationnels pour atteindre les objectifs

Il élabore les objectifs en s'appuyant sur des hypothèses explicites.

Source : IFACI

IV. Audit interne et gestion des risques (ou le risk management)

Les risques sont des événements futurs incertains qui pourraient influencer l'atteinte des stratégies de l'entreprise, ses objectifs opérationnels, financiers et de conformité. Les risques sont une partie inévitable du processus d'affaires, mais la bonne gestion des risques protège l'organisation contre les pertes évitables. La gestion des risques est donc le processus par lequel les risques sont évalués en utilisant une approche systématique qui identifie et organise par priorité les risques, et qui ensuite met en place les stratégies pour atténuer les risques.

Il est vrai qu'il y a une certaine complémentarité entre l'audit interne et le risk management au niveau de l'identification des risques couru par l'entreprise et leurs confrontations, mais il existe aussi certaines différences entre les deux :

Tableau 4 : Audit interne et Risk management

 

Audit interne

Risk management

Risques visés

Risques de dysfonctionnements : transgressions des règles, désordres et inefficacité.

Risques purs, aléatoires, accidents : sans espérance de gain.

Traitement de ces risques

Identification, démonstration, recommandation.

Identification, résolution.

Référentiel

Contrôle interne, pratiques d'organisation, communément adoptées.

Coûts/bénéfices : les probabilités et la gravité des risques.

Degré

2ème : s'assurer que les responsables maitrisent leurs risques spéculatifs.

1er : détecte et traite les risques purs.

Source : IFACI

Section 6 : La performance de l'entreprise

L'audit est considéré comme étant un audit de performance10(*) et les normes d'audit se situent dans la réalisation des quartes notions suivantes :

§ notion d'efficacité

§ notion d'efficience

§ notion de pertinence

§ notion d'économie

§ notion de régularité

I. Notion d'efficacité

L'efficacité est définie par le "Bureau du vérificateur général du Canada" comme étant « la mesure dans laquelle un programme atteint les buts visés ou les autres effets recherchés ».

En d'autres termes, être efficace c'est une réponse positive à la question "est-ce que l'objectif est atteint ?" et qui donne souvent naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour atteindre les mêmes résultats ?

II. Notion d'efficience

L'efficience est la qualité d'un rendement permettant de réaliser un objectif avec le minimum de moyens engagés.

En d'autres termes, c'est la réponse positive de la question : la réalisation des objectifs a-t-elle utilisé un minimum de ressources ?

Par efficience, on entend le rapport entre les moyens et ressources utilisés et les résultats.

III. Notion de pertinence

La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre en vue d'atteindre un objectif donné. Autrement dit, être pertinent c'est atteindre efficacement et d'une manière efficiente l'objectif fixé.

IV. Notion d'économie

Par économie, on entend les conditions dans lesquelles on acquiert des ressources humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des ressources doit être faite d'une qualité acceptable et au coût le plus bas possible.

V. Notion de régularité

La notion de régularité est la vérification du bon fonctionnement des activités conformément à l'organisation préétablie. C'est vérifier l'existence et le respect des règles établies dans l'exécution des tâches et dans l'obtention des résultats.

Conclusion

En vue d'une bonne maitrise des risques opérationnels au sein des organisations, l'exigence de l'audit est de plus en plus importante.

Notre étude va se focaliser sur l'audit interne, un concept qui est souvent lié à plusieurs notions que nous avons pu définir dans ce premier chapitre et qui constituent la base de tous les chapitres qui suivent.

Avant de présenter la méthodologie de la mission d'audit interne, il est nécessaire de mentionner les normes internationales qui régissent la fonction d'audit interne.

Chapitre 2 : Les normes pour la pratique professionnelle de l'Audit Interne

La fonction d'audit interne est une partie intégrante du régime de gouvernance de l'entreprise. Elle se caractérise par son indépendance dans la limite des normes définies par les professionnels. En effet, l'auditeur interne ne doit pas s'écarter de ces normes faute de trahir ses missions.

Section 1 : Le code de déontologie

Le code de déontologie11(*) formalise par écrit les principes moraux qui doivent régir la conduite de l'auditeur interne particulièrement à l'égard de son employeur.

Son objet se résume en « la marque distinctive d'une profession étant l'acceptation par ses membres de leur responsabilité à l'égard de ceux qu'elle sert. Les adhérents de l'IIA doivent respecter, pour s'acquitter effectivement de leur responsabilité, des normes exigeantes de comportement.

Ainsi, ce code adopté par l'IIA s'impose à ses adhérents dans la mesure où l'adhésion est un acte volontaire. En la sollicitant, ils reconnaissent une obligation d'autodiscipline supérieure et plus large que le simple respect des lois et règlements.

Enfin, le code de déontologie reste un document placé en tête des normes de qualification et celles de fonctionnements.

Section 2: Les normes de qualification

Les normes de qualification12(*) énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne.

Elles se composent de quatre articles principaux dont chacun comporte plusieurs articles subsidiaires.

NORME 1000. Mission, pouvoirs et responsabilités

Elle donne l'obligation de posséder un document officiel, sous forme d'une charte d'audit interne, qui précise les missions, les pouvoirs sur les biens et personnes et les responsabilités lors de l'accomplissent de l'activité de l'audit interne.

Le responsable de l'audit interne devra donc présenter le contenu de la charte à la direction générale afin d'assurer la cohérence entre les responsabilités et les pouvoirs attribués à l'audit interne.

Ainsi, la nature des missions d'assurance et de conseil réalisées pour l'organisation (ou à l'extérieur de l'organisation) doit être définie dans la charte d'audit interne.

1010. Reconnaissance de la définition de l'audit interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interne

Elle exige la définition de l'audit interne, du Code de Déontologie ainsi que des Normes, constituant le niveau minimal de professionnalisme requis, dans la charte d'audit interne présentée à la Direction générale et au conseil.

NORME 1100. Indépendance et objectivité

L'indépendance de l'audit interne est une notion affirmée par cette norme, elle permet au responsable de l'audit interne de bien mené ses responsabilités sans rattachement direct à une des directions de l'entreprise (la direction financière pour la plupart des entreprises).
L'accès direct et non restreint à la direction générale et au conseil est considéré comme un moyen et une preuve d'indépendance de l'audit interne.

Sans une objectivité, l'entreprise ne peut pas s'assurer qu'il y a une qualité fiable et efficace des travaux et jugements présentés par l'auditeur interne.

Il est ainsi possible de dire qu'il y a un lien fort entre l'indépendance et l'objectivité de l'audit interne pour une meilleure performance de l'entreprise.

1110. Indépendance dans l'organisation

Le rattachement de l'audit interne au plus niveau hiérarchique de l'entreprise est la meilleure décision prise par la Direction Générale et le conseil, afin de lui permettre de conforter l'objectivité de ses démarches et assurer l'exercice de ses missions dans les conditions les plus adéquates.

La NMO 1110.A1 indique que l'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats.

La MPA 1111. Traite la relation directe de l'audit interne avec le Conseil et la communication entre les deux acteurs sur des sujets concernant la mission, les besoins et les objectifs à atteindre.

1120. Objectivité individuelle

Elle apporte des précisions sur la possibilité d'avoir des conflits d'intérêt qui peuvent compromettre l'audit interne à conduire ses missions et ses responsabilités envers l'entreprise.

1130. Atteinte à l'indépendance ou à l'objectivité

La MPA 1130.A1-1 précise que l'auditeur interne doit éviter toute opération spécifique déjà effectuée auparavant et la MPA 1130.A1-2 s'étend longuement sur les cas d'incompatibilité. On y indique les cas dans lesquels « l'audit peut être réalisé par un prestataire extérieur ».

La NMO 1130.A2. Cas particulier des missions confiées au responsable de l'Audit, et la NMO 1130.C1 et met l'accent sur l'indépendance et mission de conseil.

NORME 1200. Compétence et conscience

Les missions doivent être conduites avec compétence et conscience professionnelle.

1210. Compétence

Elle indique que l'audit interne doit avoir un minimum de connaissances et de compétences à l'exercice de ses responsabilités avec un esprit d'équipe.

La NMO 1210.A1 précise que le responsable d'audit interne peut recourir à des prestataires internes s'il le faut.

La NMO 1210.A2 exige une capacité d'indentification des risques de fraude de la part de l'auditeur interne, il s'agit du management des risques et l'identification des indices.

La NMO 1210.A3 insiste sur les connaissances minima en informatique.

La NMO 1210.C1 explique le besoin d'un minima de connaissance individuel et un maxima de compétences collectives.

1220. Conscience professionnelle

La conscience professionnelle n'implique pas l'infaillibilité.

La NMO 1220.A1 présente des éléments essentiels pris en considération pour une bonne pratique professionnelle.

NMO 1220.A2. L'utilisation de techniques informatiques.

La NMO 1220.A3 ne garantie pas que tous les risques significatifs peuvent être détectés.

NMO 1220.C1. Prendre en compte les besoins et les attentes des clients, l'étendu du travail ainsi que son coût pour amener une mission.

1230. Formation professionnelle continue

Le développement et le maintien des compétences à travers une formation professionnelle continue.

NORME 1300. Programme d'assurance et d'amélioration qualité

C'est une exigence pour le responsable d'audit de tenir à jour un programme d'assurance et d'amélioration qualité afin de s'assurer de l'efficacité et l'efficience de l'activité d'audit interne et d'identifier toutes les opportunités d'amélioration.

1310. Exigences du programme d'assurance et d'amélioration qualité

Ce programme comporte des évaluations internes et externes.

1311. Les évaluations internes 

Elles comportent une surveillance continue de la performance de l'audit interne et des revues périodiques possédant une connaissance suffisante de ses pratiques.

1312. Les évaluations externes 

Elle s'effectue par des personnes qualifiées et indépendantes de l'organisation au moins une fois tous les cinq ans.

1320 - Rapports relatifs au programme d'assurance et d'amélioration qualité

A communiquer à la direction générale ainsi qu'au conseil.

1321 - Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l'audit interne » seulement si, les résultats du programme d'assurance et d'amélioration qualité l'ont démontré.

1322 - Indication de non-conformité et de ses conséquences à la direction générale et au conseil.

Section 3 : Les normes de fonctionnement13(*)

Elles concernent la nature des activités du service d'Audit interne et ses critères de qualité.

NORME 2000 - Gestion de l'audit interne

L'audit interne doit apporter à l'organisation une valeur ajoutée et la gestion de son activité doit veiller sur l'obtention des résultats tout en respectant les normes et le code déontologique.

2010 - Planification

Elle doit être fondée sur les risques afin de mieux définir les priorités de l'organisation.

NMO 2010.A1. Le plan d'audit interne doit être annuel et doit prendre en compte les avis de la direction générale et du conseil.

La NMO 2010.C1 incite l'auditeur interne de n'accepter que les missions de conseil créant de la valeur ajoutée et les intégrer dans le plan d'audit.

2020 - Communication et approbation

La communication du plan d'audit et des besoins de l'auditeur interne à la DG et au conseil.

2030 - Gestion des ressources

Les ressources doivent être suffisantes et adéquates aux missions approuvées de l'auditeur interne.

2040 - Règles et procédures

La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l'audit interne et de la complexité de ses travaux.

2050 - Coordination

Elle permet une couverture efficiente des risques de l'organisation et un partage des informations avec les prestataires internes et externes de l'organisation.

2060 - Rapports à la direction générale et au Conseil

Le responsable doit rendre compte périodiquement de l'exposition aux risques significatifs, au contrôle et à la gouvernance de l'organisation.

NORME 2100 - Nature du travail

Il s'agit de ce qui est en rapport avec la gouvernance de l'entreprise, le management des risques et de contrôle.

2110 - Gouvernement d'entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise en s'assurant que le processus répond aux objectifs de l'organisation.

NMO 2110.A1. Évaluer la conception, la mise en oeuvre et l'efficacité des objectifs, des programmes et des activités de l'organisation liés à l'éthique.

NMO 2110.A2. Évaluer si la gouvernance des systèmes d'information de l'organisation soutient et supporte la stratégie et les objectifs de l'organisation.

NMO 2110.C1. La cohérence entre les objectifs de la mission d'audit avec ceux de l'organisation.

2120 - Management des risques

L'audit interne doit évaluer la pertinence des processus de management des risques et contribuer à son amélioration.

La NMO 2120.A1 se réfère à l'évaluation des risques de gouvernance ainsi qu'à celles du système d'information, à savoir la fiabilité des informations, l'efficacité des opérations la protection de l'actif et le respect des lois.

NMO 2120.A2. L'évaluation de la possibilité d'occurrence de fraude.

NMO 2120.C1 et . Examiner le processus de contrôle interne lors des missions de conseil.

NMO 2120.C3.Assumer une responsabilité opérationnelle dans le management des risques.

2130 - Contrôle

L'audit interne doit aider au maintien du contrôle dans le sens large du terme et ce, en évaluant la pertinence du processus.

MPA 2130.A1-1 : Fiabilité et intégrité de l'information.

MPA 2130.A1-2 : L'évaluation du dispositif mis en place par l'organisation pour protéger la vie privée.

NMO 2130.A2 et A3 L'obligation de déterminer des buts et des objectifs conformes à ceux de l'organisation et voir s'ils sont réalisés comme prévu.

NMO 2130.C1 et . Vérifier la cohérence et évaluer les processus de contrôle.

NORME 2200 - Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées.

2201- Considérations relatives à la planification

Il est à préciser que cette norme exige de prendre en considération les objectifs de l'activité auditée, les risques et moyens utilisés pour leur faire échec, l'efficacité du système de contrôle et les opportunités d'améliorations.

La NMO 2201.A1 précise les obligations des auditeurs internes lors d'une planification d'une mission avec des tiers extérieurs à l'organisation.

NMO 2201.C1 établir avec le client donneur d'ordre un accord formalisé pour les missions importantes.

2210 - Objectifs de la mission

NMO 2210.A1. La détermination des objectifs à travers l'identification des risques

NMO 2210.A2. Tenir compte des erreurs et fraudes possibles.

NMO 2210.A3. Extension de ces exigences aux missions de conseil.

NMO 2210.C1. Les objectifs d'une mission de conseil doivent porter sur les processus de gouvernement d'entreprise, de management des risques et de contrôle.

2220 - Champ de la mission

Il doit répondre aux objectifs de la mission.

NMO 2220.A1. Exhaustivité du champ.

NMO 2220. A2. Signaler les opportunités qui peuvent apparaitre en termes de conseil.

NMO 2220.C1. En cas de réserves, en parler avec le client.

2230- Ressources affectées à la mission

Déterminer les ressources appropriées pour atteindre les objectifs.

2240 - Programme de travail de la mission

Il doit être élaboré et formalisé.

NMO 2240.A1. Finalité et approbation du programme du travail.

NMO 2240.C1. Variabilité du programme du conseil.

NORME 2300 - Accomplissement de la mission

Il s'agit de tous les besoins d'un auditeur interne pour mieux mener sa mission, tout en identifiant, analysant, évaluant et documentant les informations.

2310- Identification des informations

Elles doivent être suffisantes, adéquates, probantes, fiables, pertinentes et utiles.

2320- Analyse et évaluation

L'analyse et l'évaluation des informations est nécessaire pour atteindre les objectifs.

2330- Documentation des informations

NMO 2330.A1. Contrôler l'accès aux dossiers d'une mission.

NMO 2330.A2. Conservation des dossiers.

NMO 2330.C1. Définir des procédures de conservation des dossiers des missions de conseil.

2340 - Supervision de la mission

Une démarche nécessaire pour être sûr que les objectifs sont atteints, que la qualité est assurée et que le développement professionnel du personnel est effectué.

NORME 2400 - Communication des résultats

Les auditeurs internes doivent communiquer les résultats de la mission.

2410 - Contenu de la communication

Outres les objectifs et le champ d'application, elle doit inclure les conclusions, les recommandations et les plans d'actions.

NMO 2410.A1 l'auditeur interne doit, s'il y a lieu, donner son avis global.

NMO 2410. A2. On doit faire état de forces relevées.

NMO 2410.A3. Préciser les restrictions en cas de communication à l'extérieur.

NMO 2410.C1. Validité des modalités de communication sur avancement et résultats des missions de conseil.

2420 - Qualité de la communication

Elle doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile.

2421 - Erreurs et omissions

Transmettre les corrections à tous les destinataires de la version initiale.

2430 - Utilisation de la mention « conduit conformément aux Normes internationales pour la pratique professionnelle de l'audit interne »

2431 - Indication de non-conformité

Indiquer le quoi, le pourquoi et les conséquences

2440 - Diffusion des résultats

La diffusion aux destinataires du rapport.

NMO 2440.A1. Communiquer les résultats définitifs et garantir la bonne réception.

NMO 2440.A2. Précautions à prendre avant de diffuser à l'extérieur.

NMO 2440.C1 et . Communication des résultats définitifs au client et à la Direction Générale.

NORME 2500 - Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.

NMO 2500.A1 et C1 Processus de suivi de la mission.

NORME 2600- Acceptation des risques par la direction générale

Si aucune décision concernant un niveau de risque résiduel n'est prise avec la Direction Générale, le responsable de l'audit interne doit soumettre la question au Conseil.

Conclusion

Le code de déontologie, les Normes de qualification et les Normes de fonctionnement constituent la base de la bonne pratique professionnelle de l'audit interne. En effet, ces normes visent essentiellement à clarifier le rôle et les responsabilités de l'audit interne vis-à-vis des membres de l'entreprise, de la Direction Générale, du conseil d'administration et autres, définir les bases pour l'organisation et l'évaluation de la qualification et le fonctionnement de l'audit interne ainsi qu'améliorer la pratique de l'audit interne.

Alors, tout en respectant ces normes, comment l'auditeur interne peut il accomplir, de façon correcte, ses missions d'audit ?

Chapitre 3 : La méthode d'une mission d'Audit Interne

Dans l'entreprise, l'auditeur interne doit se confronter à plusieurs situations tout en veillant à bien accomplir ses taches, de façon simple, rigoureuse, transparente et adaptable à la structure et aux stratégies de l'entreprise.

Bien évidemment, une définition de la mission d'audit est nécessaire avant de décrire ses principales phases, effectuer les travaux, en tirer les conclusions, et obtenir les actions de progrès mis en place.

Section 1 : La mission d'audit

La mission est définie autant qu'une charge, fonction, ou mandat donné à quelqu'un afin d'accomplir une tache déterminée et temporaire. On se garde bien d'extrapoler à partir de cette définition et affirmer que la mission d'audit est constituée d'une succession de missions temporaires donnant au travail de l'auditeur interne un caractère permanent.

En générale, la durée des missions n'est pas fixée par les normes, mais la moyenne des missions effectuées par les auditeurs internes se situe entre 10 jours à 10 semaines ; on dit que la mission est courte pour une durée inférieure à quatre semaines, et une mission longue pour une durée supérieure à un mois. On s'exprime alors en jours/auditeurs ou en semaines/auditeurs pour la planification des missions.

Les missions d'audit peuvent être appréciées selon leur champ d'application.

I. Le champ d'application

La notion de mission d'audit interne peut varier en fonction de plusieurs éléments, dont principalement l'objet et la fonction de la mission.

1. Objet

Quand on parle de l'objet de la mission, on fait référence à ce qu'elle est de nature générale ou spécifique.

§ Une mission spécifique est une mission portant sur un point précis en un lieu déterminé. Il s'agit d'une mission propre à l'entreprise et qui présente une caractéristique originale et exclusive.

§ Une mission générale est celle qui est considérée dans sa plus grande extension et qui se rapporte à la totalité des cas possibles.

2. Fonction

Autre critère qui peut distinguer entre les différentes missions, est la fonction. On parle alors de missions uni-fonctionnelles ou des missions plurifonctionnelles.

§ La missions uni-fonctionnelle est celle qui ne concerne qu'une seule fonction, qu'elle soit générale ou spécifique.

§ La mission plurifonctionnelle concerne plusieurs fonctions au cours d'une même mission.

Section 2 : Les étapes de la mission d'audit interne

La mission d'audit est un processus bien déterminé composé de trois grandes phases14(*) découpées en certain nombre de périodes, à savoir :

La phase de préparation

La phase de réalisation

La phase de conclusion

Celle-ci doit se réaliser dans le respect des dispositions légales et suivant les normes généralement admises au niveau international.

La méthodologie de cette fonction est toujours appliquée par les auditeurs internes compétents.

I. La phase de préparation

Elle peut être considérée comme la période au cours de laquelle vont être réalisés tous les travaux préparatoires avant de passer à l'action.

C'est une phase qui exige une bonne connaissance de l'entreprise. L'auditeur interne doit faire preuve d'une capacité d'analyse et d'observation en se basant sur les informations fiables et sûre accueillies sur l'activité de l'entreprise et aussi à travers la lecture et l'apprentissage d'autres techniques et outils pour la mission d'audit. C'est une phase qui se déroule principalement dans le bureau et dans le service de l'auditeur interne.
Plusieurs périodes entrent dans cette phase, dont le premier élément est l'ordre de mission.

1. L'ordre de mission

Un document écrit et formalisé par la Direction générale ou le comité d'Audit, s'il en existe un, et qui a principalement une fonction de mandat adressé à l'auditeur interne. Ce dernier a pour rôle de réaliser les missions qui lui ont été confiés, sans qu'il prenne lui-même la décision de les passer directement.

L'ordre de mission permet aussi à une communication interne. Les informations sur la mission accordée à l'auditeur interne circulent facilement et elle s'adresse à l'ensemble des auditeurs, les audités ainsi qu'aux chefs de services et responsables pour une meilleure transparence.
A ces niveaux, l'ordre de mission comporte un certain nombre d'éléments clés.

1.1. Le contenu

Le document doit définir clairement et obligatoirement l'objet de la mission, ses objectifs, et son champ d'application avec une précision, dans un texte court, du mandant et sa signature, les noms des destinataires, ainsi que le responsable de l'Audit Interne.
L'ordre peut contenir aussi des mentions facultatives dans un texte long tel que les modalités de l'intervention, les moyens à utiliser, l'organisation logistique de la mission, etc.

1.2. Les caractéristiques

On peut distinguer l'ordre de mission général et celui spécifique :

§ Pour l'ordre de mission général, chaque ligne du Plan d'Audit, que nous allons aborder par la suite, constitue un ordre de mission. Il signifie que ce plan est approuvé par la direction générale (ou le comité d'Audit), et que l'information est diffusée à toutes les personnes concernées.

§ Alors que pour l'ordre de mission spécifique, il est utilisé de façon systématique dès que le Plan d'Audit n'est pas approuvé. Il s'agit très souvent des cas urgents ou imprévus qui sont nés des situations nouvelles et qui sont diffusés sous forme de textes longs.

Pour certaines missions, la Direction Générale peut compléter l'ordre de mission par « une lettre de mission ». Il s'agit d'une note de service interne qui porte à la connaissance des futurs audités non informés de la mission d'ordre, ou elle donne à l'auditeur interne plus de précisions et de détails sur le déroulement de la mission et ses modalités afin de mieux se situer dans son travail.

Après que l'ordre de mission, qui est une étape préalable de la phase de préparation, soit approuvé et adressé au responsable de l'audit interne, ce dernier doit songer à une succession de démarches à passer pour procéder à l'analyse et traitement de la mission.
Ces démarches consistent à une prise de connaissance de tous les éléments et chaque information utile pour l'identification des risques, que ça soit des risques signifiants ou insignifiants, afin de permettre la définition des objectifs et se situer par rapport à un système de référence.

2. L'étape de familiarisation

L'auditeur interne est exigé de prendre connaissance de plusieurs cultures de l'entreprise, à savoir, la culture financière, la culture de gestion, la culture technique, la culture commercial, etc. pour lui donner la capacité de comprendre les explications qu'il va solliciter pour se faire admettre aisément.

En l'apprentissage de ces éléments, l'auditeur interne doit :

§ Avoir une vision d'ensemble sur l'organisation, l'objet de la mission et les contrôles internes mis en place pour la maitriser.

§ Aider à identifier les objectifs et les problèmes essentiels de la mission.

§ Permettre l'organisation des opérations d'audit avec plus de certitude.

La durée de la prise de connaissance peut différer d'une mission à une autre et ce, selon trois principaux critères à savoir :

§ La complexité du sujet : plus le sujet et complexe, plus l'audit exige un apprentissage plus approfondi et donc une durée plus longue d'études.

§ Le profil de l'auditeur : sa formation et ses expériences professionnelles dans des multiples cas et genres de missions influencent directement la durée de l'apprentissage.

§ La qualité des dossiers d'audit : les documents et les papiers doivent être complets, organisés et référenciés.

2.1. Le contenu

La familiarisation doit être planifiée et elle doit porter sur des savoirs organisés de l'organisation, des objectifs et de l'environnement, ainsi que des techniques.

§ L'organisation de l'unité à auditer doit être connue en détail par l'auditeur. L'organigramme de l'unité constitue le plus important document à être communiquer. On peut inclure, à partir de cette rubrique, tous les éléments chiffrés autour desquels l'unité s'organise : budgets, résultats, investissements, etc.

§ Les objectifs et l'environnement de l'entreprise doivent être pris en compte avant de procéder à la réalisation de la mission. L'auditeur doit connaitre les objectifs de la fonction, ses points forts ainsi que ses points faibles pour lui permettre d'avoir une vision globale sur l'unité et ses stratégies.

§ Les techniques à assimiler de la mission prennent souvent plus de temps, ils doivent comporter tous les techniques nécessaires depuis le tableau de bord jusqu'aux techniques et méthodes de gestion, ce qui est une tâche assez difficile pour l'auditeur.

La prise de connaissance permet à l'auditeur de disposer de multiples informations nécessaires pour l'identification des risques majeurs et par la suite, il lui est indispensable de posséder un certain nombre de moyens pour parvenir aux résultats.

2.2. Les moyens

· Le questionnaire de prise de connaissance (QPC)

La prise de connaissance du domaine ou de l'activité à auditer doit être effectuée à l'aide du QPC, et dont l'auditeur doit y répondre tout en utilisant les outils adéquats, à savoir, les documents, les observations, les analyses, etc. en fonction des ses expériences, ses acquis et ses expériences par rapport à ce qu'il a besoin de savoir.

Ce questionnaire permet à l'auditeur interne de :

- Organiser la réflexion et les recherches.

- Définir le champ d'application de la mission.

- Mesurer l'importance de l'organisation du travail.

La structure globale du questionnaire se présente classiquement comme suit :

§ Connaissance du contexte socio-économique :

Taille et activité du secteur audité

Situation budgétaire

Situation commerciale

Effectif et environnement de travail.

§ Connaissance du contexte organisationnel de l'unité :

Organisation générale et organigramme

Environnement informatique

§ Connaissance du fonctionnement de l'entité auditée :

Méthodes et procédures

Informations réglementaires

Organisation spécifique de l'entité

Problèmes passés ou en cours

Réformes en cours ou prévues

Ces deux dernières informations sont les plus importantes pour l'auditeur, ils vont l'aider à se situer par rapport aux risques que l'entreprise oppose.

· Autres moyens

§ La communication des documents mis à jour tels que :

Les rapports et les comptes rendus de services à auditer

Les notes de quelques modifications récentes

La méthodologie de travail interne

§ La préparation d'un séminaire ou formation sur les techniques du travail.

§ Les Interviews et entretiens.

§ Grilles d'analyse des tâches pour bien comprendre la répartition des travaux entre les principaux acteurs.

§ Les flow charts pour analyser le circuit des documents essentiels.

§ Rapprochements statistiques divers.

§ Examen des rapports d'audits antérieurs.

Tous ces moyens restent indispensables pour l'auditeur afin d'acquérir tous les connaissances nécessaires pour sa mission.

3. L'identification et l'évaluation des risques

Les différentes activités et politiques de développement initiées par l'entreprise l'exposent à des risques opérationnels pouvant générer des pertes financières. Ces risques ne peuvent être appréhendés qu'avec l'instauration d'une véritable culture d'entreprise. La politique de gestion des risques opérationnels est le premier jalon de cet investissement après la définition de son profil de risque.

L'audit interne a un rôle clé à jouer au niveau du management des risques opérationnels15(*) de l'entreprise. Il est le mieux d'alimenter le conseil d'administration en informations sur les faiblesses du système de contrôle interne ou sur les zones des risques susceptibles de nuire à l'atteinte des objectifs stratégiques, opérationnels, informationnels et de conformité.

En effet, l'auditeur interne exerce une influence sur cinq composantes du management des risques d'entreprise. Il donne une assurance raisonnable quant au processus de management des risques, que ces risques sont correctement évalués, que le processus de management des risques a été bien évalué, que le reporting sur les risques majeurs a été correctement établi et qu'un bilan sur la gestion des principaux risques a été dressé.

L'étape de l'identification et l'évaluation des risques n'est autre que la mise en oeuvre de la Norme 2210.A1 : « en planifiant la mission, l'auditeur interne doit relever et évaluer les risques liés à l'activité soumise à l'audit... »

3.1. L'identification des risques

Cette phase consiste à identifier et structurer les risques opérationnels qui seront présentés in fine dans un support de cartographie des risques.

Il existe plusieurs approches pour parvenir à ce résultat.

§ Approche par les processus : il s'agit d'effectuer à partir de la cartographie des processus un inventaire des différents risques opérationnels associés aux tâches qui composent ces processus. Pour cela, une analyse s'impose sur les inputs, les process de transformation et les outputs livrés à l'issue de chaque processus.

§ Approche par interview des opérationnels : ce procédé permet, à partir des questionnaires préétablis, de lister les risques opérationnels identifiés comme étant ceux qui affectent réellement ou potentiellement leurs activités.

Pour ce qui est l'approche par processus utilisant le tableau de risques, elle doit prendre en compte les trois facteurs successibles de toute nature :

§ L'exposition : ce sont les risques qui pèsent sur les biens (argent, stocks, immobilisation). Et ces risques sont multiples : vol, arnaque, malversation, incendies...

§ L'environnement : ce sont les risques liés au micro environnement (clients et fournisseurs) ou la macro environnement de l'entreprise.

§ La menace : elle constitue une contrainte dangereuse pour l'entreprise. Elle peut être liée à une fraude comme elle peut être la menace des catastrophes naturelles ou sociales

Quelle que soit l'approche retenue pour identifier les risques, il convient de la compléter par un rapprochement avec un benchmark sectoriel sur les risques opérationnels.

Le résultat de ces travaux doit être formalisé dans un support de cartographie qui présenterait par type de processus les risques associés.

Tableau5 : Modèle de cartographie des risques opérationnels

Source : VEOLIA

3.2. L'évaluation des risques

A partir de la cartographie des risques opérationnels établis, il convient d'effectuer une évaluation des risques identifiés. Pour cela, une définition des critères d'évaluation des risques doit être effectuée pour objectiver ce processus d'évaluation.

L'observation des pratiques de place dans ce domaine permet d'identifier les critères suivants :

§ Gravité : c'est l'impact maximum de l'exposition réelle ou potentielle aux situations de risque. C'est le concept de risque brut.

§ Détection/ Gestion : il s'agit de la capacité de l'entreprise à identifier et à réagir face aux évènements de risques. C'est la notion de dispositif de maîtrise des risques.

§ Occurrence : c'est la probabilité d'apparition des situations de risque. Il s'agit du concept de fréquence des événements. Pour établir cette probabilité il convient de recenser les incidents intervenus sur la période et de constituer une base d'historiques qui interviendra dans le processus décisionnel.

En synthèse, l'appréciation des risques opérationnels doit se faire au regard de ces critères, complétée de l'évaluation du risque résiduel pour obtenir le risque net.

Ce processus d'évaluation des risques opérationnels doit être intégré comme un jalon marquant et indispensable dans les process d'établissement du cycle de vie des projets et des produits.

Donc,c'est à partir de l'évaluation des risques opérationnels que l'entreprise va être capable de préciser les objectifs de sa mission.

4. Le plan de mission

Un contrat d'adhésion entre l'auditeur interne et l'audité précisant les objectifs, le champ d'application et la mission d'audit.

La définition des objectifs de la mission d'audit s'effectue sous l'ongle de deux rubriques :

§ Les objectifs généraux : l'auditeur interne doit examiner l'application des objectifs visés par le contrôle interne et prendre en considération le suivi de l'audit antérieur sur le même sujet avec l'ensemble de ses recommandations.

§ Les objectifs spécifiques : ils se rapportent tous aux zones de risques antérieurement identifiés.

Enfin, définir le plan d'action :

§ Planifier les actions à mener (nombre de personnes à voir et le périmètre de la mission) ;

§ Déterminer la méthode et les outils à utiliser ;

§ Définir les intervenants, la charge de travail et le planning de l'intervention.

On constate que ce contrat permet à l'auditeur de passer à la deuxième étape à savoir, l'étape de la réalisation de la mission.

II. La phase de réalisation

1. La réunion d'ouverture

Il s'agit d'une réunion qui marque le commencement de la réalisation des opérations liées à la mission. Elle se tient toujours sur les lieux où la mission doit se dérouler en la présence des auditeurs en charge de la mission, le responsable d'audit ou encore dans des cas sensibles, leur chef de mission, ainsi que les responsables du service ou de la fonction auditée.

Le déroulement de cette réunion passe traditionnellement par présenter :

§ L'équipe des auditeurs en charge de la mission

§ Le métier de l'audit interne

§ La Note d'Objectifs et d'Organisation de la Mission

§ La méthodologie de conduite de la mission

§ Recueillir les informations sur l'activité auditée

§ Organiser : Les rendez vous, contacts et la logistique de la mission.

Enfin, le rappel sur la procédure d'audit reste essentiel avant d'établir un autre document contractuel qui concerne seulement le service d'Audit Interne.

2. Le planning de réalisation

On le nomme aussi le programme d'audit, il s'agit d'un document effectué par l'équipe d'audit sous la supervision du chef, et qui détermine la répartition technique des tâches de la mission.

v L'affinement du programme d'audit :

§ Déterminer les travaux à accomplir

§ Affiner le temps nécessaire pour dérouler la mission

§ Ajuster et adapter le Questionnaire de Contrôle Interne (QCI) au domaine audité

§ Choisir les techniques et outils à utiliser pour examen et appréciation.

v Recueil des documents nécessaire :

§ Rapports des auditeurs externes

§ Rapports des audits précédents

§ Procédures

§ Organigramme

§ Fiches de poste

§ Délégation de pouvoir

§ Notes Internes

3. La conduite des entretiens

§ Conduire les entretiens avec les responsables pour cerner globalement l'activité.

§ Conduire les entretiens avec les opérationnels pour connaitre le détail des activités.

§ Conduire les entretiens éventuels avec les entités externes en relation avec l'audité.

4. Analyse du Questionnaire du Contrôle Interne (QCI)

Le questionnaire du contrôle interne est un outil indispensable pour l'auditeur interne afin d'identifier pour chaque fonction qu'elles sont les dispositifs spécifiques de contrôle essentiels.

Il s'agit d'une check-list qui induit toujours des réponses déterminantes, à savoir un « oui » ou un « non », donnant l'assurance que les points les plus importants sont abordés. Cependant, ce document peut devenir facilement obsolète, et n'attirer même pas l'attention sur les problèmes ou les phénomènes recherchés.

Afin de mettre l'accent sur tous les points importants de la mission, l'auditeur interne peut se poser les cinq questions universelles :

- Qui : identifier l'opérateur en utilisant l'organigramme, les analyses des postes, les grilles d'analyses des tâches, etc.

- Quoi : détecter l'objet de l'opération.

- Où : préciser les lieux de déroulement des opérations.

- Quand : planifier du commencement et la fin du travail.

- Comment : décrire le mode opératoire.

Sur la base des réponses des audités sur le QCI, l'auditeur interne aura le pouvoir de savoir si la tâche élémentaire est bien maitrisée et de déterminer et analyser les zones de risques apparents.

5. Mise en oeuvre des techniques d'examen et d'appréciation

§ Réaliser les observations physiques afin de s'assurer de la fiabilité de l'information obtenue.

§ Sur la base d'un échantillon, évaluer le dispositif du contrôle interne (tests, recoupement d'informations, rapprochement etc.).

§ Examiner et apprécier le fonctionnement du système audité.

6. Evaluer les conditions de mise en oeuvre et les impacts des solutions

§ Conditions de mise en oeuvre sur les plans humains, organisationnel, matériel, financier ;

§ Avantages/ Inconvénients ;

§ Conséquences induites ;

§ Coût de mise en place par rapport aux risques encourus :

§ Définir les priorités de mise en place des recommandations.

7. Elaboration du FRAP

La FRAP, qui n'est entre autre que « la Feuille de Révélation et d'Analyse des Problèmes », est un document normalisé rempli par l'auditeur interne à chaque fois qu'il détecte sur le terrain un dysfonctionnement, une erreur ou un risque opérationnel. Il permet de synthétiser :

- Le problème rencontré : le dernier point énoncé par l'auditeur après avoir donner ses recommandations.

- Son constat : le fait ou l'ensemble des faits de même nature, même cause, même conséquences

- Ses causes : on distingue entre les causes de premier degré et les causes spécifiques liés aux activités opérationnels telles que la main-d'oeuvre, le milieu, la matière, le matériel et la méthode.

- Ses conséquences : elles peuvent prêter à des dérives quantitatives ou qualitatives menant à des impasses logiques.

- Les recommandations : élaborées par l'auditeur interne afin d'avertir les parties concernées et éviter le retour, ou la pertinence des faits dénoncés.

Donc l'auditeur interne procède à l'élaboration des Feuilles de Révélation et d'Analyse des Problèmes en détaillant les points soulevés, les faits, conséquences et recommandations.

v Regroupement et validation des FRAP :

§ Ordonner les idées en reprenant les problèmes de chaque FRAP classés par segment.

§ Organiser une réunion avec l'audité pour la validation des différents faits relevés.

III. La phase de conclusion

Après avoir effectuer son travail sur le terrain, l'auditeur interne passe à la dernière étape de sa mission, à savoir celle de la conclusion, où il va formuler les recommandations nécessaires, élaborer le rapport d'audit et l'envoyer à la DG et aux responsables concernés, élaborer un plan d'action pour le suivi de la mise en oeuvre des recommandations et enfin s'assurer de la mise en place des recommandations retenues.

Afin de permettre la validation générale, l'auditeur a l'obligation de rédiger en premier lieu un projet de rapport d'audit interne.

1. Elaboration du rapport d'audit :

Le rapport est le document le plus difficile à préparer où l'auditeur interne doit préciser tous les faits rencontrés.

On peut distinguer entre deux méthodes d'élaboration du rapport d'audit :

- Ou bien tout rédiger depuis le début de façon plus détaillée et plus efficace que celle du FRAP.

- Ou bien rassembler tout les FRAP antérieurs dans un même dossier nommé le rapport d'audit.

v Rédaction du projet de rapport :

Sur la base des travaux d'investigation, un projet de rapport est élaboré par l'équipe d'audit. Ce document provisoire, qui n'a pas encore fait l'objet d'une validation générale, est adressé au responsable de l'Audit pour validation puis au responsable de la structure auditée.

Ce projet reste un document incomplet par le fait qu'il manque des réponses des audités aux recommandations assignés sur les FRAP, ainsi qu'il ne comporte pas un plan d'action.

2. La réunion de clôture

Une réunion qui a pour but de commenter et valider et conclure le projet de rapport, se déroule en la présence de tous les participants de la réunion d'ouverture.

Au début, les auditeurs doivent présenter le projet de rapport aux audités, qui est un document qu'ils leurs ont déjà distribué avant la réunion, en évoquant les points essentiels à discuter. La transparence et la participation de tous les membres sont les principes clés de cette réunion.

Par la suite, les auditeurs doivent faire la présentation de leurs propres recommandations, et c'est à ce stade que d'éventuelles contestations peuvent apparaitre.

Deux situations sont possibles :

- Soit l'auditeur fourni tous les preuves concernant ces contestations, et le problème est résolu ;

- Soit l'auditeur ne possède pas encore des preuves et donc la réunion est considérée non réussie et rapportée jusqu' à ce que l'auditeur ramène ses preuves s'il y en a.

En cas de désaccord entre l'auditeur et les services audités sur le contenu des recommandations, une demande d'arbitrage est adressée au mandant de la mission mettant en exergue les points de désaccord entre les recommandations formulées par l'audit et les réponses des services audités.

A la fin de cette réunion, l'auditeur doit demander aux audités de lui envoyer une réponse sur les recommandations, et leurs rappeler aussi de la procédure de suivi d'audit.

3. Le rapport d'Audit Interne

Le document final de la mission d'Audit a pour rôle la transmission de l'information de maitrise ou non du domaine audité à toute l'hiérarchie, en précisant toutes les faiblesses et les mesures à prendre pour la résolution des risques opérationnels.

Ce rapport représente aussi un outil de travail pour l'audité, un outil indispensable pour ne plus commettre les même failles.

Lors de la rédaction de ce rapport, l'auditeur doit rappeler le plan d'action et les objectifs de la mission, et décrire l'organisation de la fonction auditée. Les constats, les recommandations, et les réponses aux recommandations constituent le corps du rapport ainsi qu'en conclusion, il est nécessaire d'aborder une synthèse brève et précise nommée « la lettre du Président ».

4. Le plan d'action

Un formulaire dessiné par l'audit interne et rempli par l'audité. Ce dernier mentionne pour chaque recommandation :

§ Les points soulevés

§ Les recommandations

§ La priorité des recommandations

§ La date de la mise en place

§ Le responsable de mise en place

Et par la suite, l'auditeur envoi des livrables à la structure auditée : Tableau de suivi des recommandations.

5. Réponses aux recommandations

C'est un écrit officiel demandé lors de la réunion de clôture aux audités. Trois cas sont possibles :

- Soit l'audité accepte tous les recommandations.

- Soit l'audité accepte certains recommandations.

- Soit l'audité refuse tous les recommandations.

6. Le suivi du rapport d'Audit Interne

Lors du suivi des recommandations, l'auditeur doit s'assurer de la mise en place des recommandations retenues en:

§ Vérifiant avec l'auditée le degré d'avancement de la mise en place des recommandations :

- Recenser les recommandations selon le degré d'avancement (réalisée, encours, non réalisées).

- S'assurer par des tests que les recommandations réalisées sont effectivement mises en place.

- S'assurer des délais et justifier les éventuels retard pour les recommandations en cours de validation.

- Analyser les raisons et les difficultés de mise en place des recommandations non encore réalisées.

§ Apportant éventuellement les aménagements ou les corrections nécessaires :

- Nouvelles actions

- Modification des responsabilités

- Nouvelles échéances

Conclusion

Nous pouvons conclure que la mission d'audit est une fonction temporaire et déterminée et que l'auditeur interne doit l'accomplir à l'intention de la Direction Générale de manière efficace.

Elle exige de l'auditeur interne un bagage de connaissances et de techniques qui lui permettront d'attribuer à l'amélioration des systèmes et à la vérification des processus internes.

Nous pouvons présenter les principales phases de déroulements d'une mission d'audit interne sous forme du schéma ci-dessous :

Schéma du processus d'une mission d'Audit Interne

Chapitre 4 : Les techniques d'Audit Interne

Les techniques d'audit interne16(*) sont des moyens permettant de réaliser dans les bonnes conditions une mission d'audit

Ces technique peuvent être classé en deux type d'outils soit :

§ Les outils d'interrogations dont les principales techniques sont :

Sondage statistique

Les interviews

Les outils informatiques

Vérifications et rapprochements divers.

§ Les outils de description

L'observation physique

La narration

L'organigramme fonctionnel

La grille d'analyse des tâches

Le diagramme de circulation

Section 1: Les outils d'interrogations

I. Les sondages statistiques

Vu la multiplicité des process à auditer, l'auditeur interne est dans l'impossibilité de vérifier toutes les pièces qui entrent dans le champ d'action de sa mission. Pour cette raison, il fait souvent appel à ce type de techniques en prélevant, dans une population de référence, un échantillonnage significatif de façon aléatoire et l'analyser.

Dans toute entreprise, 3 niveaux d'informations statistiques sont nécessaires pour mener son investigation :

Niveau 1 : les données élémentaires que l'auditeur met en ordre pour aboutir à des conclusions et à des pistes d'observations en faisant des enquêtes ou encore le tri croisé.

Niveau 2 : les statistiques déjà effectués par le contrôle de gestion.

Niveau 3 : le sondage, qui est la forme la plus utilisée par les auditeurs internes.

A l'aide de ces informations, l'auditeur interne va effectuer des recherches de 3 natures différentes :

§ Des sondages de dépistage : utilisés afin de déceler des dysfonctionnements tel que les erreurs sur facture, les inexactitudes des données dans la paye et autres.

§ Des sondages par acceptation : pour avoir une idée sur la proportion d'application ou non application des procédures.

§ Des sondages pour estimation des attributs : qui sont la plupart du temps purement informatifs.

II. Les interviews

Avant même d'introduire ou d'expliquer la forme et les conditions de réussite d'une interview effectuée par l'auditeur, il est nécessaire de signaler que cette technique est utilisée lors de la phase de la prise de connaissance générale.

L'interview n'est pas un interrogatoire, ni une conversation, encore moins un discours.

La majorité des auditeurs trouvent dans la pratique d'une interview un exercice difficile ou même doublement difficile. Difficile dans la mesure où l'interlocuteur, souvent de rang hiérarchique élevé ou un spécialiste reconnu, tend à susciter une crainte révérencielle qui paralyse et empêche d'aller à l'essentiel. Difficile également parce qu'il faut que l'auditeur ait un sens de pertinence dans la formulation de ses questions. C'est tout l'art de poser des questions pour obtenir les bonnes réponses.

La question qui se pose : «  comment une bonne interview doit-elle se dérouler ? »

Les interviews commencent obligatoirement par une phase de préparation où l'auditeur interne défini la personne qu'il va rencontrer tout en précisant l'objet de l'interview, afin de pouvoir élaborer ses propres questions ouvertes et adéquates au sujet. A ce niveau, il est censé de prendre un rendez-vous avec la personne concernée puisque, comme on avait dit au par avant, l'interview se déroule obligatoirement chez l'audité. Quand l'interview débute, l'auditeur interne doit se présenter et présenter l'objet de sa mission, et préciser aussi le genre de questions qu'il va poser à son interlocuteur. L'auditeur doit veiller à ce niveau de ne pas dépasser les limites et de positionner ses questions en fonction de l'adaptation de son interlocuteur. Toute réponse doit être notée par écrit en fur et à mesure du déroulement de cet interview. Enfin, la dernière étape est la validation générale de l'interview sur la feuille d'interview qui résume et englobe les principaux points notés.

III. Les outils informatiques

L'informatique est devenue un outil de haute technologie indispensable pour toute mission, il est un moyen de communication et de travail facilitant différents tâches dont l'auditeur interne a besoin.

Ces outils sont de plus en plus nombreux et diversifiés, c'est la raison pour laquelle, nous allons traités les plus importantes et les plus utilisés dans cette fonction, à savoir :

§ Les outils de travail de l'auditeur :

Ce sont les logiciels du marché, très largement connus, qui sont nécessaires :

- Les logiciels de traitement de textes

- Les logiciels de dessins

- Les tableaux

- Les gestionnaires de bases de données

- Les logiciels de présentations graphiques

§ Les outils de réalisation des missions

Les logiciels les plus connus pour l'accomplissement d'une mission sont :

- Les outils méthodologiques permettant d'établir le FRAP, le QCI ainsi que le tableau de risques tels que le HORUS (logiciel de gestion des missions et des recommandations) et le SPHYNX (logiciel de mission et d'évaluation du contrôle interne)

- Les logiciels d'analyse de données

- Les outils d'interrogation et d'extraction

§ Les outils de gestion de service

- Les logiciels d'élaboration du plan et de suivi de sa réalisation

- Les logiciels de suivi de temps du travail des auditeurs

- Les outils de mesure d'efficacité des missions d'audit

§ L'informatique communicante

Plusieurs technologies sont à la disposition de l'auditeur :

- Les réseaux d'entreprise

- Les « intranets »

- L'internet

IV. Vérifications, analyses et rapprochements divers

Utilisés lors du travail sur terrain, les auditeurs internes ont souvent intérêt à vérifier et analyser toutes les opérations effectuées sur le terrain.

· Les vérifications

Ce sont des vérifications portant sur toutes les erreurs croissantes dues à la pratique des tableurs, il s'agit éventuellement des vérifications arithmétiques, qui servent aussi à contrôler la fiabilité des ratios largement utilisés en audit comptable.

L'auditeur interne vérifie aussi l'existence de tous les documents nécessaires sur le terrain.

· Les analyses

C'est une technique qui permet de révéler les dysfonctionnements de l'activité auditée mais qui demande une certaine connaissance des données disponibles dans les applications informatiques ainsi qu'une bonne fiabilité de la saisie des informations.

· Les rapprochements

Lors de l'analyse de chaque entité économique, il peut révéler qu'il existe l'identité d'une seule information provenant de deux sources différentes. L'auditeur interne veille, à ce niveau, de valider la conformité de cette information. Hors, toute différence entre les deux sources peut être considérée comme une anomalie.

Section 2 : Les outils de description

I. L'observation physique

L'observation physique consiste en l'examen des procédures et de leur mise en oeuvre. Avant de procéder à ce type d'observation, l'auditeur interne doit avertir la personne auditée avant son arrivée en lui expliquant le détail de sa méthodologie de travail.

Sans une observation sur terrain, la mission d'audit interne n'est pas considérée comme une mission valable et fiable.

Le schéma ci-dessous englobe les éléments sur lesquels l'observation physique porte.

Cette observation peut être :

§ Une observation directe qui permet de conclure des constats immédiats.

§ Une observation indirecte qui se fait à travers un tiers intermédiaire qui effectue l'observation pour le compte de l'auditeur quand se dernier manque de connaissance dans le domaine auditée par exemple.

II. La narration

Lors du premier contact avec l'audité, l'auditeur profite de chaque renseignement donné par l'audité dans le cadre général.

Il existe deux sortes de narrations : la narration par l'audité et la narration par l'auditeur.

· La narration par l'audité est l'outil le plus élémentaire, l'audité s'exprime librement et permet à l'auditeur d'avoir beaucoup d'informations à la fois dans le cadre général, et les noter, sans une préparation préétablie au par avant.

· La narration par l'auditeur n'est d'autres que la mise en ordre des idées et des connaissances dans une structure logique dans un écrit.

III. L'organigramme fonctionnel

Ressemblant à l'organigramme hiérarchique essentiel pour le contrôle interne, l'organigramme fonctionnel permet à l'auditeur interne de se situer mieux par rapport à sa mission. C'est un organigramme construit par l'auditeur et qui mentionne l'ensemble des fonctions concernées au lieu des noms des fonctionnaires de l'entreprise, puisque le rôle de l'auditeur interne est la vérification des activités de la fonction et non pas l'inspection des personnes y travaillant.

Le dessin de cet organigramme permet à l'auditeur d'enrichir ses connaissances et mieux analyser, à sa manière, chaque disfonctionnement provenant de la même activité.

Nous présentons ci-dessous un modèle simple d'un organigramme fonctionnel :

IV. La grille d'analyse des tâches

La grille d'analyse de tâches est un outil permettant à l'auditeur de déceler sans erreur possible les manquements à la séparation des tâches et donc d'y porter remède.

Elle est la photographie à un instant T de la répartition du travail, elle permet également de faire le premier pas dans l'analyse des charges de travail de chacun.

Pour chaque grande fonction ou chaque processus élémentaire, on peut concevoir une grille qui va comporter le découpage unitaire de toutes les opérations relatives à la fonction ou au processus concerné.

Dans une grille d'analyse, on aura autant de lignes que de tâches, en deuxième colonne la nature de la tâche et pour les colonnes suivantes les personnes concernées.

· Les avantages :

C'est un outil clair et extrêmement facile à décrypter, même si cette grille est complexe au niveau de la multiplicité des fonctions qu'elle englobe.

· Les inconvénients :

L'inconvénient majeur de cet outil est que les conclusions ne peuvent être tirées que si les têtes de colonne indiquent clairement des noms de personnes et nom des intitulés de service.

V. Flow chart ou le diagramme de circulation

Le diagramme de circulation est un document figuratif qui permet de prendre rapidement connaissance d'une procédure ou d'un process. . L'explication de son utilité peut se trouver dans sa formalisation ou dans son examen.

Il est considéré étant un outil d'autocontrôle qui permet la compréhension des explications déjà fournies.

Cet outil de passage est recommandé pour connaître et comprendre l'organisation des services audités et les points de contrôle dans le cadre des procédures en vigueur. A partir de cette connaissance, l'auditeur peut programmer tous les tests et sondages lui permettant de s'assurer de la fiabilité des procédures utilisées.

On peut dire que le flow-chart est essentiellement utilisé lors de la description des procédures de l'entreprise auditée.

· Les avantages :

§ Grace aux symboles propres à chaque opération, le flow chart est considéré comme un outil qui facilite la compréhension et prendre des connaissances sans effort et difficulté.

§ Ce document permet de mettre en évidence les points forts et les points faibles de chaque procédure ou chaque process afin de permettre à l'auditeur d'identifier les procédures de contrôle adaptées et choisir le meilleur circuit pour trouver les bonnes solutions.

§ Enfin, c'est un diagramme logique qui permet de répondre à des questions fondamentales et essentielles sur chaque document :

Combien d'exemplaires ?

Qui l'envoie ?

Où arrive-t-il ?

Qu'en fait-on ?...

· La mise en oeuvre :

L'auditeur interne doit respecter un certain nombre de règles pour une optimisation de l'utilisation du diagramme :

§ L'auditeur faudra adopter un diagramme détaillé ou sommaire pour la description ou non d'une procédure.

§ Il doit choisir les symboles les plus adaptés à son approche de process.

§ Il doit éviter toute complexité ou ambigüité lors du traçage du diagramme.

§ Les symboles doivent être standardisés pour tous les membres d'une équipe d'auditeur afin de s'assurer d'une communication efficace à travers les diagrammes de circulation.

§ L'auditeur doit veiller à rajouter des notes explicatives lorsque la schématisation n'est pas possible.

Conclusion

Vu la diversification des outils et techniques pouvant être utilisées lors d'une mission d'audit interne, il est primordial de préciser que l'application de toutes les techniques dépendent essentiellement de la personnalité de l'auditeur, de son implication, de sa capacité à s'adapter aux contextes nouveaux et surtout de son expérience dans le domaine, et qu'une technique appropriée à une entreprise de taille petite peut ne pas être adaptée dans une grande entreprise.

· Les symboles usuels

Indication du déroulement des phases de traitement, transfert d'informations

Utilisation des bases de données en les mettant à jour

Création d'un document, de données d'entrée, d'un rapport ou d'état informatiques

Description générale qui englobe plusieurs documents

Fonction ou opération spécifique exécutée

Liaison à l'intérieur d'un diagramme

Liaison entre différents diagrammes

Liaison entre les cycles

Classement définitif

Ou Classement provisoire

Stockage à accès séquentiels

Décision à prendre

Chapitre 5: Mission d'audit interne du processus des ressources humaines Conclusion générale

L'audit interne est une profession qui connait une évolution liée étroitement à l'évolution de l'entreprise et de son environnement d'une part, et de l'évolution de l'auditeur interne d'autres parts.

Cette profession opère souvent à deux défauts majeurs, à savoir la présence illimitée de la notion de risque opérationnel et l'insuffisance du système de gestion au sein de l'entreprise.

Toutefois, l'auditeur interne, tel qu'il a été défini, s'avère une activité nécessaire au développement de toute entreprise car il permet, non seulement de contribuer à la vérification interne en évaluant la gestion des risques et en participant à la promotion du contrôle interne au sein de l'entreprise, mais également de fiabiliser le système économique tout entier et donc contribuer à son développement.

On a pu relever, à travers cette étude, que la maximisation de la valeur et de l'efficacité de la fonction d'audit interne requiert une compréhension des objectifs de l'organisation, des risques, des priorités de la gestion du risque, de l'environnement réglementaire et des différents besoins des parties prenantes essentielles, y compris les cadres, le conseil d'administration, les employés et les actionnaires. En fin de compte, ces besoins déterminent le profil de risque de l'organisation, ainsi que la priorité stratégique, l'organisation, les ressources et les pratiques requises pour son département d'audit interne.

Nous espérons que par ce modeste travail, nous avons pu approfondir quelques concepts concernant l'audit interne et effectuer une analyse efficace de la méthodologie de maitrise des risques opérationnels d'une société.

Bibliographie et webographie

Ouvrages

§ E. Bertin, Audit interne : enjeux et pratiques à l'international, 2007, Eyrolles, éditions d'organisation.

§ J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation.

§ P. Schick, Mémento d'audit interne, 2007, Dunod.

§ G. Valin, Controlor and auditor, 2006, Dunod.

Articles et revues

§ Audit, communication et performance économique au Maghreb, revue marocaine d'audit et de développement, numéro double 6-7.

Mémoires et thèses

§ Les techniques de l'audit interne et leurs applications dans l'entreprise marocaine, de LARAQUI HOUSSAIN

Sites Web

§ www.ifaci.com

§ www.actuariacnam.net

§ www.fimarkets.com

§ www.gt.co.za/publications

§ http://www.lacademie.info/publications.

Table des matières

* 1 _ G. Valin, Controlor and auditor, 2006, Dunod

* 2 _ Audit, communication et performance économique au Maghreb, revue marocaine d'audit et de développement, numéro double 6-7

* 3 _ Selon l'Institut Français de l'Audit et du Contrôle Interne (IFACI)

* 4

* 5 4 et _ Audit, communication et performance économique au Maghreb, revue marocaine d'audit et de développement, numéro double 6-7

* 6 _ Audit, communication et performance économique au Maghreb, revue marocaine d'audit et de développement, numéro double 6-7

* 7 _ www.actuariacnam.net et www.fimarkets.com/pages/risque_opérationnel.htm

* 8 _ http://www.lacademie.info et J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation

* 9 _ http://www.lacademie.info et J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation.

* 10 _ E. Bertin, Audit interne : enjeux et pratiques à l'international, 2007, Eyrolles, éditions d'organisation.

* 11 _ ET 12 www.ifaci.com

* 12

* 13 _ www.ifaci.com

* 14 _ J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation ET P. Schick, Memento d'audit interne, 2007, Dunod.

* 15 _ www.gt.co.za/publications/effectives-directors-guide/int-audit.asp

* 16 _ J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation.