II-2-Les trois phases fondamentales de la mission
d'audit interne
Le chiffre trois n'est pas le nombre d'or de l'audit interne, il
correspond très exactement à la situation géographique de
l'auditeur au cours de son intervention :
· dans la première partie de sa mission, l'auditeur
est essentiellement dans son bureau et dans son service. Ses
déplacements sont courts et brefs ; à la limite ils peuvent ne
pas exister ;
· dans la deuxième partie, au contraire, l'auditeur
est la plupart du temps sur le terrain, donc absent du service ; les retours au
bureau sont rares, parfois inexistants ;
· dans la troisième partie, retour à la
sédentarité également ponctuée - comme dans la
première phase - de quelques déplacements possibles, brefs et
rapides. Et cette sédentarité peut également signifier
travail à domicile.
On dispose donc d'un critère géographique
précis qui, à lui seul, permet d'identifier les trois moments
singuliers d'une mission d'audit interne. Ces trois moments sont
traditionnellement désignés :
> phase de préparation : d'étude, de
planification; > phase de réalisation : vérification;
> phase de conclusion : de restitution des
résultats.
Examinons plus en détail ces trois moments
méthodologiques de la mission d'audit interne. (2)
Trois acteurs interviennent dans la mission :
v' l'auditeur : celui qui conduit la mission d'audit ;
v' l'audité : celui qui fait l'objet de l'audit ;
v' le prescripteur d'audit : celui qui donne l'ordre à
l'auditeur de réaliser la mission d'audit. (3)
1) La phase de préparation : L'étape de
familiarisation
La phase de préparation ouvre la mission d'audit, exige
des auditeurs d'une capacité importante de lecture, d'attention et
d'apprentissage. Elle sollicite l'aptitude à apprendre et à
1Le service général d'audit
budgétaire ( SGAB), op-cit.
2Jacques Renard ; Théorie et pratique de
l'audit interne, op-cit, pp 214-215. 3Préface de Louis Vaurs,
op-cit, p38.
comprendre, elle exige également une bonne connaissance
de l'entreprise car il faut savoir oütrouver la bonne
information et à qui la demander. C'est au cours de cette phase que
l'auditeur
doit faire preuve de qualités de synthèse et
d'imagination. Elle peut se définir comme la
période au cours de laquelle vont être
réalisés tous les travaux préparatoires avant de passer
à l'action. (1)
Cette étape dite « de familiarisation » ne
saurait être omise ; elle constitue le plus souvent, en termes de
durée, la partie la plus importante de la mission.
a) Rencontre avec la direction de l'entité
auditée
Après réception de l'ordre de mission et avant
de commencer tout travail dans l'entité à auditer, le Service
d'audit organise une rencontre avec la Direction de l'entité
auditée afin de déterminer différents points :
v' objectifs de la mission
v' faisabilité de la mission d'audit (ressources
suffisantes, délais,...)
v' étendue de la mission : l'(es) entité(s)
concernée(s) ou les processus concernés
v' nature de la mission d'audit (ressources humaines, ressources
technologiques, organisation, communication,...)
v' délais de la mission
v' auditeurs responsables de la mission
1' description du déroulement de la mission
1' organisation ou non d'une réunion d'ouverture avec
l'ensemble du personnel v' rapport d'audit : destinataires du rapport, rapport
intermédiaire,...
1' plan d'action
b) Compte rendu de la réunion avec la direction
de l'entité auditée
Suite à la rencontre avec la Direction de l'entité
auditée, le Service d'audit rédige un compte rendu de cette
réunion.
Le compte rendu de la réunion est envoyé aux
personnes présentes à la réunion ; lesquelles disposent
d'un délai pour communiquer au service d'audit leurs éventuelles
modifications et/ou commentaires.
Le service d'audit introduit les modifications et transmet le
compte rendu final par note interne aux mêmes personnes.
c) Réunion d'ouverture
La réunion d'ouverture a pour but d'établir les
premiers contacts avec l'ensemble des personnes impliquées par l'audit
avant de débuter les travaux.
La réunion d'ouverture est facultative : les auditeurs
et la Direction de l'entité auditée décident de
l'organisation d'une réunion d'ouverture. Pour les missions qui
exigeraient la présence de beaucoup de personnes, il peut être
plus aisé de transmettre une note explicative.
Toutefois, quand c'est possible, l'organisation d'une
réunion d'ouverture est toujours préférable.
1Jacques Renard ; Théorie et pratique de
l'audit interne, op-cit; pp 213-214.
Personnes présentes à cette présentation
:
1' le responsable du service d'audit ou son
délégué
v' les auditeurs chargés de la mission
v' la Direction de ou des entité(s) auditée(s)
v' l'ensemble du personnel de ou des entité(s)
auditée(s) ou les responsables des processus audités
+ Support de la présentation :
Il s'agit d'une présentation orale faite par les
auditeurs, avec support Power Point.
+ Contenu de la présentation :
v' Présentation succincte du Service d'audit : place au
sein du MCF, missions, normes respectées,...)
v' Contexte et objectifs de la mission :
· Contexte = le pourquoi de la mission (exécution du
programme d'audit, demande spécifique en raisons de problèmes
aigus,...)
· Objectifs = le but de la mission
v' Etendue de la mission : entité(s) concernée(s)
ou processus concerné(s)
1' Déroulement de la mission
1' Présentation de la méthodologie
v' Rapport
1' Evaluation
v' Plan d'action et suivi de la mission
1' Planning
1' Contacts
Après la présentation, les auditeurs
répondent aux questions des audités. (1)
L'auditeur interne va procéder exactement selon la démarche :
v' prise de connaissance du domaine à auditer dite
familiarisation ; v' identification des risques ;
v' définition des objectifs.
d) La prise de connaissance : récolte
d'informations
Cette étape est une des plus importantes d'une mission
d'audit. Il n'y a pas de méthode d'audit qui ne commence par la
connaissance des processus ou des activités que l'on doit auditer.
Cette prise de connaissance ne doit pas se faire au hasard, en
glanant dans le désordre les informations nécessaires. Elle doit
être avant tout organisée.
L'auditeur va donc planifier sa prise de connaissance en ayant
soin de prévoir le ou les moyens les plus appropriés pour
acquérir le savoir nécessaire à la réalisation de
sa mission (interviews, documents, séminaires...)
1Le service général d'audit
budgétaire ( SGAB), op-cit.
Dès que cette prise de connaissance a été
menée à bien, l'auditeur dispose déjà
d'informations sérieuses sur les risques majeurs, le fonctionnement des
interfaces et les priorités du management. (1)
La durée de la prise de connaissance varie en fonction de
différents éléments : complexité du sujet, profil
de l'auditeur, existence d'audits antérieurs,...
Les auditeurs utilisent différents outils (moyens) pour
acquérir des connaissances : (2)
+ Examen des résultats de l'analyse de risques ;
+ Les entretiens avec les responsables de plus haut niveau dans
l'activité auditée ; + L'analyse de documents de base.
1' Les flow-charts (diagramme de circulation)
v' Les grilles d'analyse de tâches
v' L'examen des rapports d'éventuels audits
antérieurs, des rapports de la Cour des Comptes et de l'Inspection des
Finances permet d'identifier les risques présents
v' L'auditeur peut également faire des rapprochements sur
diverses statistiques.
En définitive, l'auditeur doit disposer des documents,
d'informations et d'éléments suffisants et pertinents pour
acquérir une meilleure connaissance de l'environnement, du domaine et
des risques susceptibles de menacer l'atteinte des objectifs de la
société.
La prise de connaissance ne se résume pas à la
collecte des données et à leur étude. L'auditeur rencontre
aussi les personnes concernées par la mission d'audit et leur pose les
bonnes questions. Il procède par interview selon l'ordre
hiérarchique de la
société.(3)
e) L'identification et l'évaluation des
risques
Cette étape n'est que la mise en oeuvre de la norme
2210.A1 : « En planifiant la mission, l'auditeur interne doit relever et
évaluer les risques liés à l'activité soumise
à l'audit... ».
On dit aussi « identification des zones à risques
», soulignant par là qu'il s'agit beaucoup plus d'identifier les
endroits où les risques les plus dommageables sont susceptibles de se
produire, que d'analyser les risques eux-mêmes.
Cette phase d'identification va conditionner la suite de la
mission : elle va permettre à l'auditeur de construire son
référentiel et, dans le même temps, de concevoir son
programme et de l'élaborer de façon « modulée »,
en fonction non seulement des menaces mais également de ce qui a pu
être mis en place pour y faire face. C'est à compter de cet
instant que l'auditeur
1Jacques Renard ; Théorie et pratique de
l'audit interne, op-cit; p226. 2Le service général
d'audit budgétaire ( SGAB), op-cit.
3Préface de Louis Vaurs, op-cit, p41.
interne en charge d'une mission va croiser la notion de risque
qui ne cessera de l'accompagner tout au long de sa démarche.
(1)
Toutes les informations ainsi recueillies, exploitées
ou analysées sont classées dans un dossier permanent. Elles
permettent à l'auditeur de réaliser une évaluation
préliminaire des forces et faiblesses apparentes. D'où
l'élaboration par l'auditeur d'un tableau des risques.
(2)
Le tableau des risques permet de cerner les objectifs d'audit
retenus, qu'il conviendra de vérifier ultérieurement sur le
terrain.
Les auditeurs privilégient une cotation selon une
échelle de type : risque faible/moyen/élevé. On comprend
que la démarche de l'auditeur interne soit fondée sur l'approche
par les risques.
f) La définition des objectifs ou
l'élaboration du référentiel : « rapport
d'orientation »
Du tableau des risques découle le rapport
d'orientation. Il s'agit d'un document à destination des audités
dans lequel l'auditeur synthétise les conclusions qu'il a pu faire sur
les zones de risques, les difficultés envisagées, rappelle les
objectifs généraux et spécifiques,
propose les services et les divisions qui seront audités,
définit la nature et l'étendue des travaux à
réaliser. (3)
On l'appelle aussi, avec des variantes dans la forme, le«
plan de mission » ou encore « Termes de référence
»; Mais quelles que soient la forme et son appellation, (« ce
programme de travail doit être formalisé »), il
s'agit toujours d'un document dont les caractéristiques et le contenu se
retrouvent dans tous les cas de figure.(4)
Le rapport d'orientation est une sorte de contrat de
prestations de service entre les audités et le service d'audit ; un
compromis entre les attentes (de la Direction, du demandeur et des
audités) et les capacités en temps et compétences des
auditeurs.
Le rapport d'orientation fera l'objet d'une validation par
l'entité auditée, et ce, afin de canaliser leur adhésion
positive et active au travail du service d'audit. (5)
Ce document va devenir le référentiel de
l'auditeur, le document auquel il doit se référer.
Le référentiel de contrôle interne permet
à l'auditeur de déterminer les objectifs d'audit, lesquels se
retrouveront dans le programme de travail.
La démarche doit permettre à l'auditeur
d'organiser sa mission en identifiant les points qu'il devra approfondir et a
contrario ceux sur lesquels il pourra passer rapidement voire même faire
l'impasse.
1Jacques Renard ; Théorie et pratique de
l'audit interne, op-cit; p240. 2Préface de Louis Vaurs,
op-cit, p41.
3Ibid, pp40-41.
4Jacques Renard ; Théorie et pratique de
l'audit interne, op-cit; p240. 5Le service général
d'audit budgétaire ( SGAB), op-cit.
Cette étape n'est pas nécessaire si le sujet de la
mission est simple ou si les risques sont déjà identifiés
dans l'ordre de mission.
Contenu :
Le référentiel de contrôle interne devra
être un inventaire le plus complet possible et tendre à
l'exhaustivité :
v' des objectifs d'un processus audité v' des risques
associés à ces objectifs
v' des conséquences associées à ces risques
v' des dispositifs de contrôle interne
On utilise un référentiel différent par
processus. (1) 2) La phase de
réalisation
La phase de réalisation fait beaucoup plus appel aux
capacités d'observation, de dialogue et de communication. Se faire
accepter est le premier impératif de l'auditeur, se faire désirer
est le critère d'une intégration réussie. C'est à
ce stade que l'on fait le plus appel aux capacités d'analyse et au sens
de la déduction.
a) Le programme de travail
Le programme de travail constitue la base de la phase de
réalisation. Il s'agit d'un document interne au service dans lequel on
procède à la détermination, la répartition et la
planification des tâches qui permettront aux auditeurs d'atteindre les
objectifs du rapport d'orientation.
Le programme de travail reprend 2 points essentiels :
- les travaux d'audit à accomplir pour atteindre les
objectifs d'audit ;
- les techniques, outils dont il faut envisager l'utilisation :
diagramme de circulation, sondage statistique, entretien,...
b) Le questionnaire de contrôle interne
(Q.C.I)
Le QCI est le guide de l'auditeur pour réaliser son
programme de travail et il doit donc permettre de réaliser l'observation
la plus complète possible. L'objectif est d'évaluer le dispositif
de contrôle interne pour chaque opération " à risques ".
(2)
c)Le travail sur terrain
Durant cette phase il s'agit pour l'auditeur de
répondre aux questions du QCI. Les outils à mettre en oeuvre sont
déterminés dans le QCI mais il se peut que lors de la phase de
terrain un outil s'avère inapproprié et qu'il faille en choisir
un autre.
Les outils vont des observations aux différentes sortes de
tests : analyse de documents, réconciliation des données,
entretiens,...
1Le service général d'audit
budgétaire ( SGAB), op-cit. 2Ibid.
L'auditeur ne peut jamais baser ses constats sur des
hypothèses ou intuitions, il doit avoir des preuves de ce qu'il
avance.
Il existe 4 critères de qualité de la preuve : pour
qu'un constat soit considéré comme prouvé et valable, la
preuve doit être :
~ PERTINENTE = en relation avec les
objectifs d'audit
~ SUFFISANTE = fonctionnelle,
appropriée et probante, présentant assez d'information
~ CONCLUANTE = fiable, elle doit
permettre d'aboutir à une conclusion aussi précise que possible
et certitude de la qualité de la source
~ UTILE = répondant aux
objectifs de l'organisation
Les preuves peuvent être classées en 4
catégories :
v' La preuve physique : c'est ce que
l'on voit, constate = observation.
1' La preuve testimoniale :
témoignages. C'est une preuve très fragile qui doit toujours
être recoupée et validée par d'autres preuves.
v' La preuve documentaire :
pièces comptables, procédures écrites, comptes-rendus,
notes,...faire attention à la qualité du document et à
l'analyse qu'on en fait.
v' La preuve analytique :
résulte de calculs, rapprochements, déductions et comparaisons
diverses. Les aléas ici se cumulent : ceux liés aux documents,
témoignages à partir desquels on va réaliser l'analyse
ainsi que les erreurs de calculs et de déductions de l'auditeur
lui-même.
d) La FRAP= Feuille de Révélation et
d'Analyse de Problème
Durant la phase de terrain, pour chaque dysfonctionnement
constaté, l'auditeur rédige une FRAP.
L'auditeur rempli une FRAP à chaque fois qu'une
observation révèle un problème. En fait, l'auditeur se
sert de la FRAP pour mener à bien son raisonnement.
Les FRAP serviront de base pour la rédaction du
rapport.(1)
e) La validation des constats et des
conclusions
L'auditeur doit systématiquement valider ses constats
ou ses conclusions en les présentant à la connaissance du
responsable afin de recueillir sa réaction sur les
éléments de preuve recueillis. Chaque FRAP est supervisée
par le chef de mission qui l'apprécie, situe sa place et son
degré d'importance par rapport à la mission. Les validations
individuelles et successives sont suivies de validations
générales en fin de mission (la réunion de clôture).
Tous les documents utilisés par l'auditeur interne durant la phase de
réalisation, appelés papiers de travail, sont
référencés. L'ensemble des FRAP après reclassement
constitue l'« ossature » du rapport d'audit. (2)
f) Le compte rendu final :
Le compte rendu final est la présentation orale, par le(s)
responsable(s) de la mission au principal responsable de l'entité
auditée, des observations les plus importantes. Le but est
1Le service général d'audit
budgétaire ( SGAB), op-cit. 2Préface de Louis Vaurs,
op-cit, p43.
d'informer rapidement et en premier le responsable de
l'entité auditée du résultat des travaux d'audit et des
conclusions dégagées.
Cette présentation est effectuée à la fin du
travail de terrain et avant la rédaction du projet de rapport. Il s'agit
d'une sorte de " pré-validation " générale.
g) L'appréciation du contrôle
interne
Trois éléments clés sont à prendre en
compte pour l'évaluation du CI :
· les travaux d'audit ont-ils mis en évidence des
anomalies ou des faiblesses significatives ?
· en cas de réponse positive, des corrections ou
améliorations ont-elles été apportées après
constatation des anomalies ou faiblesses ?
· ces anomalies ou faiblesses et leurs conséquences
sont-elles vraisemblablement généralisées et
entraînent-elles de ce fait un degré inacceptable de risque ?
(1)
3) La phase de conclusion
La phase de conclusion exige également et avant tout
une grande faculté de synthèse et une aptitude certaine à
la rédaction, encore que le dialogue ne soit pas absent de cette
dernière période. L'auditeur va cette fois élaborer et
présenter son produit après avoir rassemblé les
éléments de sa récolte.
a) La réunion de validation et de
clôture Cette réunion présente plusieurs objectifs
:
v' présenter et valider les constats ; v' expliquer
les recommandations ; v' fixer les modalités pratiques relatives au plan
d'action et au suivi de la mission.
Tous les éléments découverts lors de
l'audit doivent être présentés et validés par
l'audité. Le rapport final ne doit pas contenir d'éléments
qui n'auraient pas été présentés à
l'audité. Tout doit être compris et les audités doivent
reconnaître les constats comme exacts.
+ Personnes présentes
· le choix des participants de l'entité
auditée : logiquement, on retrouvera lors de la
réunion de clôture les personnes ayant participé à
la réunion de début de mission.
· la représentation du Service
d'audit : la présence ou non du responsable de l'Audit,
son rôle dans la réunion peuvent jouer lors de la
présentation afin de marquer l'entité auditée sur
l'importance de l'Audit.
+ Déroulement de la réunion de
clôture et de validation :
L'ordre du jour de cette réunion est l'examen du projet
de rapport qui a été remis à chaque participant, au moins
cinq (5) jours ouvrables avant la réunion.
1Le service général d'audit
budgétaire ( SGAB), op-cit.
> Présentation du projet par les
auditeurs
L'auditeur présente les points essentiels qui seront
évoqués et illustrera ceux-ci par des constats précis.
L'auditeur commencera si nécessaire par une
brève explication des processus en place. Ensuite, il abordera les
points forts ou satisfaisants qui n'ont pas fait l'objet de FRAP et finira par
les dysfonctionnements en fonction de leur importance.
> Observations des
audités
Dans le souci d'une participation des audités au
processus d'audit, un droit de réponse de ceux-ci sur le projet de
rapport est rendu possible. Celui-ci peut être informel et oral lors de
la réunion de clôture. Il peut également être
écrit et formel.
Lors de la réunion, deux types de
contestations peuvent se présenter à l'auditeur :
· contestations relatives aux constats
: deux situations possibles: soit l'auditeur fournit un
élément de preuve et la contestation s'éteint, soit il
n'est pas en mesure de fournir cet élément et il est
préférable d'abandonner le point litigieux.
· contestations relatives aux
recommandations : comme il s'agit d'un Projet, l'audité
peut éventuellement suggérer autre chose. L'audité reste
le spécialiste du sujet audité. Sa proposition peut englober des
aspects oubliés ou non vus par l'auditeur. Dans ce cas, l'auditeur peut
modifier voire annuler le contenu de son texte sur un point si l'audité
le convainc. Cela ne doit pas l'empêcher de maintenir son texte s'il
n'est pas convaincu. N'oublions pas que l'audité a toujours le droit de
refuser une recommandation lors de sa réponse écrite. En effet,
l'audité pourra encore réagir aux recommandations lors de ses
commentaires écrits et/ou lors de l'élaboration de son plan
d'action.
> Modalités relatives au plan d'action et
au suivi
Les auditeurs préciseront, lors de cette
réunion, la date de remise des commentaires écrits (si
nécessaire) sur les constats et les recommandations et les
modalités relatives au plan d'action (date de remise, insertion ou non
dans le rapport, nom du responsable).
La réunion de validation doit faire l'objet d'un
compte rendu intégrant toutes les remarques sur les constats et les
recommandations. Ce compte rendu est envoyé pour approbation à
l'audité.
b) Le rapport d'audit final
Le rapport d'audit final ne peut être
rédigé que lorsque les audités ont remis leurs
commentaires écrits, si prévus lors de la réunion de
validation.
Toute mission d'audit s'achève par la rédaction
d'un rapport. C'est pourquoi au cours de cette phase, il convient d'obtenir
l'adhésion des membres de l'équipe d'auditeurs et des
audités impliqués dans la mission lors de la réunion de
clôture.
C'est au responsable qu'incombe la charge de communiquer les
résultats de l'audit.
Ce rapport fait apparaître les mentions suivantes :
une page de garde comprenant le titre complet de la mission, la
date, les auditeurs ayant participé à la mission ;
l'ordre de mission, qui doit être placé en
tête du rapport ;
le sommaire ;
une note de synthèse de deux à trois pages
permettant aux destinataires principaux du rapport d'avoir l'essentiel des
conclusions du travail d'audit, datée et signée par le chef de
mission ;
le rapport proprement dit ;
les annexes.
Toutefois, il n'y a pas d'unanimité sur la forme du
rapport d'audit dans les entreprises. Pour certains auditeurs internes, «
le rapport doit donc être rédigé, comme un rapport doit
l'être selon la tradition ». (1)
Principes généraux du rapport
d'audit
· le rapport doit être complet, constructif,
objectif et clair. La signature du rapport par le responsable donne l'exemple
de responsabilité. Même en cas de conclusions positives, un
rapport doit être rédigé.
· le rapport ne doit contenir que des
éléments qui ont été présentés aux
responsables audités. C'est à cette fin que la réunion de
validation et de clôture est organisée.
· le rapport doit être structuré pour des
lecteurs différents. C'est pourquoi, il comprend un exposé
général et une synthèse. L'exposé
général doit être complet et technique et apporter toutes
les informations utiles aux responsables audités et aux responsables des
actions à entreprendre. La synthèse s'adresse à des
personnes qui doivent être informées et sensibilisées mais
qui n'ont pas à résoudre les dysfonctionnements
relevés.
· le rapport doit être objectif, clair, concis,
utile et le plus convaincant possible.
· le rapport doit être revu par au moins une personne
du Service d'audit qui n'a pas participé à sa
rédaction.
Le rapport d'audit a deux objectifs distincts :
1' il s'agit d'un document d'information pour la
hiérarchie ;
v' il s'agit d'un outil de travail pour les audités.
C'est à partir du Rapport que l'audité prend les mesures
correctrices.
c) Plan d'action
Le service d'audit n'ayant ni l'autorité ni la
responsabilité de mettre en place dans les entités
auditées les recommandations qu'il a faites, il est demandé
à la Direction de ces entités d'élaborer des plans
d'action visant à mettre en oeuvre les recommandations,
c'est-à-dire de prendre des mesures pour gérer les risques.
1Préface de Louis Vaurs, op-cit, p45.
Le service d'audit transmet une note d'information sur la
manière d'élaborer les plans d'action.
Le plan d'action doit être validé par le service
d'audit. Ce dernier doit émettre des observations s'il estime le plan
d'action partiellement ou totalement insuffisant. Le responsable du service
audité y apporte alors les modifications
nécessaires.(1)
| 
