INSTITUT AFRICAIN DE MANAGEMENT MODULE 2 CONTRÔLE INTERNE ET MÉTHODOLOGIE D’AUDIT INTERNE MASTER 1 Animateur : Idrissa Seydou TRAORE 2009-2010 SOMMAIRE PREMIÈRE PARTIE : CONTRÔLE INTERNE SELON LE COSO Chapitre I : Définitions et objectifs I-1. Définitions I-2. Objectifs Chapitre II : Les composantes du contrôle interne II-1. Environnement de contrôle II-2. Évaluation des risques II-3. Activité de contrôle II-4. Information et communication II-5. Pilotage Chapitre III : Principes, limites et avantages, rôles et responsabilités III-1. Principe a- Organisation b- Intégration c- Permanence d- Universalité du contrôle e- Indépendance f- Information g- Harmonie du contrôle h- Prévision i- Qualité du Personnel III-2. Limites et avantages du contrôle interne III-3. Rôles et responsabilités DEUXIÈME PARTIE : MÉTHODOLOGIE D’AUDIT INTERNE Chapitre I : Présentation de l’Audit Interne I-1. Définitions I-2. Objectifs I-3. Missions Chapitre II : Initiation à l’Audit Interne II-1. Attributions de l’auditeur interne II-2. Typologie d’audit II-3. Les référentiels de l’audit interne Chapitre III : Organisation de l’auditeur interne III-1. Rattachement hiérarchique III-2. Organisation interne III-3. Moyens de l’audit interne Chapitre IV : Conduite de missions d’audit interne IV-1. Phase de préparation IV-2. Phase de réalisation ou de vérification IV-3. Phase de conclusion IV-3. Phase de suivi du rapport IV-4. Outils et techniques d’audit Chapitre V : Les organisations professionnelles d’Audit Interne 1 - The Institute of Internal Auditors (IIA) 2 - Union Francophone de l’Audit Interne (UFAI) 3- Institut Français de l’Audit et du Contrôle interne (IFACI) 3 – Association des Contrôleurs, Inspecteurs et Auditeurs du Mali (ACIAM) PREMIÈRE PARTIE : CONTRÔLE INTERNE SELON LE COSO Chapitre I : Définitions et objectifs I-1. Définition du contrôle interne La notion de contrôle Plusieurs types de contrôles : • Contrôles focalisés sur les Résultats = Contrôle de Gestion, Contrôle Budgétaire, Contrôle Qualité, … ; • Contrôles focalisés sur les comportements (fraude) = Inspection ; • Contrôles focalisés sur les processus = contrôle interne Important : Lorsqu’on parle de contrôle interne, il faut l’entendre comme un état d’esprit, une mentalité et non pas comme une fonction. Pourquoi le contrôle interne ? Deux phénomènes (parmi tant d’autres) La complexité croissante des entreprises et la dispersion des centres d’activités, ont fait croître et développer la délégation de pouvoir, seul moyen permettant au dirigeant de diriger à distance. Ce phénomène a fait naître un certain nombre de scandale financier Perte de contrôle du management sur les collaborateurs Perte de contrôle des actionnaires ou autorité de tutelle sur le management Le domaine du normatif n’a cessé de s’étendre : lois, règlements, contraintes professionnelle et sociale… C’est pour répondre à ces deux interrogations et à quelques autres, que des initiatives ont été prises, lesquelles ont permis de définir avec précision les spécificités du contrôle interne et de lui assigner des objectifs. Définition Le contrôle interne se définit selon le Committee of Sponsoring Organizations of the Treadway Commission (COSO) « Un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants: Réalisation et l’optimisation des opérations ; Fiabilité des informations financières et de gestion ; Conformité aux lois et aux réglementations en vigueur. » Caractéristiques du Contrôle Interne C’est un processus : C’est un moyen, non une fin en soi ; Il est permanent. Il n’arrive pas une fois pour toute ou occasionnellement ; C’est un ensemble d’actions qui se répandent à travers toutes les activités de l’entreprise ; Ce n’est pas une fonction. Il ne peut donner qu’une assurance raisonnable sur la réalisation des objectifs : Une assurance à 100% n’existe pas ; Cf. III.2 « Limites du Contrôle Interne ». La dimension culturelle : L’évaluation du contrôle interne ne doit jamais se faire « in abstracto ». Elle doit impérativement tenir compte du milieu culturel de l’entreprise ; Une organisation jeune, en phase d’expansion un système de contrôle interne souple et adapté ; Une organisation complexe, arrivée à maturité un système de contrôle interne plus élaboré. La dimension universelle : Le contrôle interne concerne toutes les activités de l’organisation ; Il se construit avec les mêmes dispositifs ; Il s’apprécie avec la même méthodologie et les mêmes outils. Rôle du Management : Quel que soit le dispositif mis en place, c’est le Management qui est responsable du Contrôle Interne : - Définition des tâches du personnel ; - Définition des méthodes de travail ; - Mise en place d’un système d’info. ; - Supervision des activités. I-2. Objectifs du contrôle interne Nous pouvons citer 4 Objectifs : Protection et sauvegarde du patrimoine ; Qualité des informations ; Respect des directives ; Optimisation des ressources (efficience). A- Protection et sauvegarde du patrimoine: - Patrimoine : biens et dettes - Protection : protéger ou défendre un éventuel agresseur - Sauvegarde : conservation, préservation à plus long terme B- Qualité des informations : Ces informations doivent être : - Fiables et Vérifiables ; - Exhaustives ; - Pertinentes (adaptées au but poursuivi) ; - Disponibles. C- Respect des directives : - Dispositions législatives et réglementaires ; - Politiques, plans et procédures ; - Dispositions individuelles ou conjoncturelles. D- Optimisation des ressources : - L’entreprise a-t-elle les moyens de sa politique ? - Les moyens dont dispose l’entreprise sont-ils utilisés de façon optimale ? Chapitre II : Les composantes du contrôle interne Il existe cinq (5) composantes autrement dit cinq (5) conditions essentielles qui sous-tendent la mise en place d’un meilleur contrôle interne au sein d’une organisation : L’environnement de contrôle (culture de contrôle) Une évaluation des risques ; Des opérations de contrôle (activité de contrôle) ; Un système d’informations et une politique de communication ; Pilotage (suivi). II-1. Environnement de contrôle Intégrité et sens de l’éthique ; Compétence ; Procédures, indicateurs de performance ; Plan d’organisation ; Délégations de pouvoirs ; Politique de GRH ; Comité d’audit. II-2. Évaluation des risques Identification et analyse des risques susceptibles d’avoir un impact sur la réalisation des objectifs ; Comment ? - Définir les objectifs ; - Identifier les risques - Analyser les risques (gravité, probabilité, conséquences, etc.) ; - Gérer les risques. II-3. Activité de contrôle Ce sont les différents contrôles qui permettent de vérifier que les mesures sont prises pour maîtriser les principaux risques ; Ces contrôles peuvent être de plusieurs types : - Analyse des performances ; - Approbation, autorisation, etc. ; - Vérification de l’exactitude, de l’exhaustivité ou de l’autorisation d’une transaction ; - Contrôle physique (Ex : Inventaires) ; - Séparation des tâches ; - etc. NB : Ces contrôles sont menés à tous les niveaux de l’organisation et par toutes les fonctions. II-4. Information et communication Les systèmes d’information et de communication doivent être articulés autour des activités de contrôle ; Ces systèmes permettent au personnel de recueillir et d’échanger les informations nécessaires à la conduite, à la gestion et au contrôle des opérations ; Nature des opérations : - Informations financières ; - Informations/Marché ; - Informations/Biens et Services ; - Etc. Le personnel doit comprendre le rôle qu’il est appelé à jouer dans le système de Contrôle Interne II-5. Pilotage Système de suivi permanent dans le cadre des activités courantes de l’entreprise (hiérarchie + ensemble du personnel) ; Évaluation périodique des systèmes de Contrôle Interne (Auditeurs Internes). Chapitre III : Principes, limites et avantages, rôles et responsabilités III-1. Principes Selon le COSO nous pouvons citer 9 principes du contrôle interne : A- Principes d’organisation L’organisation doit être : préalable, adaptée et adaptable, vérifiable (existence d’organigramme et de procédures), formalisée. Séparation des fonctions B- Principe d’intégration Le contrôle interne doit être intégré à l’organisation de l’entreprise de telle sorte qu’il y ait autocontrôle et que les procédures en vigueur signalent toutes erreurs ou anomalies. C- Principe de permanence La mise en place de l’organisation de l’entreprise et de son système de régulation- le contrôle interne- suppose une certaine pérennité de ces systèmes. Il est évident que cette pérennité repose nécessairement sur celle de l’exploitation. D- Principe d’universalité Ce principe signifie que le contrôle interne concerne toutes les personnes dans l’entreprise, en tout temps et en tout lieu. Autrement dit personne n’est exclue du contrôle par quelques considérations que ce soient: il n’y a ni privilège, ni domaines réservés, ni établissement mis en dehors du CI. E- Principe d’indépendance Le principe d’indépendance implique que les objectifs de contrôle interne sont à atteindre indépendamment des méthodes, procédés et moyens de l’entreprise. F- Principe d’information La pertinence L’utilité L’objectivité La communicabilité Vérifiabilité G- Principe d’harmonie ou d’adéquation On entend par « principe d’harmonie », l’adéquation du contrôle interne aux caractéristiques de l’entreprise et de son environnement. Sinon le contrôle interne formerait un ensemble rigide et contraignant qui n'est pas l'objectif recherché. H- Principe de prévision Planification ; Approche volontariste du changement plutôt que déterministe. I- Qualité du personnel Compétence; Moralité. III-2. Limites et avantages du contrôle interne Limites/Objectifs : Aucun système ne peut prévenir : L’erreur ; L’omission ; La fraude. Cependant, le système doit permettre de détecter ces dysfonctionnements lorsqu’ils surviennent, et surtout de les corriger. Limites/Moyens : Établir le ratio Coût/Bénéfice Relativiser la notion de Contrôle Interne ; Autres limites : Collusion ; Le Contrôle Interne ne peut rendre compétente une personne incompétente. III-3. Rôles et responsabilités Le management (PDG, DG) : Posséder une éthique élevée ; Faire preuve d’intégrité ; Influer sur l’environnement de contrôle ; Définir les valeurs à partager ; Arrêter les objectifs généraux de l’entreprise. Le Conseil d’Administration : Piloter les activités ; Surveiller les activités ; Définir ses attentes ; Choisir les Hommes. Les Auditeurs Internes : Examiner et évaluer le système de Contrôle Interne ; Faire des recommandations pour une meilleure prise en charge. Les autres membres du personnel : Produire les informations utilisées dans le système de Contrôle Interne Communiquer aux supérieurs hiérarchiques des problèmes constatés au niveau des opérations. DEUXIÈME PARTIE : MÉTHODOLOGIE D’AUDIT INTERNE Chapitre I : Présentation de l’Audit Interne I-1. Définitions A. Ancienne définition « L’Audit Interne est à l’intérieur d’une organisation, une fonction indépendante d’appréciation du contrôle des opérations, il est au service de l’organisation. C’est, dans ce domaine, un contrôle qui a pour fonction d’estimer et d’évaluer l’efficacité des autres contrôles. Son objectif est d’assister les membres de l’organisation dans l’exercice de leurs responsabilités. A cette fin, l’Audit Interne fournit des analyses, des appréciations, des recommandations, des avis et des informations concernant les activités examinées ». Définition extraite de la « Déclaration des responsabilités de l’Audit Interne » de l’IIA. B. Nouvelle définition « L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité ». (Adoptée par le CA de l’IIA du 29 juin 1999) (Adoptée et traduit par l’IFACI en mars 2000) Commentaires sur la nouvelle définition Cette nouvelle définition montre que l’Audit Interne est une activité et non une fonction, comme dans l’ancienne définition. L’Audit Interne s’oriente vers : - une assurance sur le degré de maîtrise des risques, ce qui va au-delà de l’évaluation d’une conformité à des critères préétablis, - une réponse à des attentes d’aide et de conseils sans oublier ses missions traditionnelles, - une création de valeur ajoutée à l’instar d’autres activités de l’entreprise : en terme d’expertise de professionnalisme, d’adhésion aux meilleures pratiques en faisant profiter l’organisation de notre connaissance approfondie de l’ensemble de ses processus et des risques liés, I-2. Les objectifs Le but de l’Audit Interne est de seconder la direction dans l’accomplissement efficace de ses responsabilités en déterminant, et en l’en informant, si les contrôles garantissent ou non : que les objectifs, les politiques, l’organisation, les procédures et les plans de la société sont respectées et conformes aux réglementations légales. Dans ce but, l’audit Interne doit être tenu informé des objectifs, politiques et plans. Que des sécurités efficaces existent afin de prévenir les pertes ou les dommages qui pourraient survenir aux actifs corporels et incorporels de la société. Que les états et les rapports d’activité sont fiables. Cette appréciation devra porter, entre autres choses, sur l’efficacité du contrôle budgétaire, la validité de données utilisées pour l’évaluation des projets et plus particulièrement sur toute statistique utilisée par la direction pour la prise de décision opérationnelle ou en matière d’investissement. Qu’un souci d’efficacité préside à l’utilisation des moyens matériels humains et financiers. I-3. Les missions Deux types de mission : - Missions d’assurance - Missions de conseil A. Mission d’assurance Dans le cadre des missions d’assurance, l’auditeur interne procède à une évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur un processus, un système ou tout autre sujet. Il détermine la nature et l’étendue de ses missions qui comportent généralement trois types d’intervenants : (1) la personne ou le groupe directement impliqué dans le processus, le système ou le sujet examiné – autrement dit le propriétaire du processus, (2) la personne ou le groupe réalisant l’évaluation – l’auditeur interne, et (3) la personne ou le groupe qui utilise les résultats de l’évaluation – l’utilisateur. A. Mission de conseil Les missions de conseil sont généralement entreprises à la demande d’un client. Leur nature et leur périmètre font l’objet d’un accord avec ce dernier. Elles comportent généralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils – en l’occurrence l’auditeur interne, (2) et la personne ou le groupe donneur d’ordre auquel ils sont destinés – le client. Lors de la réalisation de missions de conseil, l’auditeur interne doit faire preuve d’objectivité et n’assumer aucune fonction de management. Chapitre II : Initiation à l’Audit Interne II-1. Attributions de l’auditeur interne A. Attributions générales Recevoir les objectifs et les moyens de la part de la Direction; Évaluer l’efficacité et la pertinence du système de contrôle interne ; Faire toutes propositions pour l’amélioration du système de contrôle interne. Promouvoir et aider les responsables à s’approprier le contrôle interne dans l’organisation. B. Attributions spécifiques La gestion de l'ensemble des procédures de l’organisation visant la sauvegarde du patrimoine et la bonne circulation ainsi que la fiabilité des informations financières et comptables; Le suivi de la mise en œuvre des procédures par tout le personnel; Le suivi de la mise à jour des procédures pour tenir compte des mutations dans l'établissement; Le recensement et le classement de l'ensemble des notes de service; L'organisation, le suivi et le contrôle des inventaires de fin d'exercice (stocks, caisse, immobilisations) Appréciation de : - la pertinence du dispositif de contrôle interne, - la qualité et la performance du système d’information, - l’efficacité des organisations et l’utilisation de leurs moyens et ressources, - les moyens mis en place pour définir et appliquer la stratégie et les objectifs définis par la direction générale. Interlocuteur des commissaires aux comptes (organisation de leurs interventions); Examiner et apprécier la rectitude, la suffisance et l’application des contrôles comptables, financiers et opérationnels et promouvoir un contrôle efficace à un coût raisonnable ; Vérifier le degré de mise en œuvre des politiques, des plans et des procédures institués dans l’organisation ; Vérifier à quel point les actifs de l’organisation sont justifiés et préservés des pertes de toutes sortes ; Vérifier le degré de confiance qui s’attache aux renseignements comptables et autres élaborés dans le cadre de l’entreprise ; Apprécier la qualité avec laquelle sont remplies les différentes responsabilités déléguées dans le cadre de l’organisation ; Recommander des améliorations opérationnelles. Aptitudes professionnelles : - Humilité - Dynamisme - Rigueur - Intégrité - Pouvoir de persuasion - Sens élevé de relations humaines - Pédagogie - Recherche de l'excellence. II-2. Typologie d’audit Audit de régularité Audit d’efficacité ou opérationnel Audit de management Audit stratégique Audit de régularité - Vérification du respect des normes, des règlements, des procédures internes et externes à l'entreprise ; - Examen de la fiabilité et de l'exhaustivité des informations financières et de gestion ; - Contrôle des dispositions prises pour assurer la sécurité physique des actifs. Audit d’efficacité ou opérationnel - Examen du bien-fondé des méthodes et des procédures ; - Appréciation de l'adéquation des moyens engagés par rapport aux objectifs ; - Étude des performances et de la pertinence des structures. Audit de management Examen des politiques, des systèmes de gestion et des modes opératoires en vue d’apprécier : - L’efficacité - Et l’efficience des opérations Audit stratégique - Examen de l’adéquation du plan stratégique avec les exigences et l’évolution de l’environnement interne et externe; - Examen du positionnement dans l'entreprise de l'entité auditée, et de l'adéquation des orientations et politiques décidées par les responsables; - Évaluation de la qualité des méthodes de pilotage et de gestion ; - Analyse de la sincérité des résultats obtenus. II-3. Les référentiels de l’audit interne Les normes pour la pratique professionnelle de l’audit interne et enfin ; Le code de déontologie de l’audit interne. A. Les normes pour la pratique professionnelle de l’audit interne Objet Les Normes ont pour objet : - de définir les principes de base que la pratique de l’audit interne doit suivre ; - de fournir un cadre de référence pour la réalisation et la promotion d’un large éventail d’activités d’audit interne apportant une valeur ajoutée ; - d’établir les critères d’appréciation du fonctionnement de l’audit interne ; - de favoriser l'amélioration des processus organisationnels et des opérations. Les Normes se composent : • des Normes de qualification, qui énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne. • des Normes de fonctionnement décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis. Les Normes de qualification et les Normes de fonctionnement s’appliquent à tous les services d’audit. • des Normes de mise en œuvre précisent les Normes de qualification et les Normes de fonctionnement en indiquant les exigences applicables dans les activités d’assurance (A) ou de conseil (C). A.1. Normes de qualification 1000 – Mission, pouvoir et responsabilité La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale et du Conseil. 1000. A1 – La nature des missions d'assurance réalisées pour l'organisation doit être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature doit être également définie dans la charte d'audit interne. 1000. C1 – La nature des missions de conseil doit être définie dans la charte d'audit interne. 1010 – Reconnaissance de la définition de l’audit interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interne Le caractère obligatoire de la définition de l’audit interne, du Code de Déontologie ainsi que des Normes doit être reconnu dans la charte d'audit interne. Le responsable de l’audit interne présente la définition de l’audit interne, le Code de Déontologie ainsi que les Normes à la direction générale et au Conseil. Nouveau 1100 – Indépendance et objectivité L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité. 1110 – Indépendance dans l'organisation Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation. 1110. A1 – L'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats. 1111 – Relation directe avec le Conseil Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. Nouveau 1120 – Objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt. 1130 – Atteinte à l'indépendance ou à l'objectivité Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance. 1130. A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente. 1130. A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne. 1130. C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées à des opérations dont ils ont été auparavant responsables. 1130. C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont susceptibles d'être compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le client donneur d'ordre avant de les accepter. 1200 – Compétence et conscience professionnelle Les missions doivent être conduites avec compétence et conscience professionnelle. 1210 – Compétence Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. 1210. A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission. 1210. A2 – Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes. 1210. A3 – Les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique. 1210. C1 – Le responsable de l'audit interne doit décliner une mission de conseil ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de la mission. 1220 – Conscience professionnelle Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité. 1220. A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique professionnelle en prenant en considération les éléments suivants : • l'étendue du travail nécessaire pour atteindre les objectifs de la mission ; • la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures propres aux missions d'assurance ; • l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle ; • la probabilité d'erreurs significatives, de fraudes ou de non-conformité; • le coût de la mise en place des contrôles par rapport aux avantages escomptés. 1220. A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse des données. 1220. A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard des risques significatifs susceptibles d'affecter les objectifs, les opérations ou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés. 1220. C1 – Les auditeurs internes doivent apporter à une mission de conseil toute leur conscience professionnelle, en prenant en considération les éléments suivants : • les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication des résultats de la mission ; • la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les objectifs fixés ; • son coût par rapport aux avantages escomptés. 1230 – Formation professionnelle continue Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue. 1300 – Programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne. 1310 – Exigences du programme d'assurance et d'amélioration qualité Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu’externes. 1311 – Évaluations internes Les évaluations internes doivent comporter : • une surveillance continue de la performance de l'audit interne ; • des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne. 1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : • du besoin d'augmenter la fréquence de ces évaluations externes ; • des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. 1320 – Rapports relatifs au programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et d'amélioration qualité à la direction générale ainsi qu’au Conseil. 1321 – Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré. 1322 – Indication de non-conformité Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction générale et le Conseil de cette non-conformité et de ses conséquences. A.1. Normes de fonctionnement 2000 – Gestion de l'audit interne Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à l’organisation. 2010 – Planification Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation. 2010. A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la direction générale et du Conseil doivent être pris en compte dans ce processus. 2010. C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne, avant de l'accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées doivent être intégrées dans le plan d'audit. 2020 – Communication et approbation Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources. 2030 – Gestion des ressources Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé. 2040 – Règles et procédures Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne. 2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. 2060 – Rapports à la direction générale et au Conseil Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte : • de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles correspondants ; • des sujets relatifs au gouvernement d’entreprise et ; • de tout autre problème répondant à un besoin ou à une demande de la direction générale ou du Conseil. 2100 – Nature du travail L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des risques et de contrôle et contribuer à leur amélioration sur la base d’une approche systématique et méthodique. 2110 – Gouvernement d'entreprise L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : • promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation; • garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; • communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; • fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités. 2110. A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité des objectifs, des programmes et des activités de l'organisation liés à l'éthique. 2110. A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information de l’organisation soutient et supporte la stratégie et les objectifs de l’organisation. Nouveau 2110. C1 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs et objectifs généraux de l'organisation. 2120 – Management des risques L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration. 2120. A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de : • la fiabilité et l'intégrité des informations financières et opérationnelles; • l'efficacité et l'efficience des opérations; • la protection des actifs; • le respect des lois, règlements et contrats. 2120. A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est géré par l’organisation. Nouveau 2120. C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir les risques liés aux objectifs de la mission et demeurer vigilant vis-à-vis de l’existence de tout autre risque susceptible d’être significatif. 2120. C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques acquises lors de missions de conseil pour évaluer les processus de management des risques de l'organisation. 2120. C3 – Lorsque les auditeurs internes aident le management dans la conception et l’amélioration des processus de management des risques, ils doivent s’abstenir d’assumer une responsabilité opérationnelle en la matière. Nouveau 2130 – Contrôle L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. 2130. A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants : • la fiabilité et l'intégrité des informations financières et opérationnelles ; • l'efficacité et l'efficience des opérations ; • la protection des actifs ; • le respect des lois, règlements et contrats. 2130. A2 – Les auditeurs internes devraient déterminer dans quelle mesure des buts et objectifs concernant les opérations et les programmes ont été définis et si ces buts et objectifs sont conformes à ceux de l'organisation. 2130. A3 – Les auditeurs internes devraient passer en revue les opérations et les programmes afin de déterminer dans quelle mesure les résultats suivent les buts et objectifs établis et si ces opérations et programmes sont mis en œuvre ou réalisés comme prévu. 2130. C1 – Au cours des missions de conseil, les auditeurs internes doivent examiner les dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'existence de tout problème de contrôle significatif. 2130. C2 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de contrôle de l’organisation. 2200 – Planification de la mission Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées. 2201 – Considérations relatives à la planification Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : • les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable ; • la pertinence et l'efficacité des processus de management des risques et de contrôle de l'activité, en référence à un cadre ou modèle de contrôle approprié ; • les opportunités d'améliorer de manière significative les processus de management des risques et de contrôle de l'activité. 2201. A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation, les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la mission, les responsabilités et les attentes respectives, et préciser les restrictions à observer en matière de diffusion des résultats de la mission et d'accès aux dossiers. 2201. C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet accord doit être formalisé. 2210 – Objectifs de la mission Les objectifs doivent être précisés pour chaque mission. 2210. A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation. 2210. A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de nonconformité et d’autres risques importants. 2210. A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle. Les auditeurs internes doivent déterminer dans quelle mesure le management a défini des critères adéquats pour apprécier si les objectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler avec le management pour élaborer des critères d'évaluation appropriés. 2210. C1 – Les objectifs d'une mission de conseil doivent porter sur les processus de gouvernement d'entreprise, de management des risques et de contrôle dans la limite convenue avec le client. 2220 – Champ de la mission Le champ doit être suffisant pour répondre aux objectifs de la mission. 2220. A1 – Le champ de la mission doit couvrir les systèmes, les documents, le personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers. 2220. A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser les objectifs et le champ de la mission de conseil, les responsabilités et les attentes respectives. Les résultats de la mission de conseil sont communiqués conformément aux normes applicables à ces missions. 2220. C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ d'intervention permet de répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission. 2230 – Ressources affectées à la mission Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles. 2240 – Programme de travail de la mission Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission. 2240. A1 – Le programme de travail doit faire référence aux procédures à appliquer pour identifier, analyser, évaluer et documenter les informations lors de la mission. Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajustements éventuels doivent être approuvés rapidement. 2240. C1 – Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de la mission. 2300 – Accomplissement de la mission Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission. 2310 – Identification des informations Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. 2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. 2330 – Documentation des informations Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. 2330. A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. 2330. A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre. 2330. C1 – Le responsable de l'audit interne doit définir des procédures concernant la protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre appropriée. 2340 – Supervision de la mission Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué. 2400 – Communication des résultats Les auditeurs internes doivent communiquer les résultats de la mission. 2410 – Contenu de la communication La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. 2410. A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion globale des auditeurs internes et/ou leurs conclusions. 2410. A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la communication des résultats de la mission. 2410. A3 – Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant pas partie de l'organisation, les documents communiqués doivent préciser les restrictions à observer en matière de diffusion et d'exploitation des résultats. 2410. C1 – La communication sur l'avancement et les résultats d'une mission de conseil variera dans sa forme et son contenu en fonction de la nature de la mission et des besoins du client donneur d'ordre. 2420 – Qualité de la communication La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile. 2421 – Erreurs et omissions Si une communication finale contient une erreur ou une omission significative, le responsable de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la version initiale. 2430 – Utilisation de la mention « conduit conformément aux Normes internationales pour la pratique professionnelle de l’audit interne » Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites conformément aux Normes internationales pour la pratique professionnelle de l’audit interne » seulement si les résultats du programme d’assurance et d’amélioration qualité le démontrent. Nouveau 2431 – Indication de non-conformité Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie ou aux Normes, la communication des résultats doit indiquer : • les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec lesquelles la mission n’a pas été en conformité ; • la ou les raisons de la non-conformité ; • l'incidence de la non-conformité sur la mission et sur les résultats communiqués. 2440 – Diffusion des résultats Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. 2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs aux destinataires à même de garantir que ces résultats recevront l'attention nécessaire. 2440-A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant pas partie de l'organisation : • évaluer les risques potentiels pour l'organisation ; • consulter la direction générale et/ou, selon les cas, un conseil juridique ; • maîtriser la diffusion en imposant des restrictions quant à l'utilisation des résultats. 2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs des missions de conseil à son client donneur d'ordre. 2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux processus de gouvernement d'entreprise, de management des risques et de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour l'organisation, ils doivent être communiqués à la direction générale et au Conseil. 2500 – Surveillance des actions de progrès Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management. 2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le management ou que la direction générale a accepté de prendre le risque de ne rien faire. 2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions de conseil conformément à l'accord passé avec le client donneur d'ordre. 2600 – Acceptation des risques par la direction générale Lorsque le responsable de l'audit interne estime que la direction générale a accepté un niveau de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec elle. Si aucune décision concernant le risque résiduel n’est prise, le responsable de l’audit interne doit soumettre la question au Conseil aux fins de résolution. B. Le code déontologie de l’audit interne Nous pouvons définir la déontologie comme étant l’ensemble règles qui régissent une profession et la conduite de ceux qui l’exercent. Le code de déontologie va au-delà de la définition de l’audit interne et inclut deux composantes essentielles : – Des principes fondamentaux pertinents pour la profession et pour la pratique de l’audit interne; – Des règles de conduite décrivant les normes de comportement attendues des auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux et ont pour but de guider la conduite éthique des auditeurs internes. Principes Fondamentaux : Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants: Intégrité Objectivité Confidentialité Compétence B1. Principes fondamentaux Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. Confidentialité : Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation de leurs travaux. B.2. Règles de conduite Intégrité : Les auditeurs internes : – Doivent accomplir leur mission avec honnêteté, diligence et responsabilité. – Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession. – Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la profession d’audit interne ou leur organisation. – Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation. Objectivité: Les auditeurs internes : – Ne doivent pas prendre part à des activités ou établir des relations qui pourraient compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les intérêts de leur organisation. – Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel. – Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas révélés, auraient pour conséquence de fausser le rapport sur les activités examinées. Confidentialité: Les auditeurs internes : – Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités. – Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation. Compétence : Les auditeurs internes : – Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience nécessaires. – Doivent réaliser leurs travaux d’audit interne dans le respect des Normes pour la Pratique Professionnelle de l’Audit Interne. – Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux. Chapitre III : Organisation de l’auditeur interne III-1. Rattachement hiérarchique Les services d'audit doivent être rattachés à l'échelon le plus élevé pour garantir leur indépendance et leur efficacité. On estime que le rattachement le plus approprié est la Direction générale. On trouve pourtant des services d'audit rattachés à la direction financière. Selon une étude de l'IFACI, en France, en dehors des banques, seule une entreprise sur deux rattachent leur service audit à la Direction Générale. Aux USA, les services d'audit interne sont rattachés à un comité d'audit qui a pouvoir de décision sur le Plan d'Audit, le service des recommandations et la nomination du Directeur de l'Audit Interne. Il faut cependant se mettre à l'évidence que ce qui est important c’est plus l'esprit du rattachement (comportement de celui auquel le service est rattaché) et la force de caractère des auditeurs que le rattachement formel lui-même. III-2. Organisation interne Organisation hiérarchique - Directeur de l'audit interne - Directeur Adjoint - Chef de mission - Auditeur Structure élémentaire Direction générale Service Audit interne Chef de service Autres fonctions La fonction d'audit n'est exercée que par une et une seule personne. Ce dernier est l'homme orchestre du service d'Audit Interne. Structure simple Direction générale Service Audit interne Chef de service Chef de mission Auditeur Auditeur Autres fonctions • Existence d’un responsable, d’un ou plusieurs chefs de missions et d’auditeurs. • La mission d’Audit Interne est menée par une équipe d’auditeurs, dirigée par un chef de mission. Les auditeurs produisent, le chef de mission conduit la mission, et le responsable de l’Audit Interne dirige l’ensemble du service et en assume la responsabilité générale. • Le chef de mission est responsable du succès de la mission, vis-à-vis du responsable du service d’Audit Interne et des audités. Son rôle est d’animer et de contrôler la progression des travaux, d’assurer leurs bonnes qualités, et d’assumer l’interface avec les audités. • Les auditeurs mènent les investigations dont ils ont été chargés par le chef de mission. Ils effectuent les travaux correspondants, y compris les FRAP, puis les font superviser par les chefs de mission. III-3. Moyens de l’audit interne - La charte d’audit - le manuel d’audit interne - La cartographie des risques - le plan d’audit - le manuel de procédures - les dossiers et papiers de travail a- La charte d’audit • Qu’est ce que c’est que la charte d’audit ? Selon le CRIPP (Cadre de Référence International des Pratiques Professionnelles) La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil. • Facteurs à prendre en compte La charte doit remplir quatre conditions qui sont : - le document doit être agréé et signé par la plus haute autorité de l’organisation ; - il doit être distribué, et si possible, commenté, à tous les futurs audités ; - les références normatives qui vont lui donner une autorité extérieure, doivent y figurer ; - il doit être conçu dans une forme cohérente avec la culture et les habitudes de l’organisation. • Contenu d’une charte d’audit - principes et modalités d’application de la charte (rappel des exigences des normes) missions de l’audit interne : distinction entre l’audit interne et d’autres fonctions, rôle de l’audit interne, nature des travaux d’audit interne; - organisation de la fonction audit interne : position hiérarchique, vocation, composition et fonctionnement du comité d’audit ; - domaines d’intervention. - Nature des interventions : missions récurrentes et spécifiques; - conditions d’exercice de l’audit interne : accès aux documents, aux locaux aux biens et aux personnes, obligations de l’audit interne; - règles de conduite et de déontologie de l’auditeur : rappel des exigences du code de déontologie et des normes en la matière, limites du SAI qui ne peut donner une assurance absolue ; - incompatibilités : cumul de fonction d’auditeur interne avec des responsabilités opérationnelles même par intérim sauf pour le contrôle de gestion en ce qui concerne le chef de SAI. La responsabilité de l’observation des incompatibilités est confiée au comité d’audit ; - planification des activités : plan pluriannuel, plan annuel et missions hors programme ; - constitution des équipes d’audit interne : conditions de participation et composition des équipes d’audit interne ; - déroulement d’une mission d’audit interne : préparation et réalisation de la mission, restitution des conclusions (compte rendu oral, réunion de validation, droit de dénonciation et de récusation du rapport aux responsables audités), suivi de mise en œuvre des recommandations ; - présentation, contenu et destinataires du rapport d’audit interne ; indicateurs de mesure de l’activité d’audit interne : indicateurs d’activité, de qualité et de coût ; - rapport annuel d’activité de l’audit interne ; - manuel d’audit interne : élaboration d’un manuel décrivant organisation, méthodes et procédures de travail pour la conduite des missions et le comportement des auditeurs ; - légitimité du pouvoir de contrôle de l’audit interne : inaliénable et conféré par la charte ; - modalités de mise à jour de la charte. b- Le manuel d’audit interne • Qu’est ce que c’est que le manuel d’audit ? C’est un document matérialisant l’organisation et les procédures du service d’audit. • Objectifs visés - définir de façon précise le cadre de travail (organigramme du service, analyse des postes des auditeurs, condition générale de travail) ; - aider à la formation de l’auditeur débutant (objectifs et spécificités de fonctionnement du service : procédures de travail de l’audit interne) ; - servir de référentiel (normes et standard de l’audit interne, conduite d’une mission d’audit). • Contenu du manuel - Cadre de travail: organigramme du service, analyse des postes des auditeurs, condition générale de travail…; - Normes et standards de l’audit interne ; - Méthodologie, conduite d'une mission d'audit. c- La cartographie des risques • Qu’est ce que c’est que la cartographie des risques ? La cartographie des risques est un outil qui permet : - de classer, de comparer et de hiérarchiser des risques entre eux ; - de mettre en place des plans d’actions pour les gérer en fonction des ressources disponibles ; - d’en assurer le suivi ; - de communiquer les informations sur les risques de l’organisation. • Démarche d’élaboration - Identification des risques; - Analyse des risques identifiés: - l’évaluation de l’importance du risque ; - l’évaluation de la probabilité (ou fréquence) de survenance du risque ; - l’évaluation des mesures de contrôle adéquates. - Identification des meilleures pratiques en matière de maîtrise des risques ; - Proposition d’améliorations des dispositifs de maîtrise des risques à intégrer dans les nouvelles procédures. d- Le plan d’audit • Qu’est ce que c’est que le plan d’audit ? Le plan d’audit permet d’assurer une planification du travail pour respecter l’esprit de rigueur et de méthode qui caractérisent l’audit interne. Il est établi à partir d’une cartographie des risques et permet ainsi de définir de façon efficace la stratégie d’audit. • Utilité - Comme tout document de planification, le plan constitue une référence pour les programmes annuels qu’il couvre et fait l’objet d’adaptation pour prendre en compte les préoccupations non prévues au départ. Il n’est pas figé à l’instar des autres moyens déjà cités et se montre dans la pratique suffisamment flexible pour laisser du temps à des missions imprévues. - Le plan est un moyen indispensable pour l’efficacité du service d’audit interne, car il permet la prise en compte de tous les types de risques. Sans plan d’audit, le service d’audit attend tout de la Direction Générale et tâtonne sur les activités à mener et ne prend en compte que les risques matérialisés, alors qu’aujourd’hui, on recherche que l’auditeur interne soit proactif et aide l’entreprise à éviter que le risque ne survienne. • Contenu du plan d’audit - En général, le plan d’audit aborde les points suivants : o analyse globale des risques ; o recensement des activités et services devant faire l’objet d’audit ; o définition des types d’intervention ; o évaluation du budget des ressources humaines, temporelles et financières ; o élaboration d’un planning d’intervention ; o soumission du plan à l’approbation de la direction pour lui donner force exécutoire et le rendre fonctionnel. e- Manuel des procédures • Qu’est ce que c’est que le manuel des procédures ? Le manuel des procédures peut être défini comme étant un référentiel à usage commun pour tous les acteurs au sein de l’entreprise: - la Direction Générale, les services opérationnels, les auditeurs internes. Le manuel des procédures est un document qui, sous la forme d’instructions claires et précises, contient l’ensemble des opérations courantes de l’entreprise. Le manuel des procédures indique le circuit de traitement de ces opérations en spécifiant notamment les : - tâches à faire (quoi ?) niveaux de responsabilités (qui ?) différentes étapes de traitement (quand ?) lieux de réalisation (où ?) modalités d’exécution (comment ?) • Objectifs du manuel Les objectifs du manuel des procédures sont : - Expliquer les modalités d’application des différentes procédures suivant les activités ou cycles de l’entreprise : - - Assurer l’uniformité des modalités d’exécution en les formalisant. Ce qui exclut les disparités dans la manière de traiter les opérations qui, en l’absence de manuel, dépendent le plus souvent : - - Achat/fournisseurs, comptables, gestion des stocks administratifs. du style, de l’expression personnelle déjà acquise, mais aussi de la culture des opérationnels. Sauvegarder les actifs de l’entreprise par des procédures de contrôle interne performantes. • Structure du manuel Dans le manuel des procédures, l’ensemble des opérations traitées dans l’entreprise est découpé en : - Cycles : qui correspondent aux activités de l’entreprise, - Procédures : est un enchainement de tâches élémentaires standardisées déclenchées en amont par l’expression d’un besoin et limité en aval par l’obtention d’un résultat attendu. - Opération : acte ou ensemble d'actes qui permettent d'obtenir un résultat déterminé L’architecture classique retenue est de type pyramidal et se présente comme suit : CYCLE PROCÉDURES PROCÉDURES SP SP SP SP OPERATIONS PROCÉDURES SP SP SP • Démarche d’élaboration du manuel des procédures - Programme de travail et prise de connaissance - Évaluation des procédures actuelles - Élaboration de la cartographie des risques - Conception du manuel de procédures - Rédaction des procédures - Validation des procédures et du manuel - Diffusion du manuel, formation et rapport f- Les dossiers et papiers de travail Les dossiers d’audit A chaque mission d’audit doit correspondre un dossier constitué des informations récoltées et produites au cours de la mission qui servent d’éléments probants et des papiers de travail les plus significatifs. Cette exigence se justifie par : - exigence de preuve : il regroupe l’ensemble des justificatifs des affirmations signalées dans le rapport d’audit interne. - Exigence d’efficacité : mine d’informations pour aller plus vite et mieux faire surtout pour les audits récurrents ; - Exigence de formation : document de formation pour les auditeurs débutants, car il constitue une illustration pratique. La tenue des dossiers revêt une importance particulière en audit car, en principe, une mission d’audit ne se termine que lorsque le dossier d’audit est en ordre et prêt pour le classement et le temps consacré à cette tâche est imputable à la mission. Organisation des dossiers: il n’y a pas de présentation type universelle, chacun y va à sa manière ; l’essentiel pour ce point, c’est d’en avoir une. Toutefois, on peut retenir le modèle suivant: dossier d’analyse et dossier de synthèse. - Le dossier d’analyse: il comprend les papiers de travail explicatifs, jugés utiles à la conservation. - Le dossier de synthèse: il comprend - Les rapports d’audit, - Les notes de suivi et de mise en œuvre des recommandations - et les informations générales. Il fait l’objet d’un nettoyage permanent avant et après la mission. Papiers de travail Ils sont établis généralement sur des imprimés de papier coloré qui permettent le référencement. Le papier de travail est le support des constats et observations, car en audit, on doit tout noter et éviter de se fier à la mémoire. L’objet des papiers de travail est de servir de support à l’opinion des auditeurs en donnant une preuve documentée des procédures utilisées, des informations reçues et des conclusions tirées. Chapitre IV : Conduite de missions d’audit interne IV-1. Phase de préparation Ordre de mission Plan d’approche Tableau des Forces et faiblesses apparentes (TFfA) Rapport d’orientation a- Ordre de mission Toute mission d’Audit Interne est conditionnée par l’autorisation du Directeur Général. « L’ordre de mission est le mandat donné par la Direction Générale à l’Audit Interne, qui informe les principaux responsables concernés de l’intervention imminente des auditeurs. » (cf. La conduite d’une mission d’Audit Interne) d’Olivier LEMANT. b- Plan d’approche Définition Définition : « Le plan d’approche conclut la phase de reconnaissance du domaine défini par l’ordre de mission, il matérialise une étape de la conduite d’une mission : la définition des objectifs de la phase d’étude et des modalités de mise en œuvre de l’analyse des risques correspondante ». (cf. La conduite d’une mission d’Audit Interne) par Olivier LEMANT. Élaboration du plan d’approche - La recherche de tous éléments de définition, de connaissance, d’analyse de l’activité à cerner ; - La consultation de bases documentaires ; - Identification des méthodes de gestion propres à l’entité auditée ; - La consultation de rapports d’audit antérieurs ; - La pratique d’interview préliminaire. Le plan d’approche, élaborer de cette manière, permettra de définir le temps nécessaire pour mener toute la phase de préparation et surtout préciser les dates décidées pour l’établissement de trois documents principaux, à savoir : - le TFfa ; - le Rapport d’orientation ; - le plan de vérification. Tableau des forces et faiblesses apparentes Le tableau des forces et faiblesses apparentes conclut la phase d’analyse des risques réalisées sur la base des objectifs définis dans le plan d’approche, il présente de manière synthétique et argumentée les présomptions ou l’avis de l’auditeur sur chacun des thèmes analysés. Il constitue l’état des lieux des forces et faiblesses réelles ou potentielles, et permet de hiérarchiser les risques dans le but de préparer le rapport d’orientation. Domaine/opération Objectifs spécifiques Risques Indicateur Opinion F/f Conséq Commentaires Degré de confiance Les quatre premières colonnes sont renseignées à l’étape d’élaboration du plan d’approche. Les quatre dernières seront remplies après l’analyse des risques et un survol du terrain qui précède son examen attentif. Rapport d’orientation Il définit et formalise les axes d’intervention de la mission et ses limites, il les exprime en objectifs à atteindre par l’audit pour le demandeur et les audités : - Objectifs généraux : ce sont les objectifs permanents du contrôle interne ; - Objectifs spécifiques : ce sont les dispositifs du CI concernés par les tests ; - Champ d’action : fonctions et zones géographiques concernées par la mission. IV-2. Phase de réalisation ou de vérification Réunion d’ouverture Programme de travail Travail sur le terrain a- Réunion d’ouverture La réunion d’ouverture doit se tenir sur les lieux où la mission doit se dérouler car c’est en cet endroit qu’on dispose de maximum d’informations et de documents susceptibles d’être consultés au cours de la réunion. Elle peut être présidée par le chef de mission mais il est souhaitable que ce soit le responsable de l’audit interne. Elle réunit les auditeurs en charges de la mission et les responsables audités et si possible la hiérarchie supérieure de la fonction auditée. Ordre du jour - Présentation : présenter les auditeurs, et se faire présenter les responsables audités et l’activité ; - le rappel sur l’audit interne : clarifier le rôle de la fonction d’audit interne et son objectif, et d’écrire la place du service dans l’organisation ; - le rapport d’orientation : exposer le rapport d’orientation ; - la logistique de la mission : clarifier la logistique de la mission ; - le rappel de la procédure d’audit : annoncer le déroulement prévisionnel de la mission et discuter des modalités de collaboration entre auditeurs et audités. b- Programme de vérification Définition C’est l’ensemble des diligences à mettre en œuvre pour atteindre les objectifs du rapport d’orientation pour confirmer les forces et faiblesses apparentes. C’est un document interne à l’audit, destiné à définir et à repartir les tâches entre les membres de l’équipe, à planifier et à suivre les travaux des auditeurs. Contenu - les questionnaires spécifiques à utiliser pendant les travaux de terrain ; - les procédures à employer ; - la répartition des tâches entre les auditeurs et le calendrier d’exécution de ces tâches. Critères de constitution d’une équipe d’audit La composition de l’équipe d’une mission d’audit est fonction : - des objectifs de la mission ; - des contraintes liées à l’expérience ; - des contraintes liées à la compétence ; - des connaissances linguistiques ; - de la personnalité des audités ; - de la nécessité de cultiver un esprit d’équipe. c- Travail sur le terrain Il se déroule conformément au programme de vérification. Le programme de vérification n’est qu’un guide et rien n’empêche son amélioration à condition que toute modification soit discutée et consignée. Il est réalisé grâce : - aux constats/observations - aux recherches et validations de preuves (test de cohérence) - appréciation de la qualité du contrôle interne Retour au bureau Réunion de synthèse interne au service d’audit afin que les auditeurs ayant participé à la mission puisse apporter les éclaircissements nécessaires. IV-3. Phase de conclusion - Projet de rapport - Réunion de clôture - Rapport définitif Projet de rapport d’audit L’ossature du rapport est élaborer à partir des problèmes figurant sur les FRAP, c’est en quelque sorte un rassemblement des FRAP d’une manière cohérente et selon une logique de hiérarchisation des problèmes rencontrés assorti d’un commentaire descriptif. Il comprend un sommaire, une introduction, une synthèse et une mention des destinataires. Il a les mêles caractéristiques que les rapports définitifs à trois exceptions près : - son contenu n’est pas encore validé en réunion de clôture, - les audités n’ont pas encore réagi aux recommandations, - il n’est pas accompagné d’un plan d’action. Réunion de clôture - Réuni normalement les mêmes participants à la réunion d’ouverture, - Elle permet aux auditeurs de commenter les résultats de leurs investigations à l’intention des audités, - Elle permet aux auditeurs de procéder à une validation générale du projet de rapport et de passer ensuite à la rédaction du rapport définit. Rapport définit Il contient : - Les objectifs de la mission, - Le champ d’action, - La méthodologie utilisée, - Les constats, - Les recommandations. Structure du rapport : - une page de garde, - un sommaire, - une introduction qui rappelle : les objectifs de la mission, le champ d’action les limites des investigations, une brève d’description de la structure auditée, - une synthèse d’une ou deux pages maximum qui informe la hiérarchisation des principaux constats de la mission, - un corps détaillé qui comporte les constats, les recommandations, - un plan d’action : son but est d’engager l’audité à dire qui fera quoi et quand pour chaque recommandation, - des annexes : ce sont tous les documents susceptibles de démontrer les constats d’audit. IV-4. Phase de suivi du rapport - Retour de l’auditeur sur le terrain afin de s’enquérir des suites données à son rapport, - S’informer de la suite donnée aux recommandations, ce qui permettra à l’audit interne de faire des audits ultérieurs, - Faire un point d’exécution du plan d’action de mise en œuvre des recommandations IV-5. Outils et techniques d’audit - Outils et techniques d’approche d’audit, - Les outils et techniques de compréhension, - Outils de description, - Outils de diagnostic - Outils de validation Outils et techniques d’approche d’audit - L’analyse du risque d’audit, - L’étude des procédures, - La prise en compte du seuil de signification, - Les sondages sur les comptes. Les outils et techniques de compréhension - Les entretiens, - Revue analytique préliminaires, - Évaluation de l’environnement de contrôle, - Note d’orientation et choix des techniques d’audit, - L’observation physique, Outils de description - Le diagramme de circulation, - La piste d’audit, - La narration, Outils de diagnostic - Le questionnaire de contrôle interne - La grille d’analyse des tâches - Les tableaux des Forces et faiblesses apparentes (TFfA) - FRAP. Outils de validation - L’observation, - Le rapprochement, - La reconstitution, - Le sondage, - La confirmation directe. Chapitre V : Les organisations professionnelles d’Audit Interne V.1 - The Institute of Internal Auditors (IIA) L'institut des auditeurs internes créé aux Etats-Unis en 1941 est une organisation internationale qui fournit à 70000 membres des informations et ressources en audit et contrôle interne, en audit des technologies de l'information et en sécurité interne à travers plus d'une centaine de pays. Cette organisation anime entre autres de nombreuses conférences et séminaires destinés principalement aux professionnels de l'audit et aux chercheurs via sa fondation pour la recherche. V.2 - Union Francophone de l’Audit Interne (UFAI) Créée en janvier 1988, l’UFAI est passée au fil des ans d’un fonctionnement « Club » à celui d’une véritable Union de professionnels. En 2004, sa reconnaissance par l’IIA en tant qu’organisation régionale ayant un rôle important à jouer dans le développement de l’audit interne dans les pays totalement ou partiellement d’expression française, a permis de consolider sa crédibilité. Aujourd’hui, les objectifs poursuivis sont en grande partie réalisés : grâce aux conférences, aux échanges de documentation et à la formation, l’UFAI a contribué au développement du professionnalisme des auditeurs internes francophones et à la promotion de la fonction au sein des pays membres. V.3- Institut Français de l’Audit et du Contrôle interne (IFACI) Fondé en 1965 sous le statut associatif, l'IFACI fédère 4 000 auditeurs issus de quelque 900 entreprises et institutions publiques. Affilié à l'IIA (The Institute of Internal Auditors ou Institut des Auditeurs Internes), l'IFACI bénéficie d'un réseau de plus de 165 000 spécialistes de l'audit répartis dans 160 pays. La mission de l' IFACI est d'assurer le "leadership dynamique" de la profession de l' audit interne. Ceci inclut : Défendre et promouvoir les valeurs que les professionnels de l'audit interne apportent à leurs organisations; Proposer une formation professionnelle complète et des opportunités de développement personnel ; développer des standards professionnels et des best-practices (bonnes pratiques) ; proposer un programme de certification; La recherche, la dissémination et la promotion auprès des praticiens et des autres parties concernées, des connaissances en matière d'audit interne et de son rôle dans le contrôle interne, dans la gestion des risques, et la gouvernance d'entreprise; Former les praticiens et tout public concerné ou intéressé aux meilleures pratiques de l'audit interne; Réunir les auditeurs internes de tous pays, pour le partage de l'expérience et de l'information relative à la pratique de l'audit interne. V.4- Association des Contrôleurs, Inspecteurs et Auditeurs du Mali (ACIAM) Elle a été créée le 14 juillet 1998. C'est une Association qui entend rassembler tous ceux qui exercent la fonction de contrôle au Mali. Elle se fixe comme Objectifs : la promotion de la fonction audit et la formation de ses membres. A la date d’aujourd’hui l’ACIAM est membre de l’Union Francophone de l’Audit Interne (UFAI) et de l’Institut International d’Audit (IIA) des États-Unis. Depuis sa création, L’ACIAM a pu réaliser plusieurs activités entre autres : Des conférences débats qui ont porté sur : Fraude et corruption : Éthique, Déontologie et Rôles de l’auditeur, Comment fonctionne l’État au quotidien : Réflexion autour de l’Anthropologie de la corruption ; Gouvernement d’entreprise et Réalités Maliennes ; Des séminaires de formation.