Méthodologie D'une Mission D'audit Interne

Télécharger au format docx, pdf ou txt
Télécharger au format docx, pdf ou txt
Vous êtes sur la page 1sur 8

Définition de l'audit interne

L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en
faisant des propositions pour renforcer leur efficacité.

Mission de l'audit interne

La mission de l’audit interne est d’accroître et préserver la valeur de l’organisation en donnant


avec objectivité une assurance, des conseils et des points de vue fondés sur une approche par les
risques.

Déroulement d'une mission d'audit interne

Une mission d’audit, c’est un travail temporaire que l’auditeur fait et pour cela il doit suivre une
méthodologie qui se déroule en trois (03) phases :

1) Phase de préparation et d’identification

2) Phase d’observation sur le terrain

3) Phase de conseil de préconisation et la remise d’un rapport avec synthèse des


recommandations et des informations.

Différents risques inhérents à l'activité bancaire

Risque de marché : c'est le risque

Risque de contrepartie :

Risques opérationnels, fiscaux, juridiques ou réglementaire.


Etapes principales et principes du processus d'audit

A- PROCESSUS DE RISK ASSESSMENT ET PLAN D'AUDIT


I- Processus de Risk assessment

Le processus de risk assessment s’articule autour de 3 étapes principales :

 La définition de l’univers d’audit : ce processus débute par une cartographie exhaustive de


toutes les activités du Groupe (Société Générale) devant être couvertes par l’audit interne.
Afin de garantir sa cohérence, l’univers d’audit est revu chaque année et validé par les
différents niveaux de management et présenté à la Direction du Contrôle Périodique.

 La cotation de chaque entité et la définition de son niveau de priorité : Cette deuxième phase
consiste en une évaluation des risques auxquels chaque entité est soumise ; elle aboutit à
l’attribution d’une note globale pour chaque entité d’audit.

 Enfin la définition du plan d’audit :

II- Définition du plan d’intervention

Les propositions de plan sont validées par les différents niveaux de hiérarchie au sein de la
Direction du Contrôle Périodique. Une fois validé par l’inspecteur général, le plan d’intervention
est présenté à la Direction Générale du Comité d’Audit et du Contrôle Interne (CACI) pour
discussion et approbation.

III- Continuous monitoring et revue des plans d’audit

<< Continuous monitoring >>

Au-delà du processus de risk assessment annuel, l’objectif du suivi continu est d’évaluer et de
contrôler régulièrement les risques des différents métiers et d’adapter le plan d’audit en
conséquence le cas échéant. Pour ce faire, les responsables métiers et les responsables de l’audit
sont chargés de maintenir des contacts réguliers avec les équipes de direction à différents niveaux
pour se tenir au courant des développements récents des activités (nouveaux risques, évolutions
réglementaires et lancement de projet …)

À la fin de chaque mission d’audit, les cotations de risque des entités auditées doivent être, si
nécessaire, mises à jour par l’équipe d’audit pour refléter le plus fidèlement possible le niveau de
risque et la probabilité d’occurrence.
<< Revue des plans d’audit >>

Périodiquement et en fonction des besoins, la DCPE réalise un état des lieux de l’avancement du
plan d’audit et des réaménagements si besoin. Toute modification du plan d’audit doit être
pleinement argumentée et justifiée.

IV- La planification des missions

La planification des missions permet aussi de garantir que les ressources sont allouées
efficacement et que l’équipe dispose des compétences nécessaires.

B- LANCEMENT DES MISSIONS


1- Préparation interne

Le commencement d’une mission commence par une réunion entre le superviseur et son équipe.
Une fois informée du lancement, l’équipe d’audit commence à collecter des documents relatifs à
l’entité auditée (organigramme, résultats du Risk assessment, précédents rapports, préconisations,
méthodologies existantes) qui permettent d’identifier les premières zones de risque à revoir au
cours de la mission.

2- Lettre de mission et information des audités

L’entité auditée, son management et tous les autres départements concernés sont informés de la
mission à venir à travers l’envoi d’une lettre de mission (établie par le chef de mission). Cette lettre
doit être adressée avec un délai suffisant (oui, on y inscrit la date de début de la mission) pour
permettre à l’entité auditée d’avoir le temps de préparer les éventuelles requêtes de documents de
l’équipe d’audit.

PS : les documents nécessaires à la conduite de la mission peuvent être demandés en annexe de la
lettre de mission.

C- PHASE DE DIAGNOSTIC
1- Entretien en analyse des documents

La phase de diagnostic commence par une réunion de lancement avec le responsable du


département audité. Des réunions avec d’autres personnes de l’entité auditée sont organisées par
la suite afin de compléter et d’enrichir cette première vision de l’entreprise ou du département.

L’équipe d’audit doit également étudier les rapports d’audit antérieurs et prendre connaissance
des préconisations émises lors des précédentes missions.

2- Identification des zones de risques à analyser


Pendant la phase de diagnostic, les auditeurs doivent identifier les processus clés de l’entité
auditée, les risques associés et la façon dont ces risques sont gérés. La mission détermine alors les
zones de risques qu’elle souhaite examiner plus en détail. Sur ces dernières, elle définit les travaux
à réaliser pendant la prochaine phase.

3- Formalisation du diagnostic et programmes de travail

A l’issue de la phase d’identification des zones de risques, l’équipe d’audit procède à la


consolidation de la liste des contrôles à réaliser pendant la mission et construit un programme de
travail : la Diagmatrix.

La Diagmatrix doit mentionner :

Les risques identifiés, les contrôles définis par l’entité pour encadrer ces risques, une
première évaluation de la qualité de ces contrôles, et la liste des travaux à mener par
l’équipe d’audit pour mieux étayer cette évaluation ;
La justification des travaux à effectuer (objectif détaillé de chaque contrôle) ;
La méthodologie à appliquer pour ces travaux, à travers un descriptif complet (source
d’information, personne à contacter, taille estimée de l’échantillon).

4- Sélection des opérations à revoir

Une sélection est en général effectuée, à l’aide de techniques d’échantillonnage (statistique ou à


dire d’expert).

5- Tollgate de fin de diagnostic

L’objectif de ce Tollgate est multiple :

Examiner l’état d’avancement de la mission et les résultats de la phase de diagnostic ;


Valider la qualité du travail effectué (en particulier la compréhension des processus, la
Diagmatrix et le programme de travail) ;
Convenir du périmètre final, de l’approche final, de l’approche détaillée de la phase
d’investigation, des ressources requises et du planning de la mission ;
Obtenir l’approbation du superviseur pour passer à la phase d’investigation.

En cas de risques jugés faibles en fin de diagnostic, le superviseur peut décider d’arrêter les travaux
et de conclure la mission par un mémorandum de fin de diagnostic. Le chef de mission documente
(date de réunion, participants, objectifs, principaux points de discussion, approbation du superviseur
pour passer à l’étape suivante) le Tollgate de fin de diagnostic dans un document de travail inséré
dans MAP.
D- PHASE D’INVESTIGATION

Cette phase a pour but d’approfondir l’analyse des zones de risques identifiées lors du diagnostic,
en réalisant les travaux détaillés définis dans la Diagmatrix.

1- Déroulement général

2- Réalisation des travaux

Sur chaque travail, l’équipe d’audit rassemble des éléments de preuve (illustrant la qualité ou la
non qualité des contrôles et processus revus). Chaque auditeur est responsable de conduire de
manière exacte et exhaustive les travaux qui lui sont confiés, et d’en tirer les conclusions
appropriées.

Selon les résultats du contrôle, le travail peut aboutir à l’une des conclusions suivantes :

Un constat, si les faiblesses identifiées reflètent une maîtrise des risques insuffisante ou un
dispositif de contrôle inefficace ;
Une anomalie, si les problèmes constatés méritent d’être signalés au management même
s’ils ne remettent pas en cause la qualité du dispositif de gestion des risques ;
Un résultat satisfaisant, si aucun problème significatif n’est identifié.

Tous les constats doivent être revus et discutés à la fin du processus d’investigation.

3- Documentation des constats et formalisation d’une piste d’audit

Toutes les conclusions d’audit doivent être étayées par des éléments de preuve factuels. L’équipe
d’audit doit ainsi être en mesure de fournir des informations fiables, pertinentes et suffisamment
complètes à l’appui de ses conclusions. En particulier, elle doit obtenir des éléments de sources
différentes afin de corroborer les premiers résultats dont elle dispose.

Les conclusions d’audit et les preuves associées doivent être enregistrées dans des fiches travaux.
Ces dernières doivent être précises, structurées de manière logique. Elles doivent indiquer de
façon détaillée l’approche d’audit retenue et les contrôles réalisés pour répondre aux objectifs
définis dans la Diagmatrix.

Le chef de mission est chargé de revoir et de valider l’ensemble des fiches travaux de la mission
placées par les membres de l’équipe d’audit des MAP.

4- Tollgate de fin d’investigations


Sous la responsabilité du Superviseur, ce Tollgate vise les points suivants :

Valider la qualité des travaux réalisés ; en particulier, revoir les constats et leur justification,
les préconisations proposées et les premiers jugements sur l’entité et les processus revus ;
Établir un cadre pour le projet de rapport et la discussion des constats avec les audités ;
Obtenir l’approbation du Superviseur pour passer à la phase de production de rapport.

Ici encore, le chef de mission va devoir rédiger un document à faire valider par le Superviseur.

5- Interaction avec les audités

E- PRODUCTION DES RAPPORTS


1- Contenu du rapport

Le rapport est le principal support de communication des résultats d’une mission d’audit. Il
doit fournir une évaluation claire, précise et objective du niveau de risque de l’entité ou du
processus revus. Il contient :

Un résumé d’une page maximum à destination des audités : rappeler le contexte de la


mission et expliquer la cotation du rapport et des préconisations.
Une synthèse d’environ 10 lignes : elle a pour vocation à être utilisée dans les supports
produits par la DPCE pour différents comités.
Présentation du périmètre couvert
[Relevé des anomalies à corriger]
[Relevé des constats et des préconisations associées]

2- Rédaction

Dans le rapport, un constat doit systématiquement être présenté avec ses causes (directes et
lointaines). Le risque associé à ce constat doit lui aussi être explicité. Les preuves rassemblées et,
le cas échéant, les méthodes d’échantillonnage utilisées sont généralement indiquées à l’appui du
constat.

Une préconisation ne peut en aucun cas se limiter à une demande de correction des anomalies
identifiées. La formulation de chaque préconisation doit être explicite sur ce qui est attendu des
audités, et une date d’échéance réaliste doit être précisée.

Selon la criticité, 04 types de préconisations peuvent être émises :


Préconisations CRITIQUES : la matérialisation du risque aurait un impact potentiel au
niveau du groupe.
Préconisations MAJEURES 
Préconisations SIGNIFICATIVES
Préconisations STANDARD

3- Cotation des rapports


4- Responsabilité et validation au sein de la DCPE
5- Commentaire des audités sur le rapport et plan d’action

L’équipe d’audit doit envoyer dès que possible le projet de rapport aux principaux audités de
l’entité afin d’obtenir leurs commentaires sur les conclusions ainsi que les plans d’actions qu’ils
proposent pour mettre en œuvre les préconisations.

6- Publication du rapport

Le rapport final est publié avec les commentaires des audités et les plans d’action qu’ils ont
proposés. Ces préconisations et plans d’action sont publiés dans l’outil KART (Key Audit
Recommandation Tool).

F- FINALISATIONS
1- Rapport annuel sur le contrôle interne et contributions aux comités internes

2- Montée en compétence du personnel

Chaque mission doit être l’occasion de faire un retour aux auditeurs. L’objectif est de porter un
jugement sur la performance globale pendant la mission. Ce bilan est également l’occasion de
déterminer si les objectifs individuels, qui doivent avoir été clairement identifiés au départ de la
mission, ont été atteints.

Ce bilan de compétences, qui contribue au développement personnel de chaque auditeur et


inspecteur, pourra être utilisé lors du processus d’évaluation annuelle, ainsi que dans la gestion du
cursus de formation du collaborateur.
L'étape de familiarisation

L'auditeur interne est exigé de prendre connaissance de plusieurs cultures de


l'entreprise, à savoir, la culture financière, la culture de gestion, la culture technique, la
culture commercial, etc. pour lui donner la capacité de comprendre les explications qu'il
va solliciter pour se faire admettre aisément. En l'apprentissage de ces éléments,
l'auditeur interne doit :

 Avoir une vision d'ensemble sur l'organisation, l'objet de la mission et les


contrôles internes mis en place pour la maitriser.
 Aider à identifier les objectifs et les problèmes essentiels de la mission.
 Permettre l'organisation des opérations d'audit avec plus de certitude.

La durée de la prise de connaissance peut différer d'une mission à une autre et ce, selon
trois principaux critères à savoir :

 La complexité du sujet : plus le sujet et complexe, plus l'audit exige un


apprentissage plus approfondi et donc une durée plus longue d'études.
 Le profil de l'auditeur : sa formation et ses expériences professionnelles dans des
multiples cas et genres de missions influencent directement la durée de
l'apprentissage.
 La qualité des dossiers d'audit : les documents et les papiers doivent être
complets, organisés et référenciés.

2.1. Le contenu

La familiarisation doit être planifiée et elle doit porter sur des savoirs organisés de
l'organisation, des objectifs et de l'environnement, ainsi que des techniques.

§ L'organisation de l'unité à auditer doit être connue en détail par l'auditeur.


L'organigramme de l'unité constitue le plus important document à se faire
communiquer. On peut inclure, à partir de cette rubrique, tous les éléments chiffrés
autour desquels l'unité s'organise : budgets, résultats, investissements, etc.

§ Les objectifs et l'environnement de l'entreprise doivent être pris en compte avant de


procéder à la réalisation de la mission. L'auditeur doit connaitre les objectifs de la
fonction, ses points forts ainsi que ses points faibles pour lui permettre d'avoir une vision
globale sur l'unité et ses stratégies.

§ Les techniques à assimiler de la mission prennent souvent plus de temps, ils doivent
comporter toutes les techniques nécessaires depuis le tableau de bord jusqu'aux
techniques et méthodes de gestion, ce qui est une tâche assez difficile pour l'auditeur.

La prise de connaissance permet à l'auditeur de disposer de multiples informations

Vous aimerez peut-être aussi