Méthodologie D'une Mission D'audit Interne
Méthodologie D'une Mission D'audit Interne
Méthodologie D'une Mission D'audit Interne
L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en
faisant des propositions pour renforcer leur efficacité.
Une mission d’audit, c’est un travail temporaire que l’auditeur fait et pour cela il doit suivre une
méthodologie qui se déroule en trois (03) phases :
Risque de contrepartie :
La cotation de chaque entité et la définition de son niveau de priorité : Cette deuxième phase
consiste en une évaluation des risques auxquels chaque entité est soumise ; elle aboutit à
l’attribution d’une note globale pour chaque entité d’audit.
Les propositions de plan sont validées par les différents niveaux de hiérarchie au sein de la
Direction du Contrôle Périodique. Une fois validé par l’inspecteur général, le plan d’intervention
est présenté à la Direction Générale du Comité d’Audit et du Contrôle Interne (CACI) pour
discussion et approbation.
Au-delà du processus de risk assessment annuel, l’objectif du suivi continu est d’évaluer et de
contrôler régulièrement les risques des différents métiers et d’adapter le plan d’audit en
conséquence le cas échéant. Pour ce faire, les responsables métiers et les responsables de l’audit
sont chargés de maintenir des contacts réguliers avec les équipes de direction à différents niveaux
pour se tenir au courant des développements récents des activités (nouveaux risques, évolutions
réglementaires et lancement de projet …)
À la fin de chaque mission d’audit, les cotations de risque des entités auditées doivent être, si
nécessaire, mises à jour par l’équipe d’audit pour refléter le plus fidèlement possible le niveau de
risque et la probabilité d’occurrence.
<< Revue des plans d’audit >>
Périodiquement et en fonction des besoins, la DCPE réalise un état des lieux de l’avancement du
plan d’audit et des réaménagements si besoin. Toute modification du plan d’audit doit être
pleinement argumentée et justifiée.
La planification des missions permet aussi de garantir que les ressources sont allouées
efficacement et que l’équipe dispose des compétences nécessaires.
Le commencement d’une mission commence par une réunion entre le superviseur et son équipe.
Une fois informée du lancement, l’équipe d’audit commence à collecter des documents relatifs à
l’entité auditée (organigramme, résultats du Risk assessment, précédents rapports, préconisations,
méthodologies existantes) qui permettent d’identifier les premières zones de risque à revoir au
cours de la mission.
L’entité auditée, son management et tous les autres départements concernés sont informés de la
mission à venir à travers l’envoi d’une lettre de mission (établie par le chef de mission). Cette lettre
doit être adressée avec un délai suffisant (oui, on y inscrit la date de début de la mission) pour
permettre à l’entité auditée d’avoir le temps de préparer les éventuelles requêtes de documents de
l’équipe d’audit.
PS : les documents nécessaires à la conduite de la mission peuvent être demandés en annexe de la
lettre de mission.
C- PHASE DE DIAGNOSTIC
1- Entretien en analyse des documents
L’équipe d’audit doit également étudier les rapports d’audit antérieurs et prendre connaissance
des préconisations émises lors des précédentes missions.
Les risques identifiés, les contrôles définis par l’entité pour encadrer ces risques, une
première évaluation de la qualité de ces contrôles, et la liste des travaux à mener par
l’équipe d’audit pour mieux étayer cette évaluation ;
La justification des travaux à effectuer (objectif détaillé de chaque contrôle) ;
La méthodologie à appliquer pour ces travaux, à travers un descriptif complet (source
d’information, personne à contacter, taille estimée de l’échantillon).
En cas de risques jugés faibles en fin de diagnostic, le superviseur peut décider d’arrêter les travaux
et de conclure la mission par un mémorandum de fin de diagnostic. Le chef de mission documente
(date de réunion, participants, objectifs, principaux points de discussion, approbation du superviseur
pour passer à l’étape suivante) le Tollgate de fin de diagnostic dans un document de travail inséré
dans MAP.
D- PHASE D’INVESTIGATION
Cette phase a pour but d’approfondir l’analyse des zones de risques identifiées lors du diagnostic,
en réalisant les travaux détaillés définis dans la Diagmatrix.
1- Déroulement général
Sur chaque travail, l’équipe d’audit rassemble des éléments de preuve (illustrant la qualité ou la
non qualité des contrôles et processus revus). Chaque auditeur est responsable de conduire de
manière exacte et exhaustive les travaux qui lui sont confiés, et d’en tirer les conclusions
appropriées.
Selon les résultats du contrôle, le travail peut aboutir à l’une des conclusions suivantes :
Un constat, si les faiblesses identifiées reflètent une maîtrise des risques insuffisante ou un
dispositif de contrôle inefficace ;
Une anomalie, si les problèmes constatés méritent d’être signalés au management même
s’ils ne remettent pas en cause la qualité du dispositif de gestion des risques ;
Un résultat satisfaisant, si aucun problème significatif n’est identifié.
Tous les constats doivent être revus et discutés à la fin du processus d’investigation.
Toutes les conclusions d’audit doivent être étayées par des éléments de preuve factuels. L’équipe
d’audit doit ainsi être en mesure de fournir des informations fiables, pertinentes et suffisamment
complètes à l’appui de ses conclusions. En particulier, elle doit obtenir des éléments de sources
différentes afin de corroborer les premiers résultats dont elle dispose.
Les conclusions d’audit et les preuves associées doivent être enregistrées dans des fiches travaux.
Ces dernières doivent être précises, structurées de manière logique. Elles doivent indiquer de
façon détaillée l’approche d’audit retenue et les contrôles réalisés pour répondre aux objectifs
définis dans la Diagmatrix.
Le chef de mission est chargé de revoir et de valider l’ensemble des fiches travaux de la mission
placées par les membres de l’équipe d’audit des MAP.
Valider la qualité des travaux réalisés ; en particulier, revoir les constats et leur justification,
les préconisations proposées et les premiers jugements sur l’entité et les processus revus ;
Établir un cadre pour le projet de rapport et la discussion des constats avec les audités ;
Obtenir l’approbation du Superviseur pour passer à la phase de production de rapport.
Ici encore, le chef de mission va devoir rédiger un document à faire valider par le Superviseur.
Le rapport est le principal support de communication des résultats d’une mission d’audit. Il
doit fournir une évaluation claire, précise et objective du niveau de risque de l’entité ou du
processus revus. Il contient :
2- Rédaction
Dans le rapport, un constat doit systématiquement être présenté avec ses causes (directes et
lointaines). Le risque associé à ce constat doit lui aussi être explicité. Les preuves rassemblées et,
le cas échéant, les méthodes d’échantillonnage utilisées sont généralement indiquées à l’appui du
constat.
Une préconisation ne peut en aucun cas se limiter à une demande de correction des anomalies
identifiées. La formulation de chaque préconisation doit être explicite sur ce qui est attendu des
audités, et une date d’échéance réaliste doit être précisée.
L’équipe d’audit doit envoyer dès que possible le projet de rapport aux principaux audités de
l’entité afin d’obtenir leurs commentaires sur les conclusions ainsi que les plans d’actions qu’ils
proposent pour mettre en œuvre les préconisations.
6- Publication du rapport
Le rapport final est publié avec les commentaires des audités et les plans d’action qu’ils ont
proposés. Ces préconisations et plans d’action sont publiés dans l’outil KART (Key Audit
Recommandation Tool).
F- FINALISATIONS
1- Rapport annuel sur le contrôle interne et contributions aux comités internes
Chaque mission doit être l’occasion de faire un retour aux auditeurs. L’objectif est de porter un
jugement sur la performance globale pendant la mission. Ce bilan est également l’occasion de
déterminer si les objectifs individuels, qui doivent avoir été clairement identifiés au départ de la
mission, ont été atteints.
La durée de la prise de connaissance peut différer d'une mission à une autre et ce, selon
trois principaux critères à savoir :
2.1. Le contenu
La familiarisation doit être planifiée et elle doit porter sur des savoirs organisés de
l'organisation, des objectifs et de l'environnement, ainsi que des techniques.
§ Les techniques à assimiler de la mission prennent souvent plus de temps, ils doivent
comporter toutes les techniques nécessaires depuis le tableau de bord jusqu'aux
techniques et méthodes de gestion, ce qui est une tâche assez difficile pour l'auditeur.