1

METHODOLOGIE DE METHODOLOGIE DE L’AUDIT INTERNE L’AUDIT INTERNE

2

l’Audit Interne, médecin de l’Audit Interne, médecin de l ’entreprise l ’entreprise

L ’AI intervient mandaté par la DG pour L ’AI intervient mandaté par la DG pour aller examiner et établir un : aller examiner et établir un :

- diagnostic - diagnostic

- pronostic- pronostic

- thérapeutique - thérapeutique

3

Le produit de l ’AILe produit de l ’AI

Fournir un rapport sous forme de Fournir un rapport sous forme de recommandations à la DG tout en recommandations à la DG tout en

respectant la déontologie, respectant la déontologie, l ’indépendance et la prudencel ’indépendance et la prudence

4

La démarche de l ’AI

• Étudier le fonctionnement, la PRATIQUE• Repérer les FAITS significatifs• Déterminer leurs CAUSES • Démontrer leurs CONSEQUENCES• Proposer des SOLUTIONS

5

La démarche de l ’AIAvant de se lancer dans une mission, l’auditeur interne doit

savoir de quoi s’agit-il ? Pour ce faire, il doit :

Rencontrer le demandeur pour comprendre ses attentes, Recueillir une première idée sur l’activité à auditer :

lectures, documentation, interview des Directions hiérarchiques et fonctionnelles,

Rencontrer le demandeur pour valider ses attentes, Redéfinir la mission, parfois la refuser, Téléphoner au Directeur de site / fonction, Rédiger l’Ordre de Mission, le faire signer, le diffuser.

6

Les étapes de la mission d ’AI

OM EAP

P d ’A TFfA Rapp

PVD R d ’O P de V CRFS BAPS OR F de C P de T FRAP Phase d ’étude Phase de vérification Phase de

conclusion

7

L ’AI = Avertisseur de risque

Événement / incident réalisé ou potentiel

Cause organisationnelle Incidence financière

ou autre

Détection

Manifestation

Facteur impact

Prévention Protection

8

La démarche d ’une La démarche d ’une missionmission

La phase d ’étudeLa phase d ’étude

-découvrir le sujet et/ou l ’entité à auditer-découvrir le sujet et/ou l ’entité à auditer

-définir ce qu ’il faudra vérifier -définir ce qu ’il faudra vérifier

La phase de vérificationLa phase de vérification

Évaluer, mesurer, contrôler, conclure et prescrire Évaluer, mesurer, contrôler, conclure et prescrire

La phase de conclusionLa phase de conclusion

-valider et informer (diffusion du rapport)-valider et informer (diffusion du rapport)

-obtenir des actions et dresser un bilan des progrès -obtenir des actions et dresser un bilan des progrès accomplisaccomplis

9

La phase d ’Etude La phase d ’Etude Ordre de Mission + Ordre de Mission + Explicitation Explicitation

1/ Prise de connaissance du sujet; prise de 1/ Prise de connaissance du sujet; prise de

conscience de ses Risques habituels et pratiquesconscience de ses Risques habituels et pratiques

usuelles de contrôle interne usuelles de contrôle interne

Plan d ’approchePlan d ’approche

2/ Identification des risques spécifiques à 2/ Identification des risques spécifiques à Installation de l ’équipe d ’auditInstallation de l ’équipe d ’audit

l  ’organisation auditée, sur le terrain, pour l  ’organisation auditée, sur le terrain, pour

Sélectionner les vérifications à mener Sélectionner les vérifications à mener

TFfA TFfA

3/ Choix des objectifs3/ Choix des objectifs

Rapport d ’Orientation : Rapport d ’Orientation : RecadrageRecadrage

4/Détermination des vérifications à effectuer4/Détermination des vérifications à effectuer

Programmes de vérifications Programmes de vérifications

10

La phase de vérificationLa phase de vérification11/ Estimation des charges (Budget), Affectation/ Estimation des charges (Budget), Affectation

des auditeurs aux tâches (Allocation), BAP-Sdes auditeurs aux tâches (Allocation), BAP-S

élaboration d ’un planning élaboration d ’un planning

puis suivi et ajustement puis suivi et ajustement

2/Spécification d ’un tâche du P de V (si non 2/Spécification d ’un tâche du P de V (si non

encore fait ), puis exécution et compte rendu + Feuille de encore fait ), puis exécution et compte rendu + Feuille de Couverture Couverture

Conclusion sur ce pointConclusion sur ce point

3/Exploitation de ce qu ’on a constaté : 3/Exploitation de ce qu ’on a constaté :

Transformation du constat en trouvaille : Transformation du constat en trouvaille :

Faits + Causes + ConséquencesFaits + Causes + Conséquences

Formulation du Problème, pour FRAP + Formulation du Problème, pour FRAP + Validation Validation

Communiquer avec l ’audité concernéCommuniquer avec l ’audité concerné

Élaboration de la Recommandation avec lui Élaboration de la Recommandation avec lui

11

La phase de ConclusionLa phase de Conclusion

1/Structuration des conclusions et du futur rapport Ossature1/Structuration des conclusions et du futur rapport Ossature

2/Compte-rendu au principale responsable audité 2/Compte-rendu au principale responsable audité CRFS CRFS (Compte-Rendu final (Compte-Rendu final

au Site / Service)au Site / Service)

3/Rédaction et envoi d ’un projet de rapport Projet3/Rédaction et envoi d ’un projet de rapport Projet

4/Réunion de validation de ce projet 4/Réunion de validation de ce projet Réunion de ValidationRéunion de Validation

5/Modification et diffusion du rapport définitif Rapport5/Modification et diffusion du rapport définitif Rapport

6/Obtention des plans d ’actions des audités en Suivi 6/Obtention des plans d ’actions des audités en Suivi

réponse aux recommandations et évaluation réponse aux recommandations et évaluation

12

La phase d ’étude La phase d ’étude - Rencontrer le demandeur pour comprendre ses attentes- Rencontrer le demandeur pour comprendre ses attentes

- Recueillir une première idée sur l ’activité à auditer : lectures + - Recueillir une première idée sur l ’activité à auditer : lectures +

documentation + interview des Directions hiérarchiques et documentation + interview des Directions hiérarchiques et fonctionnellesfonctionnelles

- Rencontrer le demandeur pour valider ses attentes- Rencontrer le demandeur pour valider ses attentes

- Redéfinir la mission, parfois la refuser- Redéfinir la mission, parfois la refuser

- Téléphoner au Directeur de site / fonction- Téléphoner au Directeur de site / fonction

- Rédiger l ’Ordre de Mission, le faire signer, le diffuser. - Rédiger l ’Ordre de Mission, le faire signer, le diffuser.

13

L ’ordre de MissionL ’ordre de MissionL ’ordre de MissionL ’ordre de Mission

- OM = mandat donné par la DG à l ’AI pour - OM = mandat donné par la DG à l ’AI pour informer les responsables concernésinformer les responsables concernés

- Tout responsable du site audité est - Tout responsable du site audité est destinataire de l ’OMdestinataire de l ’OM

14

L ’Ordre de Mission

• Principe déontologique : l ’AI ne décide pas lui-même; mandat de la DG

• Prévient les audités par la voie hiérarchique ; leur permet de s ’organiser

• Précise les entités concernées, sujet, raison, dates…mais pas trop !

• Accrédite l ’équipe d ’audit (noms, tél,…)• Ne répète pas la charte (rôle de l ’AI, place,

déroulement) ne remplace pas l ’installation (présentation, déroulement)

15

La phase d ’Etude • Une fois que l’auditeur interne est en possession de son ordre de

mission, il va aborder la phase d’étude de la mission qui va débuter par la prise de connaissance du domaine audité ; prise de conscience de ses risques habituels et pratiques usuelles de contrôle interne ( décomposition en objets auditables ) pour ensuite discuter avec les audités pour en tirer le plan d’approche.

• Ensuite, il y a l’identification des risques spécifiques à l’organisation auditée, sur le terrain, pour sélectionner les vérifications à mener ce qui aboutit à l’établissement du tableau des forces et faiblesses.

• L’auditeur effectue, en outre, les choix des objectifs ( rapport d’orientations ) et enfin, la détermination des vérifications à effectuer ( programme de vérifications ).

16

La phase d ’Etude • Une analyse des risques pour élaborer le programme

de vérification et le mettre en œuvre pour ensuite :

Confirmer les Forces critiques Évaluer les faiblesses

Reconnaissance P d ’AAnalyse des Risques TFfA

Choix des Objectifs R d ’O

Détermination des Tâches P de V

17

La phase d ’Etude

La prise de connaissance

Cette prise de connaissance ne doit pas se faire au hasard, elle doit suivre un plan d’approche qui doit organiser le travail d’Audit mené jusqu’à la fin d’étude. Pour cela il doit comprendre :

• Une définition précise des objectifs de la phase d’étude,• Une démarche de travail correspondant aux différentes

natures de preuves et d’information recherchées,• Un budget d’heures et éventuellement de frais,• L’affectation et le planning des travaux

18

La phase d ’étude :Le Plan d ’Approche

Le P d ’A :

• organise la phase d ’étude• Assure une prise de reconnaissance du domaine à

auditer• Assure une prise de conscience de ses habituels

risques et opportunités d ’amélioration• Décompose le sujet de la mission en objets auditables

19

La phase de Reconnaissance

Prise de connaissance du domaine audité +Prise de conscience des risques et opportunités

d ’amélioration =

Plan de la phase d ’étude : • Programme : domaines à examiner, services ou sites à visiter,

interviews à réaliser, informations à recueillir, premiers points critiques à bien comprendre

• Planning : date de la fin de la phase d ’étude

Ou Plan d ’Approche , écrit et approuvé par le Directeur d ’AI

20

Schéma de l ’examen d ’une

activité Objectifs

Vers quoi ? Pour quoi?

RESPONSABILITESQui doit faire et quand?

MOYENSAVEC QUOI faire?

METHDES COMMENT faire?

TACHESCe qui EST fait

RESULTATS Produits, prestations

BOUCLAGEÉcarts ?

Actions

correctrices

Révision des objectifs

Redéfinition des responsabilités

Variation des moyens

Modification des méthodes

Mise en conformité des tâches

21

Déterminer les objets auditables

Objet auditable

= éléments qui peuvent être

observés, constatés par l ’auditeur, et comparés au référentiel

22

Il y a deux approches pour passer d ’un

sujet de mission à des objets auditables

• Découper en stades chronologiques quand la dimension chronologique est un guide1° découper en stades successifs2° pour chaque stade, déterminer ses objectifs et ses risques3° les modalités de fonctionnement garantissent-elles l ’atteinte de ces

objectifs (Pratiques d ’Organisation Communément Adoptées POCA) + compléter par un regard thématique

• Découper par Arborescence de Facteurs Qualifiables quand elle ne l ’est pas

1° effectuer une analyse sémantique arborescente jusqu ’à des « objets » auditables

2° vérifier l ’exhaustivité des préoccupations par l ’approche qualité (quels partenaires, quelles attentes?)

Objets, risques, POCA

23

Le plan d ’approche clôt la phase de reconnaissance

• Il synthétise les connaissances et réflexions des auditeurs et permet de lancer l ’Analyse des Risques

• Il englobe : • La demande• Le domaine

• Le reste de la phase d ’étude

24

Le Tableau des Forces et Faiblesses Apparentes (TFfA)

• Le TFfA conclut la phase d ’Analyse des Risques réalisée sur la base des objectifs dans le Plan d ’Approche ; il a pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l ’entité ou du domaine audité

25

Le Tableau des Forces et Faiblesses Apparentes (TFfA)En matière de régularité les forces et faiblesses s’expriment qualitativement et quantitativement par rapport à des règles, procédures et systèmes existants. L’avis ou les présomptions de l’auditeur s’appuient essentiellement sur les conditions d’atteinte des objectifs du contrôle interne concernant la sécurité, la fiabilité des informations et la protection des actifs.

En matière d’efficacité les forces et les faiblesses s’expriment qualitativement et quantitativement par rapport à des résultats attendus et à leurs conditions d’obtention. L’avis ou les présomptions de l’auditeur dépendent pour une large part de sa compréhension du domaine audité et s’appuient essentiellement sur les conditions d’obtention de l’efficacité : cohérence des objectifs et des moyens et suivi des actions et des résultats

26

La « Réunion d ’ouverture » / « installation de l ’équipe

d ’audit »

Participants : – Le chef de Mission + éventuellement le Directeur de l ’AI – Les auditeurs– Le Directeurs des audités– Les chefs des Services audités

5 points à aborder : – Présenter les auditeurs, se faire présenter les audités– Exposer / rappeler l ’AI et sa place dans l ’entreprise– Annoncer le déroulement prévisionnel de la mission; insister sur les

échanges avec les audités– Affiner la logistique (téléphone, bureau, armoire…) et prendre les premiers

rendez-vous

Habituer les audités à l ’idée qu ’ils sont des acteurs et non des victimes

27

L ’analyse des risques le TFfA

Tableau des Forces et faiblesses Apparentes

Domaine / opération

Objectifs de contrôle

risquesPOCA/

Indicateurs Et indices

opinion

F:f conséquence D° de

confiance

CommentairesOu réf.

Issues du Plan d ’Approche produits par l ’Analyse des Risques

28

L ’analyse des risques sert à orienter les travaux

Analyse des risques– Comparer les constats effectués au référentiel (POCA)– Noter s ’il y a correspondance ou divergence : F ou f– Caractériser le risque – Juger jusqu ’à quel point on peut se fier aux apparences

Orientation des travaux– FORCE certaine : ne rien faire– FORCE probable , risque à faible gravité : ne rien faire – FORCE probable, risque à forte gravité : confirmer– FORCE peu sûre : à valider– FAIBLESSE possible : à démontrer

– FAIBLESSE certaine : requalifier le risque

29

La phase d ’étude aboutit aux

RAPPORT D ’ORIENTATION

Pour les audités et le demandeur

CONTRAT DE PRESTATION DE SERVICES précisant les axes d ’investigation de la revue et si possible ses limites

OBJECTIFS A ATTEINDRE pour les « clients »

Où allons nous ?

Programme de vérification Pour les auditeurs

GAMMES DE FABRICATION : tâches à effectuer, investigations à mener, questions à se poser, points à voir, pratiques de bonne gestion à rechercher

ACTIONS D ’AUDIT à planifier, répartir, entreprendre : travail de l ’équipe d ’auditComment y allons-nous ?

30

Le rapport d ’Orientation (RdO)

• Le RdO définit et formalise les axes d ’investigation de la mission et ses limites : il les exprime en objectifs à atteindre par l ’audit pour le demandeur et les audités

31

Élaboration du RdO

• Pour être pertinent : – Le Rd ’O reprend les conclusions du TFfA + priorités d ’actualité

+ préoccupations du management + objectifs incontournables– Il est discuté avec les principaux responsables audités et le

demandeur

• Pour être percutant :– Le Rd ’O est formulé en objectifs à atteindre pour le client et

rédigé en faisant abstraction des travaux d ’audit qu ’il implique.

– Il est bref : 1 à 3 pages.

• Pour être un contrat audit-audités (et demandeur) :– Formuler en : « s ’assurer que … » pour confirmer l ’existence

d ’une force ; « apprécier si … » pour évaluer l ’impact d ’une faiblesse

32

Le programme de vérification

(PdV)

• Le PdV est la gamme de fabrication à mettre en œuvre pour atteindre les objectifs du Rapport d ’Orientation

• C ’est un document interne au Service d ’Audit, destiné à définir, répartir, planifier et suivre les travaux des auditeurs.

33

Élaboration du Pde V Listes des travaux à effectuer par

l ’auditeur pour répondre aux engagements du Rd ’O en s ’appuyant sur des faits et non sur des opinions / en acquérant une intime conviction.

34

Les 7 merveilles du Pde V• Objectiver la démarche (découpage, objectifs,

risques, POCA, survol, ciblage/choix)• Assurer le Dr AI (contrat)• Permettre au chef de Mission de répartir les

tâches• Préparer le planning jusqu ’au Rapport• Guider l ’auditeur • Documenter le déroulement et servir le

tableau synoptique (table d ’orientation)• Capitaliser l ’expérience

35

La phase de Vérifications

• Les travaux sur le terrain• La conclusion de ces travaux : la

FRAP

36

Budget, Allocation, Planing, Suivi (BAPS)

• Le BAPS organise la mission dans le temps (durée, dates) et l ’espace (sites, auditeurs), de la fin de la phase d ’étude à la diffusion du Rapport; il est reflété par l ’État d ’Avancement de la mission régulièrement mis à jour.

37

Budget, Allocation, Planning, Suivi

• Budget = combien d ’heures ou journées va-t-on consacrer à chaque tâche du Programme de Vérification

• Allocation = qui fait quoi, affectation des tâches aux auditeurs

• Planning = quand le fait-on quand prévoit-on nos rendez-vous (prévenir) et nos productions (rapport)

• Suivi = les États d ’Avancement en prévisionnel et en réel; manuels ou informatisés, responsabilité du Chef de Mission

38

La phase de VérificationLa Feuille de Couverture

• La FdC est le document qui, établi en deux temps, décrit les modalités de mise en œuvre d ’une tâche définie dans le Programme de Vérification, puis met en évidence les conclusions qui en ont été tirées.

• La FdC formalise trois points, que toute action audit doit comporter :– Un but– Des modalités d ’exécution décrites d ’une manière

compréhensible – Une conclusion.

39

La Feuille de Couverture

• Établie en deux temps– Avant : le but de l ’action et ses modalités– Après : les résultats et conclusions

• Intérêt : gains de temps– Allège donc accélère PdeV et BAPS– Réduit l ’étendue du travail nécessitant concertation– Accroît la productivité car établie en temps masqué– Évite d ’établir les spécificités des actions devenues caduques – Facilite la constitution du dossier synthétique et la supervision

40

Le Papier de Travail (PdT)

• Les PdT = matière première pour : • Documenter et consigner chacune de ses constatations

et conclusions• Compiler les faits et réflexions ayant valeur de preuve

et d ’argument

• Constituent une base commune en vue d ’un travail d ’échange, d ’enrichissement et de réflexion entre les

membres de l ’équipe.

41

Les Papiers de Travail

• Objectifs : – Matérialiser la production et la progression de la mission– Recueillir des informations obtenues– Identifier et documenter des faiblesses relevées– Alimenter les discussions avec les audités– Étayer le Rapport– Valider les conclusions et les Recommandations– Faire superviser l ’avancement et les résultats de la

mission– Fournir des références aux missions futures

42

La Feuille de Révélation et d ’Analyse des Problèmes (FRAP)

• La FRAP est le Papier de Travail synthétique par lequel l ’auditeur présente et documente chaque dysfonctionnement. Elle facilite la communication avec les audités

• Toute FRAP comprend :– Le Problème : qui résume le dysfonctionnement– Les Faits : qui le prouvent– Les Causes : qui l ’expliquent– Les Conséquences : que cela entraîne– Les Recommandations : qui le résolvent.

43

La FRAP = l ’efficacité de l ’audit pour le bénéfice de tous

Guider la réflexion de l ’auditeur

Accélérer le rapport communiquer avec l ’audité

Faciliter la synthèse piloter la mission

FRAP

44

La FRAP comportera les références nécessaires à la

supervision et la gestion de la mission : • Références des Papiers de Travail qui étayent

la FRAP• Établi par : initiales de l ’auditeur et date• Approuvé par : initiales du superviseur et date • Validé avec : nom de l ’audité et date.

45

La supervision de la FRAP

• La FRAP doit être supervisée en deux temps :• 1° le Chef de Mission s ’assurera que les Faits sont réels

(étayés par les Papiers de Travail), les Causes correctes et les Conséquences le plus complètes possibles

• 2° il s ’assurera que la FRAP est cohérente et « communicante », en simulant le point de vue de l ’audité.

46

La phase de Conclusion

• Préparer le Rapport définitif

• Suivi des Recommandations et états des actions et progrès

47

L ’Ossature du Rapport

L ’OR, élaboré à partir des « problèmes » figurant sur les FRAP, et des conclusions figurant sur les Feuilles de Couverture pour les points satisfaisants est l ’enchaînement des messages que l ’Audit veut livrer lors des présentations et dans le Rapport concluant la mission

48

Le Compte Rendu Final au Site

• Le CRFS est la présentation orale, par le Chef de Mission, au principal responsable de l ’entité auditée, des observations les plus importantes. Il est effectué à la fin du Travail Terrain.

49

Le Rapport d ’Audit Interne

• Le Rapport d ’Audit Interne communique, aux principaux responsables concernés pour action et à la DG pour information, les conclusions de la Mission en mettant l ’action sur les dysfonctionnements pour faire développer les actions de progrès. C ’est une communication en trois temps : Projet, validation, Définitif. C ’est un document solennel.

Rapp. Conf.

50

Le Rapport d ’Audit Interne

• Le Rapport d ’Audit Interne doit être – Objectif– Clair– Concis– Utile – Plus convaincant

Rapp. Conf.

51

L ’État des Actions de Progrès

• L ’État des Actions de Progrès communique régulièrement à la DG les suites données aux Recommandations formulées par l ’audit, et éventuellement les résultats obtenus par les actions correctives des audités. La série des états s ’arrête lorsque toutes les Recommandations sont en place ou lorsqu ’il est décidé qu ’un suivi des Recommandations

restantes n ’est plus souhaitable.