Méthodologie de l'audit interne
-
Upload
jugurthinum-gurta-alias-yugurtino -
Category
Documents
-
view
85 -
download
5
Transcript of Méthodologie de l'audit interne
1
METHODOLOGIE DE METHODOLOGIE DE L’AUDIT INTERNE L’AUDIT INTERNE
2
l’Audit Interne, médecin de l’Audit Interne, médecin de l ’entreprise l ’entreprise
L ’AI intervient mandaté par la DG pour L ’AI intervient mandaté par la DG pour aller examiner et établir un : aller examiner et établir un :
- diagnostic - diagnostic
- pronostic- pronostic
- thérapeutique - thérapeutique
3
Le produit de l ’AILe produit de l ’AI
Fournir un rapport sous forme de Fournir un rapport sous forme de recommandations à la DG tout en recommandations à la DG tout en
respectant la déontologie, respectant la déontologie, l ’indépendance et la prudencel ’indépendance et la prudence
4
La démarche de l ’AI
• Étudier le fonctionnement, la PRATIQUE• Repérer les FAITS significatifs• Déterminer leurs CAUSES • Démontrer leurs CONSEQUENCES• Proposer des SOLUTIONS
5
La démarche de l ’AIAvant de se lancer dans une mission, l’auditeur interne doit
savoir de quoi s’agit-il ? Pour ce faire, il doit :
Rencontrer le demandeur pour comprendre ses attentes, Recueillir une première idée sur l’activité à auditer :
lectures, documentation, interview des Directions hiérarchiques et fonctionnelles,
Rencontrer le demandeur pour valider ses attentes, Redéfinir la mission, parfois la refuser, Téléphoner au Directeur de site / fonction, Rédiger l’Ordre de Mission, le faire signer, le diffuser.
6
Les étapes de la mission d ’AI
OM EAP
P d ’A TFfA Rapp
PVD R d ’O P de V CRFS BAPS OR F de C P de T FRAP Phase d ’étude Phase de vérification Phase de
conclusion
7
L ’AI = Avertisseur de risque
Événement / incident réalisé ou potentiel
Cause organisationnelle Incidence financière
ou autre
Détection
Manifestation
Facteur impact
Prévention Protection
8
La démarche d ’une La démarche d ’une missionmission
La phase d ’étudeLa phase d ’étude
-découvrir le sujet et/ou l ’entité à auditer-découvrir le sujet et/ou l ’entité à auditer
-définir ce qu ’il faudra vérifier -définir ce qu ’il faudra vérifier
La phase de vérificationLa phase de vérification
Évaluer, mesurer, contrôler, conclure et prescrire Évaluer, mesurer, contrôler, conclure et prescrire
La phase de conclusionLa phase de conclusion
-valider et informer (diffusion du rapport)-valider et informer (diffusion du rapport)
-obtenir des actions et dresser un bilan des progrès -obtenir des actions et dresser un bilan des progrès accomplisaccomplis
9
La phase d ’Etude La phase d ’Etude Ordre de Mission + Ordre de Mission + Explicitation Explicitation
1/ Prise de connaissance du sujet; prise de 1/ Prise de connaissance du sujet; prise de
conscience de ses Risques habituels et pratiquesconscience de ses Risques habituels et pratiques
usuelles de contrôle interne usuelles de contrôle interne
Plan d ’approchePlan d ’approche
2/ Identification des risques spécifiques à 2/ Identification des risques spécifiques à Installation de l ’équipe d ’auditInstallation de l ’équipe d ’audit
l ’organisation auditée, sur le terrain, pour l ’organisation auditée, sur le terrain, pour
Sélectionner les vérifications à mener Sélectionner les vérifications à mener
TFfA TFfA
3/ Choix des objectifs3/ Choix des objectifs
Rapport d ’Orientation : Rapport d ’Orientation : RecadrageRecadrage
4/Détermination des vérifications à effectuer4/Détermination des vérifications à effectuer
Programmes de vérifications Programmes de vérifications
10
La phase de vérificationLa phase de vérification11/ Estimation des charges (Budget), Affectation/ Estimation des charges (Budget), Affectation
des auditeurs aux tâches (Allocation), BAP-Sdes auditeurs aux tâches (Allocation), BAP-S
élaboration d ’un planning élaboration d ’un planning
puis suivi et ajustement puis suivi et ajustement
2/Spécification d ’un tâche du P de V (si non 2/Spécification d ’un tâche du P de V (si non
encore fait ), puis exécution et compte rendu + Feuille de encore fait ), puis exécution et compte rendu + Feuille de Couverture Couverture
Conclusion sur ce pointConclusion sur ce point
3/Exploitation de ce qu ’on a constaté : 3/Exploitation de ce qu ’on a constaté :
Transformation du constat en trouvaille : Transformation du constat en trouvaille :
Faits + Causes + ConséquencesFaits + Causes + Conséquences
Formulation du Problème, pour FRAP + Formulation du Problème, pour FRAP + Validation Validation
Communiquer avec l ’audité concernéCommuniquer avec l ’audité concerné
Élaboration de la Recommandation avec lui Élaboration de la Recommandation avec lui
11
La phase de ConclusionLa phase de Conclusion
1/Structuration des conclusions et du futur rapport Ossature1/Structuration des conclusions et du futur rapport Ossature
2/Compte-rendu au principale responsable audité 2/Compte-rendu au principale responsable audité CRFS CRFS (Compte-Rendu final (Compte-Rendu final
au Site / Service)au Site / Service)
3/Rédaction et envoi d ’un projet de rapport Projet3/Rédaction et envoi d ’un projet de rapport Projet
4/Réunion de validation de ce projet 4/Réunion de validation de ce projet Réunion de ValidationRéunion de Validation
5/Modification et diffusion du rapport définitif Rapport5/Modification et diffusion du rapport définitif Rapport
6/Obtention des plans d ’actions des audités en Suivi 6/Obtention des plans d ’actions des audités en Suivi
réponse aux recommandations et évaluation réponse aux recommandations et évaluation
12
La phase d ’étude La phase d ’étude - Rencontrer le demandeur pour comprendre ses attentes- Rencontrer le demandeur pour comprendre ses attentes
- Recueillir une première idée sur l ’activité à auditer : lectures + - Recueillir une première idée sur l ’activité à auditer : lectures +
documentation + interview des Directions hiérarchiques et documentation + interview des Directions hiérarchiques et fonctionnellesfonctionnelles
- Rencontrer le demandeur pour valider ses attentes- Rencontrer le demandeur pour valider ses attentes
- Redéfinir la mission, parfois la refuser- Redéfinir la mission, parfois la refuser
- Téléphoner au Directeur de site / fonction- Téléphoner au Directeur de site / fonction
- Rédiger l ’Ordre de Mission, le faire signer, le diffuser. - Rédiger l ’Ordre de Mission, le faire signer, le diffuser.
13
L ’ordre de MissionL ’ordre de MissionL ’ordre de MissionL ’ordre de Mission
- OM = mandat donné par la DG à l ’AI pour - OM = mandat donné par la DG à l ’AI pour informer les responsables concernésinformer les responsables concernés
- Tout responsable du site audité est - Tout responsable du site audité est destinataire de l ’OMdestinataire de l ’OM
14
L ’Ordre de Mission
• Principe déontologique : l ’AI ne décide pas lui-même; mandat de la DG
• Prévient les audités par la voie hiérarchique ; leur permet de s ’organiser
• Précise les entités concernées, sujet, raison, dates…mais pas trop !
• Accrédite l ’équipe d ’audit (noms, tél,…)• Ne répète pas la charte (rôle de l ’AI, place,
déroulement) ne remplace pas l ’installation (présentation, déroulement)
15
La phase d ’Etude • Une fois que l’auditeur interne est en possession de son ordre de
mission, il va aborder la phase d’étude de la mission qui va débuter par la prise de connaissance du domaine audité ; prise de conscience de ses risques habituels et pratiques usuelles de contrôle interne ( décomposition en objets auditables ) pour ensuite discuter avec les audités pour en tirer le plan d’approche.
• Ensuite, il y a l’identification des risques spécifiques à l’organisation auditée, sur le terrain, pour sélectionner les vérifications à mener ce qui aboutit à l’établissement du tableau des forces et faiblesses.
• L’auditeur effectue, en outre, les choix des objectifs ( rapport d’orientations ) et enfin, la détermination des vérifications à effectuer ( programme de vérifications ).
16
La phase d ’Etude • Une analyse des risques pour élaborer le programme
de vérification et le mettre en œuvre pour ensuite :
Confirmer les Forces critiques Évaluer les faiblesses
Reconnaissance P d ’AAnalyse des Risques TFfA
Choix des Objectifs R d ’O
Détermination des Tâches P de V
17
La phase d ’Etude
La prise de connaissance
Cette prise de connaissance ne doit pas se faire au hasard, elle doit suivre un plan d’approche qui doit organiser le travail d’Audit mené jusqu’à la fin d’étude. Pour cela il doit comprendre :
• Une définition précise des objectifs de la phase d’étude,• Une démarche de travail correspondant aux différentes
natures de preuves et d’information recherchées,• Un budget d’heures et éventuellement de frais,• L’affectation et le planning des travaux
18
La phase d ’étude :Le Plan d ’Approche
Le P d ’A :
• organise la phase d ’étude• Assure une prise de reconnaissance du domaine à
auditer• Assure une prise de conscience de ses habituels
risques et opportunités d ’amélioration• Décompose le sujet de la mission en objets auditables
19
La phase de Reconnaissance
Prise de connaissance du domaine audité +Prise de conscience des risques et opportunités
d ’amélioration =
Plan de la phase d ’étude : • Programme : domaines à examiner, services ou sites à visiter,
interviews à réaliser, informations à recueillir, premiers points critiques à bien comprendre
• Planning : date de la fin de la phase d ’étude
Ou Plan d ’Approche , écrit et approuvé par le Directeur d ’AI
20
Schéma de l ’examen d ’une
activité Objectifs
Vers quoi ? Pour quoi?
RESPONSABILITESQui doit faire et quand?
MOYENSAVEC QUOI faire?
METHDES COMMENT faire?
TACHESCe qui EST fait
RESULTATS Produits, prestations
BOUCLAGEÉcarts ?
Actions
correctrices
Révision des objectifs
Redéfinition des responsabilités
Variation des moyens
Modification des méthodes
Mise en conformité des tâches
21
Déterminer les objets auditables
Objet auditable
= éléments qui peuvent être
observés, constatés par l ’auditeur, et comparés au référentiel
22
Il y a deux approches pour passer d ’un
sujet de mission à des objets auditables
• Découper en stades chronologiques quand la dimension chronologique est un guide1° découper en stades successifs2° pour chaque stade, déterminer ses objectifs et ses risques3° les modalités de fonctionnement garantissent-elles l ’atteinte de ces
objectifs (Pratiques d ’Organisation Communément Adoptées POCA) + compléter par un regard thématique
• Découper par Arborescence de Facteurs Qualifiables quand elle ne l ’est pas
1° effectuer une analyse sémantique arborescente jusqu ’à des « objets » auditables
2° vérifier l ’exhaustivité des préoccupations par l ’approche qualité (quels partenaires, quelles attentes?)
Objets, risques, POCA
23
Le plan d ’approche clôt la phase de reconnaissance
• Il synthétise les connaissances et réflexions des auditeurs et permet de lancer l ’Analyse des Risques
• Il englobe : • La demande• Le domaine
• Le reste de la phase d ’étude
24
Le Tableau des Forces et Faiblesses Apparentes (TFfA)
• Le TFfA conclut la phase d ’Analyse des Risques réalisée sur la base des objectifs dans le Plan d ’Approche ; il a pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l ’entité ou du domaine audité
25
Le Tableau des Forces et Faiblesses Apparentes (TFfA)En matière de régularité les forces et faiblesses s’expriment qualitativement et quantitativement par rapport à des règles, procédures et systèmes existants. L’avis ou les présomptions de l’auditeur s’appuient essentiellement sur les conditions d’atteinte des objectifs du contrôle interne concernant la sécurité, la fiabilité des informations et la protection des actifs.
En matière d’efficacité les forces et les faiblesses s’expriment qualitativement et quantitativement par rapport à des résultats attendus et à leurs conditions d’obtention. L’avis ou les présomptions de l’auditeur dépendent pour une large part de sa compréhension du domaine audité et s’appuient essentiellement sur les conditions d’obtention de l’efficacité : cohérence des objectifs et des moyens et suivi des actions et des résultats
26
La « Réunion d ’ouverture » / « installation de l ’équipe
d ’audit »
Participants : – Le chef de Mission + éventuellement le Directeur de l ’AI – Les auditeurs– Le Directeurs des audités– Les chefs des Services audités
5 points à aborder : – Présenter les auditeurs, se faire présenter les audités– Exposer / rappeler l ’AI et sa place dans l ’entreprise– Annoncer le déroulement prévisionnel de la mission; insister sur les
échanges avec les audités– Affiner la logistique (téléphone, bureau, armoire…) et prendre les premiers
rendez-vous
Habituer les audités à l ’idée qu ’ils sont des acteurs et non des victimes
27
L ’analyse des risques le TFfA
Tableau des Forces et faiblesses Apparentes
Domaine / opération
Objectifs de contrôle
risquesPOCA/
Indicateurs Et indices
opinion
F:f conséquence D° de
confiance
CommentairesOu réf.
Issues du Plan d ’Approche produits par l ’Analyse des Risques
28
L ’analyse des risques sert à orienter les travaux
Analyse des risques– Comparer les constats effectués au référentiel (POCA)– Noter s ’il y a correspondance ou divergence : F ou f– Caractériser le risque – Juger jusqu ’à quel point on peut se fier aux apparences
Orientation des travaux– FORCE certaine : ne rien faire– FORCE probable , risque à faible gravité : ne rien faire – FORCE probable, risque à forte gravité : confirmer– FORCE peu sûre : à valider– FAIBLESSE possible : à démontrer
– FAIBLESSE certaine : requalifier le risque
29
La phase d ’étude aboutit aux
RAPPORT D ’ORIENTATION
Pour les audités et le demandeur
CONTRAT DE PRESTATION DE SERVICES précisant les axes d ’investigation de la revue et si possible ses limites
OBJECTIFS A ATTEINDRE pour les « clients »
Où allons nous ?
Programme de vérification Pour les auditeurs
GAMMES DE FABRICATION : tâches à effectuer, investigations à mener, questions à se poser, points à voir, pratiques de bonne gestion à rechercher
ACTIONS D ’AUDIT à planifier, répartir, entreprendre : travail de l ’équipe d ’auditComment y allons-nous ?
30
Le rapport d ’Orientation (RdO)
• Le RdO définit et formalise les axes d ’investigation de la mission et ses limites : il les exprime en objectifs à atteindre par l ’audit pour le demandeur et les audités
31
Élaboration du RdO
• Pour être pertinent : – Le Rd ’O reprend les conclusions du TFfA + priorités d ’actualité
+ préoccupations du management + objectifs incontournables– Il est discuté avec les principaux responsables audités et le
demandeur
• Pour être percutant :– Le Rd ’O est formulé en objectifs à atteindre pour le client et
rédigé en faisant abstraction des travaux d ’audit qu ’il implique.
– Il est bref : 1 à 3 pages.
• Pour être un contrat audit-audités (et demandeur) :– Formuler en : « s ’assurer que … » pour confirmer l ’existence
d ’une force ; « apprécier si … » pour évaluer l ’impact d ’une faiblesse
32
Le programme de vérification
(PdV)
• Le PdV est la gamme de fabrication à mettre en œuvre pour atteindre les objectifs du Rapport d ’Orientation
• C ’est un document interne au Service d ’Audit, destiné à définir, répartir, planifier et suivre les travaux des auditeurs.
33
Élaboration du Pde V Listes des travaux à effectuer par
l ’auditeur pour répondre aux engagements du Rd ’O en s ’appuyant sur des faits et non sur des opinions / en acquérant une intime conviction.
34
Les 7 merveilles du Pde V• Objectiver la démarche (découpage, objectifs,
risques, POCA, survol, ciblage/choix)• Assurer le Dr AI (contrat)• Permettre au chef de Mission de répartir les
tâches• Préparer le planning jusqu ’au Rapport• Guider l ’auditeur • Documenter le déroulement et servir le
tableau synoptique (table d ’orientation)• Capitaliser l ’expérience
35
La phase de Vérifications
• Les travaux sur le terrain• La conclusion de ces travaux : la
FRAP
36
Budget, Allocation, Planing, Suivi (BAPS)
• Le BAPS organise la mission dans le temps (durée, dates) et l ’espace (sites, auditeurs), de la fin de la phase d ’étude à la diffusion du Rapport; il est reflété par l ’État d ’Avancement de la mission régulièrement mis à jour.
37
Budget, Allocation, Planning, Suivi
• Budget = combien d ’heures ou journées va-t-on consacrer à chaque tâche du Programme de Vérification
• Allocation = qui fait quoi, affectation des tâches aux auditeurs
• Planning = quand le fait-on quand prévoit-on nos rendez-vous (prévenir) et nos productions (rapport)
• Suivi = les États d ’Avancement en prévisionnel et en réel; manuels ou informatisés, responsabilité du Chef de Mission
38
La phase de VérificationLa Feuille de Couverture
• La FdC est le document qui, établi en deux temps, décrit les modalités de mise en œuvre d ’une tâche définie dans le Programme de Vérification, puis met en évidence les conclusions qui en ont été tirées.
• La FdC formalise trois points, que toute action audit doit comporter :– Un but– Des modalités d ’exécution décrites d ’une manière
compréhensible – Une conclusion.
39
La Feuille de Couverture
• Établie en deux temps– Avant : le but de l ’action et ses modalités– Après : les résultats et conclusions
• Intérêt : gains de temps– Allège donc accélère PdeV et BAPS– Réduit l ’étendue du travail nécessitant concertation– Accroît la productivité car établie en temps masqué– Évite d ’établir les spécificités des actions devenues caduques – Facilite la constitution du dossier synthétique et la supervision
40
Le Papier de Travail (PdT)
• Les PdT = matière première pour : • Documenter et consigner chacune de ses constatations
et conclusions• Compiler les faits et réflexions ayant valeur de preuve
et d ’argument
• Constituent une base commune en vue d ’un travail d ’échange, d ’enrichissement et de réflexion entre les
membres de l ’équipe.
41
Les Papiers de Travail
• Objectifs : – Matérialiser la production et la progression de la mission– Recueillir des informations obtenues– Identifier et documenter des faiblesses relevées– Alimenter les discussions avec les audités– Étayer le Rapport– Valider les conclusions et les Recommandations– Faire superviser l ’avancement et les résultats de la
mission– Fournir des références aux missions futures
42
La Feuille de Révélation et d ’Analyse des Problèmes (FRAP)
• La FRAP est le Papier de Travail synthétique par lequel l ’auditeur présente et documente chaque dysfonctionnement. Elle facilite la communication avec les audités
• Toute FRAP comprend :– Le Problème : qui résume le dysfonctionnement– Les Faits : qui le prouvent– Les Causes : qui l ’expliquent– Les Conséquences : que cela entraîne– Les Recommandations : qui le résolvent.
43
La FRAP = l ’efficacité de l ’audit pour le bénéfice de tous
Guider la réflexion de l ’auditeur
Accélérer le rapport communiquer avec l ’audité
Faciliter la synthèse piloter la mission
FRAP
44
La FRAP comportera les références nécessaires à la
supervision et la gestion de la mission : • Références des Papiers de Travail qui étayent
la FRAP• Établi par : initiales de l ’auditeur et date• Approuvé par : initiales du superviseur et date • Validé avec : nom de l ’audité et date.
45
La supervision de la FRAP
• La FRAP doit être supervisée en deux temps :• 1° le Chef de Mission s ’assurera que les Faits sont réels
(étayés par les Papiers de Travail), les Causes correctes et les Conséquences le plus complètes possibles
• 2° il s ’assurera que la FRAP est cohérente et « communicante », en simulant le point de vue de l ’audité.
46
La phase de Conclusion
• Préparer le Rapport définitif
• Suivi des Recommandations et états des actions et progrès
47
L ’Ossature du Rapport
L ’OR, élaboré à partir des « problèmes » figurant sur les FRAP, et des conclusions figurant sur les Feuilles de Couverture pour les points satisfaisants est l ’enchaînement des messages que l ’Audit veut livrer lors des présentations et dans le Rapport concluant la mission
48
Le Compte Rendu Final au Site
• Le CRFS est la présentation orale, par le Chef de Mission, au principal responsable de l ’entité auditée, des observations les plus importantes. Il est effectué à la fin du Travail Terrain.
49
Le Rapport d ’Audit Interne
• Le Rapport d ’Audit Interne communique, aux principaux responsables concernés pour action et à la DG pour information, les conclusions de la Mission en mettant l ’action sur les dysfonctionnements pour faire développer les actions de progrès. C ’est une communication en trois temps : Projet, validation, Définitif. C ’est un document solennel.
Rapp. Conf.
50
Le Rapport d ’Audit Interne
• Le Rapport d ’Audit Interne doit être – Objectif– Clair– Concis– Utile – Plus convaincant
Rapp. Conf.
51
L ’État des Actions de Progrès
• L ’État des Actions de Progrès communique régulièrement à la DG les suites données aux Recommandations formulées par l ’audit, et éventuellement les résultats obtenus par les actions correctives des audités. La série des états s ’arrête lorsque toutes les Recommandations sont en place ou lorsqu ’il est décidé qu ’un suivi des Recommandations
restantes n ’est plus souhaitable.