Dossier Lecture

CREATION D’UNE STRUCTURE D’AUDIT INTERNE (1)
Problématique
• Comment concilier exigence de résultats tangibles et mise en place d’une réelle
méthodologie d’audit interne ?
• Comment établir le positionnement de la structure d’audit interne et assurer son
indépendance ?
• Quels profils recruter pour répondre aux objectifs ?
• Quels éléments clés de la méthodologie d’audit interne faut-il mettre en œuvre de
façon prioritaire pour s’assurer que les premières missions se déroulent dans de
bonnes conditions ?
Plan de l’intervention :
• la mise en place d’une structure d’audit interne ;
• l’image et le positionnement de la structure ;
• la gestion et la formation de l’équipe d’auditeurs ;
• la méthodologie et les outils.
Abordant à la fois les aspects organisationnels et méthodologiques de la mise en place
d‘une structure d‘audit interne, ce module cherche à démystifier l’aspect contraignant
que les managers d’entités publiques paraissent faire peser sur la création d’une
structure d’audit interne au sein de leurs entreprises.
(1) Les Cahiers de la Recherche de l’IFACI : Guide d’Audit – Création et Gestion d’une petite structure
d’audit interne
Module création d’une structure d’Audit Interne- Animateur : BENMANSOUR M.E. Bachir p. 1
AACIA
I- MISE EN PLACE D’UNE STRUCTURE D’AUDIT INTERNE
1.1 Pourquoi créer une structure d’audit interne ?
Qui décide de créer une structure d’audit interne ?
Historiquement, en Algérie, c’est d’abord un arrêté du Premier Ministre qui en 1980 a
recommandé de doter les entreprises publiques d’un Service de Contrôle Interne pour
encadrer le fonctionnement des opérations des cycles de l’entreprise.
En 1988, avec les lois portant sur les réformes économiques c’est la loi 88-01 qui a
introduit l’obligation de créer une structure d’audit interne au sein des entreprises
publiques économiques.
C’est dans ce contexte qu’a été créée dans le milieu les années 1990 l’Association des
Auditeurs et Contrôleurs Internes Algériens (AACIA).
Dans la pratique, la décision de créer une structure d’audit interne appartient, le plus
fréquemment, au Conseil d’Administration et/ou à la Direction Générale de
l’entreprise. La Direction Financière, quant à elle, peut être à l’origine de la mise en
place de l’Audit Interne, la comptabilité et les finances représentant des zones à
risques.
Cependant, le parrainage des dirigeants de l’entreprise s’avère très utile – si ce n’est
nécessaire – pour donner une impulsion à la démarche d’audit à l’ensemble de
l’entreprise et positionner la structure d’audit interne de telle façon qu’elle reçoive
l’attention nécessaire de la part des futurs audités.
Quelles motivations poussent à la création de la structure d’audit interne ?
La croissance et la complexification des opérations de l’entreprise sont les deux raisons
principalement avancées pour décider de la création d’une structure d’audit interne.
Dès lors qu’une entreprise se développe, que le nombre de ses unités ou de ses filiales
AACIA
s’accroît, que le nombre d’activités se diversifie, il apparaît plus difficile aux dirigeants
de garder la maîtrise des risques et d’obtenir toute la visibilité nécessaire au pilotage
de l’entreprise.
L’entrée en bourse de l’entreprise est également l’occasion de renforcer les principes de
gouvernance, en créant un service d’audit interne, d’autant que dans une telle
situation, les commissaires aux comptes et l’environnement réglementaire font,
souvent, pression pour que l’efficacité des mécanismes de contrôle interne soit
régulièrement évaluée.
Enfin, certains grands groupes internationaux, qui ont des structures d’audit interne
centrales, peuvent décider, souvent, pour des raisons d’efficacité et de coûts de
fonctionnement de créer des services plus petits couvrant soit des problématiques
spécifiques (audit informatique par exemple), soit des zones géographiques plus
restreintes.
Mais des évènements extérieurs ont également parfois joué un rôle d’accélérateur dans
la prise de décision liée à la mise en place d’une structure d’audit interne :
• une évolution de la législation : telle que les lois de 1988 et la nécessité de rendre
compte des procédures de contrôle interne en Algérie, ou pour les sociétés cotées en
Bourse aux Etats-Unis (NYSE et NASDAQ), la loi Sarbanes-Oxley ;
• un changement d’actionnaire ;
• la survenance d’un risque insuffisamment appréhendé par l’entreprise (problème
de gouvernance ou de gestion, erreur comptable, amende, fraude…).
1-2 Quels freins ou quels obstacles faut-il surmonter ?
La création d’une structure d’audit interne risque de se heurter à certaines
contraintes :
1.2.1 La première contrainte est souvent d’ordre budgétaire, une structure d’audit
interne représente un coût non négligeable pour une entreprise de taille moyenne
AACIA
qu’une Direction Générale n’est pas forcément prête à accepter tant qu’elle ne
s’approprie pas les bénéfices et les améliorations qu’un tel service peut lui apporter.
1.2.2 De plus, si la création de la structure d’audit interne a été motivée par des
événements extérieurs tels qu’un changement de législation ou une recommandation des
auditeurs externes, la Direction Générale peut ne pas accorder suffisamment d’attention
au bon fonctionnement de la structure tant au niveau de l’expertise requise, du
rattachement hiérarchique, du budget de fonctionnement, que de la mise en œuvre
des recommandations. Cette absence de parrainage de l’audit interne par la Direction
Générale, peut entraîner un positionnement inadapté de la structure et restreindre son
champ d’intervention.
1.2.3 L’expertise et la réputation de la personne nommée pour prendre la direction de la
structure d’audit interne peuvent constituer un véritable écueil. Selon le type
d’activités et l’orientation plus ou moins opérationnelle de l’audit interne, la
connaissance des métiers de l’entreprise peut s’avérer nécessaire. Nommer un junior,
sans réelle crédibilité dans la pratique de l’audit et qui aura du mal à s’imposer face
aux dirigeants et aux responsables de filiales ou de départements ayant une forte
expérience et/ou une forte personnalité, peut également constituer un obstacle.
Compte-tenu du nombre d’auditeurs internes, le responsable d’une petite structure
d’audit est très régulièrement amené à conduire des missions ou à les réaliser
entièrement lui-même.
Trouver un candidat qui ait, à la fois, suffisamment d’expérience pour organiser
et gérer le service et, par ailleurs, la volonté de participer à la réalisation des
missions peut être un challenge.
1.2.4 La nature même de l’activité de l’audit et son vaste pouvoir d’intervention et
d’investigation génèrent des inquiétudes. Beaucoup d’a priori circulent sur l’audit
interne qui reste encore, souvent, perçu comme une police interne ou le bras armé de
AACIA
la Direction Générale dans les filiales. Si l’entreprise dispose déjà d’un service de
Gestion des risques, ou d’un service Qualité, la pertinence de créer une structure d’audit
interne n’apparaîtra pas clairement à tous et ces services verront souvent d’un
mauvais œil l’arrivée d’un nouvel intervenant très rapidement perçu comme un
service concurrent de leur propre activité.
1.2.5 La multiplicité des demandes d’intervention : le service d’audit interne peut être
sollicité sur des sujets variés qui ne relèvent pas forcément d’une problématique
d’audit et que le management souhaite voir traiter très rapidement. Cela peut
également constituer un frein au fonctionnement du service et aboutir à brouiller
l’image de l’audit interne au sein de l’entreprise.
Ces obstacles potentiels doivent être connus du Responsable de l’Audit Interne
nouvellement nommé car chacun d’entre eux constitue un risque qu’il convient de
gérer comme tel en se référant à quelques bonnes pratiques
1-3 Les préalables avant les premières missions
Avant de créer une structure d’audit interne il est nécessaire que l’entreprise ait
défini le périmètre d’intervention de l’audit, le type de missions dans lequel l’audit sera
engagé ainsi que la méthodologie.
Comment définir les objectifs et le périmètre d’intervention assignés à l’audit
interne dans l’entreprise ?
Le rôle et les objectifs de l’audit interne peuvent varier considérablement d’une
entreprise à l’autre :
AACIA
1.3.1 Missions d’assurance
- audits financiers ;
- audits opérationnels de processus ;
- prévention et détection de la fraude ;
- audit d’organisation
1.3.2. Missions de conseil
- participation aux comités de pilotage ;
- sensibilisation au contrôle interne.
-audit du management stratégique…
1.3.3. Création d’une structure à Valeur Ajoutée
Afin de créer une structure d’audit interne qui soit réellement source de valeur ajoutée,
il est nécessaire de bien cerner à la fois les attentes du management, les risques inhérents
à l’entreprise et son niveau de maturité en matière de contrôle interne, notamment en
inventoriant les mécanismes de contrôle déjà existants. En effet, le périmètre d’intervention,
le type de mission et l’expertise des auditeurs internes varieront en fonction de ces trois
paramètres.
Une série d’entretiens avec le management et plus précisément avec les membres de
la Direction à qui est rattachée la structure (Norme 1000 : mission, pouvoirs et
responsabilités) s’avèrera donc très utile pour définir la mission de l’audit interne et
son périmètre d’intervention qui seront documentés dans la charte d’audit.
Faut-il réaliser des missions d’audit dès l’annonce de la création d’une structure ?
Dès l’annonce de la création d’une structure d’audit, certaines directions de
l’entreprise peuvent souhaiter voir démarrer des missions. Le responsable de la
structure d’audit interne nouvellement créée doit alors naviguer entre deux écueils :
• Lancer des missions d’audit sans avoir formellement défini la méthodologie : le
AACIA
déroulement des premières missions pourrait alors pâtir d’une certaine improvisation
pouvant être dommageable pour une structure qui doit, au contraire, démontrer un
véritable savoir-faire, une approche méthodique et une démarche structurée ;
• investir du temps pour définir la méthodologie, recruter ou former tous les profils
techniques nécessaires sans pouvoir démontrer la valeur ajoutée du département
par la réalisation de missions aboutissant à des recommandations pragmatiques.
Il peut être envisagé de lancer des missions d’audit avant d’avoir finalisé la
méthodologie.
Cependant, une telle approche comporte certains risques car la première mission
donne le ton sur le mode de fonctionnement de l’audit et instaure en partie la
crédibilité du service.
Elle nécessite une véritable expertise de la part des auditeurs internes.
Il est souvent préférable d’indiquer à la Direction Générale qu’une période de
quelques mois sera nécessaire pour définir la méthodologie d’audit avant de lancer
des missions
La méthodologie du service d’audit interne doit être documentée dans un souci
d’information, de transparence, de communication ainsi qu’en termes d’exemplarité
(Norme 200 : Gestion de l’audit interne et Norme 2010 A1 : planification des
missions d’audit interne basée sur l’évaluation des risques).
Un diagramme de flux peut suffire dans la phase de création de la structure afin de
bâtir les grandes étapes du processus et d’être en mesure de présenter aux audités le
déroulement des missions. Par la suite, il sera toujours possible d’affiner,
progressivement, la méthodologie et de l’enrichir, par exemple, par la création de
modèles pour les lettres de mission, l’échantillonnage, les rapports, la présentation des
résultats des missions… Une telle démarche aidera à la pérennisation et à la
capitalisation du savoir-faire qui constituent un véritable enjeu.

1:
AACIA
Quelles missions faut-il réaliser en priorité ?
Les missions prioritaires sont celles portant sur des problématiques pour lesquelles la
Direction Générale attend un diagnostic précis et des recommandations pragmatiques
permettant de faire évoluer l’entreprise de manière tangible. (Norme 2010 :
planification)
Il faut, néanmoins, éviter les missions trop longues, trop complexes ou trop «
politiques » pour lesquelles l’équipe d’audit n’est pas encore suffisamment
expérimentée et aguerrie.
Si cela est possible, le Responsable de l’Audit Interne planifiera d’abord des missions
pour lesquelles il dispose d’une expertise certaine, portant sur une problématique
unique et qui pourront être traitées en quelques semaines. De telles missions
permettent d’affiner la démarche d’audit, d’évaluer les compétences des auditeurs
internes et/ou de compléter leur formation.
Quelles doivent être les premières tâches du nouveau Responsable de l’Audit

Interne ?
La chronologie des tâches nécessaires au lancement d’une structure d’audit interne
peut être modifiée sur la base du mode de fonctionnement de l’entreprise, certaines
tâches peuvent être également menées en parallèle, néanmoins, la séquence ci-dessous
est la plus efficace pour positionner la structure et définir son mode opératoire :
1-4 La Charte d’audit interne, un document de référence et de légitimation
1.4.1. la définition et la communication de la charte d’audit interne, qu’il faudra
faire valider par les organes de l’entreprise.
La charte d’audit est le document qui spécifie le rôle, les responsabilités et le cadre
d’intervention de l’audit interne. (Norme 1000 : missions, pouvoirs et
responsabilités)
AACIA
En quoi est-elle utile ?
La communication de la charte d’audit interne au sein de l’organisation est souvent
perçue comme l’acte fondateur de la structure. Sa publication est ainsi l’occasion de
communiquer sur la création de la structure d’audit interne et de légitimer son
intervention.
La harte définit le périmètre d’intervention de la structure, les droits et devoirs des
auditeurs (en particulier les devoirs de réserve et de confidentialité). Elle permet de
cadrer les conditions d’intervention de l’audit interne et de les partager avec les
audités.
Le Code de déontologie de l’IIA fixe les devoirs minimaux des auditeurs internes
notamment en matière de confidentialité.
Le recours à la Charte de l’audit interne, lors de certaines missions délicates, permet
souvent de débloquer ou de clarifier la situation. Par exemple, si le droit d’accès à
l’information relevant des thématiques abordées lors des missions est clairement
spécifié dans la Charte, il devient difficile aux audités de refuser de communiquer
certains documents sensibles.
La publication de la charte donne lieu à une communication plus large sur la création
de l’audit interne dans l’entreprise et ses unités, sur son rôle, son positionnement et
son organisation.
La Charte d’audit est également l’occasion de définir les principes d’intervention des
auditeurs.
Que doit-elle contenir ?
La charte d’audit interne est un document interne qui doit refléter à la fois la culture
de l’entreprise et l’approche d’audit.
Son contenu comporte, en général, les points es suivants (Norme 1010 :
reconnaissance de la définition de l’audit interne, du Code de Déontologie et des
Nomes dans la Charte d’audit interne) :
AACIA
• la définition, le rôle et les objectifs de l’audit interne ;
• l’organisation et le rattachement de la structure ;
• le périmètre d’intervention de l’audit interne ;
• les droits et devoirs des auditeurs ;
• le déroulement d’une mission d’audit ;
• le rapport de mission et/ou le rapport annuel.
Il est essentiel de faire valider la Charte d’audit interne au plus haut niveau de
l’entreprise, c’est-à-dire par la Direction Générale et le Conseil d’administration.
Cette validation donne toute sa légitimité à l’audit interne et marque le soutien des
organes dirigeants à l’approche d’audit interne.
2. Le Responsable de l’Audit Interne devra lancer une démarche d’analyse des
risques, ou s’inspirer de la cartographie des risques qui existe, le cas échéant, pour
pouvoir identifier les sujets les plus sensibles et envisager les grandes orientations du
Plan d’Audit.
Cette analyse repose sur un questionnaire ouvert adressé aux personnes clés de
l’entreprise et sur des interviews.
. A cette occasion, le responsable de l’audit interne rencontre les managers (comité
exécutif, dirigeants de filiales ou d’unités, responsables de processus …), et présente
l’activité de l’audit interne.
Ces entretiens permettent de faire l’inventaire des mécanismes de contrôle interne
déployés dans l’entreprise. Ils initient la création d’un réseau pour avoir une bonne
visibilité sur les opérations de l’entreprise.
L’analyse des risques s’appuiera également sur une revue des principales filiales,
unités ou départements pour identifier celles qui présentent des risques spécifiques.
Le Responsable de l’Audit Interne s’attachera à évaluer, à la fois, l’impact potentiel des
risques en termes de matérialité et leur probabilité de survenance.
AACIA
3. Le Plan d’Audit : la préparation du Plan d’audit résulte de la Charte d’audit interne
(spécifiant entre autres le périmètre d’intervention), de l’analyse des risques et des
demandes spécifiques de la Direction Générale. (Norme 2010 : planification)
Le plan d’audit tient compte de la méthodologie d’audit (en particulier pour la durée
des missions), des compétences de la structure d’audit illustrées par les profils des
auditeurs.
4. la préparation du budget de l’audit interne : le premier exercice budgétaire est
relativement délicat dans la mesure où il est difficile de prévoir de façon précise les
dépenses qui seront engagées par la structure sans plan d’audit préalablement établi.
(MPA 2020-1 : communication et approbation).
Le budget d’une structure d’audit interne comporte, néanmoins, un nombre limité
de lignes de dépenses ; il s’agit principalement :
• des frais de personnel : les effectifs et le type de profils recherchés doivent être
assez rapidement discutés avec la Direction Générale ;
• les frais de formation ;
• les frais de déplacement ;
• les frais d’assistance et de conseil s’il est jugé nécessaire de faire appel à des
cabinets extérieurs pour aider à la mise en place ou au démarrage de l’audit interne,
ou encore pour obtenir l’intervention ponctuelle de personnes spécialistes ;
• les coûts relatifs au matériel utilisé (ordinateurs, imprimantes, vidéoprojecteur,
logiciels d’audit…).
(Norme 2030-1 : gestion des ressources)
5. le recrutement et la formation des équipes : le Responsable de l’Audit Interne
doit identifier les profils nécessaires au bon fonctionnement de sa structure et lancer
assez rapidement les recrutements.
Compte-tenu des délais pour trouver le candidat idéal et des périodes de préavis,
l’arrivée d’un nouvel auditeur peut prendre plusieurs mois.
AACIA
Si les auditeurs viennent d’autres départements de l’entreprise, il sera nécessaire de
les faire participer à des formations spécifiques sur le métier de l’audit et du contrôle
interne, la méthodologie, les outils.
Si les recrutements se font à l’extérieur, il sera nécessaire de faire connaître aux
nouveaux embauchés les différentes activités du groupe ou de l’entreprise.me 2010 :

Planification
1.5 Le rattachement de la structure d’audit interne dans l’organisation

Le rattachement à la Direction Générale permet de garantir l’indépendance de l’audit
interne (Norme 1100 : indépendance et objectivité).
Un tel rattachement permet également à l’audit d’être en permanence à l’écoute de la
stratégie de l’entreprise et de définir un plan annuel d’intervention en parfaite
adéquation avec l’évolution de l’entreprise ou du Groupe et les principaux risques qui
pourraient l’affecter.
Enfin, il garantit la visibilité de l’audit et l’attention que porteront les audités aux
recommandations formulées à l’issue de chaque mission.
En revanche, d’un point de vue opérationnel, il est fort probable que la Direction
Générale aura peu de temps à consacrer à l’audit. Le Responsable de l’Audit Interne
doit donc être suffisamment autonome et expérimenté pour gérer le service et ne faire
remonter que les points les plus critiques à la Direction Générale. (Norme 1110 :
indépendance dans l’organisation)
Dans certains cas, l’audit interne est rattaché à la Direction Financière.
Cependant, un tel rattachement peut créer de réels problèmes d’indépendance de
l’audit interne : comment en effet traiter une anomalie comptable ou financière
sérieuse due à une déficience de contrôle de la direction financière ? De plus, ce
rattachement cantonne très largement l’audit à une revue des processus financiers et
ne lui donne pas la légitimité nécessaire pour intervenir sur d’autres problématiques
(organisation commerciale, stratégie informatique, ...).
AACIA
Comment préserver l’indépendance et l’objectivité de l’audit interne ?
Tout Responsable de l’Audit Interne peut s’attendre à être un jour confronté à des
problématiques d’objectivité et d’indépendance de jugement ; la liste est longue, du simple
souhait de revoir la formulation de certaines recommandations, aux pressions plus ou
moins amicales pour ne pas sortir un point d’audit gênant pour les audités, jusqu’à
l’identification de risques majeurs minimisés par la Direction de l’entreprise ou cachés aux
actionnaires et partenaires, et qui pourraient remettre en cause la pérennité de celle-
ci.e 1100 : et
Autant le dire tout de suite, il n’existe pas de recette miracle et chaque Responsable de
l’Audit Interne devra agir en fonction de son professionnalisme dans le respect de la
législation.
Néanmoins, quelques principes permettent d’atténuer ces situations parfois délicates
comme par exemple, demander un accès régulier au Conseil d’administration ou au
Comité d’audit, s’il existe. Un tel accès permet au Responsable de l’Audit Interne de
communiquer directement avec les administrateurs sur des sujets critiques qui
pourraient avoir un impact sérieux sur l’avenir de l’entreprise.
Pouvoir se prévaloir d’un tel accès permet parfois de calmer les velléités et pressions
diverses. (Norme 1111 : relation directe avec le Conseil)
Mentionner dans la Charte d’audit que les conclusions principales seront présentées au
Conseil d’administration ou au Comité d’Audit, ou que le Responsable de l’Audit
Interne participe au Comité d’Audit, sont d’autres moyens pour s’assurer que les
points relevés lors des missions seront portés à la connaissance des représentants des
actionnaires.
AACIA
Faut-il accepter d’auditer des structures dont on a été responsable précédemment ?
Les normes d’audit interne sont très précises sur ce sujet : un auditeur ne peut
intervenir sur un dossier dont il a eu la charge dans un passé récent. (MPA 1130-
A1-1 : audit des opérations dont les auditeurs internes ont été auparavant
responsables)
Il vaut donc mieux refuser une mission ou la sous-traiter s’il existe un besoin urgent
d’intervention.
II- L’IMAGE ET LE POSITIONNEMENT DE LA STRUCTURE D’AUDIT
INTERNE
2-1 La communication d’une structure d’audit interne : Pourquoi communiquer ?
Le Responsable de l’Audit Interne se doit de faire connaître la structure nouvellement
créée au sein de l’organisation ainsi que ses missions.
La communication peut être l’occasion, pour lui, d’être à l’écoute des réactions des
futurs audités.
Sur quels sujets communiquer ?
Une communication à l’ensemble de l’entreprise lors de la création de la structure
d’audit interne est essentielle. Elle portera entre autres sur :
• les objectifs de l’audit interne et son périmètre d’intervention ;
• son positionnement ;
• son mode de fonctionnement et le déroulement des missions ;
• son organisation.
Idéalement, cette communication est qu’elle soit parrainée par les plus hautes
instances de l’entreprise : la Direction Générale, le Conseil ou le Comité d’audit,
lorsqu’il existe.
AACIA
Après la création du service d’audit interne, le Responsable de l’Audit Interne doit
continuer à communiquer régulièrement pour rappeler son mode de fonctionnement
à tous les employés de l’entreprise.
Quels moyens de communication faut-il utiliser ?
Pour communiquer, l’audit interne utilise les mêmes moyens que les autres
départements de l’entreprise, à savoir :
• le site intranet (charte d’audit interne, présentation de l’équipe…) ;
• les journaux ou notes internes ;
• les séminaires de présentation.
Comment construire l’image de la structure d’audit interne ?
La communication, aussi réussie soit-elle, ne peut à elle seule assurer le
positionnement d’une structure d’audit interne. Le professionnalisme, la discrétion,
l’intégrité et l’impartialité des auditeurs lors des missions sont des éléments clés pour
assurer la promotion de la structure au sein de l’entreprise.
Une mission réussie – au cours de laquelle, grâce au diagnostic des auditeurs, les
audités ont de leur propre avis trouvé les moyens de renforcer leur efficacité et leur
fiabilité – est le garant d’un service d’audit reconnu.
A contrario, une mission d’audit ratée et aboutissant à des recommandations
inadaptées pourra par le biais du « bouche à oreille » être extrêmement dommageable
pour le fonctionnement de la structure.
L’image du service se construit donc à chaque mission.
2-2 Les types de mission et l’objectivité de l’audit interne
L’audit interne définit son plan de mission en fonction des risques majeurs de
l’entreprise tels qu’ils ressortent de la cartographie des risques ou tels qu’appréhendés
par la Direction Générale et le responsable de l’audit interne.
AACIA
(MPA 2010-1 : prise en compte des risques et des menaces pour l’élaboration du
Plan d’Audit)
Quels types de missions pour l’audit interne ?
Les types de missions d’audit varient d’une entreprise à l’autre et dépendent des
objectifs du management et de l’expertise des auditeurs. Les missions les plus
classiquement confiées concernent :
• les audits financiers qui permettent de valider la fiabilité des processus et des comptes
• les audits de processus opérationnels qui s’attachent à vérifier l’efficacité des
processus et leur conformité avec les procédures et normes ;
• les audits informatiques qui permettent de vérifier entre autres la sécurité des accès aux
systèmes clés et la sauvegarde des données ;
• des missions d’évaluation du contrôle interne dans le cadre des certifications
financières (Sarbanes-Oxley) ou techniques ;
• les audits de prévention ou de détection de la fraude qui valident l’environnement
et les procédures de contrôle interne (séparation des fonctions, délégations de
pouvoirs, sécurisation des opérations de trésorerie et de décaissement, respect des
seuils de délégation, …) ;
• les audits d’organisation et de conseil pour aider à la mise en place ou à la
restructuration de certaines activités de l’entreprise ;
• la participation à des projets de déploiement de solutions informatiques telles que
les ERP (Enterprise Resource Planning)…
Toutes ces missions aboutissent généralement à l’évaluation d’un processus, d’un
système et/ou d’une entreprise et à la formulation de recommandations, dont la mise
en œuvre incombera à la Direction Générale et aux audités.
AACIA
Faut-il accepter d’autres types de missions sans pour autant compromettre
l’indépendance et l’objectivité de l’audit ?
Une structure d’audit interne peut être confrontée à d’autres demandes
d’intervention qui peuvent porter, par exemple, sur :
• le remplacement d’un opérationnel temporairement absent (maladie, maternité,
Congés, formation …) ;
• la rédaction de procédures de contrôle interne ;
• la documentation et/ou la rédaction du rapport annuel et/ou du rapport du
Président sur le fonctionnement du conseil d’administration
De telles demandes ne font pas partie du champ d’activité de l’audit interne. Elles
pourraient mettre en péril l’indépendance de l’audit interne.
Et pourtant, il est parfois bien difficile de refuser les demandes urgentes du
management pour lesquelles l’audit interne dispose d’une expertise unique dans
l’entreprise.
La charte d’audit interne, qui définit le périmètre d’intervention, les rôles et
responsabilités des audités, prend tout son sens dans de telles situations et peut servir
de référence pour refuser de participer à une activité qui nécessiterait une trop forte
implication opérationnelle des auditeurs et les empêcheraient par la suite de mener à
bien des missions d’évaluation.
L’indication d’une atteinte à l’objectivité doit figurer dans le rapport d’audit interne.
(MPA 1130- A2-1 : responsabilités exercées par l’audit interne au titre d’autres
fonctions).
AACIA
2-3 Le positionnement de l’audit interne par rapport à d’autres organes de
contrôle
Selon les secteurs dans lesquels elle opère et la complexité de ses opérations,
l’entreprise peut avoir différents organismes de contrôles tant internes (contrôle de
gestion, qualité, gestion des risques, santé et sécurité au travail) qu’externes tels que
les commissaires aux comptes ou les autorités de tutelle (pour les organismes publics)
ou différents régulateurs.
Si l’entreprise dispose déjà de départements qualité, santé et sécurité au travail,
inspection ou de gestion des risques, il sera utile de préciser les rôles, les
responsabilités et le champ d’intervention de chacun de ces départements afin d’éviter
les « conflits de territoire » et des interventions redondantes.
S’agissant de la structure d’audit interne, la Charte d’audit interne est le véhicule
idéal pour clarifier les différences et les complémentarités avec les autres organes de
contrôle.
Q
3- La Gestion Des Ressources Humaines
3-1 Organisation et taille du service
Quels critères prendre en compte pour déterminer la taille de l’équipe ?
La taille d’une structure d’audit interne dépend tout d’abord des objectifs que la
Direction Générale se fixe en créant le service, du périmètre confié à l’audit interne et
des moyens qu’elle veut bien affecter à cette activité. Elle va également varier en
fonction des synergies envisagées avec les autres services de l’entreprise tels que la
qualité ou des entités chargées de la gestion des risques.
Il existe néanmoins des ratios donnant une indication de la taille moyenne d’une
équipe d’audit. Ces ratios doivent être modulés pour prendre en compte la complexité
des opérations ou la diversité (implantations géographiques) d’un groupe, ou enfin la
gravité des risques identifiés.
AACIA
Selon l’enquête de l’IFACI sur la pratique de l’audit interne en France en
2005, le nombre moyen d’auditeurs pour 1000 salariés est de 2,85. Les services d’audit
interne de moins de 10 auditeurs représentent 74% des répondants.
Il est nécessaire de définir le périmètre et les objectifs de l’audit pour déterminer la
taille critique qui permettra à la structure de remplir efficacement sa mission en
fonction des spécificités de chaque entreprise.
Adopter une approche progressive lors de la création d’un service d’audit interne est
sans doute une démarche pragmatique. Ainsi, un service d’une ou deux personnes
pourra remplir très efficacement son rôle pendant quelques années. Par la suite, une
fois que la valeur ajoutée de l’audit interne aura été établie, la taille du service pourra
évoluer pour accompagner la croissance de l’entreprise.
Comment organiser le service ?
D’un point de vue hiérarchique ?
L’organisation dépend évidemment de la taille, mais surtout des objectifs, des risques
et du périmètre d’intervention de la structure.
Dans le cas d’entreprises PME ou PMI le service est généralement organisé avec :
• un responsable de service qui est l’interlocuteur de la Direction Générale et qui
définit la méthodologie et le plan d’audit. Il est également amené à réaliser ou à
participer activement à certaines missions ;
• et des auditeurs souvent généralistes.
Dans de telles entreprises, il est recommandé de recruter des auditeurs expérimentés
qui pourront travailler de façon autonome.
Dans des entités de tailles plus grandes (de 5 à 10 auditeurs), une organisation
hiérarchique plus structurée peut être envisagée avec :
• un responsable de service qui est l’interlocuteur de la Direction Générale et qui
définit la méthodologie et le plan d’audit. Le responsable est parfois assisté d’un
adjoint qui va gérer les tâches d’organisation courante, l’élaboration ou la mise à jour
des méthodes ;
AACIA
• des chefs de missions : auditeurs confirmés qui encadreront les missions, formeront
des auditeurs juniors et réaliseront les tâches les plus complexes ;
• des auditeurs juniors qui réaliseront les travaux d’audit les plus simples ;
• en fonction de l’activité de l’entreprise, il peut également être envisagé d’intégrer un
ou deux auditeurs spécialisés (par exemple un auditeur informatique ou un auditeur
juridique).
3-2 Recrutement, formation et évolution des auditeurs Quels auditeurs
recruter ?
Tout Responsable de l’Audit Interne rêve de recruter des auditeurs
professionnellement avérés, spécialistes du ou des métier (s) de l’entreprise, parlant
l’Anglais qui est la langue de travail international, capables de travailler de façon
indépendante sur tous les types de mission.
De tels profils existent mais ils sont coûteux et souvent difficiles à attirer dans de
petits services d’audit interne.
Recruter des auditeurs juniors (soit des étudiants tout juste sortis de grandes écoles
ou de l’université, soit des collaborateurs de l’entreprise souhaitant évoluer vers de
nouveaux métiers) est beaucoup moins coûteux mais l’effort de formation demandé
dans un petit service est souvent très lourd, alors même que les ressources du service
sont limitées.
Un profil bien adapté est celui d’un auditeur ayant 2 à 4 ans d’ancienneté soit en audit
interne soit en audit externe et désireux d’intégrer l’entreprise. Cette personne, déjà
rodée aux techniques d’audit, pourra travailler de façon autonome et ne souffrira pas
de conflits d’intérêt liés à des problématiques dont elle aurait eu la responsabilité
précédemment.
Une structure d’audit interne d’une entreprise de taille moyenne permettra à de tels
auditeurs de participer à des missions très diverses, de développer leurs capacités
AACIA
d’autonomie, d’influencer l’approche méthodologique de la structure et d’acquérir
une connaissance approfondie de l’entreprise et de ses équipes dirigeantes.
Comment intégrer des collaborateurs de l’entreprise ?
Intégrer des collaborateurs de l’entreprise qui souhaitent évoluer peut présenter un
certain nombre d’avantages : ils connaissent les métiers de l’entreprise, ses processus
et son organisation.
Il faut, cependant, garder en mémoire qu’un bon comptable ou un bon contrôleur
Qualité ne connaissent pas forcement le métier de l’audit. Une telle transition
nécessitera une formation tant d’un point de vue technique que déontologique et
comportemental.
Les Normes internationales pour la pratique professionnelle de l’audit interne
recommandent de ne pas leur faire auditer les processus ou département dont ils
avaient précédemment la responsabilité. Il n’est pas toujours aisé de porter un regard
critique sur les processus de l’entreprise lorsqu’on y a longtemps travaillé et de
proposer des améliorations remettant en cause des pratiques établies de longue date.
Un délai d’au moins un an est nécessaire pour garantir un regard indépendant sur
une activité précédemment menée par un auditeur.
Comment évaluer les besoins de formation ?
La formation des auditeurs est fondamentale dans les structures d’audit interne, car
les transferts de compétences d’auditeurs seniors ou très spécialisés vers les
auditeurs moins expérimentés est souhaitée voire recherchée. Certains se fixent des
objectifs chiffrés en nombre de jours de formation par auditeur (5 à 10 jours par an).
Il appartient donc au Responsable d’Audit Interne d’évaluer les besoins de
formation en prenant en compte :
• les compétences des auditeurs et leur niveau d’expertise,
AACIA
• la nécessité pour les auditeurs de démontrer un véritable « savoir être » pour
assurer de bonnes relations avec les interlocuteurs de l’audit interne (audités,
Direction Générale, Comité d’audit, Commissaires aux comptes, …) ;
• le talent des auditeurs pour la communication, tant orale qu’écrite ;
• le plan d’audit, certaines missions très techniques nécessiteront une formation
spécifique permettant aux auditeurs de « comprendre » leurs interlocuteurs et de
poser les bonnes questions.
Il est recommandé d’aborder les besoins de formation lors des entretiens annuels
d’évaluation des auditeurs internes et de recueillir leurs propres souhaits en la
matière.
Quelles formations dispenser ?
Nous l’avons vu, le type de formation variera en fonction des objectifs du département
et de l’expertise des auditeurs.
A minima, un auditeur doit connaître :
• les techniques et la méthodologie d’audit ;
• le fonctionnement de logiciels de bureautique et en particulier les tableurs ;
• une langue étrangère, le cas échéant ;
• les métiers de l’entreprise ;
• les bases en matière de technique de management, de techniques comptables,
financières, juridiques et de gestion des ressources humaines.
En fonction des thèmes de missions, une connaissance des normes comptables et/ou
des processus financiers plus spécialisés tels que cycles ventes, achats, paie, gestion
des immobilisations, gestion des stocks … sera fortement recommandée.
D’autres formations pourront également être proposées comme les formations métiers
ou des spécialisations plus pointues (législation sociale, audit informatique…).
AACIA
Comment organiser la formation ? en interne ou en externe ?
Dans un petit service d’audit interne, les ressources sont souvent très limitées pour
organiser la formation en interne. Il est donc souvent plus efficace de recourir à des
organismes externes (par exemple l’AACIA) qui proposent des sessions de formation
standard permettant d’acquérir les connaissances requises pour le bon déroulement
des missions et du fonctionnement du service.
De telles formations permettent également aux auditeurs internes de rencontrer des
pairs et de partager les problématiques auxquelles ils sont confrontés. Les auditeurs
pourront compléter les formations auxquelles ils ont participé par des recherches
personnelles (lectures, conférences, Internet, …).
Peut-on envisager d’externaliser complètement l’audit interne ?
Quelques rares groupes et entreprises se sont engagés dans une démarche
d’externalisation quasi complète de leur service d’audit interne. Néanmoins, une telle
approche requiert de conserver la maîtrise sur la méthodologie, l’analyse des risques
et le plan d’audit.
L'externalisation consiste à confier, d'une manière permanente, à un cabinet externe
l'audit de l'ensemble des structures et activités de l’entreprise.
Si l'entreprise conserve en son sein la direction de l'audit interne, on parlera alors
d'externalisation « opérationnelle », dans le cas contraire d'externalisation « totale ».
Une entreprise qui envisage l’externalisation de son service d’audit interne devra
s’interroger sur les conséquences de cette démarche telles que :
• perte de savoir-faire et du rôle de pépinière du service d'audit interne ;
• perte de la maîtrise d'une fonction importante des mécanismes de contrôle interne
• risque de perte de confidentialité et/ou d’indiscrétion sur les avantages compétitifs
• risque de dépendance vis-à-vis du prestataire ;
• moindre connaissance des activités/métiers de l'entreprise, de son personnel, de sa
culture, de ses valeurs et de ses évolutions ;
AACIA
• approches plus standardisées des missions d'audit ne convenant pas
nécessairement à la spécificité de l’entreprise ;
• manque d’autorité pour assurer la mise en place des recommandations.
Si enfin, l'entreprise opte pour cette solution afin d'éviter tout conflit d'intérêt et
perte d'objectivité, cette mission ne peut pas être confiée au cabinet d'audit externe
en charge de son commissariat aux comptes.
En tout état de cause, l'entreprise doit conserver la maîtrise d’œuvre du processus
des missions d'audit interne notamment par :
• le maintien du responsable de l'audit interne, garant de tous les contacts avec la
Direction Générale. Pour les toutes petites entreprises, ce rôle pourra être confié à un
membre de l'équipe dirigeante ;
• la détermination du plan des missions d'audit interne, de leur approche
(processus, activités, thèmes, systèmes, projets) et de leur fréquence ;
• l'aval donné sur la qualité de l’équipe chargée des missions d'audit ;
• l'actualisation périodique du programme d'audit interne ;
• l'acceptation des méthodes de travail utilisées (y compris la présentation des
rapports) ;
• la discussion des principaux points des rapports avant leur diffusion ;
• le monopole des contacts de toutes natures avec le comité d'audit ;
• la supervision du processus de suivi des recommandations.
Par ailleurs, le recours éventuel à un prestataire externe doit faire l'objet d'un contrat
précis et détaillé, qui évitera toute clause de tacite reconduction.
AACIA
4- LA MÉTHODOLOGIE ET LES OUTILS
4-1 Le référentiel d’audit interne
Sur quel référentiel s’appuyer pour établir la méthodologie d’audit ?
Le seul référentiel officiel est celui de l’IIA (Institute of Internal Auditors), traduit en
français par l’IFACI et disponible sur le site de ces organisations (www.theiia.org ou
www.ifaci.com).
Ce référentiel est le socle commun à l’ensemble des services d’audit interne. Le Cadre
de Référence International pour la Pratique Professionnelle de l’audit interne (CRIPP
ou International Professional Practices Framework en anglais) est composé de six (6)
éléments :
• la définition de l’audit interne ;
• le Code de déontologie ;
• les Normes et interprétations ;
• les Modalités pratiques d’application ;
• les guides d’application ;
• les prises de position.
Les Normes internationales de l’audit interne :
• définissent les principes de base que l’audit interne doit suivre ;
• fournissent un cadre de référence pour la réalisation et la promotion d’un large
éventail d’activités d’audit interne ;
• établissent les critères d’appréciation du fonctionnement de l’audit interne ;
• favorisent l'amélioration des processus organisationnels et des opérations.
Il est conseillé de s’appuyer également sur un référentiel reconnu au niveau mondial
pour la création des programmes de travail.
Ainsi, l’évaluation des processus de contrôle interne peut s’appuyer sur les principes
du COSO 1 « la pratique du contrôle interne » ou du Cadre de Référence de l’AMF1.
AACIA
En ce qui concerne les processus de management des risques l’utilisation du COSO 2
« le management des risques de l’entreprise » est recommandé ;
Pour les missions de nature informatique, le Cobit constitue un référentiel utile.
Enfin, pour l’évaluation des processus de gouvernement d’entreprise le document
IFACI/IFA sur le rôle de l’audit interne dans la gouvernance fournit des bonnes
pratiques.
Le Code de déontologie de la profession d’audit
Le Code de déontologie de l’IIA, traduit par l’IFACI, a pour but de promouvoir une
culture de l’éthique au sein de la profession d’audit interne.
Compte tenu de la confiance placée en l’audit interne pour donner une assurance
objective sur les processus de gouvernement d’entreprise, de management des risques
et de contrôle, il était nécessaire que la profession se dote d’un tel code. Le Code de
déontologie va au-delà de la définition de l’audit interne et inclut deux composantes
essentielles :
1. Des principes fondamentaux pertinents pour la profession et pour la pratique de
l’audit interne, qui sont l’intégrité, l’objectivité, la confidentialité et la compétence.
2. Des règles de conduite décrivant les modèles de comportement attendus des
auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des principes
fondamentaux et ont pour but de guider la conduite éthique des auditeurs internes.
4-2 La cartographie des risques
Qu’est-ce qu’une cartographie des risques ?
Les entreprises sont souvent amenées à engager une démarche de cartographie des
risques afin de renforcer leurs processus de gestion des risques par une approche
structurée et formalisée.
La cartographie des risques est un document qui permet :
AACIA
• de disposer d’une vision interne partagée et hiérarchisée des risques auxquels
l’entreprise est exposée ;
• d’améliorer la maîtrise des opérations grâce à la prise en compte des risques
identifiés ;
• de fournir un outil et une méthode de recherche et de hiérarchisation des risques
qui facilitera, notamment, l’élaboration du plan d’audit annuel et la détermination
des actions et missions prioritaires ;
• de répondre à certaines obligations légales (loi de sécurité financière, ou autres…).
Pourquoi est-elle utile pour la gestion d’une petite structure d’audit ?
Un service d’audit interne de taille restreinte ne peut pas répondre à toutes les
demandes d’intervention qui lui sont faites. Une cartographie des risques lui permet
de se focaliser sur les risques clés de l’entreprise et de s’assurer que des mécanismes
de contrôle interne adéquats ont été déployés pour y répondre.
Quelle méthodologie adopter pour mettre en place une cartographie des risques ?
La démarche de cartographie des risques doit répondre à deux problématiques :
1. l’identification des risques :
Les risques sont souvent identifiés en combinant :
• des questionnaires ouverts adressés à tous les cadres dirigeants ainsi qu’aux
collaborateurs responsables de risques majeurs. Les participants sont sollicités sur
leur perception des risques pouvant affecter tant le groupe dans son ensemble,
qu’un périmètre restreint à leurs propres sphères de responsabilités ;
• des entretiens individuels conduits avec chaque personne ayant complété le
questionnaire afin de développer le contenu du questionnaire et de mieux connaître
les causes des risques et les moyens éventuels pour y remédier ou en atténuer
l’impact.
AACIA
A l’issue de cette démarche, les risques soulevés par les différents intervenants sont
recensés dans un fichier et regroupés par famille tels que risques d’image, de
fraude… Ce tableau permet, entre autres, de déterminer les risques clés qui sont les
plus fréquemment cités et dont l’impact pour le groupe apparaît comme le plus
sévère.
2. la hiérarchisation des risques :
Les risques sont généralement évalués en fonction de deux critères majeurs :
• la probabilité de survenance ;
• l’impact en cas de survenance.
La hiérarchisation de ces risques en fonction de leur probabilité de survenance et de
leur gravité peut également être abordée lors de ces entretiens. L’entreprise engagée
dans une démarche de cartographie définira son propre système d’évaluation ; par
exemple, une note de 1 à 5 permettra d’évaluer la probabilité de survenance et une
autre note de 1 à 5 évaluera l’impact potentiel du risque s’il se matérialise. Une note
globale combinant les deux précédentes mettra en évidence les risques les plus
sévères.
Cette notation permettra d’obtenir une première hiérarchisation des risques qui sera,
ensuite, soumise aux cadres dirigeants pour revue et validation. A l’issue de cette
revue, les risques seront synthétisés et classés dans différentes catégories. Par
exemple :
• Action : Les risques sont considérés comme critiques et peu maîtrisés, ils doivent
faire l’objet d’actions prioritaires.
• Contrôle : Les risques sont considérés comme critiques mais relativement bien
maîtrisés, il conviendra de s’assurer que cette perception est réelle.
• Suivi : Les risques sont moins importants mais perçus comme peu maîtrisés. Il
conviendra de les suivre sans trop focaliser sur ces derniers, mais s’assurer qu’ils
demeurent sous contrôle.
• optimisation : Les risques sont considérés comme peu importants et correctement
maîtrisés.
AACIA
Enfin, la cartographie des risques doit aboutir au lancement de plans d’actions dont
le degré d’urgence dépendra de la gravité et du niveau de maîtrise des risques
identifiés.
4-3 Le plan d’audit interne
4-3-1 La préparation du plan d’audit interne
Qu’est-ce qu’un plan d’audit ? (Norme 2010 : planification)
Ce document fondé sur une approche par les risques permet de définir des priorités
cohérentes avec les objectifs de l'entreprise. Il réunit les missions que l’audit interne
engagera au cours des mois à venir. Le plan d’audit est mis à jour, au moins, une fois
par an pour tenir compte de l’évolution des risques de l’entreprise et est validé par la
Direction Générale et le Conseil.
Quelle est la période de couverture du plan d’audit et quand faut-il le mettre à jour ?
Les plans sont généralement annuels, mais il est possible de faire des
plans pluriannuels. La période couverte par le plan dépend de l’environnement
du groupe, de sa stratégie et de sa politique de contrôle ainsi que de la taille et de la
maturité de l’équipe d’audit.
Il est recommandé de mettre le plan d’audit à jour régulièrement pour prendre en
compte les modifications demandées par la Direction Générale ou bien liées à des
changements d’orientation stratégiques ou de périmètre d’intervention, en
particulier en cas d’acquisition ou de cession.

Norme 2020 :
Communication et
Quand prépare-t-on le plan d’audit interne ?
La préparation du plan est souvent un exercice itératif qui nécessite de faire le point
sur les missions déjà réalisées, sur les risques actuels et les besoins de l’équipe de
direction de l’entreprise. Il est donc préférable de commencer la préparation du plan
AACIA
1 à 2 mois avant la date de soumission à la hiérarchie. De plus, le plan servant de base
pour l’élaboration du budget du service d’audit (déplacements, interventions
extérieures), il est important de tenir compte du calendrier budgétaire pour mettre à
jour le plan d’audit.
Quels thèmes faut-il aborder lors de l’élaboration du plan d’audit ?
Le plan va porter en priorité sur les sites et problématiques inclus dans le périmètre
de l’activité de l’audit interne.
La cartographie des risques sert de référence dans la définition des thèmes qui seront
abordés lors des missions d’audit. Le plan inclut des risques non couverts lors de
précédentes missions ou qui restent encore mal appréhendés malgré les interventions de
l’audit interne.
Le plan doit aussi s’inscrire dans la stratégie du groupe et être aligné sur les objectifs
prioritaires de l’entreprise.
Des interviews ou des contacts réguliers avec la Direction de l’entreprise permettent
d’identifier ses besoins, ainsi que les nouvelles orientations stratégiques qui
pourraient avoir un impact sur le périmètre et les objectifs des missions de l’audit
interne.
Les thèmes abordés lors des missions vont varier en fonction de l’activité de
l’entreprise :
- Une société commerciale mettra, par exemple, l’accent sur la revue de la gestion des
achats, des stocks et sur le cycle vente / gestion de l’encours client.
-Une société industrielle pourra, quant à elle, revoir le calcul des coûts de revient ou la
sécurité des chaînes de fabrication.
Deux approches sont principalement retenues pour définir le plan d’audit :
• une approche par les processus (ou approche thématique) : lors de chaque mission
d’audit, un processus stratégique est revu sur un ou plusieurs sites ;
• une approche par site : lors de chaque mission d’audit tous les processus clés d’un
site ou d’une filiale font l’objet d’une revue approfondie.
AACIA
Pour assurer la meilleure couverture des risques possibles, la plupart des plans
d’audit combine ces deux approches : quelques missions porteront sur un processus
ou thème spécifique abordé de façon transverse dans plusieurs entités, et d’autres
missions aborderont tous les processus et risques clés d’un site ou d’une filiale donnée.
Il faut également ajuster le périmètre des missions en tenant compte de tous les sujets
qui seront traités par d’autres intervenants tant internes (contrôle qualité, contrôle de
gestion…) qu’externes (commissaires aux comptes, autorités de tutelle…).
Enfin, il est critique, surtout dans les petites structures d’audit interne, de tenir compte
de l’expertise des auditeurs pour définir les problématiques qui pourront être traitées
par le service d’audit interne. (MPA 1210-1 : compétence)
En effet, demander à des auditeurs financiers d’évaluer la sécurité informatique, ou à
des auditeurs métiers de se prononcer sur la politique de placements financiers de
l’entreprise peut relever de la gageure.
Dans les cas de lacunes de compétence, le responsable de l’audit interne aura plusieurs
options (MPA 1230-1 : formation professionnelle continue) :
• envisager d’avoir recours à des compétences extérieures (consultants) ;
• prévoir une formation des auditeurs avant le lancement de la mission ;
• renoncer à inclure dans le plan d’audit un sujet sur lequel il ne dispose pas de
compétence suffisante.
4-3-2 Le suivi du plan d’audit
Pourquoi suivre l’exécution du plan d’audit interne ?
Il est nécessaire de s’assurer de la bonne exécution du plan et de rendre compte
régulièrement de l’activité de l’audit interne à la Direction Générale et au
Comité d’audit.
Le suivi du plan d’audit permet d’identifier les missions qui ont dû être reportées,
celles qui ont été réalisées et celles qui ont été engagées en dehors du plan. L’analyse
de ces écarts permet de mettre en évidence :
AACIA
• d’une part, la qualité du plan : en effet, si celui-ci a été bien conçu, il ne devrait être
modifié que de façon marginale ;
• d’autre part, toutes les missions exceptionnelles engagées à la demande de la
Direction Générale.
Comment suivre le plan d’audit interne ?
Le plan d’audit interne peut être suivi sous la forme d’un tableau de bord sur lequel
sont indiqués l’avancement des travaux et le taux de réalisation des audits. Il peut être
utile d’indiquer des résultats comme le nombre de recommandations avec leur degré
de priorité ou leur impact, le nombre de plans d’actions mis en œuvre, le respect des
délais de mise en œuvre des recommandations…
Il est important de pouvoir identifier les difficultés qui ont pu avoir une influence sur
le plan (retards, blocages, surcroît de travail sur un dossier, sous estimation du travail
à effectuer).
4-4 Le déroulement des missions
Une mission d’audit se déroule généralement en trois phases distinctes :
1. La phase de préparation qui démarre avec l’envoi de la lettre de mission et aboutit
à la réalisation des programmes de travail.
2. La phase de réalisation (généralement sur site) qui démarre avec la réunion
d’ouverture, se poursuit avec les travaux d’audit et se termine avec la réunion de clôture.
3. La phase de compte rendu durant laquelle le rapport d’audit est rédigé et qui
s’achève par son envoi à la Direction Générale après recueil des commentaires des
audités.
Quelle doit être la durée de la mission ? (MPA 2200-1 : planification de la mission)
La durée de la mission peut varier en fonction des problématiques abordées et du
mode de fonctionnement de l’audit interne dans chaque entreprise. Une mission peut
durer en moyenne deux semaines comme elle peut durer un mois ou plus en cas de
AACIA
problématique complexe, en fonction de la compétence et de l’expérience des
auditeurs.
Combien d’auditeurs faut-il affecter à la mission ?
Le nombre d’auditeurs affectés à la mission va dépendre principalement des critères
suivants :
• le périmètre de la mission : la complexité et les objectifs de la mission ;
• les effectifs du service d’audit : une mission d’audit pouvant se révéler difficile, il
est souvent souhaitable d’envoyer une équipe, plutôt qu’un auditeur isolé.
L’équipe de deux ou trois auditeurs est l’approche la plus fréquemment retenue
dans les petites structures d’audit interne.

Norme
4-4-1 La phase de préparation
4.4.1.1 La lettre de mission
Qu’est-ce qu’une lettre de mission ?
C’est le document qui annonce que l’audit interne a été mandaté pour réaliser une
mission sur un sujet spécifique.
Son objectif est d’informer les audités de l’intervention prochaine de l’audit interne.
La Lettre de mission précise le périmètre et les objectifs de la mission. Elle permet de
s’assurer de la présence physique des personnes clés sur le site et d’obtenir la
coopération des audités. Elle permet également de légitimer l’intervention des
auditeurs sur le terrain.
La lettre de mission doit être envoyée au responsable du site audité (directeur
d’usine, dirigeant de la filiale…) ainsi qu’aux responsables des processus ou
fonctions auditées. Il est important de mettre en copie les responsables de la fonction
ou des processus de la maison mère du Groupe.
AACIA
Quel doit être son contenu ?
La lettre de mission aborde souvent les sujets ci-dessous, mais varie en fonction du
contexte et de l’objectif de la mission :
• information sur le périmètre et les objectifs de la mission ;
• éventuellement, information sur les raisons du déclenchement de la mission (dans
le cadre du plan d’audit ou dans le cadre d’une étude spécifique) ;
• information sur la date et le lieu de la mission, le nombre et le nom des auditeurs ;
• information sur le déroulement de la mission ;
• référence à la charte d’audit interne ;
• spécifications des conditions pratiques d’organisation de la mission (badge d’accès
aux locaux, bureau pour les auditeurs, documents à préparer…) ;
• communication aux équipes locales de l’arrivée de l’audit interne pour s’assurer de
leur coopération ;
• liste des informations nécessaires aux processus audités

56
4.4.1.2 Les programmes de travail
Qu’est-ce qu’un programme de travail ?
C’est le document qui définit de façon précise les différentes tâches que les auditeurs
devront réaliser lors de la mission ainsi que les méthodes à utiliser pour atteindre les
objectifs de la mission. (Norme 2240 : programme de travail de la mission – Norme
2240- A1 : définition des procédures et approbation du programme de travail)
Pourquoi sont-ils utiles ?
Les programmes de travail permettent d’identifier tous les sujets qui devront faire
l’objet d’investigations lors de la mission d’audit et de définir la méthodologie qui
permettra de mener à bien ces investigations. Ils permettent d’évaluer la charge de
travail et de la répartir entre les différents auditeurs participant à la mission.
AACIA
Les programmes de travail permettent également de capitaliser l’expertise acquise lors
de missions précédentes portant sur un thème identique. (MPA 2240-1 : programme
de travail de la mission)
Ils sont particulièrement utiles dans les petites structures d’audit car il n’est pas,
toujours, possible d’affecter des auditeurs expérimentés sur toutes les missions. Les
programmes de travail permettent, alors, à des auditeurs juniors de mener à bien les
travaux nécessaires à la réalisation de la mission. Ils permettent de gagner du temps
lors de la phase terrain.
Qui doit les préparer et quand ?
Les programmes de travail sont généralement définis par les auditeurs expérimentés
affectés à la mission.
Les programmes de travail sont préparés ou mis à jour avant toute nouvelle mission.
Que doivent-ils contenir ?
• Rappel des objectifs principaux de la mission.
• Liste des tâches devant être effectuées (entretiens, contrôles, tests,…).
• Nom des auditeurs responsables des tâches.
• Résultat obtenu et référencement des pièces justificatives.
60
4-4-2 Le déroulement de la mission
4.4.2.1 La réunion d’ouverture
C’est la première réunion de travail officielle entre les audités et les auditeurs. Elle se
déroule dès l’arrivée des auditeurs internes sur le site de la mission. (MPA 2201 :
planification de la mission).
AACIA
Pourquoi est-elle utile ?
La réunion d’ouverture de la mission permet d’exposer de vive voix aux audités les
objectifs de la mission, de présenter les auditeurs, d’expliquer la méthodologie d’audit
et de définir les rôles et responsabilités des audités et des auditeurs.
Elle permet également de mieux cerner l’environnement et le mode de
fonctionnement de l’entreprise ou du processus audité.
Quels sont les sujets qui doivent/peuvent être abordés lors de la réunion
d’ouverture ?
Parmi les principaux points qui peuvent être abordés lors de la réunion d’ouverture,
Il peut être cité :
• la clarification des objectifs et du périmètre de la mission ;
• la présentation des auditeurs et les sujets dont ils auront plus particulièrement la
responsabilité ;
• les droits et devoirs des auditeurs (accès à l’information et confidentialité) ;
• l’approche d’audit qui va être mise en œuvre lors de la mission (interviews, tests
de cheminement, tests substantifs…) ;
• les modalités de communication des résultats de l’audit (points réguliers à date,
réunion de clôture, rapport, suivi de la mission…) ;
• une revue de l’entreprise auditée (organigramme, effectifs, activités, rôles et
responsabilités…) ;
• une revue des grands objectifs, des challenges et des principaux risques de l’entité
ou des processus audités ;
• les attentes spécifiques des audités.
Le cas échéant, citer les améliorations constatées à la suite de missions d’audit
précédentes.
Quels doivent être les participants ?
• Côté audités :
AACIA
L’équipe de management de l’entité auditée et/ou les responsables des processus
revus doivent être conviés à la réunion.A2200-1 :
• Côté auditeurs :
Il est souhaitable que l’ensemble des auditeurs travaillant sur la mission participent
à la réunion d’ouverture car c’est l’occasion pour eux de se présenter aux audités.
4.4.2.2 Les travaux d’audit
Comment mener à bien les travaux d’audit ?
Il est bon de rappeler quelques principes de base :
• Préférer une approche « top-down » à une approche « Bottom-up » : c’est-à-dire
partir d’une vue générale de l’entité ou du processus audité, pour progressivement
approfondir les sujets. Cette approche permet de se focaliser sur les sujets les plus
critiques et les plus matériels, plutôt que de se perdre dans une multitude de détails
qu’il est ensuite difficile de synthétiser.
• assurer un cadrage global des sujets : vérifier que les documents fournis sont
exhaustifs en les rapprochant de documents de synthèse déjà obtenus. Par exemple,
dans le cadre de la revue d’un processus de vente, s’assurer que les statistiques
de vente cadrent avec le chiffre d’affaires comptable.
• identifier tous les intervenants sur le thème audité : lors de la réunion d’ouverture,
il est souvent utile de passer en revue l’organisation de l’entité ou du département
audité pour bien identifier tous les intervenants. Obtenir un organigramme et des
descriptions de fonction permet de mieux cerner les rôles et responsabilités des
personnes impliquées dans la gestion du processus et de planifier les entretiens avec
chacune d’entre elles.
• Préparer les entretiens : pour que les entretiens soient efficaces, ils doivent être
préparés avec en particulier une liste de thèmes/questions à aborder. Rien de pire
qu’un auditeur qui vient de passer deux heures en entretien pour s’apercevoir qu’il
n’a abordé qu’une toute petite partie des questions qu’il aurait dû soulever et qui
AACIA
retourne continuellement voir les audités avec de nouvelles problématiques. Il
appartient bien sûr à l’auditeur d’ajuster cette liste au cours de l’entretien si les
réponses obtenues appellent de nouvelles questions. La préparation des entretiens
permet également à l’auditeur de gérer son temps.
• A la fin des entretiens, reformuler pour éviter toute incompréhension :
La reformulation et la synthèse des réponses obtenues en fin d’entretien permettent à
la fois de s’assurer d’avoir bien compris les réponses de l’audité, surtout si les
entretiens ont lieu dans une langue étrangère, mais également de donner à l’audité la
certitude qu’il a été écouté et que ses propos ne seront pas déformés.
MPA 2240-1 :
4.4.2.3 Les comptes rendus des travaux réalisés : les « mémos » d’audit ou papiers de travail
Qu’est-ce qu’un mémo d’audit ou un papier de travail ? Que doit-il contenir ?
Il n’existe pas de contenu standard et chaque service d’audit préparera un format de
document adapté à son mode de travail. Néanmoins, les points suivants sont
souvent documentés dans les mémos d’audit :
• objectifs recherchés par l’auditeur ;
• travaux effectués : interviews, tests de cheminement, tests substantifs… ;
• synthèse et conclusions des travaux ;
• description détaillée des processus revus.
4.4.2.4 La réunion de clôture
C’est la dernière réunion de travail officielle entre les audités et les auditeurs.
Elle permet de présenter au management de l’entité auditée les conclusions des
Auditeurs.
La réunion de clôture de la mission permet d’exposer de vive voix aux audités les
conclusions des travaux des auditeurs et les recommandations qui seront formulées
dans le rapport. Elle permet de vérifier que les conclusions ont été bien comprises et
AACIA
sont acceptées par l’équipe de Direction de l’entreprise ou les responsables des
processus audités.
Elle permet également de rappeler quelles seront les phases ultérieures de la mission
telle que la phase de compte rendu et, éventuellement, de mission de suivi des
points soulevés.
Quels sont les sujets qui peuvent être abordés lors de la réunion de clôture ?
Parmi les principaux points qui peuvent être abordés lors de la réunion de clôture,
citons :
• rappel des objectifs de la mission ;
• description des processus ou de l’entreprise revus tels qu’ils ressortent des travaux
d’audit et pour chaque étape du processus :
- les points forts,
- les déficiences identifiées ou points d’amélioration,
- les risques liés à ces déficiences,
- les recommandations de l’audit interne.
• rappel des étapes suivantes :
- rapport préliminaire,
- commentaires des audités,
- rapport définitif.
Quels doivent être les participants ?
Les personnes ayant participé à la réunion d’ouverture sont souvent celles qu’il
convient d’inviter à la réunion de clôture, et éventuellement d’autres personnes
susceptibles d’être impliqués dans le suivi des recommandations :
Du côté des audités :
L’équipe de management de l’entité auditée et/ou les responsables des processus
revus doivent être conviés à la réunion.
AACIA
Du côté des auditeurs :
Il est indispensable que l’ensemble des auditeurs travaillant sur la mission participe
à la réunion de clôture.
4-4-3 La phase de compte-rendu
4.4.3.1 Le rapport de mission
C’est le compte rendu formel des travaux réalisés lors de la mission. Il met en
évidence les forces et les faiblesses des entités et/ou des processus étudiés et présente
les recommandations formulées par l’audit interne.
Pourquoi est-il nécessaire ?
Le rapport d’audit rend compte des travaux accomplis durant la mission et présente
les conclusions et recommandations des auditeurs. Il sert de référence pour le suivi
de la mise en place des recommandations.
Que doit-il contenir ?
Le contenu et le format du rapport peuvent varier en fonction du thème et des
objectifs de la mission. Il est néanmoins recommandé d’adopter un format aussi
standard que possible pour faciliter la lecture et permettre les comparaisons entre
différentes missions tout en garantissant une certaine neutralité dans la présentation
des conclusions de l’audit.
La présentation du rapport doit être d’autant plus soignée que c’est le principal
vecteur de l’image et du professionnalisme du service d’audit interne.
Selon la Norme 2410, les rapports doivent contenir à minima :
• les objectifs ;
• le champ d’intervention de la mission ;
• les résultats de l’audit, y compris les recommandations de l’audit interne et les
plans d’actions à mettre en œuvre.
AACIA
Ils peuvent également aborder les sujets suivants, mais cette liste n’est pas
exhaustive :
• rappel des dates et lieux d’intervention, nom des auditeurs ;
• présentation succincte de l’entité et/ou des processus audités ;
• description des processus étape par étape mettant en avant les points forts, les
points faibles et les risques liés aux déficiences éventuellement identifiées ;
• une évaluation du niveau de criticité des recommandations est souhaitable ;
• un calendrier de mise en œuvre des recommandations ;
• l’acceptation ou le refus des recommandations ;
• les commentaires ou plans d’action des audités ;
• une synthèse des travaux effectués ;
• l’évaluation globale de la performance ou de la qualité du contrôle interne de
l’entité ou des processus audités sous forme de notation telle que par exemple :
Satisfaisant, Perfectible, Réserves significatives, déficient.
4-5 Le suivi des recommandations
Comment formuler des recommandations d’audit ? (MPA 2420-1 : qualité de la

communication)
L’un des principaux apports d’une mission d’audit au sein d’une entreprise consiste
à formuler des recommandations qui apportent une réponse efficiente aux causes de
dysfonctionnements relevés lors des missions. Ces recommandations constituent
l’essentiel du rapport d’audit.
Les recommandations doivent être formulées simplement, plutôt sous forme
d’incitation que d’injonction. Il n’appartient pas aux auditeurs mais aux
responsables de la société auditée de définir le plan d’action qui permettra de pallier
les déficiences identifiées ou de limiter les risques.
AACIA
A qui le rapport doit-il être envoyé ? (MPA 2440-1 : diffusion des résultats de la
mission)
Le rapport doit être envoyé pour action, aux responsables de l’entité et/ou des
processus audités.
Dans sa version finale, il est recommandé de le transmettre également aux organes
dirigeants de l’entité ou des processus tels que : Direction Générale, directions
fonctionnelles, membres du Conseil d’administration de l’entité…
Le rapport doit également être envoyé aux personnes ou entreprises auxquelles le
service d’audit interne est rattaché : Conseil d’administration ou Comité d’audit,
Direction Générale ….
Enfin, dans un souci de transparence vis-à-vis des commissaires aux comptes de
l’entreprise, il peut être envisagé de leur transmettre une copie des conclusions des
travaux de l’audit interne, ou tout au moins de mettre un exemplaire des rapports
à leur disposition. (Norme ISA 610)
AACIA

Dossier Lecture

Transféré par

Droits d'auteur :

Formats disponibles

Dossier Lecture

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Dossier Lecture

Transféré par

Droits d'auteur :

Formats disponibles

CREATION D’UNE STRUCTURE D’AUDIT INTERNE (1)

• Comment concilier exigence de résultats tangibles et mise en place d’une réelle

méthodologie d’audit interne ?

• Comment établir le positionnement de la structure d’audit interne et assurer son

• Quels profils recruter pour répondre aux objectifs ?

• Quels éléments clés de la méthodologie d’audit interne faut-il mettre en œuvre de

• la mise en place d’une structure d’audit interne ;

• l’image et le positionnement de la structure ;

• la gestion et la formation de l’équipe d’auditeurs ;

• la méthodologie et les outils.

Abordant à la fois les aspects organisationnels et méthodologiques de la mise en place

d‘une structure d‘audit interne, ce module cherche à démystifier l’aspect contraignant

structure d’audit interne au sein de leurs entreprises.

1.1 Pourquoi créer une structure d’audit interne ?

Qui décide de créer une structure d’audit interne ?

Historiquement, en Algérie, c’est d’abord un arrêté du Premier Ministre qui en 1980 a

encadrer le fonctionnement des opérations des cycles de l’entreprise.

Auditeurs et Contrôleurs Internes Algériens (AACIA).

fréquemment, au Conseil d’Administration et/ou à la Direction Générale de

l’entreprise. La Direction Financière, quant à elle, peut être à l’origine de la mise en

place de l’Audit Interne, la comptabilité et les finances représentant des zones à

Cependant, le parrainage des dirigeants de l’entreprise s’avère très utile – si ce n’est

nécessaire – pour donner une impulsion à la démarche d’audit à l’ensemble de

l’entreprise et positionner la structure d’audit interne de telle façon qu’elle reçoive

l’attention nécessaire de la part des futurs audités.

Quelles motivations poussent à la création de la structure d’audit interne ?

La croissance et la complexification des opérations de l’entreprise sont les deux raisons

principalement avancées pour décider de la création d’une structure d’audit interne.

de garder la maîtrise des risques et d’obtenir toute la visibilité nécessaire au pilotage

L’entrée en bourse de l’entreprise est également l’occasion de renforcer les principes de

situation, les commissaires aux comptes et l’environnement réglementaire font,

centrales, peuvent décider, souvent, pour des raisons d’efficacité et de coûts de

la prise de décision liée à la mise en place d’une structure d’audit interne :

Bourse aux Etats-Unis (NYSE et NASDAQ), la loi Sarbanes-Oxley ;

• la survenance d’un risque insuffisamment appréhendé par l’entreprise (problème

de gouvernance ou de gestion, erreur comptable, amende, fraude…).

1-2 Quels freins ou quels obstacles faut-il surmonter ?

La création d’une structure d’audit interne risque de se heurter à certaines

événements extérieurs tels qu’un changement de législation ou une recommandation des

auditeurs externes, la Direction Générale peut ne pas accorder suffisamment d’attention

au bon fonctionnement de la structure tant au niveau de l’expertise requise, du

rattachement hiérarchique, du budget de fonctionnement, que de la mise en œuvre

des recommandations. Cette absence de parrainage de l’audit interne par la Direction

Générale, peut entraîner un positionnement inadapté de la structure et restreindre son

1.2.3 L’expertise et la réputation de la personne nommée pour prendre la direction de la

structure d’audit interne peuvent constituer un véritable écueil. Selon le type

d’activités et l’orientation plus ou moins opérationnelle de l’audit interne, la

connaissance des métiers de l’entreprise peut s’avérer nécessaire. Nommer un junior,

aux dirigeants et aux responsables de filiales ou de départements ayant une forte

expérience et/ou une forte personnalité, peut également constituer un obstacle.

Compte-tenu du nombre d’auditeurs internes, le responsable d’une petite structure

Trouver un candidat qui ait, à la fois, suffisamment d’expérience pour organiser

et gérer le service et, par ailleurs, la volonté de participer à la réalisation des

missions peut être un challenge.

1.2.4 La nature même de l’activité de l’audit et son vaste pouvoir d’intervention et

service concurrent de leur propre activité.

également constituer un frein au fonctionnement du service et aboutir à brouiller

l’image de l’audit interne au sein de l’entreprise.

Ces obstacles potentiels doivent être connus du Responsable de l’Audit Interne

gérer comme tel en se référant à quelques bonnes pratiques