Vous l’avez compris : le plan d’audit, c’est-à-dire votre programme de missions, ne se fera pas sans analyse des risques. Dans le chapitre précédent, je vous ai présenté la démarche, qui peut être synthétisée par le biais du schéma ci-dessous :
Dans ce chapitre, je vous présente un exemple concret, qui permettra d’illustrer la démarche et d’aboutir à un plan d’audit.
Mettez-vous en situation
Vous avez été recruté dans une entreprise qui vend en ligne des matériaux de construction à des professionnels du secteur du bâtiment, en vue de définir une stratégie d’audit et de déployer le plan d’audit qui en résulte. Étant donné que vous serez le seul à réaliser les audits et que vous ne pourrez faire appel à des prestataires que sur des expertises que vous ne possédez pas, vous devrez prioriser les thématiques d’audit identifiées et présenter votre démarche auprès de votre direction et des parties prenantes.
Cette entreprise est une filiale d’un grand groupe, qui produit et distribue des matériaux pour le bâtiment. Elle a été créée il y a plus de 2 ans et compte plus de 100 salariés.
L’entreprise a pour objectif d’augmenter le chiffre d’affaires tout en maintenant un niveau de service client élevé. Elle n’a pas d’objectif de marge, car le groupe est en mesure de lui fournir des ressources financières suffisantes.
Pour atteindre cet objectif, elle doit acquérir de nouvelles parts de marché en attirant une nouvelle clientèle non connue par le groupe, composée de petits artisans et d’entrepreneurs.
Le service client doit être de haute qualité. C’est pourquoi elle fait appel à une société externe spécialisée dans la gestion des appels clients. Le call center se trouve en France, ouvert sur des plages d’horaires étendues. Les magasins et les points de ventes, où les commandes peuvent être retirées, doivent se situer dans des zones d’activité denses.
En outre, la plateforme e-commerce doit être très performante et fonctionner 24 heures sur 24 et 7 jours sur 7.
Les fonctions de l’entreprise sont présentées ci-après :
la direction générale doit rendre des comptes au groupe, la fonction d’audit y est rattachée ;
la direction financière est en charge du pilotage financier uniquement ; les fonctions de comptabilité et de paie sont externalisées dans le groupe ;
la direction des ressources humaines s’occupe du recrutement et de la gestion des carrières ;
la direction digitale, SI et logistique regroupe les équipes en charge :
de la logistique, c’est-à-dire l’approvisionnement et le stockage des produits,
des transports,
et des SI (applications de gestion d’entrepôt et de transport de types WMS et TMS, flux avec les applications du groupe, application achats, CRM, reporting),
ainsi que du digital, à savoir la plateforme e-commerce où les clients peuvent consulter le catalogue de produits et commander en ligne, pour se faire livrer dans les magasins de l’entreprise ou les points de vente du groupe ;
la direction des achats est en charge d’acheter les produits auprès du groupe et d’autres entreprises, et de déterminer les prix de vente ;
la direction commerciale s’occupe de la relation commerciale avec les entreprises clientes et de la gestion des points de vente. Cette direction gère également la relation avec le call center, une entreprise externe, dont les téléopérateurs sont chargés de passer des commandes pour les clients qui n’utilisent pas le site e-commerce ;
la direction marketing s’occupe des campagnes de promotions, et de la communication.
Au moyen des informations et documents que vous avez collectés à votre arrivée, vous avez défini cet univers d’audit réaliste et adapté au contexte de votre entreprise.
Étant donné la création assez récente de l’entreprise, il n’y a pas de projets en cours :
thématiques techniques :
la plateforme e-commerce (sécurité, infrastructure, etc.),
les flux entre la plateforme et les autres applications, qu’elles soient internes ou gérées par le groupe ;
les applications des achats, de gestion d’entrepôt et de transport ;
thématiques organisationnelles :
le processus des achats et des approvisionnements,
la gestion des stocks,
le pilotage financier, et plus particulièrement du chiffre d’affaires,
le processus de vente en magasin,
la gestion de la relation client par le call center,
le processus de vente par téléphone,
les pratiques commerciales,
le recrutement et la gestion de carrières ;
thématiques réglementaires :
la conformité au RGPD.
Votre univers d’audit dans cet exemple est composé de douze thématiques qui peuvent être auditées.
L’identification des risques
Vous avez organisé un brainstorming avec des personnes clés de l’entreprise, et vous avez identifié six grands risques à partir de la structure organisationnelle :
des risques SI et digitaux : indisponibilité de la plateforme e-commerce, cybermalveillance, cyberattaque ;
des risques liés aux achats et aux pratiques commerciales, tels que la corruption et la fraude ;
des risques ressources humaines, étant donné la précédente grève du personnel dans les entrepôts, qui a bloqué l’activité pendant plusieurs semaines ;
des risques opérationnels liés à la gestion, la maintenance et la sécurité des infrastructures (entrepôts et points de vente), notamment les incendies ou dégâts des eaux ;
des risques juridiques : litiges avec les clients et fournisseurs, non-respect du code du commerce, etc. ;
des risques marketing : la non-satisfaction des clients, qui peut impacter l’image de l’entreprise et ne permet pas de fidéliser la clientèle ;
des risques financiers, tels que des erreurs de stocks et de prix.
L’évaluation des risques
Chaque risque doit être évalué au regard des objectifs de l’entreprise, de leur probabilité d’apparition et de l’impact financier (perte potentielle de chiffre d’affaires ou dépenses non prévues).
Pour le premier composant “plateforme e-commerce” de l’univers d’audit, vous vous êtes posé les questions suivantes :
Concernant les risques SI et digitaux : quelle est la probabilité d’occurrence que la plateforme e-commerce soit indisponible, et quel en serait l’impact financier sur une échelle de 1 à 3, 1 étant faible et 3 élevé ?
Concernant les risques RH : quelle est la probabilité d’occurrence d’une perte des connaissances de la plateforme e-commerce (départ d’un collaborateur), et quel en serait l’impact financier ?
Concernant les risques opérationnels liés à la gestion, la maintenance et la sécurité des infrastructures : quelle est la probabilité d’occurrence de l’indisponibilité du data center hébergeant la plateforme e-commerce, et quel en serait l’impact financier ?
Concernant les risques juridiques : quelle est la probabilité d’occurrence du non-respect des conditions de vente de la plateforme e-commerce, et quel en serait l’impact financier ?
Concernant les risques marketing : quelle est la probabilité d’occurrence qu’un client ne soit pas satisfait de son expérience sur la plateforme e-commerce, et quel en serait l’impact financier ?
Des risques financiers : quelle est la probabilité d’occurrence qu’un prix d’un produit ou que les stocks indiqués sur la plateforme e-commerce soient erronés, et quel en serait l’impact financier ?
La fréquence ou probabilité d’occurrence
L’échelle de fréquence (F) utilisée est la suivante :
faible probabilité que le risque survienne, cotation 1 ;
probabilité moyenne que le risque survienne, cotation 2 ;
probabilité élevée que le risque survienne, cotation 3.
Les impacts sur l’entreprise
L’échelle de gravité (G) utilisée est présentée ci-dessous :
impact potentiel sur l’organisation limité, cotation 1 ;
potentiel d’impact modéré pour l’ensemble de l’organisation, cotation 2 ;
potentiel d’impact élevé, cotation 3.
La criticité du risque
Le scoring est le résultat de la somme des criticités (C) des six risques identifiés (fréquence x gravité).
Ce tableau qui suit donne le résultat final de l’évaluation des risques.
Cette image est également accessible en format Excel.
La définition de l'univers d'audit et l'évaluation des risques sont des étapes préalables à la formalisation des plans d'audit pluriannuel et annuel. Vous allez construire le plan d’audit annuel, composé des audits à mener à court terme sur l’année, et le plan d’audit pluriannuel, sur 3 à 5 ans car vous n’aurez pas le temps de réaliser tous les audits.
Le plan d’audit annuel
Les scores des composants d’audit s’étendent de 7 à 31.
Pour les scores les plus élevés, il est évident que la plateforme e-commerce et les applications et flux associés devront être audités dans un premier temps. Étant donné le secteur d’activité, le bâtiment et la distribution, les pratiques commerciales mériteraient d’être revues afin de détecter toute fraude et corruption, qui peuvent faire gonfler le chiffre d’affaires et mettre en péril l’entreprise.
Votre plan d’audit annuel comporte ainsi les thématiques suivantes :
la plateforme e-commerce (sécurité, infrastructure, etc.) ;
les applications des achats, de gestion d’entrepôt et de transport ;
les flux entre la plateforme et les autres applications ;
les pratiques commerciales.
Le plan d’audit pluriannuel
Concernant les autres thématiques d’audit, ayant obtenu des scores moyen et faible, le plan d’audit pluriannuel sera le suivant :
Cette image est également accessible en format Excel.
Le cycle d’audit proposé est déterminé à partir du scoring également. Il n’est pas définitif et peut être revu au moment de l’élaboration du plan d’audit annuel, à la suite d’une nouvelle évaluation des risques et en fonction des nouveaux objectifs de l’entreprise.
Je vous expliquerai comment préparer les missions d’audit dans la partie suivante du cours.
Les demandes de missions de conseil et d’assurance
Par exemple, imaginez que les parties prenantes souhaitent connaître le degré de conformité au GDPR dans l’entreprise, et connaître les actions à mener pour éviter toute sanction de la CNIL. Même si vous l’avez priorisé l’année prochaine, vous devrez réaliser sur l’année en cours une mission d’assurance.
Dans la mesure du possible, ces demandes doivent être prises en compte au cours de la phase de planification de l’audit. En tant que responsable de l’audit, vous allez accepter ou refuser des projets de missions de conseil en fonction de :
la capacité de la mission à réduire les risques auxquels est exposé l’entreprise ;
la valeur ajoutée que la mission apportera aux activités et à l’organisation.
Évaluez les ressources
Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez été amené à analyser les forces et les faiblesses, les opportunités et les menaces relatives à la gestion des compétences en interne, en vue de réaliser les missions d’audit, et aux ressources dont vous disposez. Vous avez donc envisagé de mettre en place des stratégies de sous-traitance et d’externalisation :
la sous-traitance partielle : des ressources internes réalisent une partie des activités, et les ressources externes fournissent les compétences spécialisées ;
l’externalisation complète : toutes les missions d’audit sont réalisées par des prestataires externes.
En tant que manager et responsable, vous disposez de ressources humaines, en interne ou à l’extérieur de l’entreprise, et de ressources financières pour remplir votre rôle et réaliser vos missions.
Après avoir élaboré le plan d’audit, je vous recommande fortement de construire une feuille de route comportant un plan de charge. Ce document recense toutes les activités de la fonction d’audit (les audits à préparer, à réaliser et à suivre, la préparation et la participation à des comités, le reporting à élaborer, etc.) et le temps de travail estimé. Dans le cas où vous êtes le seul responsable et auditeur, vous devez estimer votre temps de travail pour chacune des activités.
Faites valider le plan d’audit
Le plan d’audit pluriannuel et le plan d’audit annuel doivent être présentés et être validés par votre direction générale ainsi que par les parties prenantes, à savoir le groupe. Ces plans précisent également le périmètre d'intervention de la fonction de l’audit, et doivent être annexés à la charte d’audit.
La validation officielle du plan d’audit représente un soutien formel et une preuve du sponsorship de la direction et du groupe. Ce sera également l’occasion de sensibiliser votre direction sur les budgets à débloquer et les dépenses à prévoir pour faire appel à des prestataires externes en vue de réaliser certaines missions d’audit.
La mission d’audit de conformité GDPR, demandée par les parties prenantes, pourra être menée par un prestataire externe, qui aura une expertise juridique sur ce domaine.
Améliorez en continu votre plan d’audit
Le plan d'audit s'intègre dans un processus cyclique “plan, do, check, and act” (planifier, réaliser, vérifier, ajuster), afin d'être ajusté périodiquement en fonction de la stratégie de l'entreprise et de la survenance de nouveaux risques :
planifier : dans cette partie du cours, vous avez appréhendé la planification des audits et appris comment élaborer un plan d’audit ;
réaliser : après la validation du plan d’audit, vous allez le mettre en œuvre sur l’année ;
vérifier : à la fin de l’année, vous ferez un bilan des audits réalisés et vous allez identifier les écarts entre vos prévisions et vos réalisations. Quels ont été les retards ? Les demandes de conseils et d’assurance non prévues ont-elles été nombreuses ? Les ressources humaines et financières ont-elle été suffisantes, etc. ? Vous pouvez organiser un retour d’expérience avec les membres de votre équipe, les prestataires d’audit et/ou les audités, sous la forme d’un brainstorming dans le cadre de ce bilan ;
ajuster : à la suite de ce retour d’expérience et de ce bilan, vous allez construire un plan d’action à mettre en œuvre afin que le prochain plan d’audit se déroule dans de meilleures conditions, et qu’il réponde au mieux aux objectifs stratégiques de l'entreprise et à la survenance de nouveaux risques.
En résumé :
le plan d’audit permet de préciser le périmètre d'intervention de la fonction de l’audit dans l’entreprise, et doit être annexé à la charte d’audit ;
les demandes de missions de conseil et d’assurance doivent être prises en compte dans la phase de planification et être challengées par la fonction d’audit ;
le plan d’audit doit être validé par la direction et les hautes instances de l’entreprise ;
le plan d'audit s'intègre dans une démarche d’amélioration continue, afin de toujours répondre aux objectifs stratégiques de l'entreprise et contribuer à la maîtrise des risques.