Dans la première partie du cours, vous avez mené une réflexion stratégique sur la fonction d’audit dans votre entreprise, afin de mettre en œuvre une fonction créatrice de valeur, de mener des audits pertinents et efficients, et d’auditer avec professionnalisme et éthique.
Cette réflexion a abouti à l’élaboration d’une charte d’audit, qui a permis de :
définir ce qu’est l’audit interne ;
préciser le positionnement de l’audit dans l'entreprise ;
établir les principes d'actions, les rôles et les missions de l'audit ;
définir le périmètre d'intervention, détaillé dans le cadre du plan d'audit.
Dans la deuxième partie de ce cours, vous avez une meilleure visibilité sur le périmètre d’intervention de la fonction d’audit. Vous avez identifié le champ d’intervention au moyen de :
un plan d’audit sur plusieurs années ;
un plan d’audit annuel, avec les audits à réaliser en priorité.
La charte d’audit et les plans d’audit ont été bien évidemment validés par la direction et les parties prenantes.
À présent, il nous reste un sujet à traiter : le déroulement des audits, présentant l'approche d'audit. Cette démarche plus opérationnelle commence dès la phase de préparation à la mise en oeuvre des recommandations d’audit.
Dans ce chapitre, je vous présenterai une approche générale d’audit, qui pourra être intégrée à la charte d’audit. Cette approche générale garantira une homogénéité des pratiques d’audit structurées et cadencées au moyen de phases et de jalons clés. Si vous faites appel à des prestataires externes, ces derniers devront respecter cette approche. Les sections qui vont suivre sont alignées avec les normes du CRIPP et les bonnes pratiques.
Dans les chapitres suivants, je détaillerai chaque phase d’audit et je vous présenterai des outils à utiliser au cours de ces phases.
Découvrez une approche à dérouler à chaque audit
Le schéma ci-dessous indique les quatre phases principales d’un audit.
Phase 1 - La préparation
Cette première phase de préparation a pour objet de :
prendre connaissance des objectifs d’audit, du périmètre à auditer, et identifier les risques ainsi que le dispositif de contrôle ;
construire et valider le référentiel d’audit ;
élaborer le programme de travail et valider l’organisation de la mission.
Pour ce faire, vous allez vous appuyer sur les ressources documentaires existantes, afin de prendre connaissance de ce périmètre et cadrer la mission d’audit. Vous devrez également identifier les acteurs et les personnes à solliciter dans le cadre de l’audit. Il en résultera un référentiel, ou grille d’audit, ainsi qu’un programme de travail.
La réunion de lancement permettra de réunir toutes les personnes qui seront sollicitées dans le cadre de l’audit et l’équipe qui réalisera la mission ; mais également de :
partager et échanger autour des objectifs de la mission et du périmètre ;
présenter l’équipe d’auditeurs, ainsi que leurs compétences et parcours.
Nous reviendrons sur la méthode d’élaboration d’une grille d’audit et l’organisation de la réunion de lancement, dans les deux derniers chapitres de cette partie.
Phase 2 - L’investigation
Après avoir officialisé le lancement de l’audit et communiqué sur son déroulement, la phase d’investigation est l’occasion de rentrer dans le vif du sujet. Les objectifs de cette phase sont de :
collecter les informations et constituer les preuves d’audit au moyen d’outils tels que les entretiens ou des analyses de données ;
analyser les informations collectées et élaborer les recommandations.
À l’issue de cette phase, vous aurez une première version du rapport d’audit, dont les observations et les recommandations devront être validées par les audités. Nous détaillerons cette phase et je vous présenterai des outils à utiliser dans le cadre des audits, dans la quatrième partie du cours.
Phase 3 - La validation
La phase de validation est primordiale et parfois oubliée. Il s’agit de mettre en œuvre une démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines observations et recommandations, et de fournir aux auditeurs des compléments d’informations.
Dans certains cas, la démarche contradictoire se fait pendant la réunion de clôture. Par expérience, lorsque les audités n’ont pas été tenus au courant des recommandations et qu’ils ne sont pas d’accord, ils l’expriment haut et fort !
Je vous présenterai les activités clés de cette phase dans la quatrième partie du cours. Je vous proposerai également des outils pour rédiger le rapport d’audit et formuler vos recommandations, afin qu’elles soient percutantes.
Phase 4 - Le suivi
La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des plans d’action à mettre en œuvre afin de maîtriser les risques et d'améliorer les dispositifs de contrôles, et in fine aider à atteindre les objectifs de l’entreprise.
En tant qu’auditeur, ou responsable de la fonction d’audit, vous ne pouvez pas participer à la mise en oeuvre des plans d’action. On ne peut être juge et partie.
Néanmoins, il est possible de réaliser une mission de suivi des recommandations d’audit. Vous pourrez donc intervenir lorsque les plans d’action auront suffisamment avancé. Vous allez effectuer un audit de suivi des recommandations, en collectant de nouvelles informations et de nouvelles preuves. Les recommandations seront alors mises à jour, voire clôturées, en fonction de l’avancement des actions.
Ne négligez pas la phase préliminaire
Le plan d'audit annuel a été validé par la direction, ainsi que le budget associé. Vous devez à présent lancer les audits selon le calendrier défini, qu'ils soient réalisés par des prestataires externes, par vous-même ou par votre équipe.
Tout en amont de la phase de préparation de l’audit, vous allez cadrer la mission au moyen d’un programme et d’une lettre de mission, et affecter les bonnes ressources.
Le programme de mission
Lorsque vous avez établi le plan d’audit annuel, vous aviez probablement en tête le périmètre de la mission et ce que vous attendez de l’audit. Le programme d’audit permet de formaliser ces différents éléments. Cette étape peut être facultative si vous souhaitez vous affranchir d’un certain formalisme.
Je vous liste ci-dessous les éléments du programme d’audit qui doivent être clarifiés avant de rédiger la lettre de mission. Ils vous aideront à répondre aux attentes des parties prenantes et les clients de l’audit :
identifier les clients de la mission d’audit, c’est-à-dire toute personne ou toute partie à qui les résultats d’audit seront destinés, telles que la direction générale, le comité d’audit, les directeurs des services, les responsables de processus, les commissaires aux comptes ou les organismes régulateurs ;
déterminer l’événement déclencheur de l’audit, par exemple demande d’assurance ou de conseil formulée par la direction, résultat de l’analyse des risques, demande à la suite d’un incident comme une catastrophe naturelle ou défaillance d’un client, ou encore une nouvelle exigence réglementaire ;
préciser les attentes des clients, par exemple évaluer l’efficacité opérationnelle d’un processus, s’assurer de la conformité à une réglementation, apprécier l’avancement d’un projet ;
délimiter le périmètre de la mission d’audit et définir les processus et sous-processus à auditer, la localisation géographique et les sites, la période à auditer ; par exemple les données à analyser sur les trois derniers exercices comptables. Vous pouvez également préciser ce qui est exclu du périmètre ;
déterminer les livrables de la mission, en dehors du rapport d’audit qui est un livrable indispensable de l’approche d’audit, par exemple un plan d’action à mettre en œuvre pour améliorer l’efficience et l’efficacité d’un processus, un plan de communication, etc.
Une fois ces éléments convenus, vous allez pouvoir rédiger la lettre de mission.
La lettre de mission ou ordre de mission
La lettre de mission doit comporter au minimum :
les objectifs de la mission d’audit, à reprendre éventuellement du programme de mission ;
le périmètre d’intervention ;
les livrables.
L’affectation des ressources
Selon la norme 2230 du CRIPP “ressources affectées à la mission”,
“les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s’appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.”
Les ressources sont la combinaison de connaibssances et de compétences ainsi que de savoir-faire nécessaires à la réalisation de la mission d’audit. La quantité de ressources doit être évaluée avec pragmatisme et conscience professionnelle. Vous pouvez donc vous appuyer sur le plan de charge que vous avez élaboré après avoir construit le plan d’audit.
Par conséquent, si vous n’avez pas les compétences au sein de votre équipe, ou tout simplement le temps pour réaliser une ou plusieurs missions d’audit, vous ferez appel à un prestataire externe.
En résumé :
construisez une approche générale d’audit à intégrer dans la charte d’audit. Cette approche définit les phases clés, les jalons et les livrables attendus pour chaque mission d’audit ;
elle permettra une homogénéité des pratiques d’audit, notamment si vous avez choisi de faire appel à des prestataires pour réaliser un certain nombre d’audits ;
avant la phase de préparation d’un audit, vous devez avoir réfléchi au programme de mission, au minimum aux objectifs de l’audit, au périmètre d’intervention et aux livrables, et avoir communiqué aux audités la lettre de mission signée par la direction générale.
Dans le chapitre suivant, je vous présente les outils pour sélectionner vos prestataires d’audit.