Depuis le début du cours, vous avez appris à développer une vision systémique et votre capacité à analyser les activités dans leur globalité, en prenant en compte les objectifs de l’entreprise. Vous avez donc une connaissance approfondie et transversale de l’ensemble des activités de votre entreprise.
Avant de vous lancer dans la phase de réalisation d’un audit, vous allez approfondir vos connaissances de l’entreprise sur le périmètre à auditer au cours de la phase de préparation.
Cette phase vise à s’assurer que les travaux d’audit permettront d’atteindre les objectifs énoncés dans la lettre de mission et de répondre à la demande de la direction et des parties prenantes.
Dans les deux chapitres qui vont suivre, je vous présenterai les livrables clés de la phase de préparation et je vous expliquerai comment concevoir :
le référentiel d’audit, qui est l’objet de ce chapitre ;
puis le programme de travail et le support de la réunion d’ouverture.
Qu’est-ce qu’un référentiel d’audit ?
Comme je l’ai évoqué dans le tout premier chapitre du cours, les auditeurs mènent leurs travaux sur la base des systèmes de contrôle mis en œuvre dans l’entreprise, appelés le “contrôle interne”. Le référentiel d’audit, sous la forme d’une grille ou d’une matrice, constitue le support de cette évaluation des dispositifs de contrôle interne.
Découvrez le contrôle interne
Qu’est-ce que le contrôle interne ?
Le contrôle interne est l’ensemble des politiques et procédures mises en œuvre dans l’entreprise afin d’assurer la gestion rigoureuse et efficace de ses activités.
Ces procédures ont pour objet :
le respect des politiques auxquelles elles font référence ;
la sauvegarde des actifs (actifs corporels, incorporels, financiers, humains…) ;
la prévention et la détection des fraudes et erreurs ;
l’exhaustivité et l’exactitude des enregistrements comptables ;
l’établissement en temps voulu d’informations comptables et financières fiables.
Le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les erreurs ou autres anomalies. Il est fondé sur quatre principes structurants que je vais vous expliquer ci-dessous.
Principe 1 : Le contrôle interne est « l’affaire de tous »
Le contrôle interne ne s’incarne pas dans une personne : l’ensemble des acteurs participent au dispositif de contrôle interne, encadrement comme opérationnels. Le management est responsable de l’arbitrage entre les résultats attendus et les "coûts" d'une mesure en fonction des risques, des enjeux et des moyens disponibles.
Si on vous dit “non, je ne fais aucun contrôle dans le cadre de mon travail”, c’est donc impossible ! Vos interlocuteurs devront être sensibilisés à la démarche de contrôle interne.
Principe 2 : Le contrôle interne est indissociable de toute activité
Il ne se “rajoute pas” : pour l’essentiel, le contrôle interne est intégré aux processus. C’est une démarche globale qui ne se limite pas aux seuls contrôles.
Si vous êtes amené à proposer des contrôles à mettre en œuvre sur les processus que vous avez audités, vous devrez démontrer que les contrôles ne leurs font pas perdre de temps. Ils permettront d’être plus efficace et plus efficient. Finies les erreurs et les anomalies ! Ils passeront moins de temps à les résoudre.
Principe 3 : Le contrôle interne doit être adapté à l’environnement
Il n’y a pas de démarche stéréotypée, mais un examen au cas par cas.
Lorsque vous proposez un contrôle à intégrer dans un processus, il doit être conçu sur mesure. Il vaut mieux se mettre à la place de la personne qui le réalisera, et ne pas vouloir reproduire un contrôle qu’on aurait mis en place ou vu dans le cadre d’une autre mission.
Principe 4 : Le contrôle interne s’intègre dans une logique d’amélioration continue
Le contrôle interne existant doit être amélioré en structurant mieux l’organisation, en axant son fonctionnement sur les risques et les enjeux, et en le formalisant davantage afin d’en améliorer son auditabilité (c’est-à-dire la traçabilité).
Découvrez les référentiels de contrôle interne
Vous connaissez à présent l’Institute of Internal Auditors (IIA) pour l’audit interne, qui donne les lignes directives et édicte les normes professionnelles. Il existe également des organismes qui définissent les bonnes pratiques de contrôle interne dans l’entreprise.
Je vais vous présenter les trois principaux organismes dans cette section. Ceux-ci ont leur propre définition du contrôle interne, qui est à peu près similaire. En revanche, ils fournissent des lignes directives dans la mise en œuvre du contrôle interne, comme l’IIA pour l’audit interne.
Committee of Sponsoring Organizations of the Treadway Commission
C’est un groupe de réflexion constitué aux États-Unis en 1985, qui a développé un référentiel d’analyse du contrôle interne appelé COSO, édité en France en 1992. Il s’agit du référentiel de portée internationale le plus mis en œuvre : il décrit le contrôle interne et propose une évaluation de son efficacité.
Selon le COSO, le contrôle interne est un ensemble de dispositifs mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, et destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
la réalisation et l’optimisation des opérations ;
la fiabilité des informations financières ;
la conformité aux lois et réglementations en vigueur.
Institut français de l'audit et du contrôle interne
Je vous l’avais évoqué dans le tout premier chapitre du cours : l’IFACI est affilié à l’Institute of Internal Auditors (IAA). Il est chargé de représenter la profession d’audit interne et de promouvoir son développement.
Comme pour l’audit interne, l’IFACI propose une démarche et des outils de mise en œuvre de contrôle interne, destiné à donner une assurance raisonnable que :
les opérations sont réalisées, sécurisées, optimisées et permettent ainsi à l’organisation d’atteindre ses objectifs de base, de performance, de rentabilité et de protection du patrimoine ;
les informations financières sont fiables ;
les lois, les réglementations et les directives de l’organisation sont respectées.
Autorité des marchés financiers (AMF)
L’AMF a été créée en 2003 et régule les acteurs et produits de la place financière française. Elle réglemente, autorise, surveille et, lorsque c’est nécessaire, contrôle, enquête et sanctionne. L’AMF veille également à la bonne information des investisseurs et les accompagne, en cas de besoin, grâce à son dispositif de médiation.
Cette autorité a créé son cadre de référence de contrôle interne à l’usage des sociétés françaises. C’est un énoncé de principes et de bonnes pratiques à adapter au contexte propre de chaque société. Il est souvent appliqué dans le secteur bancaire.
Identifiez les dispositifs de contrôle
Revenons à la préparation de l’audit. Pour identifier les points à investiguer, vous allez construire un référentiel d’audit qui doit permettre d'apprécier le dispositif de contrôle interne mis en œuvre sur le périmètre audité. Votre référentiel doit donc comporter au moins :
les contrôles attendus ;
les contrôles réalisés ;
les risques à couvrir sur le périmètre d’audit.
Vous vous en doutez bien : si le contrôle attendu n’est pas réalisé, une recommandation devra être formulée, car le risque n’est pas maîtrisé.
Je vous propose ci-après une démarche d’élaboration d’un référentiel d’audit en trois étapes :
étape 1 : la compréhension des processus ;
étape 2 : l’analyse des risques ;
étape 3 : l’identification des contrôles attendus.
L’étape d’identification des contrôles réalisés et d’évaluation s’effectuera au cours de la phase d’investigation.
Étape 1 : la compréhension des processus
Cette première étape vise à identifier et examiner les processus sur le périmètre audité. Vous pouvez vous servir de la cartographie des processus que vous avez modélisée, le cas échéant. Vous aurez également besoin de la documentation existante (politiques, procédures, guides utilisateurs, etc.).
Au cours de cette étape, vous allez :
déterminer les processus et sous-processus, ainsi que les macro-processus auxquels ils sont rattachés ;
prendre connaissance de l’enchaînement des étapes dans le cadre des sous-processus, sur la base de la documentation existante. Pour ce faire, vous pouvez modéliser une première version d’un diagramme de flux qu’il faudra amender au cours de la phase d’investigation ;
identifier les acteurs intervenant dans le cadre de la procédure ;
identifier les outils utilisés, notamment les outils informatiques.
La connaissance des processus est donc indispensable afin de mener une analyse des risques pertinente et au plus près de la réalité du terrain, dans une optique de sécurisation des processus.
Étape 2 : l’analyse des risques
Dans un deuxième temps, une analyse des risques par processus est nécessaire afin d'identifier les éléments susceptibles de remettre en cause l'atteinte des objectifs de l’entreprise.
Cette analyse consiste à :
formuler les différents risques pouvant remettre en cause l’atteinte des objectifs ;
coter les risques bruts pour déterminer leur niveau de criticité.
Le risque brut peut être défini comme étant le risque qui existe en ne tenant pas compte des activités de maîtrise du risque.
La formalisation des risques identifiés constitue la cartographie des risques. Elle est complétée par les activités de maîtrise des risques correspondantes et constitue ainsi la matrice de maîtrise des risques.
Étape 3 : l’identification des contrôles attendus
Dans un troisième temps, il convient d’identifier les activités de maîtrise des risques (AMR) qui permettront de couvrir les risques liés à la réalisation des objectifs, ou d’atténuer l’impact de la survenance d’un risque.
Pour préparer votre mission d’audit, je vous propose cette grille comportant les informations minimales à compléter. À cette étape, vous ne remplirez que les quatre première colonnes. Chaque chose en son temps : le reste sera abordé dans les chapitre suivants.
Cette image est également accessible en format Excel.
Libre à vous d’ajouter des colonnes pour préciser certaines informations, comme le type de contrôle qui peut être automatique, semi-automatique ou manuel. Je vous propose dans la section suivante de nous focaliser sur cette typologie.
Qualifiez les contrôles
Il existe trois niveaux de contrôle :
les contrôles de premier niveau, qui permettent de gérer les activités au quotidien et de garantir la maîtrise des opérations, réalisés ainsi par les fonctions opérationnelles, de pilotage ou les fonctions supports ;
les contrôles de deuxième niveau, qui sont réalisés par la fonction de contrôle permanent chargée de la gestion des risques ;
et les contrôles de troisième niveau, qui sont systématiquement réalisés par des auditeurs, appelés également la fonction de contrôle périodique.
Les contrôles sont effectués en amont pour prévenir la survenance du risque sur le processus, ce sont les contrôles a priori. Les contrôles a posteriori sont effectués pour détecter une erreur ou une anomalie, ce qui signifie que l’incident s’est déjà produit.
La typologie des contrôles de premier niveau
Les contrôles dits de premier niveau correspondent aux activités de maîtrise des risques intégrées au fonctionnement courant des services et dans les applications. Il s’agit :
des contrôles automatiques implémentés dans les applications ;
des contrôles semi-automatiques, fondés sur une forme d’assistance du système d’information ;
des contrôles intellectuels ou manuels, qui reposent totalement sur une intervention humaine, sans aucune forme d’assistance du système d’information.
Les contrôles de premier niveau permettant de couvrir des risques majeurs sont cartographiés dans la matrice de maîtrise des risques.
La traçabilité des contrôles de premier niveau
Tous les contrôles sont retracés dans les guides de procédures qui doivent être régulièrement mis à jour en fonction des évolutions réglementaires, notamment. Tous les contrôles exercés par les opérationnels et l’encadrement doivent être documentés, car ils sécurisent les activités et doivent donc être portés à la connaissance des acteurs.
La traçabilité de ces activités de maîtrise doit être assurée, sa mise en œuvre servira de preuve de contrôle lors des campagnes de tests, d’où la nécessité de formalisation du contrôle interne.
Dans le cas contraire, une recommandation sera élaborée pour documenter le contrôle, qui peut prendre la forme d’une signature, d’un mail, d’un rapport, etc.
En résumé :
le référentiel d’audit ou la grille d’audit comporte tous les sujets à auditer. Il constitue le support de cette évaluation des dispositifs de contrôle interne ;
le contrôle interne décrit tout ce que l’entité fait afin de prévenir, détecter, corriger les erreurs ou autres anomalies, et de prévenir la survenance des risques ;
les auditeurs se focalisent sur les contrôles de premier niveau. Ils peuvent être a priori ou a posteriori, et automatiques, semi-automatiques ou manuels. S’il est revu par le management, il s’agit d’un contrôle de supervision ;
un contrôle (ou activité de maîtrise des risques ou dispositif de maîtrise des risques) qui n’est pas formalisé n’existe pas aux yeux d’un auditeur, qui doit collecter systématiquement une preuve de contrôle.
Dans le prochain chapitre, je vous présente les autres livrables indispensables pour préparer votre audit.