En que manager ou responsable d’une équipe d’auditeurs, internes ou externes, vous devez vous assurer de la bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.
Dans le chapitre précédent, vous avez (re)découvert des outils à utiliser pour vos tests d’audits.
Dans ce chapitre, je vous propose de vous présenter les bonnes pratiques pour superviser les missions d’audit, et plus particulièrement pour revoir les tests d’audit, afin de vérifier que les informations collectées sont pertinentes, fiables et en quantité suffisante, avec des preuves probantes. En effet, la confiance n’exclut pas le contrôle.
Déléguez et/ou supervisez
Une mission d’audit peut faire intervenir plus de deux auditeurs, ce qui en fait une équipe à gérer. Dès lors, le travail en équipe doit être organisé afin de réaliser des travaux de qualité. En tant que manager ou chef de mission, ou bien responsable du service d’audit interne, des règles de délégation et de supervision doivent être définies.
Les trois principaux rôles dans une mission d’audit
Il existe trois principaux rôles dans une mission d’audit :
le directeur ou responsable de l’audit ;
le chef de mission ou le manager ;
l’auditeur ou le collaborateur.
Intéressons-nous plus précisément à ces trois rôles.
Le directeur ou responsable de l’audit
Le directeur ou responsable de l’audit est un référent technique des managers ; il intervient dans les missions de manière spécifique et ponctuelle. En revanche, il participera aux grands jalons de la mission, à savoir la réunion de lancement et la réunion de clôture de l’audit.
Le directeur ou responsable de l’audit fixe la stratégie et les objectifs de la fonction d’audit interne. Il définit l’organisation et le plan d’action pour déployer la stratégie d’audit, que nous avons traitée dans la toute première partie. Le directeur ou responsable de l’audit intervient également dans la définition du plan d’audit ; c’est lui qui a la responsabilité de la mise en œuvre de ce plan, sujet que nous avons traité dans la deuxième partie du cours.
Le chef de mission ou le manager
Le chef de mission ou manager est le référent technique des auditeurs. Il supervise et assure le suivi des missions d’audit dont il a la responsabilité. C’est lui qui élabore le programme de travail, organise les réunions et les entretiens.
Tout comme le directeur peut remplacer un chef de mission dans le cadre d’un audit, un chef de mission peut remplacer un collaborateur.
L'auditeur ou le collaborateur
L’auditeur ou le collaborateur réalise majoritairement des travaux d’audit sous la responsabilité du chef de mission. D’un point de vue opérationnel, c’est lui qui :
exploite et analyse les informations transmises par les audités ;
est le point de contact avec les audités pour obtenir des compléments d’information ou des pièces manquantes ;
exécute les missions dans le respect des normes, des procédures internes et des délais ;
prévient le chef de mission de toute difficulté au cours de la mission.
Déléguer ne signifie pas qu’on renonce à ses responsabilités
Le manager ou le collaborateur va donc réaliser une partie des tâches qu’il ne ferait pas en temps normal. Celui qui délègue doit en revanche rester concerné par les résultats du travail du manager ou du collaborateur, et faire le point régulièrement avec son équipe.
La supervision est une obligation
Selon la norme 2340 “Supervision de la mission” du CRIPP, “les missions doivent faire l’objet d’une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel des auditeurs effectué.”
La supervision d’une mission consiste à :
suivre l’avancement de la mission ;
prendre en considération la compétence et la capacité des équipes ;
vérifier la bonne compréhension des instructions par les équipes, notamment dans le programme de travail ;
s’assurer que les travaux sont menés conformément à la démarche définie et aux procédures d’audit ;
modifier le cas échéant la démarche prévue initialement dans le programme de travail, en cas de problèmes importants.
Supervisez les tests d’audit
La supervision de la mission d’audit doit être un exercice permanent. En tant que chef de mission et/ou de directeur de l’audit, vous allez organiser des points réguliers avec l’équipe d’auditeur et revoir tous les livrables clés de la mission d’audit avant leur communication.
Dans le cadre de la phase d’investigation, je vous propose de nous focaliser sur la supervision des tests d’audit. À ce titre, c’est le chef de mission, ou bien le directeur de l’audit s’il remplace ce dernier, qui en a la charge et la responsabilité.
Pour ce faire, il existe un outil très simple à mettre en place, à partir de la grille d’audit : les fiches de tests.
Qu’est-ce qu’une fiche de tests ?
L’auditeur décrit et documente les résultats des tests d’audit sous la forme d’une fiche, afin de de constituer une preuve suffisante, fiable et pertinente de ses travaux.
La fiche de test doit contenir au minimum :
le nom de l’auditeur qui réalise le test ;
la date de réalisation du test ;
la source des informations utilisées pour réaliser le test ;
les résultats intermédiaires permettant d’aboutir à la conclusion ;
la conclusion du test.
Dans la plupart des cas, elle se trouve dans le même classeur (ou fichier Excel) que la grille d’audit ; un onglet correspond à une fiche de tests et une fiche de test correspond à un contrôle ou à un objectif d’audit à tester, issu de la grille.
Grâce aux fiches de tests, le chef de mission et/ou le directeur de l’audit pourront vérifier que tous les objectifs de la grille d’audit ont bien été testés en bonne et due forme.
Prenons un exemple
Pour vous fournir un exemple de fiche de tests, revenons à l’audit des accès au système comptable, téléchargeable ici.
La grille d’audit comporte six activités de maîtrise des risques attendues et treize objectifs d’audit ; il y aura donc treize fiches de tests à formaliser sous cette forme très détaillée, que je vous propose de télécharger au format Excel.
Cette fiche de test comporte deux grandes parties.
Dans un premier temps, vous avez les informations générales :
les modalités de réalisation et de supervision ;
des informations reprises de la grille d’audit ;
le script de tests qui est le pas-à-pas des tests à réaliser, et les documents à collecter, afin de guider l’auditeur ;
le nom de la personne interviewée, en cas de demande de complément ;
les conclusions du test.
Dans un second temps, les deux étapes de réalisation du test qui sont :
les tests de conception : pour chaque document collecté, l’auditeur va vérifier les contrôles formalisés et décrire précisément ce qu’il a effectué. Il va également donner son avis sur cette étape du test de conception. S’il a bien trouvé ce qu’il attendait, l’étape de test sera “réussie” ; dans le cas contraire, elle sera en “échec” ;
les tests d’efficacité : dans l’exemple communiqué, cette étape ne s’applique pas, étant donné qu’il s’agit d’une revue documentaire. En revanche, elle s’applique dans des cas de tests nécessitant un échantillonnage.
Par exemple, pour l’objectif d’audit “s'assurer de l'existence d'une procédure centralisée de gestion des comptes utilisateurs permettant de traiter les demandes, attributions, ouvertures, suspensions, modifications et clôtures des comptes utilisateurs et des droits associés...” rattaché au sous-domaine “Gestion des habilitations utilisateurs”, le test d’efficacité consistera à :
sélectionner un certain nombre de demandes de gestion de comptes utilisateurs, en fonction de la méthodologie d’échantillonnage ;
pour chaque demande, s’assurer que la procédure a bien été appliquée.
Validez avec les audités le résultat des tests d’audit
Les fiches de tests sont des documents de travail réalisés dans le cadre de la mission. Cela ne signifie pas que vous ne devez pas les partager.
À la fin des tests d’audit, votre référentiel d’audit doit être entièrement complété.
Je vous recommande de communiquer le résultat des tests avec les audités après la revue de la fiche de test par le responsable de la mission.
Vous pourrez ainsi expliquer votre méthode de travail, qui a permis de conclure sur le caractère satisfaisant ou non des dispositifs de contrôle. Les audités, quant à eux, auront la possibilité de vous fournir des compléments d’information.
Vous rentrez ainsi dans la phase de validation, qui est primordiale et parfois oubliée. Il s’agit de mettre en œuvre une démarche contradictoire, pour donner l’opportunité aux audités de revenir sur certaines observations et recommandations.
En résumé :
la délégation n'est pas une obligation, contrairement à la supervision ;
la supervision relève des responsabilités du chef de mission et/ou du directeur de l’audit ;
la supervision des tests d'audit peut être réalisée à l'aide d'une fiche de tests, qui devra être soigneusement complétée. L’auditeur y décrit et documente les résultats des tests d’audit, afin de constituer une preuve suffisante, fiable et pertinente de ses travaux ;
grâce aux fiches de tests, le chef de mission et/ou le directeur de l’audit pourront vérifier que tous les objectifs de la grille d’audit ont bien été testés en bonne et due forme.
Dans le dernier chapitre, je vous propose de nous concentrer sur la finalisation de la phase d’investigation, et sur la dernière phase de validation d’une mission d’audit.
