Nous sommes à la fin de la phase d’investigation ; vous avez :
collecté les informations ;
constitué les preuves d’audit au moyen d’outils tels que les entretiens ou des analyses de données ;
analysé les informations collectées au moyen de tests d’audit.
À l’issue de cette phase d’investigation, vous devez avoir rédigé une première version du rapport d’audit, dont les observations et les recommandations devront être validées par les audités. Ensuite, dans le cadre de la troisième phase de validation, vous allez initier une démarche contradictoire pour donner l’opportunité aux audités de revenir sur certaines observations et recommandations, et de fournir aux auditeurs des compléments d’informations, avant la présentation des conclusions de l’audit.
Dans ce dernier chapitre, je vais vous présenter les activités clés de ces dernières étapes d’un audit. Je vous proposerai également des outils pour rédiger le rapport d’audit et formuler vos recommandations, afin qu’elles soient percutantes.
Élaborez des recommandations pragmatiques et pertinentes
Les contrôles recensés dans le référentiel d’audit ont fait l’objet de tests d’audit par vos collaborateurs ou par vous-même. Ce référentiel complété est le résultat de l’évaluation des dispositifs de contrôle interne, qui constitue une preuve suffisante, fiable et pertinente de ces travaux.
Vous avez renseigné la colonne “recommandation”. Je vous propose ci-dessous des bonnes pratiques pour mieux formuler vos propositions d’amélioration.
Après avoir réalisé les tests de conception et d’efficacité, vous devez identifier les raisons pour lesquelles le contrôle n’est pas mis en œuvre de manière satisfaisante. Vous allez élaborer des mesures correctives.
Dans un premier temps, afin de remédier de façon durable au dysfonctionnement, c’est-à-dire l’écart entre ce qui est attendu et la situation constatée, l’auditeur doit en analyser en profondeur les raisons. La qualité de cette analyse des causes se répercutera sur la qualité des recommandations. Autrement dit, vous allez expliquer selon vous et de façon factuelle, “pourquoi” le dysfonctionnement a eu lieu. Vous devez disposer de preuves suffisantes pour argumenter les causes.
Dans un deuxième temps, vous allez élaborer la recommandation, qui est l’expression d’une mesure qui vise à renforcer la conception ou l’efficacité du contrôle.
Il se peut que pour corriger un dysfonctionnement donné, il existe plusieurs solutions. Le choix de la mesure corrective qui fera l’objet de la recommandation sera déterminé en fonction du coût, de la rapidité et de la facilité de mise en œuvre.
Par exemple, dans le cadre du test de conception, le contrôle attendu est mentionné, mais il n’est pas décrit précisément dans la procédure. Il peut s’agit d’une validation du management qui est requise pour la création d’un compte utilisateur dans un système.
Dans le cadre du test d’efficacité, vous avez sélectionné une vingtaine de demandes de création de compte utilisateur. 50 % des demandes de votre échantillon n’ont pas été validées par un manager. Dans 30 % des cas, la validation a été transmise par mail, dans 20 % des cas restants, le manager a signé sur le formulaire de demande de création de compte utilisateur :
dans cet exemple, le contrôle attendu est le suivant : “les procédures doivent être établies pour s'assurer que les actions relevant de l'ouverture, de la modification et de la fermeture des comptes utilisateurs sont réalisées au moment opportun”. Ce contrôle permet de maîtriser le risque qu’une “personne non autorisée accède au système et utilise, diffuse, endommage ou détruise des données” ;
le dysfonctionnement que vous avez constaté est que la moitié des demandes de création de compte utilisateur ne respecte pas la procédure, puisqu’elles n’ont pas été validées par le management ;
la cause est le manque de précision sur la validation de la demande de création de compte dans la procédure, puisqu’elle est seulement mentionnée. C’est pourquoi la validation a pris plusieurs formes : la validation par mail et la validation sur le formulaire ;
les mesures correctives que vous pouvez proposer sont les suivantes :
la mise à jour de la procédure, en précisant que la validation du management se fait par mail ;
la mise à jour du formulaire, en intégrant un nouveau champ permettant au management de valider la demande et la mise à jour de la procédure ;
la mise en œuvre d’un workflow automatique, qui enverra directement un mail au manager, afin qu’il clique sur un lien pour valider une demande de création de compte utilisateur ;
le coût d’implémentation et la complexité de la mise en œuvre de la troisième proposition, puisqu’elle nécessite un développement dans le système, devront être évalués. La seconde proposition semble beaucoup plus adaptée en fonction du triptyque coût, rapidité et facilité de mise en œuvre.
Formalisez vos recommandations à l’aide de fiches de constats
Cette fiche synthétise l’opinion de l’audit interne sur la conception et le fonctionnement des contrôles qu’il a audités.
La fiche de constat peut contenir :
le référentiel : à savoir le contrôle attendu et le risque à couvrir ;
les constats et observations de l’auditeur, présentant les causes et les conséquences ;
la conclusion, qui peut prendre la forme d’une évaluation du risque, compte tenu du contrôle réalisé, ou d’une échelle de satisfaction (non satisfaisant, satisfaisant) ;
la(les) recommandation(s) ou mesure(s) corrective(s) ;
les commentaires des audités.
Si vous choisissez de formuler la conclusion sous la forme d’une évaluation du risque, je vous invite à suivre le cours sur l’analyse des risques. En l’occurrence, vous allez réévaluer la criticité du risque brut en fonction de la conception et de l’efficacité du contrôle qui a été constaté lors de l’audit. Vous obtiendrez ainsi la criticité nette du risque.
Ces fiches de constat constituent le corps du rapport d’audit.
Je vous présente ci-dessous un exemple de fiche de constat à partir de l’illustration précédente.
Cette image est également accessible en format Excel.
Partagez une première version du rapport d’audit
Le rapport d’audit détaillé, à l’attention des audités, doit au minimum contenir les informations suivantes :
l’objet de la mission d’audit, en rappelant le contexte et les objectifs ;
le périmètre de la mission (activités auditées, période, sites audités...) ;
les résultats : observations, conclusions, recommandations, plan d’action.
La conclusion peut prendre la forme d’une évaluation du risque. En l'occurrence, je vous invite à suivre le cours sur l’analyse des risques.
Une synthèse, à l’attention de votre direction et des parties prenantes, pourra être rédigée. Dans ce cadre, le directeur de l’audit se prononce sur la maîtrise des risques et la bonne gestion, ou non, des activités et des opérations sur le périmètre audité.
Cette synthèse contient :
les résultats de la mission d’audit ayant un impact sur l’ensemble de l’organisation et sur l’atteinte des objectifs de l’entreprise ;
une opinion globale, positive ou négative, sur la capacité du domaine audité à maîtriser les risques majeurs.
Cette synthèse peut être intégrée au rapport d’audit ou faire l’objet d’une note à part.
Comme indiqué à plusieurs reprises dans ce cours, je vous invite à communiquer les résultats de l’audit, voire la première version du rapport d'audit, aux différentes personnes que vous avez sollicitées et à leur responsable. Vous rentrez ainsi dans la phase de validation.
Vos interlocuteurs pourront vous fournir des compléments d'information et de preuves à analyser. Le cas échéant, les constats et recommandations seront reformulées. N’hésitez pas à faire valider par les responsables du domaine audité la cohérence et la formulation définitive de l’ensemble des observations d’audit.
À la suite de ces ajustements, vous disposerez d’une version quasiment finalisée du rapport d’audit. Ce sera le résultat tangible de l'audit, qui pourra être partagé et communiqué au cours de la réunion de clôture.
Organisez la réunion de clôture
Les principaux objectifs de cette réunion sont les suivants :
rappeler les objectifs de la mission et les objectifs d’audit, ainsi que les modalités d’élaboration et de diffusion du rapport ;
présenter les points forts, ce qui permettra à l’organisation de capitaliser sur ses bonnes pratiques et de les diffuser ;
présenter les observations d’audit, au cours de laquelle il peut être demandé aux auditeurs de produire les preuves pour justifier un constat d’audit ;
présenter les modalités de suivi de la mission, telles que la définition d’une date limite de diffusion du plan d’action et l’identification d’un responsable du suivi de la mise en œuvre des mesures correctives.
La phase de suivi intervient après l’audit, lorsque les recommandations ont été traduites par des plans d’action à mettre en œuvre afin de maîtriser les risques et améliorer les dispositifs de contrôles, et in fine aider à atteindre les objectifs de l’entreprise. Cette phase ne relève pas du champ de responsabilité d’un directeur de l’audit, qui ne peut être juge et partie.
L’audité est un client
Notre cours s’achève. Comme vous pouvez le noter, l’audit est une discipline transversale, qui demande une certaine polyvalence, avec de fortes compétences à la fois techniques et fonctionnelles, des compétences également en stratégie et en management.
En matière de savoir-être, avoir des qualités relationnelles permet de rendre les missions plus appréciables, car la communication à tous les niveaux hiérarchiques de l’entreprise est un facteur clé de succès.
L’audit est loin de l’image de l’inspecteur austère et fermé. Pour améliorer les processus et aider l’entreprise à atteindre ses objectifs stratégiques, l’audit doit être à l’image d’un juge, intègre et neutre.
Pour conclure, j’ajouterai que l’audit a pour objectif de produire un service et donc de satisfaire ses clients. Et les clients ne se résument pas à la direction générale et aux parties prenantes. Les clients de la fonction d’audit s’étendent à toute l’entreprise, puisque c’est elle qui bénéficie du service. En d’autres termes, les audités sont les clients que l’audit doit chercher à satisfaire, en leurs proposant notamment des recommandations utiles et pertinentes.
Votre volonté de servir et votre sens du service seront donc des atouts pour mener vos missions d’audit avec succès. Pensez bien à soigner la première impression et la dernière impression que vous laisserez !
