INISCOM

L’Audit Interne

Plan d’Audit Interne

Par: Mr. BACHA Saïd

e-mail: bacha.said@gmail.com 1

Le plan d’audit est exigé par la norme 2010 : « Le responsable de l’audit interne doit établir une

planification fondée sur les risques afin de définir les priorités cohérentes avec les objectifs de

l’organisation. »

Et pourtant tout le monde ne pratique pas le plan d’audit interne, et on trouve sur ce sujet des

situations diversifiées qui sont le reflet de l’état d’avancement et d’implantation de l’audit

interne dans l’entreprise.

Dans un premier temps, il n’existe aucune planification et les ordres de mission sont donnés au

coup par coup : le service d’audit interne travaille alors « à la demande », sans organisation

préalable de son temps, et sans que l’on soit assuré que ce qui est fait correspond à ce qui

devrait être fait s’il y avait une planification. On suit l’inspiration du moment, ou la mode, ou

l’urgence.

On rencontre cette situation lorsque l’audit interne vient d’être implanté en entreprise et que la

direction générale utilise le service « à discrétion » pour l’aider à résoudre des problèmes

ponctuels, souvent urgents et imprévus.

e-mail: bacha.said@gmail.com 2

Introduction :

Dans un second temps, les ordres de mission d’une année calendaire sont collectés et le service d’audit interne est alors en mesure de les planifier en les répartissant dans le temps, il y a alors un début d’organisation du travail, mais la liste ainsi établie reste irrationnelle dans son contenu : il s’agit plus de planning que de plan.

e-mail: bacha.said@gmail.com 3

Le plan d’audit exige, en effet :

un contenu exhaustif ; un étalement sur plusieurs années (3 à 5 ans) et une analyse globale des risques pour yparvenir une structure prédéterminée.

1- Le Contenu Exhaustif :

Le plan d’audit d’entreprise doit comporter tous les sujets susceptibles d’être audités et donc qui doivent l’être un jour ou l’autre. Cette pétition de principe comporte trois conséquences :

1ère conséquence:

Un plan d’audit intégral ne sera pas élaboré en une seule fois. Son achèvement nécessite plusieurs années au cours desquelles on va successivement l’enrichir, le compléter, le mettre à jour. Il faut donc accepter de commencer avec un outil incomplet pour aboutir peu à peu à un plan achevé. Chaque mission potentielle correspondant à une ligne, le « plan » achevé d’unegrande entreprise est, en général, un document assez volumineux (plusieurs dizaines de pages).

2ème conséquence:

À l’inverse, on peut affirmer de façon paradoxale que le plan ne sera jamais achevé. Chaque année, en effet, va apporter son lot de rectifications, modifications, suppressions, correspondant à des changements de structures, à des modifications de processus ou d’environnement.

3ème conséquence:L’exhaustivité va exiger une approche multiforme des thèmes d’audit afin de couvrir l’ensemble des activités de l’entreprise et de ne laisser aucune interface

e-mail: bacha.said@gmail.com 4

L’Approche par les Métiers:

Cette approche découpe les sujets d’audit en fonction des grands métiers del’entreprise :

- Acheter - Vendre - Fabriquer - Embaucher - Décider - Gérer - Investir

Chaque métier correspondant à un ou plusieurs services, on trouve sous ce chapitre les différentes directions, les différents départements et services de l’entreprise : c’est donc une approche par les structures.

C’est la partie du plan la plus facile à élaborer : elle correspond très exactement à l’organigramme dont chaque case doit être auditée, sans descendre à un niveau trop bas de détail. En pratique et très souvent les auditeurs se servent de l’annuaire téléphonique de l’entreprise pour avoir la certitude de ne rien omettre sur leur liste. Mais une telle approche reste insuffisante.

e-mail: bacha.said@gmail.com 5

L’approche par les Fonctions:Elle prend en compte les grandes fonctions de l’entreprise :

- Fonction Production - Fonction achats/ventes - Fonction Trésorerie - Fonction Investissements - Etc.

La prise en compte de ces fonctions comme mission d’audit va permettre d’analyser les activités de l’entreprise de façon transverse et, passant d’un service à l’autre, de regarder le fonctionnement des interfaces et l’efficacité du traitement. C’est, évidemment, cette approche qui est la plus riche, c’est elle qui permet le mieux d’apprécier la trame du contrôle interne dans sa globalité. Les grandes entreprises développent de plus en plus cette approche qui tend à devenir un des éléments les plus importants du plan.

Il appartient alors au responsable d’audit interne d’organiser le planning de travail afin d’harmoniser les audits de services et les audits de fonctions en intégrant au mieux l’un dans l’autre ou en réalisant l’un en même temps que l’autre. Ainsi l’audit du service trésorerie (donc de sa gestion et de son fonctionnement) sera réalisé « en même temps que » et « à l’occasion de » l’audit de la fonction trésorerie. On pourrait multiplier les exemples de ce type

Mais après avoir pris en compte les métiers et les fonctions, le plan d’auditn’est pas encore tout à fait complet.

e-mail: bacha.said@gmail.com 6

L’approche par les Thèmes:

Par définition, le thème est ce qui ne correspond :- ni à un seul service- ni à une seule fonctionet dont la nature mérite cependant d’être prise en compte comme sujet d’une mission d’audit spécifique.

On trouve ainsi sous cette rubrique :- l’audit de l’archivage - l’audit des contrats - l’audit de la sécurité - l’audit de la communication - l’audit de la micro-informatique

C’est une approche particulièrement riche car l’audit d’un thème spécifique permet parfois de déceler une faiblesse de contrôle interne propre à l’ensemble des services ou à l’ensemble des fonctions alors que découpé au niveau de chaque unité le sujet n’apparaît pas suffisamment important

e-mail: bacha.said@gmail.com 7

Les Méthodes :

L’ensemble des services, fonctions, thèmes n’est pas à auditer selon la même périodicité : certains le seront tous les ans ou tous les deux ans, d’autres tous les quatre ou cinq ans.

C’est l’importance du risque qui va permettre de déterminer la fréquence : risque élevé, donc audits fréquents, à l’inverse, risque faible signifie audits espacés. L’audit interne doit donc disposer, coûte que coûte, d’un instrument de mesure, d’une technique permettant de porter un jugement sur l’importance du risque dans la zone auditée. On est ici en présence de la Macro-Evaluation.

Mais pour réaliser cette évaluation il faut impérativement disposer d’un outil de mesure

e-mail: bacha.said@gmail.com 8

De la Cartographie au Plan D’audit:

Lorsqu’une cartographie des risques a été établie elle constitue l’outil de mesure dont va s’emparer l’auditeur interne.

Mais il va l’adapter à ses besoins propres et qui vont au-delà d’une estimation du risque maximum possible ou risque inhérent (gravité et fréquence).

L’auditeur interne doit en effet s’appuyer non pas sur une évaluation potentielle, mais sur une évaluation réelle. Pour y parvenir il va affecter le chiffre mesurant le risque, et figurant dans la cartographie, d’un coefficient représentant la qualité du contrôle interne telle qu’il la perçoit.

Cette appréciation du contrôle interne se fait à la fin de chaque mission ainsi qu’indiqué dans la méthodologie. Pour définir ce coefficient d’appréciation, on demande aux auditeurs et à leur chef de mission de chiffrer dans une échelle de valeur à trois niveaux :

1. contrôle interne adapté.2. contrôle interne insuffisant.3. contrôle interne comportant des lacunes graves.

Cette réflexion conduite à la fin de chaque mission d’audit est mise en œuvre au fur et à mesure que se réalise le plan et sans attendre la mise à jour de fin d’année

e-mail: bacha.said@gmail.com 9

Les Méthodes Spécifiques de L’audit Interne:

1- Méthode N°01:

Il repose également sur l’appréciation du contrôle interne qui se pratique comme indiqué au chapitre précédent, en retenant l’échelle de valeur à trois niveaux (adapté, insuffisant, lacunes graves) à laquelle on ajoute les deux critères de la cartographie : l’appréciation de la gravité (appréciation quantitative) et l’appréciation de la fréquence (appréciation qualitative).L’appréciation de la gravité est censée mesurer l’importance des enjeux ; c’est pourquoi on la nomme aussi appréciation quantitative. Pour la chiffrer, l’auditeur évalue en fin d’audit le budget annuel de l’unité, ou son chiffre d’affaires annuel, ou la valeur des installations. Ce sera l’un ou l’autre de ces chiffres selon l’activité auditée.

Par exemple :

- s’il s’agit de l’audit du service entretien, on retiendra le « budget annuel » - S’il s’agit de l’audit des ventes, on retiendra le chiffre d’affaires - s’il s’agit de l’audit des installations de fabrication d’une usine, on retiendra la valeur des dites installations.- Si l’unité auditée est susceptible d’être appréciée avec deux ou trois de ceséléments, on retient celui dont la valeur est la plus importante.

e-mail: bacha.said@gmail.com 10

Illustration

Un service informatique qui travaille à la fois pour l’entreprise et pour l’extérieur :

– il a un budget de fonctionnement non négligeable– ses installations ont une certaine valeur– il dégage un chiffre d’affaires

Dans ce cas, on calcule les trois chiffres et on retient le plus important.

e-mail: bacha.said@gmail.com 11

La valeur retenue ayant ainsi été identifiée ou calculée – et on perçoit bien que ce calcul doit être constamment actualisé – l’auditeur en général va déterminer deux ‘ 02’ seuils quantitatifs. Le niveau de ces seuils, exprimé en DZD, est fonction de l’entreprise : de sa dimension, de son chiffre d’affaires, de la valeur de ses installations.

Les chiffres sont déterminés de telle sorte que :- En deçà du premier seuil, on peut dire que l’enjeu est de faible importance- Au-delà du second seuil, l’enjeu est élevé - Entre les deux : L’enjeu est D’importance Moyenne

Selon que tel ou tel chiffre constitue pour l’entreprise une valeur de dimension élevée ou non.

Là encore, on va donc déterminer trois niveaux :1. Enjeu faible.2. Enjeu moyen.3. Enjeu important.

L’appréciation de la fréquence est encore plus délicate à réaliser puisqu’elle est purement qualitative : c’est une appréciation sur la vulnérabilité de l’unité auditée et qui permet d’apprécier la fréquence

e-mail: bacha.said@gmail.com 12

Pour la chiffrer, l’auditeur va examiner tous les facteurs susceptibles d’avoir une incidence sur la vulnérabilité du sujet audité :

- L’unité est-elle au siège social, dans un environnement de travail de bonnequalité… ou perdue dans la nature au fond d’une région ?

- Bénéficie-t-elle d’un encadrement solide ou n’est-elle confiée qu’à un seul responsable de niveau moyen ?

- Le personnel est-il de bonne qualification ou a-t-il besoin de formations professionnelles complémentaires ?

- L’environnement social est-il tranquille ou à risque ?

- Le travail à réaliser est-il simple ou d’une grande complexité ?

- L’activité quotidienne est-elle susceptible ou non de générer des tentations ? (ex. : manipulation de fonds…).

Cette liste n’est pas exhaustive.

e-mail: bacha.said@gmail.com 13

Au terme de ces interrogations, l’auditeur se détermine – de façon bien évidemmentsubjective – en affectant l’unité auditée de l’un des trois coefficients :

1. Vulnérabilité faible.2. Vulnérabilité moyenne.3. Vulnérabilité forte.

La vulnérabilité sera toujours « forte » en présence de zones traditionnellement considérées comme comportant des risques potentiels élevés.

À la fin de cet examen simple et rapide, et particulièrement rapide lorsqu’il a déjà été réalisé au moins une fois et qu’il ne s’agit plus que d’une simple mise à jour, l’auditeur dispose de trois critères, chacun numéroté de 1 à 3 : il ne reste plus qu’à les combiner pour les mettre en œuvre.

e-mail: bacha.said@gmail.com 14

La Mise en Œuvre de la Méthode :En multipliant les trois chiffres ainsi calculés, on obtient pour chaque thèmede mission considéré, une valeur pouvant aller :

- de 1 × 1 × 1 = 1 et qui symbolise le risque minimal,- jusqu’à 3 × 3 × 3 = 27 et qui symbolise le risque maximal.

Ce calcul d’un coefficient global d’appréciation du risque comporte des situations égalitaire. Par exemple :

contrôle interne avec lacunes graves : 3Enjeu moyen : 2 3 × 2 × 1 = 6Vulnérabilité faible : 1

est égal à :

contrôle interne adapté : 1Enjeu important : 2 1 × 2 × 3 = 6Vulnérabilité moyenne : 3

e-mail: bacha.said@gmail.com 15

On va réduire ces situations d’apparente égalité en considérant que :

- le critère majeur est celui sur l’appréciation du contrôle interne : il résulte d’un audit qui vient d’être réalisé, et de ce fait comporte le maximum de garantie

- le critère mineur est celui sur l’appréciation de la vulnérabilité, car nécessairement très subjectif

Ainsi dans l’exemple ci-dessus, la situation présentant un contrôle interne « avec lacunes graves » sera considérée comme comportant un risque supérieur à celle ayant un « contrôle interne adapté » : elle sera donc auditée avec une fréquence plus rapprochée.

On obtient ainsi une table de classement allant de 1 à 27, du moindre risque au risque le plus élevé. Chaque mission d’audit figurant sur le plan va donc se voir affecter un rang de classement qui est fonction du risque, et permet de déterminer la fréquence à retenir dans les interventions

e-mail: bacha.said@gmail.com 16

Pour ce faire, on adopte une règle qui peut être :- pour les sujets dont le coefficient de risque va de 1 à 13 : un audit tous les 4 ou 5 ans - pour les sujets dont le coefficient de risque est compris entre 14 et 24 (ce qui statistiquement est le plus grand nombre) : un audit tous les 3 ans - pour les sujets dont le coefficient de risque est de 25 - 26 et 27 : un audit tous les ans ou 2 ans.

e-mail: bacha.said@gmail.com 17

Merci de Votre Attention

e-mail: bacha.said@gmail.com 18