Mise En Place D’une Cellule D’audit Interne Au Sein De L’entreprise Publique

Institut Supérieur de Commerce et d’Administration des Entreprises DIPLOME NATIONAL D’EXPERTISE

Mémoire pour l’obtention du Diplôme National d’Expert Comptable

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE Présenté par : Moncef BELOULIED

Membres du jury Président M. Mohamed Khalid BEN OTMANE - Expert Comptable DPLE Directeur de recherche M. Adib BENBRAHIM - Expert Comptable DPLE Suffragants M. Mohamed BOUMESMAR - Expert Comptable DPLE M. Aziz EL KHATTABI - Expert Comptable DPLE Novembre 2009

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Remerciements

Je tiens à remercier ma mère et mon épouse pour leur soutien moral, ainsi que toutes les personnes qui m’ont aidé et encouragé pour la réalisation de ce travail. Mes remerciements vont particulièrement : A M. Adib BENBRAHIM Mon directeur de recherche, pour ses précieux conseils et encouragements pour l’aboutissement de ce travail de recherche. Aux Membres du Jury Lesquels par leurs remarques et leurs observations m’ont permis d’améliorer la qualité de mon travail. A M. Rachid M’RABET, Directeur de l’ISCAE qui veille continuellement à la qualité de la formation assurée au sein de cet Institut, à tout le personnel et le corps enseignant de l’ISCAE pour les efforts qu’ils déploient pour la continuité et la réussite du cycle d’expertise comptable.

Je dédie cet humble travail à mon père que Dieu garde son âme et lui offre sa totale bénédiction et miséricorde.

1

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SOMMAIRE Pages

INTRODUCTION………………………………………………………………………. 3 PREMIERE PARTIE: PRATIQUES ET MISE EN PLACE DE L’AUDIT INTERNE……………………………………………………………… 8 CHAPITRE I : DEFINITION DE L’ACTIVITE DE L’AUDIT INTERNE… 9 SECTION 1 : L’évolution historique et les objectifs de l’audit interne……….9 SECTION 2 : Concept et standards de l’audit interne………………………………. 16 CHAPITRE II : LES FONCTIONS VOISINES DE L’AUDIT INTERNE…. 22 SECTION 1 : Les partenaires externes………………………………………………………. 22 SECTION 2 : Les partenaires internes…………………………………………………………28 SECTION 3 : Les partenaires publics…………………………………………………………. 34 CHAPITRE III : LES PREALABLES A LA CREATION DE LA CELLULE D’AUDIT INTERNE………………………………………………………..39 SECTION 1 : Périmètre d’intervention de l’audit interne…………….…………… 40 SECTION 2 : Le plan d’audit et l’organisation des moyens………………………. 44 SECTION 3 : La communication et les résultats de l’audit interne…………… 48

DEUXIEME PARTIE : METHODOLOGIE DE CREATION DE LA FONCTION ET MISE EN PLACE DES OUTILS DE L’AUDIT INTERNE……………………………………………………………………52 CHAPITRE I : L’ORGANISATION D’UN SERVICE D’AUDIT INTERNE 53 SECTION 1 : Positionnement de l’audit interne…………………………………………. 53 SECTION 2 : Dimensionnement de l’audit interne……………………………………..57 CHAPITRE II : MISE EN PLACE D’UNE METHODE DE GESTION ET ANALYSE DES RISQUES………………………………………………………………………75 SECTION 1 : Les différentes étapes du processus de gestion des risques. 75 SECTION 2 : Cartographie des risques et plan d’audit interne…………………88 CHAPITRE III : METHODOLOGIE DE MISSION……………………………………105 SECTION 1 : La conduite d’une mission d’audit interne…………………………… 105 SECTION 2 : Les outils d’audit interne………………………………………………………. 112

CONCLUSION…………………………………………………………………………

120

2

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

INTRODUCTION

3

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

INTRODUCTION L’audit interne Enjeu majeur pour une meilleure gouvernance des entreprises publiques Limité au départ à l’appréciation des informations comptables et financières, l’audit interne couvre actuellement un champ de plus en plus vaste qui touche les différents domaines de gestion de l’entreprise et les différentes activités. Il est devenu un outil fondamental d’aide à la gestion et au pilotage des organisations. D’une manière générale, il peut être défini comme la vérification de l’information comptable et financière et/ou de gestion par une personne indépendante, objective et compétente, suivant une démarche spécifique et par référence à des normes préétablies. La grande diversité dans la pratique de l’audit a entraîné l’extension de cette pratique, de la grande entreprise à la petite et moyenne entreprise et du secteur privé au secteur public. L’extension au secteur des entreprises publiques a connu une évolution importante. En effet, limité au départ aux activités stratégiques productives, ce secteur s'est étendu pour englober les différentes activités économiques du pays. Dans un environnement de plus en plus complexe et en perpétuel changement, l’audit interne ne s’est plus limité à signaler les éventuels dysfonctionnements en matière de contrôle interne; il joue un rôle de dynamisation au sein de l’organisation et apporte une plus-value en s’orientant davantage vers le conseil, le service et la prévention. Par ailleurs, la modernisation de la gestion des entreprises publiques ne pouvait se faire sans une remise en question du système de contrôle de ces entreprises. Ainsi plusieurs textes, notamment la circulaire et les décisions ministérielles de septembre 1993 sur l’organisation de la fonction d’audit, ont mis l’accent sur la création d’un environnement favorable, à la promotion de l’audit interne et de la bonne gouvernance au sein des entreprises publiques. Dans cette perspective, la loi 69-00 entrée en vigueur en 2004, relative au contrôle des entreprises publiques a retenu pour principal objectif de fournir à ces entreprises, un dispositif de contrôle moderne, permettant une large autonomie des organes d’administration et de direction, une transparence de la gestion et une grande maîtrise des risques. La loi prévoit que les organismes soumis au contrôle d’accompagnement doivent se doter des instruments de gestion suivants : - Un organigramme fixant les structures organisationnelles de gestion et d’audit interne de l’établissement ainsi que leurs fonctions et attributions.

4

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

- Un manuel décrivant les procédures de fonctionnement des structures et de contrôle interne de l’établissement. Les déclarations gouvernementales soulignent l’engagement constant du gouvernement à jeter les bases d’une administration moderne, efficiente, responsable et citoyenne. Le secteur public a implicitement connu de profonds changements et doit désormais concilier qualité du service délivré et exigences en matière de performance et de transparence, alors même que les grands enjeux de l’économie et des finances bouleversent encore son équilibre. Les efforts déployés ont porté essentiellement sur la modernisation du contrôle financier, la rationalisation de la gestion, la restructuration d’un certain nombre d’entreprises et le lancement des opérations d’audit …. Parallèlement un programme de révision des structures et des méthodes de gestion a été entamé. Il vise un double objectif, d'une part doter les gestionnaires de ces entreprises d’une structure d’audit interne, d'autre part, assurer une certaine transparence de la gestion vis à vis des différents partenaires. Les référentiels traitant l’audit interne existent pour préparer les gestionnaires dans l’accompagnement de la conduite des missions d’audit interne, mais le constat demeure évident qu’il manque relativement des manuels, sur la méthodologie de création d’une structure dédiée et d’outils de planification. S’agissant d’un secteur complexe, régi par un dispositif légal et réglementaire spécifique, l’élaboration de guides de la pratique d’audit interne et d’outils pour la mise en œuvre d’une méthodologie, conforme aux pratiques internationales et de réalisation des missions est d’une grande utilité. Ces guides destinés aux professionnels actuels ou futurs pour les aider dans la planification et le suivi des missions, aux entreprises pour les assister dans l’atteinte de leurs objectifs peuvent être très incitatifs. Le présent mémoire se propose d’apporter sa contribution à cette assistance à travers l’énoncé de mise en place d’une cellule d’audit interne dans l’organisation d’une entreprise publique, de définir l'audit interne, clarifier les concepts, situer son importance, son organisation et sa mise en œuvre dans l'entreprise publique notamment. Ce mémoire, qui a surtout pour objectif de proposer la mise en place d’une cellule d’audit interne au sein d’une entreprise publique s’articule autour de deux parties.
PRATIQUES ET MISE EN PLACE DE L’AUDIT INTERNE
METHODOLOGIE DE CREATION DE LA FONCTION ET MISE EN PLACE DES OUTILS DE L’AUDIT INTERNE La première partie du sujet permet de situer l’entreprise publique dans son contexte légal en désignant sa nature, ses caractéristiques et les différents contrôles auxquels elle est soumise. Ensuite, elle traite des divergences de l’audit interne avec les fonctions voisines, internes, externes et publiques et enfin des

5

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

différents préalables et étapes de conception de la fonction en se référant aux normes de la pratique professionnelle. L’action de l’administration publique dorénavant régie par une vigilance accrue quant aux performances des entreprises publiques et des impératifs de résultat, a entraîné la mise en place des systèmes de gestion et de contrôle interne, de structure organisationnelle de gestion et d’audit interne, ainsi que l’obligation de rendre compte et de transparence. L’exigence de l’Etat pour la transparence de la gestion des deniers publics et l’évolution rapide de l’environnement économique concurrentiel constituent autant de motifs pour la recherche de l’amélioration de la gestion de ces entreprises, par la mise en œuvre des dispositifs de contrôle et d’instruments permettant la maîtrise de ses opérations. Les évaluations de ces dispositifs par l’audit interne contribuent au respect et à la conformité de la réglementation en vigueur à tous les niveaux, à l’obligation de rendre compte, à la préservation du patrimoine public et à la garantie de la fiabilité des informations à caractères financier et comptable. Toute la mise à niveau à travers les pratiques énumérées est bâtie sur le modèle devenu maintenant universel de la « gouvernance d’entreprise » qui rompt avec les pratiques qui prévalaient dans la mesure où il réserve une place privilégiée à l’audit du fait de la création obligatoire auprès du conseil d’administration d’un « comité d’audit » indépendant de la direction qui diligente et suit les audits internes et externes et qui veille à la mise en œuvre effective des recommandations des auditeurs. Les thèmes proposés par la seconde partie portent sur le fonctionnement et l’organisation du service d’audit interne, sur la description de l’environnement professionnel - en termes de ressources humaines et matérielles - marqué surtout par les mesures et standards permettant l’amélioration de la gestion des entreprises publiques. Cette partie est également consacrée à l’élaboration des méthodologies, détaillant ainsi les outils et la démarche à suivre. Elle s’attache à décrire la démarche d’audit à mettre en place afin d’aider l’auditeur dans la conduite et le suivi de ses missions. Les aspects pratiques sont largement abordés afin de répondre aux principales interrogations de l’auditeur, quant à la réalisation des travaux d’audit, à la rédaction des rapports et au suivi des recommandations. Cette partie a aussi pour objectif de proposer une méthodologie de travail basée sur la mise en place d’une modélisation des risques, en identifiant les risques propres aux entreprises publiques, ainsi que ceux liés à l’environnement de contrôle et à la culture des entreprises publiques en matière de sensibilité aux risques. L’analyse conduira à l’élaboration d’une cartographie des risques et d’un plan d’audit. Les entreprises, quelle que soit leur taille, leur statut juridique, leur localisation, ont dans ce contexte de bouleversements de l’économie mondiale perdu leurs traditionnels repères se retrouvant de ce fait, démunis face aux nouveaux risques auxquels elles sont confrontées.

6

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Les dirigeants, conscients de la menace doivent repenser un « cadre de contrôle » approprié, basé sur les risques et redéfinir le concept de contrôle interne en fonction de l’expansion du champ du risque, entraînant l’audit interne dans une prise en compte plus engagée au niveau de la gestion des risques et l’adoption d’une démarche intégrée de gestion de ces risques, au sein de laquelle la gestion des processus occupe une place majeure. Les méthodes de gestion des risques classiques sont devenues insuffisantes et inadaptées dans le cadre d’une amélioration continue des performances de l’entreprise à long terme. L’anticipation des risques ainsi que leur gestion sont parmi les solutions à ces nouvelles problématiques. La maîtrise des risques par les acteurs du secteur public est donc plus que jamais un élément essentiel à prendre en compte dans la conduite des missions. Cette partie incite le management des organisations publiques (directeurs généraux, conseil, directions) à fortement se convaincre de l’intérêt de la gestion des risques et de la nécessité de s’appuyer sur des dispositifs explicités de contrôle interne efficaces. Cela passe par une meilleure intégration de la cartographie dans le pilotage des risques. Sommairement le mémoire démontre comment l’audit interne trouve sa légitimité à travers l’objectif qu’il vise, à savoir détecter les dysfonctionnement, ajuster les dispositifs de contrôle interne, renforcer et soutenir les centres de responsabilités à maîtriser davantage leurs activités pour atteindre les objectifs et permettre à l’entreprise l’adaptation aux nouvelles données. L’autre but à atteindre est de sensibiliser les organes délibérants et conseils d’administration, aux atouts que l'audit interne peut leur apporter dans l'exercice de leurs responsabilités. Mais le principal objectif assigné est le développement de l’audit interne au Maroc à travers ce mémoire destiné pour la promotion de l’audit interne, l’aide aux organisations dans la mise en place de structures d’audit interne spécifiques, la promotion des règles de déontologie, d’éthique, et des normes professionnelles… et à ainsi revenir sur les principes universels remis à l’honneur par la gouvernance d’entreprise.

7

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

PREMIERE PARTIE : PRATIQUES & MISE EN PLACE DE L’AUDIT INTERNE

8

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE I DEFINITION DE L’ACTIVITE DE L’AUDIT INTERNE L’audit interne est une activité systématique et méthodologique, fondée sur des normes, des réglementations, des documents et des outils qui constituent le cadre de travail dans lequel évolue la fonction. Organisé avec méthode et rigueur, agissant selon un système de pensée ordonnée, l’audit interne constitue une méthodologie qui vérifie la conformité du traitement des faits avec les règles, les normes et les procédures du système de contrôle interne, menée par une personne indépendante et compétente. Le respect par celui ci des normes professionnelles et l’application des standards professionnels sont fortement recommandés. Les référentiels internationaux sont utilisés pour développer une pratique homogène de l’audit interne sur la sphère de toutes les entreprisses publiques et privées. L’audit interne touche ainsi toutes les activités de l'entreprise, assure une grande variété de services d'audit et de conseil, effectue ses différentes tâches selon un planning et un échéancier précis. A sa charge aussi d'identifier et d'évaluer les risques par le biais d'un ensemble de règles et de procédures définies.

SECTION 1 : L’évolution historique et les objectifs de l’audit interne 1. L’évolution historique de l’audit interne 1.1. L’évolution de la fonction L’audit interne est une fonction relativement récente, puisque son apparition aux Etats Unis remonte à la crise économique de 1929, caractérisée par une information financière trompeuse, pour initialement assister les experts comptables lors des travaux de certifications des comptes. Cette certification n’était accordée par les experts comptables qu’après de nombreuses vérifications aussi rigoureuses que coûteuses, qui ont nécessité d’instaurer une vérification interne, réalisée par des salariés à plein temps, pour effectuer une analyse approfondie des comptes avant la transmission des documents. Au début, les auditeurs internes n’étaient que des ‘‘sous traitants’’ des auditeurs externes et ne jouissaient pas d’un grand prestige dans les entreprises. Peu à peu, ils se sont différenciés de leurs homologues de l’audit externe qui se sont cantonnés dans l’examen des documents comptables officiels. Les auditeurs internes étendirent ensuite leur domaine d’action pour progressivement s’intéresser à toutes les opérations de gestion. La réorientation de l’audit interne vers les domaines de gestion autres que l’examen classique des comptes, a largement contribué à rehausser son image

9

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

de marque et à prendre de l’importance. Parmi les autres facteurs qui ont favorisé la création de l’audit interne figuraient aussi la taille des entreprises et l’éloignement ou la dispersion géographique des unités les composant. Ainsi apparut le statut de l’auditeur interne qui a vu ses attributions progresser de l’audit comptable et financier à l’audit de gestion. L’auditeur interne s’est transformé en véritable consultant au service des dirigeants, pour répondre à leurs attentes, en leur fournissant des recommandations opérationnelles visant l’amélioration de l’efficacité et de la rentabilité de leurs entreprises. L’intégration de l’audit interne dans la culture de l’entreprise et la vocation de l’audit interne se sont nettement développées avec la création en 1941 aux Etats Unis de l’Institut des Auditeurs Internes (IIA) « The Institute of Internal Auditors». L’IIA est depuis le leader incontesté et l’autorité reconnue de la profession à l’échelle mondiale. C’est une association professionnelle qui a pour objet d'assurer la diffusion des idées et des techniques les plus modernes en matière d'audit interne. Elle regroupe 246 associations affiliées dans le monde et sert plus de 165 000 membres dans le domaine de l’audit interne, de la gestion des risques, de la gouvernance, du contrôle interne, de l’éducation et de la sécurité dans 165 pays. Elle définit le cadre de référence de la pratique professionnelle de l'audit interne et reste reconnue comme la principale référence en matière de formation, de publication, de certification, des directives techniques et de recherche en audit interne. La pratique va s’étendre simultanément à tous les pays. En France, la fonction est apparue dans les années 60 et s’est développée avec la création de l’Institut Français des Auditeurs Consultants Internes (IFACI) créé a Paris en 1965 et rattaché à l’IIA. Cet institut a pour vocation de : - Promouvoir l’audit interne en France et dans les pays francophones. - Accroître la compétence professionnelle et technique de ses membres. - Diffuser et préserver la déontologie de l’audit interne. Au Maroc, l’introduction de l’audit a commencé avec l’implantation des grandes multinationales, pour ensuite toucher les grandes entreprises marocaines structurées. L’usage a contribué pour sa part à son extension pour lui imprimer une fonction étendue à tous les organismes, ne se limitant pas au monde de la grande entreprise, mais même aux établissements publics et aux PME. La constitution de l’Association Marocaine des Auditeurs Consultants Internes est significative à cet effet. «L’AMACI » créée en 1985 pour la promotion de l’audit interne au Maroc compte aujourd’hui près de 170 adhérents. Signe d’une évolution constante. « AMACI » est membre aujourd’hui de l'Institute of Internal Auditors (IIA) depuis 1991, de l'Union Francophone de l'Audit Interne (UFAI) depuis 1998 et de la Confédération Européenne des Instituts d'Audit Interne (ECIIA) depuis 1997.

1.2. L’évolution au Maroc du contexte juridique L’audit interne qui ne disposait d’aucune assise juridique incitative à la création de la fonction est demeuré lié aux standards et aux recommandations internationales. Il a fallu attendre la circulaire de septembre 1993, la loi n°17/95 relative aux sociétés anonymes et la circulaire N° 6 de Bank Al Maghrib pour

10

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

qu’un début de structuration voit le jour à travers notamment la constitution des comités d’audit. Ce contexte et l’environnement économique en général ont suscité l’intérêt de l’audit dans les établissements publics et privés puisque de nouvelles règles ont vu le jour : - La lettre Royale du 19 juillet 1993 qui a force de loi a été adressée par S.M. Le Roi au Premier Ministre, l’invitant à soumettre certaines grandes entreprises et organismes publics à l’audit. - La circulaire du Premier Ministre de septembre 1993, a repris les instructions royales et décrété la soumission de tous les aspects de la gestion des entreprises et organismes publics à l’audit interne et externe et demandé la création des départements d’audit interne, au sein des établissements publics à caractère industriel et commercial et institué des Inspections Générales au sein des établissements publics à caractère administratif. - La décision DPE 113/70/16 du 23 Septembre 1993 organisant la fonction d’audit des entreprises publiques, en les soumettant notamment à deux types : L’audit financier, l’audit interne. - La réforme du contrôle financier de l’Etat sur les entreprises publiques et les autres organismes instituée par la loi n° 69-00, relative au contrôle financier. - La loi relative à l’institution de la Cour des Comptes et des Cours des Comptes Régionales. - La loi n°62-99 formant code des Juridictions financières, oblige tous les départements d’audit à communiquer à la Cour des comptes leurs rapports d’audit.

1.2.1. L’audit des entreprises et organismes publics L’audit des entreprises et organismes publics a connu un développement certain, suite à ces textes qui ont mis l’accent sur la création d’un environnement favorable à la promotion de l’audit et de la bonne gouvernance au sein des établissements publics et des ministères. Ces mesures ont permis la mise en place effective de nombreuses cellules, dans plusieurs entreprises et organismes. Le recours à l’audit interne ne s’est pourtant pas généralisé de façon systématique à toutes les composantes du secteur public. Dans certains ministères, les inspections générales ont développé de plus en plus cette activité parallèlement à celle se rapportant à l’inspection pure. Le ministère de l’Equipement a institué une cellule d’audit interne, rattachée au secrétaire général qui prend en charge toutes les activités d’audit. Le département de l’Habitat a institué un comité permanent de l’audit (CPA) dont le secrétariat est assuré par l’Inspection générale. D’autres départements, comme l’Agriculture, disposent de divisions d’évaluation des programmes et projets. Au cours des années 2000 et 2001, cette dynamisation s’est concrétisée - en plus des audits des comptes qui ont un caractère récurrent et annuel - par la réalisation ou le lancement d’audits de performance et d’organisation, dans le cadre de comités permanents d’audit auprès de certains départements.

1.2.2. La reforme du contrôle financier des entreprises et organismes publics 11

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

C’est la réforme du contrôle financier qui a permis de franchir un saut qualitatif. De ce fait, le contrôle financier des établissements publics qui datait du début des années 60, figé, non évolutif, non généralisé et axé sur le contrôle de régularité (dahir du 14 avril 1960, modifié par celui du 30 juin 1962), s’était trouvé largement dépassé puisque l’environnement économique n’est plus le même. C’est ainsi que la loi n° 69-00, entrée en vigueur en 2004,qui constitue une vraie réforme du contrôle financier de l’Etat sur les entreprises publiques et les autres organismes a mis l’accent sur quatre modes de contrôle : - Le contrôle préalable pour les établissements publics qui ne disposent pas d’un système d’information et de gestion fiable : Agence Nationale de la Conservation Foncière, du Cadastre et de la Cartographie, Caisse Nationale de la Sécurité Sociale, Caisse Marocaine des Retraites… - Le contrôle d’accompagnement qui s’exerce sur les sociétés anonymes où le Trésor est directement actionnaire : Office National des Chemins de Fer, Office National de l’Electricité, Marocaine des Jeux et des Sports… - Le contrôle conventionnel, s’exerce, lui, sur les filiales publiques où l’État n’est pas directement actionnaire: Société Nationale des Autoroutes du Maroc, Al Omrane, Compagnie Nationale "Royal Air Maroc"… - Le contrôle spécifique : Agence Nationale de Réglementation des Télécommunications, Fondation Mohammed VI pour la Promotion des Œuvres Sociales de l'éducation -Formation Le nombre des entreprises publiques soumis au contrôle financier est estimé par la loi de finance 2009 à 695 entreprises et organismes publics dont 255 établissements publics (ANCFCC, ANRT…), 94 sociétés d’Etat (Caisse de Dépôt et de Gestion, AL OMRANE…), 120 filiales publiques (RAM, Crédit Immobilier et Hôtelier…) et 226 sociétés mixtes (Itissalat Al Maghrib, Banque Centrale Populaire…).

TEXTES D’APPLICATION Concernant l’application du contrôle d’accompagnement, qui traite de l’audit interne, la loi n° 69-00 stipule dans son article 17 « Sont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les établissements publics justifiant de la mise en œuvre effective d'un système d'information, de gestion et de contrôle interne, comportant, notamment, les instruments suivants, dûment approuvés par le conseil d'administration ou l'organe délibérant : - un statut du personnel fixant en particulier les conditions de recrutement, de rémunération et de déroulement de carrière du personnel de l'établissement. - un organigramme fixant les structures organisationnelles de gestion et d'audit interne de l'établissement ainsi que leurs fonctions et attributions. - un manuel décrivant les procédures de fonctionnement des structures et de contrôle interne de l'établissement. - un règlement fixant les conditions et formes de passation des marchés ainsi que les modalités relatives à leur gestion et à leur contrôle.

12

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

- une comptabilité permettant l'établissement d'états de synthèse réguliers, sincères et certifiés, sans réserves significatives, par un ou plusieurs auditeurs externes habilités à exercer la profession de commissaire aux comptes. - un plan pluriannuel couvrant une période d'au moins trois ans, actualisé annuellement, devant comporter, notamment, par activité et sous forme consolidée, les programmes physiques et les projections économiques et financières. - un rapport annuel de gestion établi par le directeur de l'établissement. » Concernant les modalités d’exercice du contrôle d’accompagnement en instituant un comite d’audit, La loi n° 69-00 stipule dans son article 14 « Les organismes soumis au contrôle d'accompagnement doivent instituer un comité d'audit. Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre membres nommés par le conseil d'administration ou par l'organe délibérant parmi les membres non-dirigeants ou de mandataires nommément désignés par eux à cet effet. Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la régularité des opérations, la qualité de l'organisation, la fiabilité et la bonne application du système d'information ainsi que les performances de l'organisme. Il a pour mission de faire prescrire et réaliser, aux frais de l'organisme, les audits internes et externes ainsi que les évaluations qui lui paraissent nécessaires. Il peut, en outre, inviter tout expert indépendant à participer à ses travaux. Le comité d'audit adresse directement au directeur de l'organisme un rapport retraçant le résultat de chaque intervention effectuée ainsi que les recommandations qu'il estime utiles pour l'amélioration de la gestion et la maîtrise des risques économiques et financiers de l'organisme. Ce rapport est soumis au conseil d'administration ou à l'organe délibérant. »

La loi 69-00 a eu des répercussions certaines sur les services d’audit interne du secteur public. Elle a permis de renforcer l’image et la place de ce service au sein des organisations et d’améliorer la nature des missions à conduire. L'importance de ce rôle tend à se renforcer dans un monde où l’environnement économique de l’entreprise bouge continuellement.

2. Les objectifs et la charte d’audit 2.1. Les objectifs L’audit interne a pris ainsi une dimension manifeste dans les grandes entreprises publiques, en devenant le meilleur moyen de valider la qualité du contrôle interne, lequel demeure le mécanisme indispensable pour s'assurer que les actions de l'entreprise sont en conformité avec ses stratégies, ses politiques et ses principes. De ce fait l’audit interne est géré de façon à apporter de la valeur ajoutée à l’organisation en planifiant son activité sur une base d’évaluation des risques. Risques qui peuvent atténuer ou lui faire perdre cette valeur ajoutée. Il évalue ainsi le système de management des risques, l’efficacité du contrôle interne, de gouvernance d’entreprise. Une notion tout à fait intéressante, celle des processus de transmission des objectifs et des valeurs au sein de l’organisation.

13

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’audit interne contrôle si les projets et les opérations ont des objectifs bien définis et conformes à ceux de l’organisation. Il vérifie s’ils sont atteints et de quelle manière le management assure lui-même le suivi de ces objectifs. Mais l’audit interne a ses limites. Il n’a pas la responsabilité d’assurer les équilibres à l’intérieur de l’organisation, mais seulement de vérifier que les conditions de les maintenir sont réunies. La cellule d'audit interne assiste la hiérarchie dans l'exercice effectif de ses responsabilités en effectuant des enquêtes et en fournissant des analyses, des évaluations, des recommandations, des avis et des informations à propos des activités ayant fait l'objet d'un audit. En effet, la direction doit disposer d’une vision claire et périodique sur l’état des processus pour mettre en évidence ceux qui fonctionnent de ceux qui sont améliorables. Par rapport au contrôle interne la fonction et l’objectif de l’audit interne sont essentiels : - S’assurer de l’existence d’un bon système de contrôle interne qui permet de maîtriser les risques. - Veiller de manière permanente à l’efficacité de son fonctionnement. - Informer régulièrement, de manière indépendante, la direction générale, l’organe délibérant et le comite d’audit de l’état du contrôle interne. Enfin, l’audit interne doit s’assurer lors de chacune de ses missions de : - La réalisation des objectifs de l’organisation. - La gestion adéquate et rationnelle des ressources humaines. - L’efficacité et la bonne utilisation des ressources matérielles. - L’application correcte des lois, décrets, règlements, instructions et procédures. - La protection et la sauvegarde du patrimoine. - L’intégrité, la fiabilité et le caractère exhaustif des informations financières et opérationnelles. - L’efficacité et l’efficience du contrôle interne et de la lutte contre la fraude. Le manque d’efficacité de la fonction est très souvent lié à une compréhension insuffisante de définition. C’est pourquoi les objectifs peuvent constituer le cadre qu’il convient à chaque organisation d’adapter ou de rajouter en fonction de son environnement et de ses priorités.

2.2. La charte d’audit interne La norme 1000 de l’IIA a la particularité de préciser et d’affiner les objectifs en soulignant : « la mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne ». L’existence d’une charte d’audit au sein de chaque organisation permet aux auditeurs internes de se doter et respecter une éthique, informer l’ensemble des parties prenantes sur leurs objectifs et leurs méthodes. Elle représente un support de communication de l’audit interne destiné à tous les partenaires. Il est élaboré par le responsable de l’audit interne, signé par le conseil d’administration et revu par le comité d’audit. C’est un document officiel qui constitue l’occasion de formaliser la méthodologie que le responsable de l’audit interne souhaite mettre en œuvre et parallèlement proposer une démarche structurée à la direction générale qui valide la charte au

14

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

plus haut niveau. Cette validation donne toute sa légitimité à l’audit interne et marque le soutien des organes dirigeants à l’approche d’audit interne.

2.2.1. Rôle de la charte d’audit La charte d’audit est le document qui spécifie le rôle, les responsabilités et le cadre d’intervention de l’audit interne. Elle permet à la direction générale de préciser l’étendue du champ d’investigation du département d’audit interne ainsi que les droits d’accès aux sources d’information nécessaires à l’accomplissement de sa mission. Elle sert à cadrer les conditions d’intervention de l’audit interne et de les partager avec les audités. La charte définit le périmètre d’intervention du service, les droits et devoirs des auditeurs, en particulier les devoirs de réserve et de confidentialité. Les devoirs des auditeurs internes en matière de confidentialité sont fixés par le code de déontologie de l’IIA. La diffusion de la charte d’audit interne est souvent perçue comme l’acte fondateur du service d’audit interne. Elle offre l’occasion de communiquer sur sa création et de légitimer son intervention. Elle permet à tous les employés et en particulier aux futurs audités de se familiariser avec l’approche d’audit interne.

2.2.2. Contenu de la charte d’audit La charte d’audit interne est un document interne qui reflète à la fois la culture de l’entreprise et l’approche d’audit. Le ton de la charte diffère sensiblement d’un organisme public et privé, d’un service ayant une fonction de conseil, d’organisation, de supervision et d’un service ayant une fonction d’assurance, de contrôle et de détection des insuffisances et de la fraude. Néanmoins, les contenus des chartes d’audit comportent un certain nombre de similitudes et les points les plus fréquemment abordés sont les suivants : - Un rappel du cadre de référence International de la pratique professionnelle de l’audit interne. - Les droits et pouvoirs des auditeurs et des audités. - Les objectifs et le champ d’intervention de l’audit interne. - Le positionnement de la fonction au sein de l’organisation, ses attributions ainsi que les relations avec les autres organes de contrôle. - Le rattachement hiérarchique du responsable d’audit interne. - La nature, la programmation, le déroulement des missions d’audit interne. - Le processus de suivi des recommandations. - L’autorisation d’accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions.

15

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 :

Concept et standards

1. Définition L‘Institut des Auditeurs Internes qui fédère tous les instituts d’audit interne nationaux, définit l’audit interne, comme « une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajouté. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d‘entreprise et en faisant des propositions pour renforcer leur efficacité ». l’IIA poursuit « Dans le cadre des missions d’assurance, l’auditeur interne procède à une évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur un processus, un système ou tout autre sujet ». Définition traduite par l’IFACI en version française et approuvée le 21 Mars 2000 par son conseil d’administration. L’audit interne est défini plus communément comme une activité indépendante, objective, qui donne à une organisation (privée ou publique) une assurance sur le degré de maîtrise de ses opérations, qui lui apporte ses conseils pour les améliorer, pour créer de la valeur ajoutée et aider l’organisation à atteindre ses objectifs. L’auditeur exerce son activité en évaluant, par une approche méthodique, d’abord les processus de management des risques, point de focalisation numéro un, puis les processus de contrôle, les processus de gouvernance d’entreprise et fait des propositions pour renforcer leur efficacité.

2. Le cadre de référence de l’audit interne Le cadre de référence qui s’applique est très normatif, constitué d’un code déontologique et de normes pour la pratique professionnelle. Ils présentent l’approche, les principes et les comportements envisagés que les auditeurs internes appliquent à leur mission. En adhérant à ces référentiels, les auditeurs internes sont à même de fournir un service d’assurance et de consultation efficace et indépendant à leurs entreprises. Définies principalement par l’IIA, adoptés par tous ses adhérents et les organismes mondiaux d’établissement de normes dans les secteurs publics et privés, ils représentent la base et le contrôle de qualité de la profession. Ils ont un caractère universel, présentent des principes obligatoires et se définissent en : - Principes fondamentaux de la pratique de l'audit interne. - Cadre de référence pour la réalisation et la promotion d'un large champ d’intervention d'audit interne à valeur ajoutée. - Critères d'appréciation du fonctionnement de l'audit interne. - Facteurs d’amélioration des processus organisationnels et des opérations.

2.1. Le code de déontologie 16

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Le code de déontologie traite des principes fondamentaux de la profession ainsi que des valeurs et des règles de conduite attendus des auditeurs internes dans l’accomplissement de leur activité. Son but est de promouvoir une culture morale au sein de la profession. Il fixe les principes fondamentaux à respecter par les auditeurs, qui sont au nombre de quatre : intégrité, objectivité, confidentialité, compétence.

2.1.1. L’intégrité Les auditeurs internes établissent la confiance en se basant sur leur jugement et doivent accomplir leur mission avec honnêteté, diligence et responsabilité : • Ils doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession. • Ils ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la profession d’audit interne ou leur organisation. • Ils doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

2.1.2. L’objectivité Elle permet aux auditeurs internes de recueillir, d’évaluer et de communiquer équitablement tous les éléments pertinents examinés et ne pas se laisser influencer dans leur jugement. Ils doivent porter un jugement impartial dans une position où ils ne sont pas susceptibles d’être influencés : • Ils doivent éviter les activités et les relations qui pourraient être pressenties comme des éléments fragilisant leur objectivité. Ce principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les intérêts de leur organisation. • Ils ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel. • Ils doivent révéler tous les faits matériels dont ils ont connaissance en interne de l’organisation et qui, s’ils n’étaient pas révélés, auraient pour conséquence de fausser le (leur) rapport sur les activités examinées.

2.1.3. La confidentialité Les auditeurs internes respectent la valeur et la propriété de l’information qu’ils reçoivent et ne divulguent cette information qu’avec l’autorisation du pouvoir approprié, à moins qu’il n’existe une obligation légale ou professionnelle de la divulguer : • Ils doivent utiliser avec prudence et protéger l’information recueillie dans le cadre de leurs activités. • Ils ne doivent pas utiliser l’information à leur avantage personnel, ou d’une manière qui contreviendrait aux dispositions légales, ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation.

2.1.4. La compétence 17

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Les auditeurs internes appliquent la connaissance, les compétences et l’expérience nécessaires à leur rôle. Ils réalisent leur mission conformément aux normes et s’engagent à poursuivre leur formation continue : • Ils ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience nécessaires. • Ils doivent réaliser leurs travaux d’audit interne dans le respect des normes pour la pratique professionnelle de l’audit interne. • Ils doivent toujours s’efforcer d’améliorer leur compétence ainsi que l’efficacité et la qualité de leurs travaux.

2.2. Les normes pour la pratique professionnelle Ces Normes qui constituent des exigences minimales, décrivent la nature de l’audit interne et les caractéristiques des parties réalisant les activés d’audit interne. Elles proposent également des critères de qualité qui permettent d’évaluer la mission d’audit interne et sont subdivisées en « normes de qualification- séries 1000 » et en « normes de fonctionnement- séries 2000 » :

2.2.1. Les normes de qualification Les normes de qualification consistent à définir les missions d’un service d’audit, les notions d’indépendance, d’objectivité, de compétence, de conscience professionnelle et d’assurance qualité. -

Mission, pouvoirs et responsabilité :

La mission, les pouvoirs et la responsabilité de l’activité d’audit interne devraient se définir de manière formelle dans une charte, être cohérents avec les normes et dûment approuvés par le comité d’audit de l’entreprise. -

Indépendance et objectivité :

La fonction devrait être indépendante. Les auditeurs internes devraient être objectifs dans l’accomplissement de leur mission : • L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière impartiale, leurs responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction. L’indépendance est recherchée par le niveau hiérarchique du responsable de l’audit interne, qui doit être élevé, et par son rattachement au sommet de l’organisation avec absence d’ingérence des autres services sur son fonctionnement. • L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans le moindre compromis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d’autres personnes.

18

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’objectivité individuelle des auditeurs découle aussi de l’abstention d’auditer des services dont ils ont eu à titre personnel la responsabilité dans un passé qui n’est pas lointain. -

Compétence et conscience professionnelle :

Tous les audits internes devraient être menés avec compétence et conscience professionnelle. L’activité d’audit interne doit posséder et acquérir collectivement les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités : • La compétence, signifie aussi que chaque fois que l’audit interne ne dispose pas en son sein des personnes capables de conduire une mission spécifique, il doit avoir recours à des compétences et une assistance externes. • Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires pour exercer efficacement leurs responsabilités professionnelles. Ils doivent avoir des connaissances suffisantes pour repérer les indices de fraude, et avoir les qualités requises pour faire des diligences les qualifiant. • Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. • Les auditeurs doivent bénéficier de formations professionnelles continues, entretenir et développer les connaissances acquises. -

Programme d’assurance et d’amélioration de la qualité :

Le directeur d’audit doit élaborer et maintenir un programme d’assurance et d’amélioration de la qualité, incluant des évaluations internes et externes de la qualité. L’audit interne doit programmer sa propre évaluation en interne, de manière continue, mais aussi veiller à ce qu’il soit procédé à des évaluations externes, sous forme de revues d’assurance qualité de sa propre organisation et de ses modes de fonctionnement : • Ce programme est conçu de façon à évaluer la conformité de l’audit interne avec sa définition et les normes et le respect du code de déontologie par les auditeurs internes. • Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit interne et d’identifier toutes opportunités d’amélioration.

2.2.2. Les normes de fonctionnement L’audit interne planifie chaque mission. C'est-à-dire qu’il précise son champ, son objet, formalise complètement son programme de travail, suit les étapes de la réalisation, et rend compte de ses constatations dans un rapport, de façon exacte, objective, claire, concise, et constructive. Les normes de fonctionnement précisent les objectifs.

19

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

Gestion de l’audit interne :

Les auditeurs internes doivent s’assurer que l’activité d’audit interne ajoute de la valeur à l’organisation et suit une approche d’audit basée sur le risque : • Les auditeurs internes doivent gérer efficacement l’audit interne en respectant le code de déontologie et les normes. • Les auditeurs internes doivent développer et communiquer à la direction et au conseil d’administration un plan d’audit, fondé sur les risques et leurs besoins pour examen et approbation. • Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre, de manière efficace pour réaliser le plan d'audit approuvé. -

Nature du travail :

En outre, l’audit interne doit évaluer et contribuer à l’amélioration des processus de gestion du risque, de contrôle et de gouvernance d’entreprise en utilisant une approche systématique et disciplinée : • Les auditeurs internes doivent s’assurer que les risques significatifs sont identifiés et évalués. • Les auditeurs internes doivent s’assurer que les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’entreprise pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’administration d’exercer leurs responsabilités. • Les auditeurs internes doivent aider l’entreprise à maintenir un dispositif de contrôle approprié, en évaluant son efficacité et son efficience et en encourageant son amélioration continue. -

Planification des missions :

Préalablement à tout audit, les auditeurs internes doivent élaborer un plan qui inclut l’étendue, les objectifs, le moment opportun et les ressources : • Les auditeurs internes doivent prendre en compte les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable. • Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission. -

Accomplissement des missions :

Durant leurs missions, les auditeurs internes doivent identifier, analyser, évaluer et enregistrer suffisamment d’informations pour atteindre les objectifs du projet d’audit interne : • Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles. • Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.

20

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

•

-

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission.

Communication des résultats :

A l’issue de l’audit, les résultats doivent être communiqués de manière exacte, objective, claire, concise, constructive, complète et en temps opportun : • La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. • Le responsable de l'audit interne revoit et approuve le rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé. -

Suivi des progrès :

Suite à ces résultats, la direction doit consentir à prendre les mesures susceptibles d’améliorer les contrôles et le directeur d’audit doit mettre en place un processus de suivi pour surveiller et s’assurer que ces mesures prises par la direction ont été efficacement mises en œuvre. -

Acceptation des risques par la direction :

Les auditeurs internes évaluent le niveau de risque accepté par la direction générale. S’ils estiment que la direction générale accepte des risques élevés, ils doivent en aviser le conseil d’administration.

21

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE II LES FONCTIONS VOISINES DE L’AUDIT INTERNE Un certain nombre de fonctions et de professions dont les missions s’entrecroisent avec l’audit interne ou sont voisines, se sont développées à l’intérieur et à l’extérieur de l’organisme. Ce positionnement résulte des efforts d’acteurs faits pour prendre en compte les activités d’audit interne et de maîtrise des risques par d’autres fonctions, notamment le contrôle de gestion, le riskmanager et l’audit externe. En revanche, des missions qui ne relèvent pas directement de la fonction d’audit interne lui sont trop souvent confiées, comme la rédaction de procédures ou des actions de formation…

SECTION 1 : Les partenaires externes 1. Relation avec l’audit externe L’audit externe dans les entreprises publiques, soumises au contrôle préalable, est une activité obligatoire orientée vers l'environnement de l'entreprise. Ses modalités d’intervention, sa finalité et sa périodicité sont déterminées par des critères légaux et réglementaires. L’audit externe n’est pas tenu d’effectuer ses travaux selon les orientations définies par la direction. En plus, il reste limité par sa stricte dimension comptable et financière sans s'étendre à l'ensemble des fonctions de l'entreprise. L’audit interne va au-delà des rapports comptables et financiers pour atteindre une pleine compréhension des opérations effectuées et proposer des améliorations. Il se rapproche davantage d'un audit opérationnel ou d’une mission de conseil et s'éloigne des pratiques et des finalités de l'audit externe qui se limite - en principe - au contrôle de la validité des informations fournies par les systèmes existants. Toutefois, auditeurs externes et internes ont la même finalité, celle de pouvoir garantir la qualité des états financiers produits par les entreprises publiques. Ils adoptent généralement des approches et des méthodologies comparables, sans être parfaitement identiques. Par contre, la finalité commune qui est celle de la qualité des comptes est identique mais présente des nuances. Le rôle de l’auditeur externe est d’émettre une opinion sur les états de synthèse. Il va donc analyser les activités qui produisent les opérations comptables, à travers le référentiel comptable qui a été mis en place, et va conclure sur la base d’une opinion, sur la sincérité et la régularité que traduisent ces états financiers. Pour l’auditeur interne, ce n’est pas la même démarche. Par son intervention récurrente, il contribue dans le temps à garantir que les dispositifs de contrôle interne qui permettent de maîtriser les risques sont parfaitement et de manière permanente en phase avec l’évolution de l’environnement.

22

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’audit interne aura peut-être une démarche plus espacée (pluriannuelle) que ne le sera celle de l’auditeur externe. Mais il ira plus en profondeur sur l’organisation des processus et des dispositifs mis en œuvre pour en assurer la fiabilité. Donc, une finalité commune, mais des objectifs opérationnels un peu différents. Pour l’audit interne, c’est la robustesse du contrôle interne qui garantira in fine des états financiers de bonne qualité. En effet, d’après la norme 4610 du nouveau référentiel des normes d’audit marocain «L'auditeur externe doit prendre en compte les travaux de l'audit interne ainsi que leur incidence potentielle sur les procédures d'audit externe. » Cette norme révèle plusieurs points : - La relation entre l’audit interne et l’auditeur externe. - La prise de connaissance et l’évaluation préliminaire des travaux de l’audit interne. - La liaison et coordination avec l'audit interne. - L’évaluation des travaux de l'audit interne.

1.1. Relation avec l'auditeur externe La norme 4610 précise : « Le rôle de l'audit interne est défini par la direction et ses objectifs diffèrent de ceux de l'auditeur externe qui est nommé pour émettre un rapport indépendant sur les états de synthèse. Les objectifs de la fonction d'audit interne varient selon les exigences de la direction, alors que la priorité pour l'auditeur externe est de vérifier que les états de synthèse ne comportent pas d'anomalies significatives. » La coordination entre les services d'audit nécessite des rencontres périodiques pour s'entretenir de questions d'intérêt commun, procéder à l'échange des rapports d'audit et convenir de techniques, méthodes et terminologie communes. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, par leurs recommandations pour son amélioration, mais ils sont seuls responsables de leur opinion sur les états financiers. L’auditeur externe doit s’aviser des travaux d’audit interne, avoir accès aux rapports pertinents et être tenu informé de tout problème significatif qui pourrait avoir une incidence sur son travail. De même, il doit informer l'auditeur interne de tout problème important qui pourrait le concerner. La démarche inverse qui consiste à communiquer les dossiers de travail au service d'audit interne est exclue au motif du secret professionnel.

1.2. Prise de connaissance et évaluation préliminaire des travaux de l'audit interne « L'auditeur externe doit acquérir une connaissance suffisante des travaux de l'audit interne pour identifier et évaluer le risque d'anomalies significatives au niveau des états de synthèse et pour concevoir et mettre en œuvre des procédures d'audit complémentaires. L'auditeur externe doit procéder à une évaluation de la fonction d'audit interne lorsqu'il s'avère que celle-ci peut être utile à son évaluation des risques. »

23

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Cette même norme et les normes internationales précisent que les commissaires aux comptes doivent prendre en considération les activités d’audit interne, ainsi que leur incidence éventuelle sur leurs propres procédures d’audit. En effet l’existence et l’efficacité d’un service d’audit interne de l’Etat garantit normalement l’efficacité des processus et au final la qualité des comptes. Il ressort que les auditeurs externes accordent une grande importance à la qualité de l’audit interne dans le cadre de leurs propres travaux de certification. C’est pourquoi l’audit interne s’est très précocement positionné en matière d’audit comptable et financier pour justement aider les gestionnaires et les responsables des processus comptables à se préparer à la certification des comptes. Bien entendu, cette prise en compte de l’audit interne par les auditeurs externes dépend de la compétence et du positionnement de l’audit interne quant à l’objectivité et l’indépendance des conclusions des travaux réalisés par ses services.

1.3. Liaison et coordination avec l'audit interne « Lorsque l'auditeur externe envisage d'utiliser les travaux de l'audit interne, il aura à prendre en compte le plan portant sur l’audit interne prévu pour la période et à en discuter aussitôt que possible à un stade préliminaire. Lorsque les travaux de l'audit interne jouent un rôle dans la définition de la nature, du calendrier et de l'étendue des procédures d'audit externe, il est souhaitable de convenir à l'avance du calendrier de ces travaux, des domaines couverts par les procédures d'audit, des seuils de signification et des méthodes envisagées pour la sélection des sondages, de la documentation des travaux effectués et de leur revue, ainsi que des procédures de communication des conclusions » L’objet de la norme 4610 rejoint la norme de l’IIA 2050 qui prescrit aussi : « Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. » Une coopération étroite qui suppose l’échange permanent et réciproque permet d’optimiser la qualité et l’efficacité des travaux réalisés par l’auditeur interne et externe en s’appuyant chacun sur les travaux de l’autre.

1.4. Evaluation des travaux de l'audit interne « Lorsque l'auditeur externe a l'intention d'utiliser des travaux spécifiques de l'audit interne, il doit évaluer et examiner ces travaux pour confirmer leur adéquation avec ses propres objectifs. L'évaluation des travaux spécifiques de l'audit interne nécessite de revoir l'étendue de ces travaux et les programmes de travail y relatifs et si l'évaluation faite des travaux de l'audit interne reste valable. Cette évaluation peut impliquer de déterminer si: (a) les travaux ont été réalisés par des personnes disposant d'une formation technique et d'une expérience suffisantes en tant qu'auditeurs internes et si les travaux des collaborateurs ont été correctement supervisés, revus et documentés ;

24

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

(b) des éléments probants suffisants et appropriés ont été recueillis pour fonder des conclusions raisonnables ; (c) les conclusions tirées des travaux sont appropriées en la circonstance et les rapports établis sont cohérents avec les résultats de ces travaux ; et (d) une solution satisfaisante a été apportée aux exceptions ou aux questions inhabituelles mises en évidence par les travaux de l'audit interne. » Ces orientations et les termes de la norme 4610 indiquent clairement que dans le cadre de leurs missions légales, préalablement à l’émission de l’opinion sur les états financiers, les auditeurs externes sont amenés à s’appuyer sur les travaux effectués par l’audit interne, en matière de procédures de contrôle interne et de gestion des risques. L’utilisation faite par l'auditeur externe s’étend au risque d'anomalies significatives dans le domaine concerné, de son évaluation de la fonction d'audit interne et des travaux spécifiques de celui-ci.

COMPARAISON ET DIVERGENCE AVEC L’AUDITEUR EXTERNE Mandat

Mission

Conclusion

Auditeur interne

Auditeur externe

- Par la direction générale pour les responsables de l’entreprise. - Salarié. - Fonction récente début des années 80. - Se réfère aux normes et surtout à la politique générale de l’entreprise. - L’amélioration des systèmes et formulation des recommandations. - Lié aux préoccupations de la direction générale : déclenchement sur décision. - Tous les types d’audit et tous les sujets. - La gestion constitue sa principale raison d’être. - Délégation du pouvoir de contrôle de la direction générale qui peut être retirée à tout moment. - Constatations approfondies dès qu’il existe un potentiel de dysfonctionnements, pour identifier les causes et définir les actions qu’il y a lieu de mener. - Obligation de résultats

- Par l’assemblée générale (conseil d’administration) pour les tiers qui requièrent des comptes certifiés. - Contractuel. - Métier depuis le dahir de 1954. - Se réfère aux lois, règlements et normes professionnelles. - Emission d’une opinion sur la qualité des états financiers. - Lié à la certification des comptes : mise en œuvre annuelle. - Audit de régularité et de sincérité. - Ne peut s’immiscer dans la gestion de l’entreprise. - Légale et obligatoire et engage une responsabilité civile et pénale.

- Constatations succinctes : examen des circuits clés et des montants supérieurs à un seuil de signification pour dresser des constats de carence et informer. - Obligation de moyens

25

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2. Relation avec le consultant externe Le champ d'intervention de l'audit interne est particulièrement large puisqu'il concerne toutes les fonctions, toutes les techniques et toutes les disciplines d'une organisation. Il se doit donc de posséder et d’acquérir les connaissances, les aptitudes et les compétences techniques nécessaires à l'exercice de ses responsabilités. Peu de services disposent du personnel possédant collectivement toutes les connaissances et expériences indispensables pour mener correctement l'ensemble des travaux. Le recours à des prestations externes, au partenariat, à la sous-traitance de certaines missions, à l'assistance ponctuelle de cabinets externes spécialistes de la discipline auditée s'avère alors indispensable. L'appui à titre de conseil d'un spécialiste dans la discipline considérée permettra d'aller rapidement à l'essentiel, d'enrichir les travaux déjà effectués et de conforter les conclusions émises. Les prestataires et consultants externes sont des spécialistes et experts dans différents domaines et disposent d’une connaissance du monde extérieur qui les rend aussi utiles aux entreprises que les auditeurs internes. Dans le cadre de leur mission de conseil, les consultants réalisent leurs travaux à travers une relation client qu’ils influencent, mais sur laquelle ils n’ont pas d’autorité. La différence majeure est que l’audit interne est impliqué dans cette relation d’autorité, alors que le consultant externe est indépendant. Les consultants externes doivent trouver un équilibre permanent entre leur niveau d’intégrité et leur nécessaire objectivité, confidentialité et compétence que celles des auditeurs internes.

26

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

COMPARAISON ET DIVERGENCE AVEC LE CONSULTANT EXTERNE Auditeur interne

Consultant externe

Intervention - Il doit être à la fois aligné sur - Les dirigeants veulent connaître l’organisation, les valeurs de l’entreprise et se positionner en marge pour pouvoir apporter un regard extérieur. - Intervient pour améliorer ou résoudre un problème clairement prédéfini dans le plan d’audit.

Compétence

Objectif

Conclusion

- Il est plutôt généraliste. Il est valorisé pour sa connaissance intime et sa compréhension de l’entreprise. - La direction attend de l’auditeur interne des prestations personnalisées - Apporter de la valeur ajoutée en planifiant son activité sur une base d’évaluation des risques. - Evalue le système de management des risques, de contrôle interne, et vise leur amélioration. - Remet à la direction un rapport détaillé et des constatations des dysfonctionnements pour identifier les causes qui peuvent lui faire perdre de la valeur ajoutée et définir les actions qu’il y a lieu de mener.

les tendances et préoccupations du marché et préfèrent avoir affaire à quelqu’un d’extérieur au système. - Intervient pour un problème particulier et correspondant à sa compétence. - Il doit commencer par un audit pour détecter les faiblesses existantes. - Valorisé pour son haut niveau de spécialisation. - Le client attend du consultant externe les meilleures pratiques, mais également des prestations personnalisées. - Diagnostiquer l’existant, concevoir et mettre en place les moyens adaptés pour réaliser un objectif bien précis. - Sa mission en général, est fixée dans le temps. - Rend compte au manager qui a sollicité son intervention, décide et agit avec lui tout en restant propriétaire de son rapport.

27

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 : Les partenaires internes 1. Relation avec le contrôle de gestion Selon une enquête réalisée par le cabinet Ernst & Young en juin 2008 sur le secteur public en France, la majorité des organismes publics déclarent disposer d’une fonction audit interne, mais elle n’est pas toujours tenue par un service dédié: le contrôle de gestion est le département le plus utilisé pour assurer la fonction d’audit interne. Le contrôle de gestion à l’instar de l’audit interne fait partie des moyens que l’entreprise met en œuvre pour maîtriser ses objectifs et minimiser ses risques. C’est un processus de pilotage qui englobe l’ensemble des moyens et méthodes pour fournir aux dirigeants les outils leur permettant de piloter l’entreprise. Il est conçu pour mieux maîtriser la gestion de l’entreprise et son amélioration, c'est-àdire prévoir, mesurer et contrôler les performances des principaux responsables, en vue d’atteindre des objectifs fixés, en toute indépendance. Le contrôle de gestion intervient dans le même domaine que l’audit interne, la gestion de l’entreprise et contribue à améliorer l’efficacité à l’intérieur de l’entité alors que l’audit interne porte un jugement sur l’efficacité du contrôle de gestion, pour contribuer à son amélioration. Inversement, le contrôle de gestion examine le degré de réalisation, les niveaux des coûts et les économies produites ou générées par la mise en application des recommandations de l’audit interne. Donc il représente une source d’information très appréciable dans la mesure où les outils de mesure des coûts et des performances sont indispensables à l’audit interne pour détecter les défaillances des systèmes et pour programmer ses interventions.

28

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

COMPARAISON ET DIVERGENCE AVEC LE CONTROLE DE GESTION Audit interne

Contrôle de gestion

C’est quoi? - Une activité indépendante et objective. - Un processus de pilotage. - Il investigue le passé pour trouver ce qu’il y’a de mieux à faire et l’appliquer à l’avenir. Par qui ? Assuré par un professionnel qui est rattaché au plus haut niveau de l’entité.

Où et à quel niveau ?

- Il démarre au sein d’un ensemble comportant plusieurs responsables opérationnels, au moins deux. - Il va des problèmes rencontrés en pratique à leurs causes et conséquences. - Le responsable de l’ensemble fait procéder à des audits internes pour analyser comment les choses se passent dans les unités qui dépendent de lui. - Il se développe au plus haut niveau de l’organisation, chaque niveau de responsabilité pouvant avoir son propre système d’audit interne. fonctionne par des missions Comment? Il temporaires et ponctuelles, effectuées à la demande du responsable de l’entité ou en son nom, portant soit sur l’assurance, soit sur l’assistance (conseil). - Il contrôle l’application des directives, la fiabilité des informations et l’adéquation des méthodes, les processus, les conditions d’obtention des résultats. - Audite la fonction contrôle de gestion. - Il fonctionne par des analyses factuelles et objectives, sur des échantillonnages adaptés. - Il respecte une procédure contradictoire qui se termine par un rapport d’audit écrit. Photo périodique et détaillée. Quand ? - L’auditeur interne fait un travail à temps plein. - Les interventions se déroulent selon une programmation établie, ou occasionnellement. En principe, pour une entité donnée, l’intervention est à périodicité relativement faible.

- Il analyse les écarts entre ce qui a été prévu et le présent pour maîtriser l’avenir. - Assuré par le responsable de l’unité et assisté par un professionnel qui est placé auprès du responsable. - Il démarre dès le niveau opérationnel le plus fin où sont fixés des objectifs de résultats. - Il va des indicateurs généraux aux paramètres particuliers. - Il s’intègre verticalement aux différents niveaux d’une chaîne de responsabilité. - Il sert donc au pilotage, non pas seulement à l’intérieur d’une unité, mais aussi entre unités.

- Il fonctionne avec des tableaux de bord qui doivent être intégrables pour pouvoir avoir un sens dans les différents niveaux de la chaîne de responsabilité. - Il planifie et suit les opérations et leurs résultats. Conçoit et met en place le système d’information. - Analyse le budget du service d’audit interne. - Il fonctionne par le dialogue de gestion entre les niveaux de responsabilité. - Il fonctionne par la mise en évidence des écarts sur objectifs, ou des risques d’écart. - Il analyse les causes de ces écarts et les mesures correctives possibles. - Cinéma continu et global. - Le contrôleur de gestion fait un travail d’analyse et d’interprétation des données à temps plein. - Le responsable de l’entité fait une revue périodique des données du contrôle de gestion, en fonction des données objet de reporting (mensuel, trimestriel ou annuel), avec en général, un temps fort sur les résultats annuels.

29

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2. Relation avec l’inspection générale La Circulaire du 1er Ministre de septembre 1993 a demandé, aux organismes publics, la création de départements d’audit interne au sein des entreprises à caractère industriel et commercial et la création d’inspections générales au sein des établissements à caractère administratif. Les objectifs de la fonction sont définis par le guide de l’inspection générale de l’ONU : « L’inspection est une activité de contrôle d’un service conduite sur une base ad hoc lorsqu’il existe des signes ou indications qu’un programme ou une activité est mal géré ou que les ressources ne sont pas utilisées de façon rationnelle. L’inspection en tant qu’investigation à caractère proactif a pour objet d’identifier les “zones/domaines vulnérables” où une activité à caractère frauduleux a des chances d’advenir en vue d’évaluer les risques encourus afin de les gérer et/ou si nécessaire de les neutraliser. ». Contrairement à l’audit interne, l’inspection est conduite sur une base ad hoc. Elle suppose des présomptions de dysfonctionnement et ses recommandations sont essentiellement de nature corrective. L’intervention de l’inspection touche les domaines technique, commercial, financier et se matérialise généralement sous la forme d’enquête. Celle-ci est orientée surtout vers les actions jugées nécessaires pour respecter la réglementation et la préservation des actifs ou l’utilisation abusive ou non réglementaire des moyens de production de l’entreprise et son patrimoine. Les domaines d’intervention de cette fonction sont qualifiées de : - Permanents : contrôles opérationnels comprenant des inspections des installations, de la qualité du service et du comportement du personnel ainsi que certains flux financiers ou de transactions commerciales. - Ponctuels : généralement menés sur instruction de la direction générale à la suite des lettres anonymes ou lors de la révélation d’un fait délictueux ou de fraude. Certains amalgames peuvent apparaître entre la fonction d’inspection et la fonction d’audit interne. Dans certaines entreprises, il existe des confusions entre ces deux fonctions. L’intervention de l’audit interne est moins sensible que celle de l’inspection. En effet cette dernière crée auprès des services audités, un certain traumatisme. Par contre l’approche préventive, facilite l’intervention de l’audit interne dans les services. Dans le secteur privé, le département de l’inspection et de l’audit est généralement rattaché au directeur général. Il reçoit ses lettres de mission du Conseil d’administration, qui est également le destinataire de ses rapports. Pour le secteur public les inspections générales peuvent être positionnées à un niveau supérieur, celui du ministre lui-même. Les corps d’inspection ont traditionnellement et statutairement des situations d’indépendance garanties parce que les carrières dépendent relativement peu du donneur d’ordre. C’est un domaine où l’administration semble avoir de l’avance par rapport à l’entreprise privée.

30

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

COMPARAISON ET DIVERGENCE AVEC L’INSPECTION Régularité

Mandat

Méthode Objectifs

Audit interne

Inspection

- Contrôles basés sur un échantillon aléatoire. - Contrôle le respect des règles et leur pertinence. Interprète et remet en cause les règles et directives. - Intervention sur mandat de la direction générale et selon un plan d’audit. - Assuré par un professionnel compétent, intègre et objectif. - Répond aux préoccupations du management soucieux de renforcer sa maîtrise. - Privilégie le conseil et donc la coopération avec les audités. - Identifie les causes et définit les actions qu’il y a lieu de mener.

- Contrôles exhaustifs. - Contrôle le respect des règles sans les interpréter, ni les remettre en cause.

- Ses recommandations nature préventive.

sont

de

- Intervention peut être spontanée et de son propre chef. - Assumée par des hommes d’expérience, rigoureux, ayant autorité et talent pour s’imposer. - Investigations approfondies. - Privilégie le contrôle et donc l’indépendance des contrôleurs.

- S’en tient aux faits et identifie les actions nécessaires pour les réparer. - Ses recommandations sont de nature corrective.

Evaluation - Considère que le chef de service - Détermine les responsabilités et est toujours responsable et donc critique les systèmes et non les hommes. - Evalue le fonctionnement des systèmes.

fait éventuellement sanctionner les responsables. - Evalue le comportement des hommes, parfois leurs compétences et qualités.

3. Relation avec le risk-management Le COSO II est un acronyme abrégé de « Committee Of Sponsoring Organizations of the Treadway Commission » organisation fondée aux Etats Unis, définit le management des risques comme « un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation ». Le COSO II est basé sur une vision orientée risques de l’entreprise (Enterprise Risk Management Framework) : processus exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à : -

Identifier les événements potentiels pouvant affecter l’organisation.

31

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» de l’organisation. Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.

Dans un premier temps, le responsable du risque ou risk-manager identifie et évalue la totalité des risques inhérents à l’activité de l’entreprise. Il fournit au final, une vision des risques majeurs de l’entreprise à la direction générale et au management. Le risk-manager conseille sur la meilleure façon de gérer les risques inhérents et les incidences liées à des décisions stratégiques. Il s’agit de réduire l’impact financier ou l’impact sur l’activité de tous les événements aléatoires qui pourraient survenir. Avec le COSOII apparaît un autre aspect couplé du risque-enjeu qui semble intéressant. Le risque n’est plus seulement la face négative de la réalisation d’un objectif, c’est aussi l’envers d’une opportunité. Par exemple on peut accepter un petit risque dans un espoir de gain important. L’identification des risques, également réalisée par l’audit interne, est l’une de ses attributions dans l’accomplissement normal de ses missions. Ce qui pourrait être considéré comme faisant double emploi. Mais la confrontation du résultat des deux démarches complémentaires peut être une source d’enrichissement et donner l’assurance de couvrir tous les risques significatifs. L’institution de ce processus se réfère aux normes définies par les modalités pratiques d’application de l’audit interne MPA 2100-4 : « Par processus de management des risques, on entend une démarche structurée, organisée, documentée et permanente. Lorsqu’une organisation n’a pas mis en place de processus de management des risques, l’auditeur interne doit attirer l’attention du management sur ce point et formuler des suggestions en vue de la mise en place d’un tel processus. Dans les organisations qui ne sont pas encore dotées de ce processus, les auditeurs internes peuvent, s’ils y sont invités, jouer un rôle proactif en participant à la mise en place initiale d’un processus de management des risques dans l’organisation. » L’auditeur interne, dans la majorité des cas, conduit sa propre évaluation des risques en parallèle des évaluations réalisées par le risk-manager. S’il n’agit pas de manière coordonnée, le manque de coordination peut conduire l’auditeur à ne pas couvrir tous les risques inhérents. Donc les liens de l’audit interne avec le risk-management sont de l’ordre des échanges sur l’efficacité du processus de gestion des risques. Le Risk-management comme les autres processus de l’entreprise, fait l’objet d’une surveillance et d’audits réguliers. L’audit interne, sur la base de sa connaissance et de son évaluation des activités de contrôle, apprécie le bon fonctionnement du dispositif de management des risques et en tient compte dans le cadre de sa démarche.

32

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

COMPARAISON ET DIVERGENCE AVEC LE RISK-MANAGER Auditeur interne

Risk-manager

Rattache- - Nommé par la direction générale. - Relève de la direction générale, dont il est - Rattaché à la direction générale. rattaché et supervisé par le conseil ment - Tenu aux confidentialité.

Mandat

Responsabilité

Activité et méthode

Objectifs

Evaluation

règles

de d’administration - La direction doit s’assurer que tous les éléments de management des risques sont en place - Intervention sur mandat de la - Selon la taille de l’entreprise peut être seul, direction générale et selon un peut s’appuyer sur une équipe limitée ou plan d’audit. organiser un réseau de correspondants au - Privilégie le conseil et donc la sein des différentes directions coopération avec les audités. - Capacité à être le conseil ou le partenaire - Assuré par un professionnel de la direction générale indépendant, compétent, intègre - Formé au management des risques, ayant et objectif. la capacité d’analyse, d’initiative et de résoudre les problèmes. - Evaluation du processus de - Reporting des risques majeurs de management des risques. l’entreprise à la direction générale. - Revue des contrôles, gestion et - Responsable en termes de directives, de suivi de leur fonctionnement et pilotage et de suivi des risques. formulation de recommandations - Communiquer et gérer la mise en place et en vue de les améliorer. le maintien du management des risques de l’organisation, conformément aux objectifs. - Valider le management des risques dans chaque unité opérationnelle et s’assurer que les risques significatifs sont connus. - Fixer avec la direction les limites supportables des risques applicables à l’ensemble de l’entreprise. - Identifie les causes et définit les - Développer un modèle standardisé actions qu’il y a lieu de mener. d’information du risque et des processus - Evalue le fonctionnement des automatisés et s’assurer qu’il est applicable systèmes. au sein de l’organisation - Contrôle la fiabilité des - Transmettre les connaissances et informations, l’adéquation des informations et plus généralement méthodes et la fonction de contribuer à un management des risques management des risques. efficace et aider à maintenir une culture du - Auditer les processus de gestion risque adéquate. des risques dans l’ensemble de - Dresse une cartographie des risques et l’organisation. établit une stratégie et un plan d’action de - Il fonctionne par des missions traitement des risques temporaires et ponctuelles. - Suivi de la mise en œuvre des actions - Evaluer et consolider le reporting décidées : vérification de leur rentabilité et des risques majeurs. mesure de l’efficacité des moyens de prévention, détection ou protection. - Elaborer des recommandations en - Prend en compte tous les risques en prenant en compte des risques fonction de l’appétence au risque et des critiques dans le but d’éviter la objectifs définis par la direction générale réapparition du problème. - Evaluer le coût des actions de maitrise à mettre en place. - Chargé de l’évaluation du suivi - Chargé du suivi du plan d’action avec les des recommandations réalisés par directeurs concernés. les audités.

33

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 3 : Les partenaires publics En matière d’audit des entreprises publiques, l’amélioration des systèmes de contrôle et d’audit passe par le renforcement du rôle des organes de contrôle que sont l’Inspection Générale des Finances et la Cour des Comptes. Le Maroc qui suit les recommandations internationales développe pour sa part le Programme des Nations Unies qui stipule que dans le secteur public, le contrôle à posteriori doit théoriquement se faire dans le cadre de la loi et des règlements, par les inspections générales des finances ou les inspecteurs généraux des ministères ainsi que par la Cour des Comptes. D’une autre part, le Maroc renforce autrement les systèmes de contrôle en se conformant aux normes prévues par les plans d’action proposés par l’Union Européenne, qui rentrent dans la perspective de l’accord d’association. Donc ces systèmes se sont développés par les meilleures pratiques : échange d’expériences et d’expertise en vue d’un rapprochement progressif avec les normes et méthodologies internationales IFACI, IIA, INTOSAI (Organisation Internationale des Institutions Supérieures de Contrôle des Finances Publiques) ainsi qu’avec les meilleures pratiques de l’Union Européenne en matière de contrôle et audit des recettes et dépenses publiques. Par ailleurs le rôle du Ministère des Finances sur les pratiques d'audit interne est caractérisé par l’institution de l’Inspection Générale des Financière.

1. Le contrôle financier La nouvelle réforme du contrôle financier de l’Etat sur les entreprises publiques est régie par la loi 69-00, entrée en vigueur en 2004. Elle rejoint les normes et standards internationaux et met l’accent, sur les recommandations visant notamment la mise en œuvre des instruments de gestion, au sein des sociétés d’Etat à participation directe et l’institution des comités d’audit au sein des établissements publics. Elle a pour objet: « - d'assurer le suivi régulier de la gestion des organismes soumis au contrôle financier ; - de veiller à la régularité de leurs opérations économiques et financières au regard des dispositions légales, réglementaires et statutaires qui leur sont applicables ; - d'apprécier la qualité de leur gestion, leurs performances économiques et financières ainsi que la conformité de leur gestion aux missions et aux objectifs qui leur sont assignés ; - d'œuvrer à l'amélioration de leurs systèmes d'information et de gestion ; - de centraliser et analyser les informations relatives au portefeuille de l'Etat et à ses performances économiques et financières. » Le contrôle financier qui compte parmi ses attributs - comme l’audit interne l’amélioration des systèmes d’information et de gestion, sera différencié selon la performance, la qualité d’organisation et de gestion de l’organisme public. Pour l’entreprise ayant un contrôle interne fiable et ne présentant pas de risque financier majeur, le contrôle sera modulé et orienté vers l’appréciation, à posteriori, des performances et des procédures.

34

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’objectif est d’accorder une plus grande souplesse à la gestion des entreprises et organismes publics ayant un caractère industriel et commercial. Ceci par l’adaptation du mode de contrôle qui sera modulé selon le type d'organisme, la qualité de son management, de son système d’information, de gestion, en distinguant le contrôle préalable, le contrôle d’accompagnement et le contrôle conventionnel. Parmi les obligations, un contrôle d’accompagnement est prévu, en substitution au contrôle préalable, pour les établissements publics justifiant un organigramme fixant les structures organisationnelles de gestion et d’audit interne de l’établissement, ainsi que leurs fonctions et attributions.

COMPARAISON ET DIVERGENCE AVEC LE CONTROLE FINANCIER Audit interne

Contrôle financier

- Salariés de l’entreprise. - Fonctionnaires de l’Etat : contrôleur Agents Nommés par la direction d’état et trésorier payeur. exerçant générale. Nommés par le ministre chargé des les Rattachés à la direction finances. contrôles générale. - Sont tenus aux confidentialité.

Méthode

Rapports

règles

de

- Contrôle exercé à posteriori. - Travail basé sur une démarche méthodique qui fait appel à un ensemble de savoirs et de techniques. - Rapport renfermant un certain nombre de propositions, de recommandations et d’informations pour permettre à la direction de mieux asseoir ses décisions.

- Rend compte au ministre chargé des finances. - Sont tenus aux règles du secret professionnel. - Contrôle exercé à priori ou à posteriori. - Travail d’inspection pour le contrôle à priori, qui soumet la majorité des actes de gestion à l’accord préalable. - Le contrôleur d’Etat établit un rapport annuel. Peut refuser les actes soumis à son approbation. La direction générale des entreprises publiques peut recourir dans ce cas au ministre des finances comme organe d’appel.

2. L’inspection générale des finances La réalisation du contrôle de la dépense publique, doit tenir compte de l’évolution des rôles des acteurs de la dépense publique et de l’articulation entre les contrôles internes, au niveau des services ordonnateurs et les contrôles externes, par les inspections générales des ministères et aussi du contrôle à posteriori exercé par l’inspection générale des finances –IGF- et la cour des comptes. L’inspection générale des finances est un corps supérieur d'inspection des finances publiques qui a été créé par le texte de loi du 14 avril 1960. Depuis, l’IGF a opté pour une nouvelle vision stratégique de son rôle et une rénovation de sa démarche de contrôle axée sur l’évaluation des risques, du degré de maîtrise de la gestion et de la capacité d’optimisation de la dépense publique, dans le sens d’une production de services collectifs priorisés, de meilleure qualité et au moindre coût.

35

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’IGF se démarque ainsi de son rôle traditionnel d’inspection orienté davantage vers la régularité et la conformité. L’IGF a mis en place des normes d’audit comptable et financier conformes aux standards internationaux du secteur privé, en tenant compte des normes d’audit de performance et un référentiel consacré à l’efficacité et la fiabilité du système d’information mis en place, à l’appréciation des risques inhérents au système et aux pratiques de gestion. En matière de contrôle, d’audit et d’évaluation, le rôle de l’IGF est nettement prépondérant : - L’IGF est au centre du dispositif d’audit interne de la dépense publique. Elle joue également un rôle dans le soutien, l’orientation et la coordination de missions d’audit avec les Inspections Générales des Ministères. - Le contrôle de l’IGF est un contrôle à posteriori sur la gestion comptable et financière des administrations publiques, des collectivités locales et des établissements et entreprises publics. Les conclusions des missions de l’IGF constituent un ensemble de rapports adressés au ministre des finances ou au ministre sollicitant l’intervention de l’IGF, seules autorités compétentes pour donner ou non suite aux recommandations contenues dans ces rapports.

COMPARAISON ET DIVERGENCE AVEC L’IGF Audit interne

Inspection générale des finances

Régularité - Contrôle le respect des règles et - Contrôle le respect des règles sans

Agents exerçant les contrôles Mandat

Méthode Objectifs

leur pertinence. Interprète et les interpréter, ni les remettre en remet en cause les règles et cause. directives. - Salariés de l’entreprise. - Fonctionnaires de l’Etat. - Nommés par la direction - Nommés par le ministère de générale. l'économie et des finances. - Rattachés à la direction générale. - Placée sous l'autorité directe du ministère de l'économie et des finances. - Intervention sur mandat de la - Le programme de vérification est direction générale et selon un établi par le ministre des finances plan d’audit. sur proposition de l’inspecteur - Peut déclencher des missions générale et sur la base des n’existant pas dans le plan demandes formulées par les d’audit. différents départements ministériels. - Ne dispose pas de pouvoir propre pour déclencher ses missions. - Identifie les causes et définit les - S’en tient aux faits et identifie les actions qu’il y a lieu de mener. actions nécessaires pour les réparer. - Elabore des recommandations - Son rapport est remis au ministre dont le but est d’éviter la des finances qui décide des suites à réapparition du problème. lui réserver.

36

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

3. La cour des comptes Les entreprises et organismes publics sont tous soumis au contrôle de la Cour des comptes, créée en 1979 et érigée en tant qu’institution constitutionnelle en 1996. Elle est régie par la loi n°62-99 formant code des juridictions financières qui a fixé explicitement ses attributions en matière de contrôle supérieur des finances publiques. Sa méthodologie de contrôle s’inspire des normes et pratiques internationales d’audit et recourt de manière permanente aux normes de l’INTOSAI et de l’Institut de l’Audit Interne. L’adoption de la loi n°62-99 entrée en vigueur en janvier 2003 oblige tous les départements de contrôle et d’audit à communiquer à la Cour des comptes ou à la Cour régionale des comptes, selon le cas, leurs rapports d’inspection (article 109 du Code des juridictions financières). Cette disposition permet ainsi à la Cour des comptes, en tant qu’institution supérieure de contrôle des finances publiques, d’avoir une vision claire sur les activités d’audit réalisées au terme de chaque année. Le code a prévu également un contrôle intégré, qui consiste à procéder au contrôle de la gestion ou de l’audit conjointement avec le jugement des comptes. Cette nouvelle approche accorde une place de choix à l’audit qui permet de mieux informer sur la gestion et la performance des services et organismes publics, ainsi que de formuler les recommandations qui sont de nature à impulser des réformes au niveau de l'appareil de l'Etat visant la transparence, l'efficacité et la rationalité. La Cour des Comptes recourt également aux travaux et rapports réalisés par d’autres corps d’inspection et d’audit. Elle prend en considération les outputs de toutes les missions effectuées dans les entreprises publiques, par les IGF, les auditeurs internes et les commissaires aux comptes.

37

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

COMPARAISON ET DIVERGENCE AVEC LA COUR DES COMPTES Audit interne

Cour des comptes

Compétence - Managériale, mise à la disposition - Juridictionnelle de droit commun

Régularité

Mandat

Méthode

Evaluation

Rapports

de la direction de l’entreprise pour l’aider à mieux répondre à ses préoccupations de management et renforcer sa maîtrise. - Contrôle le respect des règles - Travail basé sur une démarche méthodique qui fait appel à un ensemble de savoirs et de techniques. - Contrôle le respect des règles, la fiabilité des informations, l’adéquation des méthodes et la fonction de contrôle de gestion. - Intervention sur mandat de la direction générale. - Assuré par des professionnels compétents, intègres et objectifs. - Il porte une simple appréciation en se prononçant sur la sincérité et la régularité des comptes (aucune force d’obligation).

- Evalue le systèmes.

fonctionnement

- Destinés aux l’entreprise.

dirigeants

des

de

(jugement des comptes, gestion de fait, discipline budgétaire et financière) et extra juridictionnelle (contrôle de la gestion ou auditing) - Contrôle intégré, qui consiste à procéder au contrôle de la gestion ou de l’audit concomitamment avec le jugement des comptes.

- Elle rend compte au Roi de l’ensemble de ses activités, - Ses responsables sont nommés par le Roi. - Elle vérifie et juge les comptes et sanctionne les manquements aux règles (responsabilité civile et pénale pour les entités contrôlées), et rend des arrêts de décharge (quitus) sinon d’avance ou des débets. - Evalue la gestion des organismes afin d’en apprécier la qualité et de formuler, éventuellement, des suggestions sur les moyens susceptibles d’en améliorer les méthodes et d’en accroître l’efficacité et le rendement. - Destinés aux différentes autorités du pays (dont le rapport annuel, qui est présenté au Roi, publié au bulletin officiel et repris largement par le grand public)

38

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE III LES PREALABLES A LA CREATION DE LA CELLULE D’AUDIT INTERNE La croissance et la complexification de l’entreprise sont les deux raisons principalement avancées pour décider de la création d’un service d’audit interne. Mais des événements extérieurs jouent parfois un rôle de catalyseur dans la prise de décision, tels une évolution de la législation : la loi 69-00 pour les entreprises publiques au Maroc, loi de sécurité financière en France, loi Sarbanes-Oxley au Etats-Unis… La fonction d’audit interne qui n’est pas généralisée de façon systématique à toutes les composantes des secteurs publics au Maroc est relativement récente. Dans certains ministères, les inspections générales, par exemple, ont développé cette activité parallèlement à celle se rapportant à l’inspection pure. Le ministère de l’Equipement a institué une cellule d’audit interne, rattachée au secrétaire général qui prend en charge toutes les activités d’audit. Le département de l’Habitat a institué un comité permanent de l’audit dont le secrétariat est assuré par l’inspection générale. D’autres départements, tel celui de l’Agriculture, disposent de divisions similaires dénommées d’évaluation des programmes et projets. L’agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC) a récemment mis en place un département d’audit interne directement rattaché au directeur général. Ainsi, un grand nombre d’entreprises publiques a décidé la création d’une cellule d’audit interne à la suite des initiatives de 1993 des pouvoirs publics (Lettre Royale, circulaire du Premier Ministre, décision DPE 113/70/16), et en 2004 de l’entrée en vigueur de la loi n° 69-00 relative au contrôle financier de l’Etat sur les entreprises publiques et les autres organismes. Cette loi a constitué le vrai accélérateur de l’audit interne. Sur la conception même de l’audit interne, tout se fait de manière progressive, c’est-à-dire commencer par fiabiliser les procédures, le contrôle interne, puis progressivement, lorsque la fiabilité des systèmes est raisonnablement assurée, passer à un échelon supérieur, à des sujets qui touchent aux programmes et à la bonne gestion financière.

La conception de la fonction d’audit interne repose sur plusieurs étapes : Identification des attentes et objectifs de la mission. Etablissement du plan stratégique. Evaluation des risques et plan d’audit. Etablissement des budgets à moyen termes. Démarrage des travaux. Identification des compétences. Développement des performances techniques. Etablissement d’un axe de communication. Mesure des résultats

39

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 1 : Périmètre d’intervention de l’audit interne Au préalable à la création d’une cellule d’audit interne il est nécessaire que l’entreprise définisse les attentes des parties prenantes, le périmètre d’intervention de l’audit, le type de mission dans lequel l’audit sera engagé ainsi que la méthodologie à adopter.

1. Identification des attentes et objectifs de la mission La valeur que l’activité de l’auditeur doit créer est le résultat produit par l’entreprise pour répondre aux besoins et aux attentes des parties prenantes. L’étude des besoins et attentes des parties intéressées est préliminaire et essentielle à l’auditeur interne qui doit s’appuyer sur elle avant toute planification. Cette étude qui relève de la direction générale conduit chaque partie prenante à comparer sa propre perception des apports de la valeur de l’entreprise avec ses besoins et ses attentes. C’est pourquoi il est nécessaire de : - Identifier les besoins, les attentes et le niveau de satisfaction attendus de la part des parties prenantes. - Répondre aux besoins et attentes de façon juste et équitable. - Evaluer le niveau de satisfaction réellement perçu. - Apprécier le degré de la confiance des parties prenantes de l’organisation. Il appartient de fait à chaque organisation de bâtir, en fonction de ces éléments, le département d’audit interne le mieux à même de satisfaire ses attentes.

Parties prenantes

Attentes

Direction générale et comité d’audit

- Evaluation et reporting des déficiences en matière de contrôle interne et des risques clés opérationnels. - Recommandations sur l’amélioration des contrôles. Direction financière - Fiabilité de l’information financière. - Séparation des pouvoirs entre ordonnateur et comptable. - Garantir la sécurité des actifs. - Couverture des risques financiers. Les audités, compris - Efficacité et efficience des processus. les tiers partenaires - Appréciation de la performance. - Souplesse dans l’intervention. - Transparence dans les conclusions. - Réalisation régulière de contrôle de pertinence du bon fonctionnement. - Mieux remplir leurs responsabilités. Les organes de - Sécurisation juridique, conformité (lois et contrôle (Cour des règlementations). comptes, - Fiabilité de l’information financière commissaire aux - Garantir la sécurité des actifs. comptes, IGF, - Couverture des risques. contrôleur d’Etat, - Maintenir une correcte séparation des tâches et etc.) responsabilités.

40

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’activité de l’audit interne, dans sa définition, est une activité créatrice de valeur ajoutée qui apporte à la direction générale et au comité d’audit un éclairage sur les risques et les systèmes de contrôle interne (mission d’assurance) et à l’organisation une réelle contribution à la gouvernance d’entreprise (mission de conseil). Le véritable enjeu de l’auditeur interne s’inscrit dans la stratégie de l’entreprise, et donc de la direction générale, pour garantir la création et la protection de valeur et satisfaire les parties intéressées préalablement identifiées. La direction générale attend un diagnostic précis et des recommandations pragmatiques permettant de faire évoluer l’entreprise de manière tangible. Création de valeur : contribution à la valeur future, amélioration des performances opérationnelles et évaluation du futur processus de gestion des risques. L’auditeur interne vise ainsi à accroître les performances. Il cherche à ce que l’organisation obtienne dans le futur, des performances meilleures, plus qu’elle n’en a dans le présent ou qu’elle n’en a eu dans le passé. Protection de valeur : évaluation des risques actuels de l’entité. La mission est reprise dans la Charte d’audit interne qui doit être une pratique prédominante dans toute entreprise. Elle formalise le rôle et le fonctionnement de l’audit interne et définit son périmètre d’audit. Cette charte est validée par les plus hautes instances de l’entreprise et sa publication donne lieu à une communication plus large sur la création de la cellule d’audit interne. La charte d’audit de l’entreprise publique définit clairement sa mission et son champ d’intervention, son autorité, son rôle, ses responsabilités et ses relations avec la direction générale et avec les autres corps de contrôle.

L’enquête « l’audit interne en France et dans le monde » réalisée par l’IIA en novembre 2006 se distingue par le nombre de pays concernés (91) et le nombre de répondants (9 366 questionnaires d’auditeurs internes et de responsables d’audit interne exploités). L’enquête menée indique que la charte d’audit est un document assez répandu dans les services d’audit interne, qu’il existe dans 82% des entreprises en France. PRINCIPAUX DOCUMENTS EXISTANT DANS LES SERVICES D’AUDIT INTERNE

Document Plan d’audit interne Charte d’audit interne Lettre de mission de l’audit interne Manuel d’audit

IIA

France

81% 72% 60% 63%

90% 82% 79% 57%

41

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Création de valeur

Implications stratégiques Contribution à la valeur future Amélioration des processus

Réduction de coûts

Amélioration des performances opérationnelles Développemen t d’applications

Décision d’investissement

Nouveaux risques

Autres diligences

Evaluation du futur processus de gestion des risques Lois et règlements

Processus opérationnels

Principaux contrats

Processus comptables

Gouvernance

Protection des actifs

Evaluation des risques actuels de l’entité

Mission d’audit Interne- Source : PricewaterhouseCoopers 2008

2. Etablissement du plan stratégique Le plan de développement stratégique propose dans le temps une méthodologie de travail à adopter et un calendrier de mise en place de la cellule et définit enfin le plan de communication destiné aux parties prenantes. L’enquête mondiale menée par l’IIA en 2006 précise qu’un pourcentage de 66% des services d’audit interne ont établi un plan stratégique à long terme contre 81% indiquée par les responsables d’audit interne en France. DOCUMENTS RELATIFS A LA GOUVERNANCE D’ENTREPRISE

Type de documents

Effectif total (IIA)

Effectif total (France)

Responsable Audit Interne (France)

Plan stratégique à long terme

66%

68%

81%

Code d’éthique/ code de conduite

73%

68%

75%

Charte du Comité d’Audit Code de gouvernement d’entreprise

57%

54%

70%

53%

37%

55%

42

Protection de valeur

Gains d’efficacité

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.1. Les objectifs attendus de l’audit interne dans le temps L’objectif consiste à déterminer les types de missions et leur nombre qui seront conduites par la fonction audit interne. Généralement l’audit interne se consacre plus à des missions d’audit du contrôle interne (d’assurance) que celle du conseil. Missions d’assurance La grande proportion des missions réalisées par l’audit interne sont des missions tournées vers l’assurance. Ces missions concernent, par ordre de priorité et d’importance : - L’évaluation du contrôle interne sur des processus opérationnels. - L’évaluation du contrôle interne sur des processus financiers et comptables. - L’audit de conformité aux lois et réglementations. - L’évaluation des processus de management des risques. - L’audit et fraude… Missions de conseil En matière d’activité de conseil, l’audit interne réalise des missions classiques tournées principalement sur le conseil en organisation, sur la participation à des projets à durée déterminée ou à des comités permanents et sur les actions de formation au contrôle interne.

2.2. L’organisation de la fonction d’audit interne dans le temps -

-

-

-

Sensibiliser les managers et les gestionnaires responsables à l’audit, les former aux règles du contrôle interne et en particulier aux systèmes de maîtrise des risques. Recenser et évaluer les besoins en auditeurs, identifier les profils pour effectuer les missions définies dans le temps imparti, avec la fréquence souhaitée. Convenir avec les auditeurs les objectifs de progression personnelle : maitrise de la méthodologie, tâches formatrices, contribution aux objectifs de service. Planifier les besoins dans un calendrier.

2.3. Le plan de communication aux parties prenantes Le plan vise l’élaboration d’un plan de communication rigoureux, mis en œuvre par le responsable d’audit, dont l'objectif est de relayer la stratégie de l’entreprise en matière d’audit interne, définir la fonction pour susciter l'adhésion du personnel, créer du lien et développer une culture commune d’audit. L'organisation a besoin de rendre régulièrement compte à ses parties prenantes de ses politiques de gestion des risques, leur efficacité du point de vue de ses objectifs et améliore du même coup la performance de la fonction, il la fait mieux comprendre et mieux connaître.

43

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 : Le plan d’audit et l’organisation des moyens La préparation du plan d’audit résulte de la charte d’audit interne, de l’analyse des risques, des attentes du management et du niveau de maturité en matière de contrôle interne. Elle prend en compte la méthodologie d’audit pour la durée des missions et les compétences du service d’audit. Le plan d’audit est construit en s’appuyant sur les demandes spécifiques de la direction et du comité d’audit, sur l’évolution particulière de l'organisation, sur les audits précédents, sur leur fréquence. Ce plan comprend les thèmes et objectifs des missions, leur durée, les dates d’intervention, les compétences et ressources. La tendance actuelle est au plan pluriannuel qui n’est pas élaboré en une seule fois, une mise à jour est nécessaire pour successivement le compléter et l’enrichir. Le plan pluriannuel couvre tous les services susceptibles d’être audités. Ce plan repose aussi sur l’analyse de risque qui va faire varier la fréquence des missions d’audit interne : par exemple, tous les ans pour les services les plus exposés, tous les deux ans pour d’autres et tous les trois ans pour les risques acceptés.

1. Evaluation des risques et plan d’audit L’élaboration et l’évaluation de la cartographie des risques protège le patrimoine de l’organisation et crée de la valeur pour celle-ci et ses parties prenantes. Les risques sont les éléments clés et les fondements du plan d’audit. L’audit interne dispose ainsi d’un instrument de mesure, d’une technique permettant de porter un jugement sur l’importance du risque dans la zone auditée L’évaluation permet à l’audit interne d’identifier, mesurer les profils de risques existant au sein de l’organisation, et de les hiérarchiser, compte tenu de chaque entité et des différentes activités. Elle permet donc d’élaborer le plan d’audit en fonction des zones de risques identifiées et de les inscrire en priorité dans le champ de révision en fonction du degré plus ou moins élevé du risque déterminé. L’autre objectif de la cartographie des risques est de déterminer la fréquence des interventions.

2. Etablissement des budgets à moyen terme 2.1. Construction à partir des besoins Le premier exercice budgétaire est relativement délicat dans la mesure où il est difficile de le prévoir de façon précise. Le plan d’audit et la cartographie des risques permettent de donner cette vision à court et moyen terme pour établir un budget annuel ou sur deux ou trois ans, avec un plan d’action associé. Il est élaboré sur la base des besoins exprimés par les responsables des différents services et sur l’analyse des attentes des parties prenantes. Une fois la liste des missions établie, les chefs de service sont à nouveau consultés avant de fixer les

44

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

budgets appropriés soumis à l’approbation de la direction générale, au comité d’audit ou à la direction à laquelle est rattaché le service d’audit interne.

2.2. Prise en compte de tous les facteurs Le budget d’un service d’audit interne comporte au préalable un nombre limité de lignes de dépenses, mais doit prendre en compte tous les facteurs contenus dans le plan d’audit pour son établissement. Il prend en compte principalement : - Les effectifs et le type de profils recherchés. - Les frais de formations et de perfectionnement. - Les frais d’assistance et de conseil, s’il est nécessaire de faire appel à des cabinets ou à l’intervention ponctuelle de personnes spécialistes. - Les coûts relatifs à la logistique et à l’équipement utilisé. Le budget nécessaire au fonctionnement du département d’audit interne, à périmètre constant, est généralement stable et se détermine à partir du plan d’audit pour pouvoir justifier les moyens réellement engagés. Après la première année de mise en place de la fonction, l’audit antérieur donnera des informations importantes qui vont aider à l’appréciation réelle de budgets sur plusieurs exercices. Ces budgets sont définis en instaurant un dialogue de gestion honnête et équitable avec les gestionnaires, en les rendant aussi autonomes, libres et responsables que possible. Ne pas oublier que les budgets ont une incidence sur la capacité de l’auditeur de s’acquitter de ses fonctions.

2.3. Procéder à un arbitrage La programmation des missions par rapport à l’optimisation des moyens et aux restrictions budgétaires, les écarts et inadéquations flagrantes entre les objectifs et les moyens pour les réaliser, ainsi que les conséquences et les risques encourus de ces écarts peuvent susciter la préparation des arbitrages. Ces réunions d’arbitrage au niveau des missions retenues portent sur les éléments de performance des budgets alloués à chaque poste. Le processus d’arbitrage permet d’intégrer les déclinaisons formulées, de fixer les allocations définitives des ressources et de les communiquer aux acteurs concernés.

3. Démarrage des travaux Une fois le plan d’audit élaboré, le responsable d’audit interne doit assurer rapidement le démarrage des travaux en établissant un planning qui traduit le plan d’audit en emploi du temps pour chaque auditeur. Dans un premier temps faut-il attendre de mettre tout en place avant de lancer des missions ou les lancer sans avoir formellement défini la méthodologie. Cette approche peut comporter un risque, car la première mission donne le ton sur le mode de fonctionnement de l’audit et instaure en partie la crédibilité du service, qui doit démontrer son véritable savoir-faire, une approche méthodique et une démarche structurée. Ou plutôt prendre le temps de bien définir la

45

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

méthodologie, recruter et former tous les profils techniques nécessaires, sans pouvoir démontrer la valeur ajoutée du département par la réalisation de missions aboutissant à des recommandations pragmatiques. Cette dernière approche est souvent préconisée. Une période de quelques mois sera nécessaire pour définir la méthodologie d’audit avant de lancer des missions. Les dates et les services à auditer seraient clairement prévus pour permettre d’organiser les audits en fonction d’une méthodologie structurée. Il faut garder en mémoire que l’audit interne s’appuie toujours sur les missions qu’il a réalisé auparavant. La crédibilité d’un service d’audit interne et sa justification reposent essentiellement sur le degré de réalisation des missions et sur la pertinence des résultats. Cependant l’auditeur interne, en privilégiant des missions ne présentant pas de difficulté de réalisations, n’entamera pas sa crédibilité en lançant des travaux de terrain le plus tôt possible.

4. Identification des compétences En matière de conduite des missions, les auditeurs internes doivent faire preuve d’excellence, aller à l’essentiel, ne pas se contenter de pointer un questionnaire de contrôle interne, mais prendre du recul par rapport à ce qu’ils constatent, afin d’en tirer des enseignements utiles, sources de valeur ajoutée pour toute l’organisation. Le responsable de l’audit interne doit bien identifier les profils nécessaires adaptés au bon fonctionnement du département sur la base de compétences avérées, des critères manifestes de sélection et d’auditeurs professionnels qui connaissent un ou plusieurs métiers de l’organisation, ainsi que les techniques, méthodologies, outils de l’audit interne et du contrôle interne. Ces auditeurs devraient être en mesure d’affirmer leur rôle et leurs responsabilités dans la gouvernance et démontrer par les missions qu’ils effectuent, qu’ils apportent dans leur domaine une véritable valeur ajoutée à l’organisation.

5. Développement des performances techniques Le service doit réunir les connaissances, les aptitudes et les compétences techniques nécessaires à la réalisation de ses objectifs. Il est important à cet effet que les auditeurs soient suffisamment dotés d’une méthodologie et des moyens qui permettent d’atteindre les objectifs assignés. Une formation spécifique aux méthodes, techniques et outils recommandés par le service d’audit interne devra être systématiquement organisée. Parmi les références dont doit bénéficier le service d’audit, les compétences spécialisées « à dominante scientifique et/ou technologique» sont indispensables, dans l’ensemble du domaine précisé, pour qualifier une mission. Sur le plan pratique, l’assimilation des compétences repose sur une méthodologie qui s’appuie sur: - Des standards de travail. - La gestion du savoir pour capitaliser sur les informations issues des audits.

46

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

Un programme de formation. Un programme d’assurance et d’amélioration qualité. L’évaluation des performances des auditeurs.

Les auditeurs internes doivent disposer de tous les outils nécessaires pour offrir des résultats fiables. Ces outils s’appliquent tout au long des travaux et principalement dans : - La gestion du planning. - Le traitement massif de données et outils informatiques. - La documentation, revue des travaux, et suivi des recommandations. - Le partage des connaissances et capitalisation du savoir / Comparaison aux meilleures pratiques. A ce titre, il est nécessaire de véhiculer l'ensemble des techniques permettant, d'identifier, d'analyser et de partager les connaissances entre les auditeurs, en particulier les savoirs créés par l'entreprise elle-même. Le service d’audit interne doit veiller à la structuration, la capitalisation et au partage des connaissances pour renforcer les compétences techniques. Il faut aussi munir les auditeurs des supports propres à chaque mission et de documents adaptés : guide d’audit du service, les documents et procédures de fonctionnement du service…

47

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 3 :

La communication et les résultats de l’audit interne

1. Etablissement d’un axe de communication Il appartient au service de l’audit interne de développer les compétences de son équipe, comme il a l’obligation d’établir un plan et une stratégie de communication destinés à toute l’organisation.

1.1. Communication de la direction pour le lancement de la fonction Au moment où la direction prend la décision de mettre en place la fonction d’audit interne, elle doit communiquer cette décision et sensibiliser l’ensemble de son personnel sur le rôle, la valeur ajoutée et la nécessité que cette fonction apporte à l’organisation. La charte de l'audit interne peut représenter le document central de cette information, parce qu’elle définit la mission, les pouvoirs et les responsabilités de cette nouvelle activité.

1.2. Communication de l’audit interne vers la direction générale La fonction d’audit interne a pour obligation de rendre compte aux organes délibérants de tous les actes et actions qu’elle entreprend et notamment des missions et des dysfonctionnements relatifs au dispositif de contrôle interne appliqué à un processus donné. Cette fonction applique une méthodologie pour aboutir à des rapports qui regroupent des conclusions et des recommandations qui permettent de construire positivement. L’indispensable confiance qui doit exister entre la direction générale et l’audit interne implique l’absence d’autocensure dans la rédaction des rapports d’audit dont une note de synthèse est toujours communiquée à la direction. L’auditeur interne devra être totalement transparent vis-à-vis de la direction générale, du comité d’audit et des audités.

1.3. Communication de l’audit interne vers les audités La relation entre les auditeurs et les audités, doit se caractériser par une confiance mutuelle pour être créatrice de valeur ajoutée. Elle s’inscrit dans un esprit d’échange, de consensus et ne relève pas d’un quelconque rapport de force. Les rapports des missions d’audit, à l’état de projet, sont transmis à la hiérarchie des audités qui prend connaissance de son contenu. Les réunions de validation auxquelles participent auditeurs et audités, permettent un accord sur le contenu des constats et des recommandations avant leur communication finale. Cette communication satisfait à un des principes essentiels de l’audit

48

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

interne qui veut que tout gestionnaire audité doit pouvoir s’informer et recueillir les conclusions de l’intervention.

2. Mesure des résultats Pour chaque mission, l’auditeur interne précise son champ, son objet, formalise complètement son programme de travail, fixe, suit les étapes de réalisation et rend compte de ses constatations dans un rapport, de façon exacte, objective, claire, concise, et constructive. Les instruments de mesure des résultats sont des indicateurs essentiels quantitatifs et qualitatifs qui reflètent les objectifs mesurables donnés à la fonction : • Degré de réalisation du plan d’audit • Recommandations suivies • Satisfaction des audités • Délais d’émission des rapports

2.1. Degré de réalisation du plan d’audit L’exécution et la performance du plan d’audit qui programme toutes les missions dans le temps et définit les moyens et ressources assignés doivent être mesurées pour s’assurer de la bonne exécution du plan. La mesure des résultats du plan permet d’identifier les missions reportées, celles réalisées et celles qui ont été engagées en dehors du plan. L’analyse de ces écarts permet de mettre en évidence la qualité du plan. Si celui-ci a été bien conçu, il ne devrait être modifié que de façon marginale. Il faut également s’assurer que les décisions prises et les actions mises en œuvre dans le plan ont été relevées lors des missions d’audit interne déjà effectuées, si celles-ci ont eu lieu. La mesure de réalisation du plan d’audit permet d’indiquer d’autres résultats, comme le nombre de recommandations avec leur degré de priorité ou leur impact, le nombre de plans d’actions mis en œuvre, le respect des délais de mise en œuvre … Elle identifie les difficultés qui ont pu avoir une influence sur le plan : retards, blocages, surcroit de travail sur un dossier, sous estimation du travail à effectuer…

2.2. Suivi des recommandations L’acceptation des recommandations de l’audit interne et la mise en œuvre des plans d’actions pour remédier aux dysfonctionnements relevés est la finalité de toute mission d’audit. L’audit interne n’assume pas la responsabilité de la mise en œuvre des recommandations qu’il émet dans les délais validés. Cette responsabilité incombe aux audités. Néanmoins, et conformément aux normes pour la pratique professionnelle de l’audit interne, l’auditeur interne peut jouer un rôle de consultant dans ce domaine, si nécessaire. Lorsque des déficiences de contrôle sont révélées, le service d’audit a cependant les attributs de lancer de véritables missions de suivi qui portent sur les déficiences identifiées précédemment.

49

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Si la vocation de l’audit interne est d’impulser des changements, le suivi met en relief le taux de mise en œuvre des recommandations déclarées (reporting) ou vérifiées, à l’issue de la mission sous un délai de 3 mois.

2.3. Satisfaction des audités L’auditeur interne doit être le partenaire parfait de l’audité et le rendre partie prenante d’un audit de qualité: adopter des attitudes pour faire partager sa vision auprès des audités et atteindre ainsi ses objectifs, créant une valeur ajoutée par ses approches, ses conseils pratiques et par son degré de maîtrise des opérations. Ses performances et les attitudes conciliantes face aux préjugés de toutes sortes restent des facteurs déterminants dans la satisfaction des audités et dans la capacité de l’auditeur à se faire apprécier. Mais c’est la réussite totale de la fonction qui suscite l’adhésion de l’ensemble du personnel aux objectifs de l’audit interne.

2.4. Indicateurs de mesure Il existe plusieurs indicateurs de mesure de la valeur ajoutée apportée par l’audit interne. Ils s’inscrivent dans une démarche qualité d’amélioration du processus d’audit et visent à mesurer l’apport global de la mission d’audit. Les critères de mesure sont dans l’ordre les taux de mise en œuvre des recommandations, de réalisation du plan d’audit, d’acceptation par les audités des recommandations émises et le délai moyen de sortie du rapport. D’autres critères méritent d’être signalés : - Le taux de mise en œuvre des actions correctives. - Le support de la direction générale. - Tableau de bord prospectif. - Questionnaire de satisfaction annuelle. - Enquête de satisfaction individuelle. - Ratios de rendement, d’efficacité et de coût…

2.5. Evaluation des performances Afin d’intéresser les auditeurs internes et les faire adhérer aux évolutions à entreprendre pour améliorer et motiver leurs méthodes de travail, le développement des outils de mesure des performances appropriés est nécessaire, comme par exemple : - Prévoir et planifier les promotions d’auditeurs junior en auditeurs senior et éventuellement chef de mission, c’est être en mesure d’évaluer la performance de chacun. - Evaluer la qualité et l’efficacité des techniques et des moyens utilisés par l’auditeur pour proposer d’éventuelles améliorations. - Evaluer le comportement et l’image des auditeurs et les réactions que cela suscite pour mettre en évidence des demandes de modifications et non des jugements de valeur blessants. Ces méthodes d’évaluation peuvent se faire, soit par le cumul d’évaluation propre à chaque mission, soit par une évaluation annuelle réalisée en fonction des objectifs du plan d’audit.

50

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Pour mesurer la performance du service d’audit interne lui même, il faut procéder aux analyses des principaux indicateurs de performance. Ces indicateurs de mesures ont fait l’objet d’une enquête très élaborée de l’IFACI. L’enquête réalisée en juin 2005 a porté sur la pratique de l’audit interne en France, renouvelant ainsi l’enquête menée en 2002. 508 responsables de services d’audit interne ont été invités à répondre au questionnaire qui abordait les sujets d’actualité de la profession et toutes les préoccupations des auditeurs internes. 188 y ont répondu, ce qui donne un taux de réponse très satisfaisant de 37% et assure une bonne crédibilité aux conclusions tirées. -

-

-

-

Le taux de mise en œuvre des recommandations : « recommandations réalisées / recommandations acceptées » permet de mesurer la qualité de mise en œuvre des recommandations par les audités. Ce critère est jugé pertinent pour effectuer cette mesure pour 84 % des répondants. Le taux d’acceptation des recommandations : « recommandations acceptées / total des recommandations » permet de mesurer l’efficacité de l’audit interne et l’appréciation des recommandations par les audités. Ce critère est jugé pertinent pour 64 %. Le taux de réalisation du plan d’audit : « nombre de missions réalisées/ nombre de missions programmées » permet de mesurer le rendement et le taux de couverture des missions inscrites dans le programme annuel d’intervention. Une explication doit être donnée concernant les missions non réalisées. Ce critère est jugé pertinent pour 75 %. Le délai moyen d'émission des rapports et de tenue des réunions, permet de mesurer la rapidité avec laquelle les différents documents ont été communiqués. Ce critère est jugé pertinent pour 48%.

51

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

DEUXIEME PARTIE : METHODOLOGIE DE CREATION DE LA FONCTION & MISE EN PLACE DES OUTILS DE L’AUDIT INTERNE

52

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE I L’ORGANISATION D’UN SERVICE D’AUDIT INTERNE La position de l’audit interne dans l’organisation doit lui permettre un large champ d’investigation, une certaine liberté d’action et d’opinion. C’est la raison pour laquelle son rattachement hiérarchique à la direction générale et fonctionnel à un comité de pilotage va lui permettre de disposer de la latitude et des caractéristiques énoncées par les normes qualifiant l’audit interne.

SECTION 1 : Positionnement de l’audit interne Par l’importance de sa fonction dans la réalisation des différents objectifs de l’organisation, l’audit interne est généralement situé à un niveau élevé de la hiérarchie. La fonction contrôle de l’audit interne ne peut se concevoir sans indépendance vis-à-vis de l’entité contrôlée. De même les recommandations de l’audit interne ne peuvent pas être pertinentes si elles n’émanent pas d’un organe hiérarchiquement élevé. Les normes internationales de l’IIA -notamment la norme 1100- qui régit le positionnement de la fonction est impératif : « L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité ». La norme 1110 précise: « Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités». Les normes professionnelles sont prudentes en matière de rattachement puisqu’elles ne précisent pas, l’organe auquel la fonction audit interne doit être rattachée. En revanche, les modalités pratiques d’application de ces normes de l’IIA recommandent un rattachement de la fonction au comité d’audit. Cependant l’IFACI, par exemple, considère que seul un rattachement hiérarchique à la direction générale, doublé d’un rattachement fonctionnel au comité d’audit, peut donner à l’audit interne efficacité et indépendance, tout en lui facilitant un champ d’investigation assez étendu. Le double rattachement à la Direction générale et au Comité d’audit réduit les risques d’interférence implicites ou explicites sur le choix des missions ou la formulation des recommandations et confère aux auditeurs internes une liberté importante, voire totale pour la réalisation de leurs missions, même si pour 19% des répondants (35,7% pour le secteur public) les missions sont toujours décidées par la Direction générale (IFACI enquête 2005). Dans le secteur public, Il existe une grande diversité d’organismes dont le degré de complexité varie, mais il n’existe pas de modèle de rattachement unique qui puisse convenir à tous ces organismes. Les liens hiérarchiques au sein de l’entreprise publique ont une réelle incidence sur l’indépendance de l’auditeur et sur l’étendue de son travail. Les auditeurs internes ne peuvent se situer n’importe où au sein d’un organisme quelque soit sa structure, pour préserver son indépendance. Sa position ne doit pas entraver la capacité des auditeurs

53

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

d’exécuter leur travail et de rendre compte des résultats obtenus de façon objective. Si la cellule est généralement rattachée à la direction générale et au comité d’audit… on la trouve intégrée aussi à des directions fonctionnelles, à la direction administrative et financière, à la direction contrôle de gestion ou à l’inspection générale et au secrétariat général.

1. Le rattachement hiérarchique de l’audit interne Il est difficile d’admettre qu’un auditeur, nommé et révocable par le conseil d’administration, puisse être quand même indépendant. L’auditeur doit être en position de faire remarquer à un directeur, même à un ministre, que leur système est défectueux et pouvoir leur recommander des solutions qu’ils devraient accepter. En réalité, pour atteindre cette indépendance, il convient d’insister en premier sur la confiance qui est placée en l’auditeur et méritée par ses compétences, et en deuxième lieu sur un statut élevé, suffisamment prestigieux à tous les niveaux : rémunération, hiérarchique, formation, carrière… Cependant il existe quelque inconvénient quant au rattachement. Du point de vue opérationnel, si la direction générale dispose de peu de temps à consacrer à l’audit, le responsable de l’audit interne doit être suffisamment autonome et expérimenté pour gérer le service et ne faire remonter que les points critiques à la direction générale. Quant au rattachement à une direction financière, il peut créer de réels problèmes. Comment traiter une anomalie comptable ou financière sérieuse due à une insuffisance de contrôle de cette direction. En plus, ce rattachement peut limiter l’audit à une revue des processus financiers et lui ôter la légitimité nécessaire pour intervenir sur d’autres problématiques auprès des autres directions : organisation commerciale, stratégie informatique,… Les autres directions accepteraient assez mal d’être contrôlées par une direction de même niveau hiérarchique. En cas de rivalités ou de conflits, l’accusation d’usage de l’audit interne à des fins partisanes est alors facile. Par ailleurs, le rattachement à une direction opérationnelle rendrait l’audit interne dépendant de celle-ci, et le placerait en position délicate pour la juger. Voici pourquoi le rattachement au plus haut niveau et l’autorité qui en découle ne peuvent que faciliter la réalisation de tous les objectifs de l’audit interne.

54

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Rattachement hiérarchique de l'audit interne (Enquête IFACI : France 2005 et 2009)

Organe de rattachement hiérarchique

Tous les secteurs (y compris le secteur public) 2005

Tous les secteurs (y compris le secteur public) 2009

69,30% 14,70% 7,40% 4,30%

72,00% 16,00% 2,00%

3,70%

11,00%

Direction générale Direction financière Président du Conseil Comité d'audit Direction centrale de l'audit interne

2. Le rattachement fonctionnel de l’audit interne La création d’un comité d’audit, organe de contrôle et de surveillance, qui comprend des membres du conseil d’administration, va dans le sens d’une autorité accrue. Le double rattachement hiérarchique à la direction générale et fonctionnel au comité d’audit confère aux auditeurs internes l’indépendance nécessaire et réduit les risques d’interférence implicites ou explicites sur le choix des missions et la formulation des recommandations. Au Maroc, la loi n° 69-00 habilite le comité d'audit à apprécier la régularité des opérations d’audit, la qualité de l'organisation, la fiabilité et la bonne application du système d'information ainsi que les performances de l'entreprise. Il est une émanation du conseil d’administration, composé du contrôleur d'Etat et de deux à quatre membres, n’ayant aucune responsabilité de gestion au sein de l’organisme. Malgré l’importance et l’utilité d’un comité d’audit, une certaine réticence quant à sa mise en place persiste. Ceci est dû généralement à une mauvaise compréhension de la mission de cette structure, souvent perçue comme une défiance vis-à-vis des dirigeants des organisations ou même une limitation de leurs attributions.

Rattachement fonctionnel de l'audit interne (Enquête IFACI : France 2005)

Organe de rattachement fonctionnel Comité d'audit Direction centrale de l'audit interne Direction générale Direction financière

Tous les secteurs (y compris le secteur public) 2005 38,40% 33,30% 13,30% 13,30%

55

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

RECOMMANDATIONS
Aucun auditeur, pris individuellement, ne doit avoir de conflit d’intérêt qui pourrait nuire à son impartialité. L’audit interne est indépendant lorsque les auditeurs sont libres d’exécuter leur travail, sans la moindre ingérence, restriction ou pression. Il y a ingérence lorsque l’entreprise limite l’accès aux documents, contrôle le budget ou la dotation en personnel des missions, ou a le pouvoir d’infirmer ou de modifier les rapports des auditeurs.
Les organes délibérants doivent établir des dispositifs pour garantir aux auditeurs internes de rendre compte de tout problème significatif, aux autorités compétentes. La protection de l’indépendance des auditeurs est d’autant plus importante, lorsque l’audit interne est rattaché à des personnes qui peuvent être à l’origine de problèmes significatifs.
Le statut du responsable d’audit doit être suffisamment élevé pour lui permettre des relations d’égal à égal avec les responsables des différentes unités opérationnelles ou fonctionnelles. Il doit être habilité à rapporter directement, de sa propre initiative, à la direction générale et aux membres du comité d’audit.

56

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 : Dimensionnement de l’audit interne Il appartient à chaque organisation de bâtir, en fonction de la mission de l’audit interne, son mode d’organisation, les moyens mis en œuvre, la structuration du département d’audit interne la mieux adaptée pour satisfaire ses attentes.

1. L’organisation du service d’audit interne L’organisation dépend évidemment de la taille souhaitée, mais surtout des objectifs et du périmètre d’intervention du service.

1.1. La structure de l’audit interne La structure du service d’audit interne dépend de la dimension de l’entreprise. Ainsi, dans un service de taille moyenne, la configuration adoptée est celle d’un service centralisé. Si la taille est grande le service d’audit interne est décentralisé. La structure mixte (moitié centralisée et moitié décentralisée) est adaptée aux différentes tailles des organismes. Compte tenu du caractère indépendant de la structure d’audit interne, le modèle prédominant est celui d’une équipe directement rattachée à la direction de l’audit interne, qu’elle soit centralisée ou décentralisée.

-

Service d’audit centralisé :

Une seule unité pour toutes les institutions auditables. Le service d’audit comporte plusieurs auditeurs itinérants chargés d’un certain nombre d’institutions. Il permet un fonctionnement intégré et plus harmonieux de l’équipe d’audit. Il facilite les progrès méthodologiques, entretient des liens entre l’ensemble des auditeurs et les enrichit par des échanges d’expérience plus divers et variés. C’est une conception polyvalente où les tâches ne sont pas prédéterminées et le chef service ne dispose pas d’un effectif précis et permanent. Compte tenu de chaque mission, l’équipe est composée en fonction des disponibilités et des capacités de chacun. A terme elle peut ne pas favoriser l’extension du champ d’application de l’audit, mais rend plus aisée la gestion interne du personnel du service. Cette organisation a l’avantage de regrouper des équipes au niveau du service central, tout en maintenant des affectations régionales aux missions, par zone géographique. Elle permet ainsi de réduire relativement les coûts. Dans cette organisation, l’effectif peut se caractériser par des profils spécialisés par domaine et dans chaque équipe. Cette formule a plusieurs avantages : - Elle permet de profiter du redéploiement du personnel de l’organisation. Les équipes peuvent être renforcées par des spécialistes qui ont déjà travaillé dans les domaines à auditer - Le travail est effectué par des spécialistes et donc une meilleure efficacité. Chaque mission regroupe les auditeurs avec une formation approfondie qui exercent leurs activités dans un secteur spécifique. On distingue les auditeurs

57

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

scientifiques et techniques, les auditeurs comptables et financiers ou encore les auditeurs en systèmes d’information. L’intérêt d’une telle structure est de faciliter l’intégration de spécialistes au sein de l’audit interne, lorsque l’importance de l’entreprise le justifie. Cette spécialisation, à la différence des profils polyvalents, exige des échanges de compétences d’une mission à l’autre, d’où une gestion plus complexe et plus délicate du personnel et du plan de travail.

Direction Générale Direction de l’Audit Interne

Autres fonctions

Equipe chargée du processus X

-

Equipe chargée du processus Y

Equipe chargée du processus Z

Service d’audit décentralisé :

Il existe des services d’audit interne dans chaque institution (entité) où des auditeurs permanents (un ou plusieurs) sont mis durablement dans les services les plus importants avec un responsable à la tête de chaque mission.

Service d’Audit Interne

Chefs de missions

Auditeurs seniors Auditeurs juniors

Une telle organisation, d’un point de vue géographique, est difficilement concevable dans un service de taille restreinte. Les auditeurs seraient alors amenés à intervenir toujours dans la même entité et sur les mêmes problématiques, perdant le regard neuf qu’un auditeur se doit de porter sur l’activité qu’il évalue.

58

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Cette organisation consiste à avoir pour chaque ensemble ou pour un ensemble d’entités extérieures, une équipe d’audit interne, rattachée au service central d’audit mais décentralisée et affectée à ces services. Cette organisation de proximité a l’avantage de rapprocher les auditeurs qui sont en permanence près des audités et leur permet de mieux remplir leurs missions. Cependant, cette formule requiert : - Un nombre important d’équipes d’audit autonomes et indépendantes et chacune centralisée dans une région. - L’existence d’auditeurs par région maîtrisant tous les domaines d’actions. - Un coût élevé pour la mise en œuvre d’un plan de formation des auditeurs par entité géographique.

Direction Générale Direction de l’Audit Interne

Autres fonctions

Service d’audit décentralisé Région 1

-

Service d’audit décentralisé Région 2

Service d’audit décentralisé Région (n)

Les services mixtes d’audit interne :

Présentent une structure double : un service central et des services décentralisés, organisés par domaines ou par zones géographiques où les auditeurs sont répartis entre des auditeurs itinérants, chargés d’un certain nombre d’institutions et des auditeurs permanents, mis durablement en résidence, dans les entités les plus importantes. Ce modèle permet l’existence d’une agence centrale unique, permettant de regrouper facilement tous les bénéfices de la formation. Il permet l’adoption d’un système de répartition souple et évolutif des ressources, avec la prise en compte de l’impératif du travail d’audit en équipe.

-

La structure hiérarchique du service d’audit interne :

Les services d’audit interne fonctionnent en majorité avec des ressources localisées au même département, avec dans tous les cas, un rattachement direct au responsable de l’audit interne. Les équipes en générale adoptent une structure semblable à celle des cabinets d’audit, avec au moins deux niveaux et des rotations au niveau du chef de mission.

59

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Les auditeurs sont organisés, selon l’effectif, en deux ou en trois niveaux et même quatre pour un service d’audit décentralisé avec beaucoup d’effectif. - Le service comprenant 2 à 5 personnes est organisé en deux niveaux, auditeurs seniors ou juniors souvent généralistes et un responsable de service, interlocuteur de la direction générale et qui définit la méthodologie et le plan d’audit. - Le service comprenant 6 à 20 personnes est organisé en trois niveaux, responsable de service, auditeurs (seniors ou juniors) et le chef de mission, auditeur confirmé qui encadre les missions, forme les auditeurs et réalise les tâches les plus complexes. Les auditeurs internes n’ont pas de lien hiérarchique permanent avec leur chef de mission sauf sur la durée de celle ci. Selon l’enquête de L’IFACI menée en 2005 en France, le nombre moyen d’auditeurs dans le secteur public est de 2,2 pour 1000 employés contre 2,85 dans le secteur privé

Nombre d'auditeurs internes pour 1 000 salariés

banques, organismes financiers

8,5

Assurances

2,7

institution de retraite et de prévoyance

2,6

Secteur publique

2,2

commerce et services

0,6

industries

0,5

Le responsable de l’audit interne dans l’entreprise a en charge toutes les missions. Il signe les rapports, supervise tous les documents et toutes les pièces. Dans les grandes structures, le responsable est parfois assisté d’un adjoint qui gère les tâches d’organisation courante et procède à l’élaboration et à la mise à jour des méthodes. Les chefs de mission sont les piliers de l’audit interne. Leur rôle est d’animer la progression des travaux, d’assurer leur qualité et d’assumer l’interface avec les audités. Ils sont responsables du succès de la mission, vis-à-vis du service d’audit interne et des audités. En principe, on est auditeur ou chef de mission selon les besoins, les spécificités et l’expérience requise.

60

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

1.2. Le comité d’audit La réforme du contrôle financier sur les établissements publics au Maroc rejoint les normes, les standards internationaux et les pratiques de gouvernance d’entreprise. Elle met l’accent sur la volonté de renforcer le pouvoir de contrôle des organes délibérants, en instituant des comités d’audit au sein des entreprises publics. Les entreprises publiques qui justifient de la mise en œuvre effective d’un système d’information, de gestion et de contrôle interne, sont soumises au contrôle d’accompagnement et implicitement doivent instituer un comité d’audit. Chaque entreprise publique devrait évaluer sa structure de gouvernance pour justifier si elle est soumise au contrôle d’accompagnement, condition préalable à l’institution d’un comité d’audit. Il est nécessaire que l'organe délibérant, avant de créer un tel comité, définisse très clairement sa composition, son rôle, ses missions et ses pouvoirs dans un document écrit.

La proportion dans l’ensemble des entreprises privées pourvues d’un comité d’audit ou d’une instance équivalente est en progression, passant en France de 76 % en 2005 (Source : IFACI) à 80% en 2007 (Source : IIA). La progression est plus remarquable dans le secteur public qui a enregistré une croissance manifeste passant de 46% en 2005 pour atteindre 71% en 2007. EXISTENCE D’UN COMITE D’AUDIT SELON LE TYPE D’ORGANISATION

Enquête IIA 2007

France

Société cotée Société privée non cotée Secteur public Autres

91%

Total

Enquête IFACI 2005 Banque

67%

France 93% 88.5%

Industrie 71%

Secteur public

46%

75%

80%

Total

76%

1.2.1. Cadre juridique Plusieurs textes ont mis l’accent sur la notion de comité, constitué par les organes d’administration, avant l’avènement de la loi 69-00 relative au contrôle financier de l’Etat sur les entreprises publiques et autres organismes, qui a défini clairement la composition, la mission et les modalités de fonctionnement du comité d’audit.

61

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

TEXTES D’APPLICATION Sur les sociétés anonymes, la loi 17/95 précise dans son article 76 que « Les administrateurs non dirigeants sont particulièrement chargés au sein du conseil, du contrôle de la gestion et du suivi des audits internes et externes. Ils peuvent constituer entre eux un comité des investissements et un comité des traitements et rémunérations. ». La circulaire n°6 de Bank Al Maghrib, prévoit aussi l’obligation pour l'organe d’administration de constituer, en son sein, un comité chargé de l’assister en matière de contrôle interne. L’article 15 précise « L’organe d’administration est tenu de constituer un comité chargé de l’assister en matière de contrôle interne. Ce comité procède notamment à l’évaluation de la cohérence et de l’adéquation des dispositifs de contrôle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposées pour combler les lacunes ou insuffisances décelées dans le système de contrôle interne. » La loi Sarbanes-Oxley aux Etats-Unis, la loi de Sécurité Financière en France, et l’évolution des pratiques de gouvernance consacrent aussi le rôle essentiel du comité d’audit. La loi 69-00, quant à elle stipule dans son article 14 que « Les organismes soumis au contrôle d'accompagnement doivent instituer un comité d'audit. Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre membres nommés par le conseil d'administration ou par l'organe délibérant parmi les membres non dirigeants ou de mandataires nommément désignés par eux à cet effet. Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la régularité des opérations, la qualité de l'organisation, la fiabilité et la bonne application du système d'information ainsi que les performances de l'organisme. Il a pour mission de faire prescrire et réaliser, aux frais de l'organisme, les audits internes et externes ainsi que les évaluations qui lui paraissent nécessaires. Il peut, en outre, inviter tout expert indépendant à participer à ses travaux. Le comité d'audit adresse directement au directeur de l'organisme un rapport retraçant le résultat de chaque intervention effectuée ainsi que les recommandations qu'il estime utiles pour l'amélioration de la gestion et la maîtrise des risques économiques et financiers de l'organisme. Ce rapport est soumis au conseil d'administration ou à l'organe délibérant. »

1.2.2. Organisation et fonctionnement -

Composition :

La composition et la nomination du comité d'audit est effectuée par l'organe délibérant ou le conseil d’administration. Il comprend le contrôleur d’Etat et au moins deux à quatre membres du conseil d'administration, indépendants des membres de l'exécutif ou mandataires nommément désignés par eux.

-

Mission : 62

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Les principales missions que le comité d’audit réalise concernant la fonction audit interne sont encadrées : - Approbation de la charte d’audit. - Examiner le programme d’audit interne. - S’assurer que l’audit interne dispose des ressources adéquates. - S’assurer que le rattachement hiérarchique de l’audit interne ne nuit pas à son indépendance. - Recevoir des rapports réguliers concernant les résultats des travaux des auditeurs internes, notamment les anomalies ou déficiences relevées, ainsi que les mesures correctives envisagées. - Examiner et contrôler la prise en compte par la direction des conclusions et des recommandations des auditeurs internes. - Contrôler et évaluer le rôle et l’efficacité de l’audit interne. - L’appréciation de la qualité de l’organisation et la qualité de l’information comptable et financière communiquée aux tiers. - L’appréciation de la qualité du contrôle interne et notamment du système de mesure et de surveillance des risques. - Se réunir régulièrement et rendre compte de ses travaux au conseil d’administration ou à l’organe délibérant.

-

Pouvoirs :

Constitué par les organes délibérants, le comité d’audit détient des pouvoirs très élargis : - L’accès à toutes les sources d'information et l’audition de toute personne susceptible de l'éclairer. - Proposer la nomination et la révocation du directeur de l’audit interne. - Approuver la nomination des auditeurs internes et la résiliation de leur mandat. - Le pouvoir de diligenter des missions particulières. - Disposer de conseils auprès d’experts indépendants de l’organisme. - Le pouvoir de prendre les décisions de mise en œuvre nécessaires.

-

Rôle du comité d’audit

Le comité d’audit contribue fortement au renforcement de l’indépendance, de l’intégrité et de l’efficacité des services d'audit interne dans le secteur public, en assurant une surveillance objective des plans et des résultats des missions d'audit internes, en évaluant les besoins en ressources et en jouant le rôle de médiateur entre les auditeurs, les audités et l’organisation. Le comité d’audit s’assure également que chaque recommandation d’amélioration ou de mesure corrective est prise en compte ou réglée. En général, lorsqu’un comité d’audit est mis sur pied, il devrait : - Exercer ses fonctions suivant un mandat officiel, établi de préférence par la législation, lui conférant des pouvoirs suffisants pour s’acquitter de ses responsabilités. - Comprendre des membres indépendants qui, en tant que groupe, possèdent une connaissance suffisante de l’audit, de la finance, des risques et des contrôles.

63

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

Etre dirigé par un membre qui n’est pas la personne de qui relève le responsable de l’audit sur le plan administratif. Evaluer l’efficacité de la gouvernance de l’organisation, ainsi que la conformité aux lois et à la réglementation. Superviser les normes d’information financière et de comptabilité de l’organisation.

RECOMMANDATIONS
Par rapport à la structure du département d’audit interne, la mise en place d’une équipe centrale et d’équipes locales en support sera la meilleure approche pour appréhender les contextes spécifiques locaux tout en assurant la meilleure prise en considération des valeurs de l’entreprise.
Il faut notamment veiller à formaliser les relations entre le responsable et le comité d’audit interne.
Les services d’audit interne doivent être dotés d’une charte d’audit formellement approuvée par la direction générale et par le Comité d’audit. Cette double approbation donne de la légitimité à l’audit interne et renforce sa crédibilité.

2. Evaluation des ressources disponibles Le nécessaire développement de l’audit interne, implique de former et de rassembler les compétences et d’affecter des moyens en fonction de la taille du service, des objectifs fixés et du périmètre confié à l’audit. Adopter une approche progressive lors de la création d’un service d’audit interne est sans doute une démarche pragmatique. Ainsi, un service limité de personnes pourra remplir très efficacement son rôle pendant quelques années. Par la suite, une fois que la valeur ajoutée de l’audit interne aura été établie, la taille du service pourrait évoluer pour accompagner la croissance de l’entreprise. Mais le besoin en effectif dépend de la complexité de l’organisation, du niveau de risque et du degré d’appétence pour le risque.

2.1. Les moyens humains L’équipe d’audit interne devra comporter des cadres chevronnés, appréhendant parfaitement un ou plusieurs métiers de l’organisation et dotés de grandes qualités. Il existe trois niveaux de compétence : le niveau des compétences fondamentales (au regard des normes), le niveau des compétences d’expertise (ponctuelles en fonction du besoin et assistance externe) et le niveau des compétences spécifiques (compétences pour couvrir les risques informatiques, les risques industriels et les risques produits). Ces compétences, on peut les avoir au départ, les acquérir en cours de route, et les améliorer tout au long de la progression du service.

64

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Quelque soit son secteur d’activité, tout auditeur doit posséder les compétences fondamentales qui forment la base de l’audit interne : - Connaître les normes de la profession. - Répondre à des objectifs de savoir-faire en terme de méthodologie. - Découper une activité en processus et définir les objectifs de ces processus. - Identifier les risques qui empêchent d’atteindre les objectifs. - Identifier les points de contrôle qui vont permettre de maîtriser et d’avoir une bonne vision de la maîtrise d’une activité. Les références qualitatives sur lesquelles s’appuie la sélection des auditeurs sont constituées par: - Un code déontologique qui fixe les principes fondamentaux à respecter : intégrité, objectivité, confidentialité et compétence. - Des normes de qualification qui se définissent dans les missions d’un service d’audit, de conscience professionnelle, d’assurance et de qualité, d’indépendance par rapport au service audité (non influençable). - Les compétences techniques et de qualification à fort potentiel. Le recours à des compétences et à des prestataires externes est dû à la difficulté de recrutement des auditeurs spécialisés, notamment en systèmes d’information ou maîtrisant suffisamment les activités de l’entreprise. Il est rare de trouver un auditeur opérationnel qui réunit plusieurs compétences : en audit, en informatique, en organisation, en finances. La formation continue et la réunion des compétences complémentaires au sein d’une équipe peut seule assurer cette polyvalence. Pour réunir les conditions qui contribuent à atteindre le degré de performance attendu, la cellule doit se doter : - D’une équipe qui maîtrise les techniques, les outils, et la méthodologie de l'audit interne, respecte la loi et les normes de la profession, au courant des meilleures pratiques de la profession et suit les évolutions technologiques. - D’un responsable d'audit interne qui a le souci de l'efficacité de son équipe et de la maîtrise de ses coûts de fonctionnement, et fait preuve de créativité, d'ouverture au changement et de sens de la communication. - D’un personnel qui répond aux besoins et attentes des parties prenantes. Enfin, Les outils informatiques intégrés font partie des temps modernes, il faut savoir les comprendre, les analyser et en tirer profit.

2.1.1. Le comportement des auditeurs internes Dans le secteur public, les principes déontologiques qui sont des valeurs fondamentales de l’audit interne, sont moins formalisés et moins écrits par rapport au secteur privé, mais leur esprit s’applique. La promotion de la culture morale et des compétences demeure un critère fondamental. Pour assurer aux auditeurs des moyens de progression personnelle, le service d’audit interne leur assigne des objectifs et des tâches qui vont contribuer à améliorer leurs compétences : - Maîtrise de la méthodologie : avoir une certaine autonomie et agir le plus souvent de son propre chef (sans attendre les programmes de travail)

65

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

-

et avoir une capacité de rédaction, de synthèse et d’appréciation des enjeux, au moment de l’élaboration des rapports. Tâches formatrices : tout au long de la mission l’auditeur, débutant ou confirmé, se forme et se familiarise avec le secteur d’activité au fur et à mesure de l’avancement des missions, de la révision des référentiels d’audit, de la mise à jour des programmes de vérifications, dossier de travail… Contribution aux objectifs du service : améliorer les performances et passer en revue les opérations et les programmes afin de déterminer dans quelle mesure les résultats suivent les buts et objectifs établis et si ces opérations et programmes sont mis en œuvre ou réalisés comme prévu.

L’auditeur interne doit avoir une attitude prospective pour déceler les nouveaux risques et les nouvelles techniques pour les contrer. Il doit faire preuve de qualités techniques, mais également humaines pour se faire accepter et respecter. Parmi ces qualités humaines, on peut citer : - Un esprit ouvert, tolérant, qui accepte la contradiction. - Une attitude de modestie, très souvent justifiée : fréquemment, l’audité connaît beaucoup mieux son travail que l’auditeur. - Une attitude amicale, bienveillante et simple. - Un sens de la diplomatie, pour ne pas heurter inutilement, tout en étant ferme sur les principes. - Un sens moral rigoureux, une conscience professionnelle et un sens de la communication. - Le bon sens. Les qualités professionnelles sont, bien entendu, importantes. La capacité d’assimilation, de concentration, l’intelligence, la mémoire, l’esprit de synthèse, la capacité à collecter des informations pertinentes, à les analyser, les évaluer, les synthétiser et à communiquer. Les auditeurs doivent disposer des pouvoirs adéquats qu’ils doivent tenir directement de l’autorité suprême qui est l’organe délibérant, et la charte d’audit. Les principaux pouvoirs sont les suivants : - Pouvoir intervenir de sa propre initiative dans toutes les unités opérationnelles ou fonctionnelles. - Pouvoir de communiquer le résultat de ses investigations à toute personne de l’entreprise et notamment aux membres de l’organe délibérant et au comité d’audit. - Avoir un accès permanent auprès des plus hautes autorités de l’établissement. Dès qu’il y a un engagement, la partialité de l’audit interne peut être soupçonnée et son efficacité amoindrie. Les quelques attitudes ci-dessous peuvent contribuer à cette impartialité : - Les auditeurs provenant d’un service opérationnel devraient s’abstenir d’effectuer des missions dans ce service durant une certaine période. - Rotation du personnel dans la mesure du possible au sein de la fonction. - Eviter d’intervenir dans les opérations et dans la mise en place de procédures opérationnelles ou de contrôle. En revanche, le rôle de conseil en matière de contrôle interne n’est pas exclu par exemple lorsqu’une nouvelle activité doit être implantée, une nouvelle organisation ou un nouveau système informatique mis en place.

66

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.1.2. la gestion des auditeurs internes Gérer la carrière d’un auditeur entre son arrivée et son départ, c’est le recruter, le former, l’évaluer, planifier son travail et préparer sa sortie. Cela rend nécessaire une collaboration étroite avec la direction des ressources humaines. Recrutement : dans chaque organisation il existe une politique et des procédures de recrutement à respecter. La direction des ressources humaines décrit les besoins prévus, évalue les dossiers des candidats, organise des entrevues entre les candidats et les auditeurs, pour tester le niveau de professionnalisme et s’assurer de leur bonne intégration dans l’équipe. Formation : L’auditeur est considéré comme un agent utile et un acteur actif dans le processus du changement et d’amélioration. Il doit en conséquence améliorer durablement ses connaissances, aptitudes et compétences, par un perfectionnement professionnel continu, exigé par la nature des missions qui lui sont assignées et par l’élargissement du champ des interventions. Affectation - Sortie : la direction des ressources humaines s’attache aussi à étudier les perspectives de carrière des auditeurs sortants pour identifier les postes opportuns à leur réorientation, dans d’autres responsabilités pour maintenir les compétences dans l’organisation. La diversité des missions, la nécessité de s’adapter à des changements incessants, l’organisation des sorties, des congés, des absences et des voyages, tout cela exige une planification du travail de l’auditeur et une intervention régulière de la direction des ressources humaines.

-

Recrutement des auditeurs internes :

Le recrutement d’auditeurs extrêmement confirmés, spécialistes du métier de l’entreprise, capables de travailler de façon indépendante sur tous les types de mission demeure la préoccupation majeure d’une cellule d’audit. De tels profils existent mais ils sont coûteux et souvent difficiles à attirer surtout dans le secteur public. Un profil bien adapté est celui d’un auditeur ayant 2 à 4 ans en audit interne ou en audit externe et désireux d’intégrer l’entreprise publique. Ce profil déjà rodé aux techniques d’audit, est au départ autonome. Une telle intégration nécessite une période d’adaptation. L’autre démarche qui consiste à intégrer des collaborateurs de l’entreprise susceptibles d’évoluer au département d’audit présente un certain nombre d’avantages : ils connaissent les métiers de l’entreprise, ses processus et son organisation, mais ne connaissent pas forcément le métier de l’audit. Une telle transition nécessite une formation, tant d’un point de vue technique que déontologique et comportemental.

Selon l’enquête mondiale Ernst & Young sur les pratiques d’audit interne, conduite en 2007, auprès de 348 directions d’audit interne de grands groupes internationaux, les entreprises mondiales rencontrent des difficultés à recruter

67

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

des auditeurs disposant de compétences spécifiques en système d’information (53%) ou maîtrisant suffisamment leur secteur d’activité (41%) (classement similaire pour les entreprises françaises). françaises). Parallèlement, 72% des entreprises (près de 9 sur 10 en France) ont recours à des prestataires externes en complément de leurs ressources internes.

-

Formation continue des auditeurs internes :

La formation continue des auditeurs est fondamentale par par les transferts de compétences d’auditeurs seniors ou spécialisés vers les auditeurs juniors et moins expérimentés. La norme 1230 sur la formation professionnelle continue est explicite : « Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire faire et autres compétences par une formation professionnelle continue » Pour avoir des auditeurs internes performants aux compétences appropriées, il est souhaitable de les professionnaliser par une formation continue appropriée auprès d’organismes spécialisés en audit interne. Il appartient donc au responsable du service d’audit interne d’évaluer les besoins de formation en prenant en compte : d’expertise - Les compétences des auditeurs et leur niveau d’expertise. - Le talent des auditeurs pour la communication, tant orale qu’écrite. - Le plan d’audit : certaines missions très techniques nécessitent une formation spécifique. - Le plan d’audit pluriannuel qui prévoit année par année les nouveaux besoins en charge de travail et en auditeurs. Les besoins de formation peuvent peuvent être abordés lors des entretiens d’évaluation des auditeurs internes et pour, en même temps, recueillir leurs propres souhaits en la matière.

Nombre de jours de formation par auditeur et par an

De 1 à 5 jours De 6 à 10 jours De 11 à 15 jours De 16 jours et plus

Source IFACI : Enquête 2005

68

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Les réponses aux besoins en formation se manifestent aussi au sein de l’organisation par le transfert d’expérience qui se réalise par : - L’initiation aux pratiques et méthodes spécifiques de l’organisation. - Les réunions préalables aux missions où sont abordées les questions techniques quant au déroulement de la mission. - La revue des travaux de l’auditeur par le chef de mission et la revue des travaux de ce dernier par le responsable de l’audit. - L’affectation des auditeurs à une mission dans un domaine nouveau pour eux.

2.1.3. La sous-traitance La sous-traitance consiste à confier, d’une manière permanente ou ponctuelle, à un cabinet externe, l’audit partiel ou total d’un ou plusieurs établissements, d’une ou plusieurs fonctions ou d’une activité spécifique. Le cabinet externe agit toujours sous l’autorité du responsable de l’audit interne qui définit le programme d’intervention et rapporte aux organes délibérants, les principales conclusions des missions sous-traitées. Le recours à la sous-traitance permet de bénéficier de la méthodologie d’un cabinet spécialisé et de ce fait d’obtenir des résultats rapides après la création du service. Il s’avère bénéfique lorsqu’une mission requiert une expertise spécifique dont l’équipe ne dispose pas. Les inconvénients sont essentiellement liés au manque de connaissance de l’entreprise par les sous-traitants tant en termes d’organisation, d’objectifs stratégiques, de processus que de système. Dans ce cas, le responsable de l’audit interne, pour garantir la qualité de la mission et son efficacité, doit mettre en place un dispositif de pilotage de la mission sous-traitée. Le recours à la sous-traitance s’impose aussi pour : - Accompagner la mise en œuvre de la méthodologie d’audit et assurer un démarrage plus rapide de ses activités. - Fournir des ressources complémentaires et apporter un renfort ponctuel de contractuels en raison d’une surcharge momentanée de travail ou du personnel spécialisé. - Mobiliser des compétences techniques : du fait que peu de services disposent du personnel possédant collectivement toutes les connaissances et expériences indispensables (ingénieurs, informaticiens, mathématiciens, économètres…). - Maitriser la sensibilité et la confidentialité du dossier. Des sociétés se sont spécialisées dans le marché de la sous-traitance afin de proposer un cadre structurant et propre au service d’audit, couvrant ainsi la totalité du processus dont : - La préparation du plan d’audit annuel par la cartographie des risques. - La planification des missions (équipe, budget temps et budget financier). - La réalisation des missions (élaboration, programme de travail, référentiel de contrôle interne, référencement des pièces justificatives, automatisation des rapports,…). - Le suivi de la mise en place des plans d’action par intranet ou internet.

69

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

RECOMMANDATIONS
Le recrutement d’auditeurs confirmés conjointement à la conversion de hauts fonctionnaires issus du contrôle et capables d’appliquer de nouveaux principes, est la bonne approche en matière de recrutement et de carrière. C’est l’assurance de disposer de cadres à la fois qualifiés, d’horizons variés et aussi empreints de la culture de l’organisation.
En parallèle, il faut constituer un noyau stable d’auditeurs internes basé sur deux critères : la compétence dans certains domaines hautement spécialisés, et la capacité d’encadrer et de former les nouveaux. Il est essentiel de recruter et retenir les auditeurs disposant d’expertises techniques principalement dans le domaine des systèmes d’information, de faire appel à des prestataires de service externes pour compenser les manques d’expertises ou fournir des efforts de formation.





Pour retenir dans une cellule d’audit les talents, la stratégie repose essentiellement sur le niveau de rémunération, la diversité des missions, la reconnaissance de la performance et par les opportunités offertes dans l’entreprise.
Pour ne pas mettre à mal leur impartialité ou leur sens de la discrétion, les normes internationales pour la pratique professionnelle de l’audit interne recommandent de ne pas leur faire auditer, pendant un délai d’au moins un an, les processus ou départements dont ils avaient précédemment la responsabilité. S’assurer au départ du comportement et de l’attitude de la part des auditeurs internes dès les premières missions.





Il est nécessaire de formaliser la sous-traitance en mettant en exergue les rôles et responsabilités des parties prenantes et les notions de confidentialité pour garder la maitrise du plan d’audit.

2.2. Les moyens matériels Les activités d’audit nécessitent l’acquisition de moyens matériels qu’il faut évaluer et améliorer constamment. Les outils informatiques dédiés à l’audit interne restent assez répandus et constituent le principal support de l’activité.

2.2.1. Outils informatiques Dans un univers de plus en plus informatisé, la technique informatique a particulièrement intégré les compétences de chaque auditeur interne qui doit pouvoir s’appuyer sur des processus informatiques, clairement définis, afin de pouvoir obtenir, de manière structurée, indicateurs statistiques, mesures de performances et différents types de rapports permettant de documenter ses conclusions ou recommandations.

70

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Effectivement la connaissance des outils informatiques apporte à l’auditeur une très grande richesse de techniques d’investigation autant du point de vue de la régularité que de celui de la performance. En tant qu’auditeur, il est indispensable d’avoir une compétence informatique qui puisse aller au cœur du système d’information, découvrir, au profit du contrôleur, une cartographie applicative, localiser les fichiers intéressants, savoir comment les extraire. Le processus d’audit étant totalement informatisé, l’auditeur interne doit s’adapter à la mise en place d’un projet informatique dans les différentes phases de sa mission. Ainsi, il pourra utiliser des logiciels de gestion, de la phase de l’élaboration du plan d’audit jusqu’aux suivis de ses recommandations. Parmi les outils informatiques de base que l’auditeur doit maîtriser figurent : traitement de texte, logiciel de présentations graphiques, d’interrogation de fichiers, de diagrammes de circulation… Ces programmes développés pour la gestion interne du service d’audit sont des outils standards : - Tableur pour le plan d’audit, le planning, le tableau de bord, l’exploitation des données, pour la réalisation des programmes de travail, des diagrammes de flux, le suivi des recommandations ainsi que la cartographie et la matrice des risques. - Présentation pour les supports des réunions de restitution des travaux. - Visio-conférence pour réaliser des diagrammes de flux. - Base de données pour des analyses poussées, pour le traitement d’un grand nombre d’enregistrements ou pour la détection de la fraude. Grâce à ces outils, prise de notes, rédaction de F.R.A.P, feuilles de travail, dessin de flow-charts, projets de rapports et rapports définitifs sont produits directement sur support informatique.

2.2.2. Supports et dossiers de travail Une activité telle que l’audit interne a besoin de supports propres à chaque mission. Ces supports sont consultés par les auditeurs en fonction de leurs besoins. Les supports doivent être conservés pour constituer un élément important d’appréciation du contrôle interne, de la qualité et l’étendue des travaux effectués et tenus à la disposition des éventuels contrôles externes.

-

Manuel d’audit

Le manuel d’audit est un support d’informations permettant à l’auditeur interne de refléter l’organisation et le cadre de travail du service d’audit interne. Il permet de s’assurer de la conformité des pratiques et actes de gestion courante par rapport aux référentiels de procédures, de normes et réglementations en vigueur. C’est le principal référentiel pour l’auditeur parce qu'il comporte toutes les données théoriques de base que doit maîtriser un auditeur interne en matière de méthodologie, de techniques et d'outils d'audit interne. Il représente le guide d’audit interne, l’outil et le cadre qui orientera les travaux des auditeurs internes sur le terrain.

71

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Ce cadre d’activité est formalisé par la norme 2040 de l’IIA qui précise : « II incombe au responsable de l'audit interne d’établir des règles et procédures fournissant un cadre à l’activité d’audit interne. ». La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l’audit interne et de la complexité de ses travaux. Le manuel est un document destiné à l’usage interne du service - tout comme la documentation à la disposition des auditeurs - destiné à enrichir constamment chaque mission d’audit. Il doit remplir 3 objectifs : - Définir le cadre de travail : Il présente l’organigramme du service avec son rattachement. Il comporte l’indicateur des pouvoirs et latitudes dévolus aux différents membres du service. Il mentionne aussi les conditions générales de travail (horaires, dispositions relatives aux déplacements et aux remboursements de frais, installation matérielle…) - Aider à la formation de l’auditeur débutant : le premier contact de celui-ci avec le service d’audit doit être le manuel dont on lui remet un exemplaire. C’est à la lecture de ce document qu’il va découvrir les objectifs et spécificités de fonctionnement du service. Ce sont les procédures de travail de l’audit interne. - Servir de référentiel : il comporte un rappel des normes de l’IIA et indique les normes spécifiques au service d’audit de l’entreprise, et plus précisément : - Le rappel des règles d’engagements et de gestions des auditeurs (exigences requises en compétence et règles suivies pour la formation professionnelle). - Les règles appliquées pour les voyages et les déplacements : les déplacements des auditeurs sont nombreux. L’auditeur doit s’appliquer à lui-même la transparence qu’il exige des autres. - L’élaboration et la révision du plan : décrire la méthode retenue par le service pour élaborer le plan d’audit et l’usage qui en est fait. - La méthodologie : les règles précisées porteront sur l’ordre de mission, l’analyse des risques, la définition des objectifs, la réalisation des observations et bien évidement les normes à retenir pour la présentation, la diffusion des rapports d’audit et le suivi des recommandations. - Normes régissant les dossiers d’audit et le suivi des recommandations. - Procédures budgétaire et de reporting.

-

Guide d’audit

Les guides d’audit sont la composante principale de la documentation interne. Ils doivent être élaborés pour chaque mission. Guide méthodologique qui présente le programme de travail à effectuer, le questionnaire de contrôle interne et le tableau d’identification des zones à risque pour chaque processus. Les guides d’audit représentent une aide appréciable pour les auditeurs et constituent également un moyen de formation et d’information pour les auditeurs juniors. Ces guides ne doivent pas être utilisés comme des check-lists, et doivent à chaque fois être revus, corrigés et mis à jour.

72

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Un nouveau service d’audit se constitue sa propre bibliothèque de guide d’audit au fur et à mesure qu’il accumule les missions.

-

Dossier de la mission

Un mémoire qui réunit tous les éléments relatifs à la mission, depuis la phase de préparation jusqu'à l’émission du rapport final. Il reste un document de consultation et de renseignements utiles pour l’auditeur junior. Le dossier de travail doit clairement traduire les travaux effectués et les étapes suivies. Généralement, il est institué sous une structure normalisée et des feuilles de travail qui retracent les opérations sélectionnées pour le sondage, les contrôles effectués, les anomalies relevées et les conclusions. Plus pratiquement les documents de travail ont pour principal objectif : - De fournir la principale justification de l’opinion formulée : - De permettre en cas d’audit récurrent de disposer d’une base d’information de départ pour la nouvelle mission. Par convention le contenu de ces dossiers est le suivant : Le dossier d’analyse : doit comporter tous les travaux effectués par l’auditeur pendant la phase de réalisation. Il doit contenir les éléments suivants : - Programme de la mission. - L’ordre de mission. - Les Feuilles de couverture de test. - Feuilles d’interviews et compte rendu des réunions. - Les questionnaires renseignés. - Le papier de travail matérialisant les tests effectués. - Les FRAP. Le dossier de synthèse : doit permettre de renseigner les auditeurs pour les missions à venir. Il doit contenir les éléments suivants : - Les deux derniers rapports d’audit. - Le rapport d’orientation. - Le tableau d’identification des zones de risques et le programme de travail, actualisés à la fin de mission, dont une copie doit être insérée au niveau du guide d’audit. - Le questionnaire de prise de connaissance renseigné. - Les correspondances (suivi et mise en œuvre des recommandations, bordereau d’envoi des FRAP aux audités pour la réunion de clôture ...)

73

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

RECOMMANDATIONS
Pour élaborer un plan d’audit pluriannuel basé sur l’analyse des risques, il faut que l’organisation soit dotée de système d’information qui agisse en tant que capteur permettant l’identification des zones à risques élevés. Sans l’informatique, l’auditeur interne ne peut effectivement pas faire des sondages à la main, même s’il a un bon modèle ou s’il assimile bien toutes les lois statistiques.
La méthodologie doit être élaborée dans un document servant à l’auditeur de manuel commun à toute mission.
Les documents qui peuvent lui servir de guide dans la réalisation de ses missions dépendent du degré d’accumulation d’expérience de l’activité à auditer. L’auditeur doit disposer des supports propres à chaque mission, ceux qui décrivent une activité déjà auditée, ses zones de risques, son programme de vérification et la manière dont la dernière mission a été organisée et exécutée (Etat d’avancement). Par contre tant que l’auditeur n’a pas accumulé cette expérience, il lui faut s’appuyer sur des manuels de référence externe (guide du contrôle interne, guide de self-audit…). Les documents de travail ont pour principal objectif de : • Fournir la principale justification de l’opinion formulée. • Apporter la preuve des affirmations contenues et remarques formulées dans le rapport d’audit. Ces remarques doivent être étayées par des pièces justificatives que l’auditeur accumulera tout au long de la mission. • Aider dans la conduite et la supervision de la mission : les papiers de travail doivent permettre aux membres de l’équipe d’audit mais aussi à toute personne extérieure à la mission, d’avoir une bonne compréhension des problèmes soulevés. • Permettre en cas d’audit récurrent de disposer d’une base d’information de départ pour la nouvelle mission.


74

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE II MISE EN PLACE D’UNE METHODE DE GESTION ET ANALYSE DES RISQUES Les objectifs d’une mission d’audit sont déterminés en fonction des résultats de l’évaluation préliminaire des risques liés à l’activité soumise à l'audit, auquel doit procéder l’auditeur interne. C’est l’énoncé même de la norme 2210, stipulé par les normes internationales pour la pratique professionnelle de l’audit interne, qui dicte que le respect des normes est essentiel pour que les auditeurs internes puissent s'acquitter de leurs responsabilités. La manière de se conformer aux normes permet surtout d’assurer à la mission un niveau minimum de performances. Les normes définissent des exigences obligatoires applicables en matière d’audit. Les missions confiées à l’audit couvrent systématiquement le domaine très sensible des risques, de leur identification et de leur évaluation. C’est une vision étendue du rôle de l’audit interne qui ne doit pas simplement se focaliser sur le contrôle interne, mais aussi sur les risques et le traitement des déficiences.

SECTION 1 : Les différentes étapes du processus de gestion des risques Le risque est une donnée intrinsèque à la vie de l’entreprise. Parmi les défis les plus complexes qui se posent pour la direction, réside la détermination du niveau de risque acceptable ou auquel elle accepte de s’exposer, dans l’objectif d’optimiser la création de la valeur. Le concept de risque en audit interne se définit, dans le glossaire des normes de L’IIA (Institute of Internal Auditors), comme la possibilité que se produise un événement d’origine interne ou externe, susceptible d’avoir un impact défavorable sur la réalisation des objectifs. Même les événements dont la probabilité d’occurrence est faible sont pris en compte, s’ils ont un impact significatif sur la réalisation d’un objectif majeur. Dans sa démarche, l’auditeur interne, élabore d’abord un référentiel de risques et de bonnes pratiques, évalue les risques identifiés et analyse leur maîtrise pour obtenir une vision globale de ces risques, compte tenu des différents processus de l’entreprise et de leurs interactions. Il élabore enfin les recommandations pour faire cesser ces causes et leurs conséquences.

1. Pratiques d’analyse des risques L’audit interne, le management des risques et le contrôle interne mettent bien en évidence, le fait que les risques surviennent à tous les niveaux d’une organisation et qu’ils sont générés par différents facteurs, liés à l’entreprise ellemême ou liés à la qualité de l’environnement de contrôle. Au sein de ces trois

75

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

référentiels, l’identification du risque est considérée par rapport à l’impact potentiel d’un risque sur l’atteinte d’un objectif. Des lois et réglementations sont instaurées imposant aux entreprises publiques et privées de renforcer leur gouvernance d’entreprise et d’avoir une meilleure réactivité en matière d’analyse des risques. La loi 69-00 relative au contrôle financier de l’Etat sur les entreprises publiques et autres organisme prévoit dans son article 14 « le comité d’audit adresse directement au directeur de l’organisme un rapport retraçant le résultat de chaque intervention effectuée ainsi que les recommandations qu’il estime utiles pour l’amélioration de la gestion et la maîtrise des risques économiques et financiers de l’organisme ».

1.1. Contrôle interne et audit interne L’audit interne se positionne en partie prenante majeure dans l’amélioration du contrôle interne et des processus, en donnant l’assurance raisonnable que les opérations sont sécurisées, optimisées et permettent à l’entreprise d’atteindre ses objectifs de base, de protection du patrimoine et un état de performance et de rentabilité. Le contrôle interne s’est développé par une volonté de réforme menée par des dirigeants d’entreprises et les professionnels de l’audit, avec le soutien des autorités publiques. La pertinence et l’efficacité du dispositif de contrôle sont évaluées par la fonction audit interne qui a pour mission d’évaluer, par un suivi permanent ou par des actions ponctuelles, tout ou partie du fonctionnement de l’entreprise. Le champ et la fréquence des évaluations sont fonction des risques initialement prévus et de l’efficience des processus de surveillance mis en œuvre. Pour le secteur public, les missions traditionnelles, qui sont systématiquement ou souvent menées, confiées à l’audit interne sont l’évaluation du contrôle interne et les missions relatives aux tests d’efficacité des procédures et l’audit des informations financières. L’audit interne est le mieux à même d’alimenter la direction en information sur les faiblesses du système de contrôle interne, ou sur les zones des risques susceptibles de nuire à l’atteinte des objectifs stratégiques, opérationnels, informationnels et de conformité. L’audit Interne reste le contrôleur du contrôle interne mais a, dans la plupart des cas, un rôle de coordination de la fonction. Les missions de contrôle interne représentent une bonne part des missions effectuées par l’audit interne qui a pour finalité d’apprécier le contrôle interne mais on trouve parfois son rôle au-delà de la conformité, il consiste à la formation au contrôle interne, à la maintenance et mise à jour de la documentation des processus.

1.2. Rôles de l’auditeur interne dans la gestion des risques Toute activité économique entraîne des risques, que les dirigeants doivent identifier et évaluer. Les évaluations portant sur les risques et les activités de contrôles, réalisées par les auditeurs internes, donnent au conseil

76

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

d’administration, une vision objective du dispositif de management des risques et jouent un rôle clé, dans le pilotage et le fonctionnement de la direction. Le rôle de l’audit interne est de vérifier et d’apprécier de manière indépendante le dispositif de management des risques et l’efficacité du contrôle interne. Les auditeurs internes contribuent à faciliter les améliorations des processus de management des risques en fournissant une assurance sur : - Les processus de management des risques de l’organisation, leur conception et leur fonctionnement. - Donner l’assurance que les risques sont correctement évalués. - L’efficacité et l’efficience des traitements des risques et les activités de contrôles qui y sont associées. - Evaluer et consolider le reporting des risques principaux : donner l’assurance que le reporting sur les risques majeur a été correctement établi.

Selon la Federation of European Risk Management Associations (FERMA) « Le rôle de l’Audit Interne est susceptible de différer d’une organisation à l’autre. Dans la pratique, le rôle de l’Audit Interne peut inclure tout ou partie des points suivants: - Centrer le travail de l’audit interne sur les risques significatifs, tels qu’identifiés par les responsables de l’organisation. - Auditer les processus de gestion du risque dans l’ensemble de l’organisation. - Fournir des assurances sur la qualité de la gestion du risque. - Soutenir et prendre une part active dans le processus de gestion des risques. - Faciliter l’identification / l’évaluation des risques et former le personnel à la gestion des risques et aux dispositifs internes de maîtrise. - Coordonner le compte-rendu des risques à l’instance dirigeante et au comité d’audit entre autres. En déterminant le rôle le plus approprié, pour une organisation particulière, l’Audit Interne doit s’assurer que les exigences professionnelles d’indépendance et d’objectivité sont respectées. »

Pour pallier les risques, la mission d’auditeur interne consiste, à les rechercher, à les démontrer, et à élaborer des solutions pour convaincre les responsables. L’auditeur est un risquologue, il n’a pas la responsabilité de gérer les risques. Fonction attribuée au risk-manager.

2. L’identification des risques Dans la gestion des risques, l’action de l’audit interne repose sur l’identification des événements potentiels, susceptibles d’avoir un impact négatif, sur la mise en œuvre de la stratégie ou sur la réalisation des objectifs. L’identification des risques n’est pas un exercice limité dans le temps. C’est un exercice permanent, car les risques évoluent avec les changements de l’environnement interne ou externe. De nouveaux risques apparaissent, notamment lors de la création d’un nouveau produit ou d’une nouvelle activité, un changement d’organisation ou de système, des changements économiques,

77

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

financiers, sociaux, législatifs et réglementaires. Les risques sont souvent identifiés en combinant : - Des questionnaires ouverts adressés à tous les cadres dirigeants ainsi qu’aux collaborateurs responsables sur leur perception des risques pouvant affecter tant l’organisation dans son ensemble, qu’un périmètre restreint à leurs propres activités. - Des entretiens individuels afin de développer le contenu du questionnaire et de mieux connaitre les causes des risques et les moyens éventuels pour y remédier ou en atténuer l’impact. Les risques soulevés sont recensés et regroupés par famille de risques, dans un tableau qui détermine les risques clés, dont l’impact est significatif. C’est une évaluation plus quantitative et chiffrée de chacun des risques. L’auditeur interne procède ensuite à l’appréciation des mesures prises par la direction à l’égard de ces risques pour dresser une cartographie des risques et planifier ensuite les missions d’audit.

2.1.

définition du périmètre d’étude

La gestion des risques constitue un facteur de performance opérationnelle et stratégique pour l’entreprise. L’approche opérationnelle constitue un terrain d’étude privilégié en dotant l’auditeur interne d’éléments pertinents lui permettant de construire une cartographie des risques. La définition du périmètre d’intervention (opérationnelle par processus ou stratégique par objectif) doit être réalisée par l’auditeur interne et validé par la direction. Ce choix est capital puisqu’il tient compte de la stratégie de l’entreprise et des attentes de l’auditeur interne. Pour définir sur quelle méthode se baser, il est nécessaire de donner les définitions de ces deux approches qui peuvent être adoptées dans la démarche de l’auditeur : - Approche par les objectifs (stratégique) : cette approche repose sur la décomposition des objectifs stratégiques de l’entreprise en sous objectifs ou actions précises, quantifiables et ont un horizon commun (long ou moyen terme). Les risques majeurs de l’entreprise sont les événements potentiels qui pourraient empêcher d’atteindre les objectifs fixés. - Approche par processus (opérationnelle) : cette approche repose d’abord sur l’identification méthodique des processus de l’entreprise et de leurs interactions ; ensuite sur le management de ces processus en fonction de leur objectif, leur pilotage, leur analyse et leur amélioration.

2.1.1. Critère de choix de la méthode S’il est facile de définir les objectifs stratégiques d’une entreprise en général, pour le secteur public l’objectif est difficile à énoncer, il est implicite et parfois non chiffrable surtout dans certaines entreprises publiques. En revanche dès que l’on passe à des niveaux de responsabilité opérationnelle, la définition d’objectifs des entreprises publiques est beaucoup plus aisée. Les objectifs stratégiques, qui émanent de la direction, peuvent concerner à titre d’exemple le pourcentage de croissance, la part de marché, l’évolution de la

78

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

marge, la productivité, l’application d’une loi…, par contre les objectifs opérationnels peuvent concerner le traitement d’un certain nombre de dossiers par mois, le moyen d’éviter toute erreur ou irrégularité, la détection ou la prévention de la fraude, la qualification du personnel, la possibilité de répondre a toute demande… L’entreprise publique est un secteur extrêmement diversifié, Il dispose de plusieurs services et fonctions : l’action sociale en premier lieu ; l’action économique ; les relations internationales et la culture, en interaction avec des fonctions techniques, des métiers de construction. Il est clair qu’une approche globale est assez compliquée à appliquer dans un secteur qui exerce une multitude de métiers différents. C’est la raison pour laquelle les entreprises publiques s’orientent vers l’analyse par processus. Quelques constats : - Multiplicité des missions : rôle social, enseignement et recherche… - Complexité du fonctionnement des entreprises publiques. - Augmentation des contraintes financières. - Environnement réglementaire. - Gestion déléguée et augmentation de l’exigence des partenaires. - Grande variété de métiers et multitude de compétences (sociale, achat, technique, informatique,….).

2.1.2. Mise en application de l’approche par processus

La définition du processus selon ISO 9000-2000 « Toute activité qui transforme des éléments d’entrée en éléments de sortie peut être considérée comme un processus. Pour qu’un organisme fonctionne efficacement, il doit identifier et gérer de nombreux processus liés entre eux. Les éléments de sortie d’un processus forment souvent les éléments d’entrée du processus suivant ». « L’identification méthodique des processus utilisés au sein d’un organisme et de leurs interactions, ainsi que leur management, peuvent être qualifiés d’approche processus ».

Ressources Entrant

PROCESSUS

Sortant

En pratique l’analyse des flux d’un processus implique généralement la représentation du processus sous forme de diagramme et ce, afin de mieux comprendre les relations existantes entre les éléments entrant dans le processus, les tâches, les résultats et les responsabilités. Une fois cartographiés, les risques peuvent être identifiés et confrontés aux objectifs des processus. Cette phase consiste au choix des processus (cycles) clés, définis par la direction, à partir notamment des activités de l’entreprise publique, ensuite à décortiquer ces processus en sous-processus (tâches).

79

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Le découpage des ces activités en processus et éventuellement en sous processus n’est pas un exercice standard, il est donc important qu’il y’ait concertation entre la direction et l’auditeur interne pour pouvoir recenser les risques significatifs et les activités de contrôles. L’auditeur interne doit réaliser l’approche processus en 2 phases : 1. choix des processus significatifs. Pour définir les processus à étudier en priorité, l’auditeur sélectionne les processus : - Qui permettent à l’organisme d’atteindre majoritairement les objectifs stratégiques qu’il s’est défini. - Selon l’estimation de l’impact sur les clients en fonction de leurs exigences et de la satisfaction perçue. - Selon le poids financier et le coût du processus. - Selon la gravité estimée sur le fonctionnement global, sur la qualité, la sécurité et les risques. 2. l’analyse détaillée du processus clé pour définir les acteurs du processus et la composition du processus : - Déterminer quels acteurs sont «partie prenante » du processus. - Décortiquer les processus en sous processus. - Décrire les procédures de chaque processus ou sous processus. - Etablir un listing des dysfonctionnements, pour chaque processus ou sous processus, rencontrés, leurs conséquences sur l’entreprise ainsi que leurs causes apparentes.

Exemple de processus de management des risques Découpage du processus Elément entrant

Suite ordonnée d’activités

Elément sortant

Ayant pour but de créer de la valeur pour un client

Ressources et tâches de chaque étape -

Stratégie globale de l’entreprise Stratégie en matière de gestion des risques Périmètre de risque Portefeuille de risques

-

Identification des risques bruts Identification de la maîtrise de ces risques Décision de gestion des risques Elaboration d’un plan d’action de traitement de ces risques

-

Une cartographie des risques Une stratégie de traitement des risques Un plan d’actions du traitement des risques Un reporting sur le suivi des risques

-

Fournir une vision des risques majeurs de l’entreprise à la direction générale et au management

80

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.2. Définir une typologie de risque Il existe plusieurs modèles de typologie et une diversité des champs de risques sur lesquels l’auditeur interne peut travailler (modèle ferma Fédération Européenne de Risk Management, modèle COSO2…) comme il peut construire sa propre typologie de risques. La typologie des risques se construit à partir de : - L’étude des parties intéressées (actionnaires, organisation, partenaires, personnel…) pouvant être affectées par les stratégies, les actions, que l’entreprise met en œuvre pour atteindre ses objectifs. - L’étude préalable sur « le périmètre d’étude » : il couvre à la fois la structure de l’entreprise (organisation, filiales, agences, régions…) et le champ d’application de l’audit interne (ensemble des activités ou une partie des activités). La typologie des risques peut s’envisager sous plusieurs angles. Le découpage suivant peut être utilisé :

-

• L’objet du risque (élément sur lequel porte le risque) : Les ressources humaines L’environnement La réglementation, le droit et la politique Les clients Les biens matériels ou immatériels Les systèmes informatiques et logistiques Les activités productives (processus) Les systèmes de synthèse et reporting Les finances et l’économie

-

• Les causes de risque (éléments à l’origine du risque) : Les grèves, revendication, accidents du travail Les événements naturels ou accidentels Les malveillances Les erreurs (internes à l’entreprise) Les pannes ou dysfonctionnements techniques dans les processus Les événements d’ordre réglementaire et juridique •

-

Les conséquences de risque (expression de l’impact du risque) : Pertes financières directes ou indirectes Dommages aux personnes Dommages aux biens Sanction légale Perte d’image Fraude

Le passage en revue des différentes approches, la combinaison de l’objet, des causes et des conséquences de risques, ainsi que l’utilisation de modèles conduisent à définir une typologie de risques et les différents portefeuilles de risque.

81

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

Risque social : Risque technologique : Risque informatique : Risque financier : Risque partenaires : Risque client : Risques environnement : Risque politique : Risque infrastructure : Risque juridique

2.3. Affectation des risques L’affectation des risques consiste à rattacher les risques identifiés à un ou plusieurs portefeuilles de risques. Pour optimiser cette affectation, l’auditeur interne doit revenir aux événements passés, imaginer les risques potentiels qui pourraient survenir, pour chaque portefeuille, qualifier le risque de façon précise, par rapport à l'activité ou à l’objectif sur lesquels il porte. Cette affectation permet de s’assurer que tous les risques possibles ont été couverts et s’apparentent à un portefeuille. Le défaut d’affectation peut signifier que le risque n’est pas significatif ou que la typologie est incomplète. C’est pourquoi le choix d’un modèle standard de grille d’analyse des risques est particulièrement préconisé. L’affectation permet aussi de zoomer sur un portefeuille en particulier et d’avoir une vision globale des risques concernant seulement ce portefeuille. Les risques recensés à partir d’un cas pratique sont affectés à un portefeuille de risque dans « la grille d’analyse des risques ». Ensuite évalués dans « l’inventaire des risques » pour définir la gravité et le niveau de maîtrise qui permettent l’élaboration de la cartographie des risques.

82

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Exemple de tableau proposé pour un rattachement des risques

Gestion de la sécurité

Financiers et Comptables

Ressources humaines

Achats et réception

Défauts techniques ou mauvaise qualité des produits sélectionnés

x

Non respect des délais de réalisation de l’affaire

x

L’âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l’expertise peuvent disparaître

x

Vols ou marchandises

endommagement

x

Juridique

Infrastructure

x

x

x

x

x

x x

Politique

Environnement

x

x

non

de

Client

x

La crise financière limite les possibilités de faire appel aux marchés à des conditions acceptables.

Accès au système informatique sécurisé (virus, piratage…)

Partenaires

x

Bon de commande erroné

Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d’un risque d’erreur matériel ou de fraude

Financier

Informatique

RISQUES RECENSES (non exhaustifs)

Technologique

TYPOLOGIE (PORTEFEUILLES) DE RISQUES

Social

PROCESSUS

Grille d’analyse des risques

x

x

x x

x

x

2.3.1. Risques inhérents à l’entreprise publique Pour les risques inhérents liés à l’activité de l’entreprise publique qui affectent la mise en œuvre de la stratégie et l’atteinte des objectifs, la typologie adoptée plus haut peut être préconisée. Dans le secteur public, le risque « humain» est plus exposé dans la mesure où il est lié à l’usage d’une ressource doté d’une volonté propre qui peut diverger de sa direction. En effet, plus une activité est intense en capital humain et plus les salariés représentent un facteur de risque.

83

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Voici une liste succincte des risques liés à chaque portefeuille, leurs causes et leurs conséquences.

Typologie de risques

RISQUES Personnel

Risques social

Humain Compétences

Risque technologique

Processus de production

Obsolescence Innovation

Risque informatique

Transmission d’information

Système

Risque financier

Placements financiers et investissements Règlements créances clients Ethique comptable et activité de contrôle Manque de ressources Formes de collaboration

Risque partenaires

Processus de collaboration Fournisseur Multiplication des intermédiaires Caractéristiques

CAUSES ET CONSEQUENCES Grève, conflits sociaux, revendications, politique de rémunération, instabilité d’emploi, droits et liberté de la personne, discrimination, harcèlement … Interruption de production, erreur, disparition (décès, retraite, licenciement ou démission), indemnisation, accident de travail… Manque d’expérience, stabilité, habileté en communication ou en technologie… Formation inadaptée du personnel, non optimisation des outils de production, défaut d’homogénéité dans les pratiques de gestion de la qualité... Processus basé sur la technologie : non-protection du savoir-faire, contrefaçon, non suivi des innovations…. Les technologies en rapide évolution rendent la technologie choisie obsolète. La technologie prévue n’est pas utilisée de façon adéquate. Risque économique de nature organisationnelle (communication non optimale), de nature logistique (stocks, approvisionnements), manque de formation des utilisateurs… Défaillance ou survenance d’erreur, réputation due à la cybercriminalité, virus, écrasement de disque dur, erreur utilisateur, dommage aux logiciels et au matériel,… Gestion des portefeuilles inefficace, fluctuation des cours boursiers, volatilité des cours de change… Insolvabilité et incapacité de règlement des clients Mauvaise évaluation des provisions, détournement de fonds, signature non autorisée… Incertitude du financement, ressources inadéquates, manque d’expertise en gestion de ressources complexes… Entente ou contrats inadéquats, sélection des partenaires inappropriée, gestion déléguée, valeurs et/ou éthique non compatible. Problèmes relatifs à la communication, cultures différentes, inertie, dépendance, méfiance, manque de consensus ou d’implication. Défaillance, non approvisionnement, marchandise défectueuse. Confusion dans les responsabilités; manque de traçabilité Manque d’implication, difficultés de communication.

84

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Risques liés à chaque portefeuille, leurs causes et leurs conséquences

Typologie de risques

RISQUES Commercial

Risque client

Caractéristiques des clients Changement dans la demande Changement dans les attentes des citoyens Environnement Politiques et sociaux Compétition

Risque Envergure du projet environnement Définition et structure du projet Stratégie de gestion Eléments politiques

Risque politique

Objectifs conflictuels Lois ou réglementations

Risque infrastructure

Matériel Expertise technologique Réglementaire

Risque juridique

Contractuelles Elément de responsabilité civile

CAUSES ET CONSEQUENCES Insatisfaction des usagers du service, conditions de vente non respectées, mauvaise anticipation des besoins des clients au service vente et marketing. Résistance au changement, niveau d’éducation inapproprié, attentes irréalistes. Evénement imprévu augmentant ou diminuant la demande du service. Plus d’exigence en termes de qualité et de coûts des services offerts. Air, eau, terre, induisent un risque environnemental de pollution, d’inondation de séismes… Gêne des usagers, riverains,… Le service est offert ailleurs ou un service substitut existe. Universalité ou spécialisation du service, nombre de partenaires, nombre de clients, taille du budget. Objectifs imprécis, spécification mal définie, changements dans l’envergure du projet.. Support et contrôle organisationnels inadéquats, absence de leader, non disponibilité d’outils et de processus de gestion. Election de nouveaux responsables politiques, embargo sur les produits, guerre, protectionnisme. Objectifs conflictuels avec d’autres organismes ou supportent des moyens différents pour les atteindre. Projet affecté par des exigences légales ou réglementaires nouvelles ou modifiées. Incendie, inondation, attentat, vol ou dégradation de l’outil de travail… Absence ou inadéquation des infrastructures et des compétences technologiques. Hausse des impôts, adoption de nouvelles lois, non respect des obligations légales… Litige, non respect d’engagement, contrat ou marché mal négocié… Risque de mauvaise qualité ou absence d’assurance...

85

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.3.2. Risques liés à l’environnement de contrôle L’auditeur interne évalue le degré d’efficacité des procédures internes mises en place, pour maîtriser les risques inhérents liés aux systèmes d’information et aux activités de contrôle.

-

Activités de contrôle :

Les activités de contrôle sont définies comme l’application des normes et de procédures pour maîtriser les risques. Ces activités peuvent différer dans leurs modalités d’une organisation à l’autre, mais elles reposent sur des fondamentaux (approuver, vérifier, apprécier la performance…) et des manuels de procédures qui les formalisent. L’auditeur interne identifie les activités de contrôle, pour s’assurer que le traitement des risques est mis en œuvre, de façon adéquate et en temps voulu. Il détecte les insuffisances des procédures de contrôle mises en place, afin de diminuer le degré de risque auquel l’entreprise est exposée.

-

Système d’information et de communication :

Par système d’information et de communication on entend à la fois les systèmes informatiques de gestion, d’information comptable ainsi que les outils de reporting. Les systèmes d’information et de communication sont devenus des éléments essentiels qui soutiennent l’ensemble des activités des entreprises, mais les soumettent à des risques croissants. Ces risques peuvent être des risques techniques, de conformité réglementaire ou que l’information ne soit pas produite en temps voulu, inadaptée ou erronée. Si l’information ne parvient pas aux parties prenantes, parce qu’elle est incomplète, de mauvaise qualité, ou la communication est déficiente, il en résulte que les intéressés n’ont pas une bonne perception de leur risques. Ils ne peuvent espérer concevoir un dispositif de contrôle interne efficace.

-

Degré d’appétence au risque :

Le facteur de risque repose sur le degré de culture de la direction en matière de supervision et de sensibilité au risque, de reconnaissance des risques et de leur appréciation. Ces dispositifs qui aident à l’identification et à la mesure des risques ont une incidence sur le niveau de risques à accepter. En effet, une entreprise qui a réussi en prenant des risques importants aura une conception du contrôle interne différente de celle qui aurait supporté des conséquences économiques ou légales lourdes. Le risque se matérialise comme : - L’insuffisance dans l’identification et la reconnaissance des risques inhérents qui peuvent conduire à la survenance d’erreurs ou d’irrégularité dommageable. - L’insuffisance de la supervision et le manque de prise de conscience des risques qui se traduisent par une organisation et des procédures internes inadaptées ou inefficaces.

86

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

-

L’inadaptation des dispositifs mis en place pour une identification correcte des mesures des risques.

RECOMMANDATIONS
La création d’un comité des risques représentant les principaux responsables des directions est conseillée afin de mettre à jour les risques et estimer leur impact et probabilité. cette méthode accroît la crédibilité de la cartographie des risques.
L’approche par processus permet d’avoir une vision globale et transversale de l’entreprise, structurée selon une série de processus cohérents. Cette structuration sert à analyser les risques en fonction des processus de l’entreprise, sur lesquels les objectifs sont déclinés. L’objectif in fine est d’identifier les risques inhérents par processus et éventuellement par sousprocessus et analyser leur impact et leur maîtrise.
Avant l’élaboration de la cartographie des risques, il est important d’illustrer la méthodologie de la lecture d’une cartographie des risques en fonction des notations données à l’importance des risques et au degré de maîtrise des contrôles mis en place.

87

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 : Cartographie des risques et plan d’audit interne 1. L’élaboration d’une cartographie des risques : méthodologie La démarche de l’auditeur interne, repose sur l’identification et l’analyse des risques. Elle conduit à l’évaluation de l’importance du risque, la probabilité de survenance de ce risque et des mesures qu’il convient de prendre ou qui existent déjà. L’analyse des risques comme l’identification constituent pour les entreprises un processus continu et répétitif. Elle demeure un élément clé d’un système de contrôle interne efficace. L’analyse et la représentation visuelle (cartographie) des risques ont pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l’organisme, afin d’orienter les travaux détaillés de l’auditeur.

1.1. L’analyse des risques L’analyse des risques permet à l’auditeur interne de faire un état des lieux des forces et faiblesses apparentes ou potentielles de l’entité ou de l’activité auditées. Le degré d’une force ou d’une faiblesse combiné au degré de gravité du risque vont guider ses travaux ultérieurs.

1.1.1. L’évaluation des risques Les risques sont généralement évalués en fonction de deux critères majeurs : - La probabilité de survenance du risque. - L’impact du risque en cas de survenance. Le croisement de ses deux critères permet d’évaluer la gravité du risque. Il est nécessaire, avant d'estimer la gravité, que les décideurs définissent ce qu'ils entendent par grave : une perte financière, humaine, des dégâts environnementaux, sanitaires …

Gravité = Probabilité x Impact L’entreprise définit son propre système d’évaluation : une note de 1 à 5 permettra d’évaluer la probabilité de survenance et une autre note de 1 à 5 évaluera l’impact potentiel du risque s’il se matérialise. Une note globale combinant les deux précédentes mettra en évidence les risques les plus significatifs. Cette échelle de cotation permettra d’obtenir une première hiérarchisation des risques qui sera ensuite soumise et validée par la direction générale, si elle n’est pas impliquée dans la cotation.

-

La probabilité de survenance du risque 88

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’auditeur interne définit au préalable des critères de cotation des niveaux de probabilité ou de fréquence de survenance du risque. Ensuite il essaie d’adapter ces niveaux de probabilité au contexte de l’organisation et au choix de la méthode (par objectif / par processus). Il déterminera ensuite le nombre de niveaux de probabilité selon le degré de précision souhaitée.

EXEMPLE DE GRILLE DES NIVEAUX DE PROBABILITE EXEMPLE -ICotation 1 2 3 4 5

Evénement opérationnel (niveau) Improbable Rare Peu fréquent Occasionnel Fréquent

1 fois par an Tous les 3 mois Tous les mois Chaque semaine Chaque jour

EXEMPLE -IINotation Improbable

1 2 3 4 5

-

Rare Peu fréquent Occasionnel Fréquent

Evénement « exceptionnel » (niveau) Evénement risquant de se produire uniquement dans des cas exceptionnels Evénement risquant de se produire à un moment donné Evénement devant se produire à un moment donné Evénement probable dans la plupart des cas Evénement attendu dans la plupart des cas

< 10%

10-30% 30-50% 50-90% > 90%

L’évaluation de l’impact

L’auditeur interne évalue le niveau d’impact pour chaque risque identifié, par rapport à la nature et le niveau d’affectation des objectifs. Le niveau d’impact peut résulter d’un seul et de plusieurs impacts.

89

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

4

5

Mineur Moyen

3

Majeur

2

Fort

1

Faible

Notation

EXEMPLE DE GRILLE DES NIVEAUX D’IMPACTS POUR 5 CRITERES « HABITUELS »

-

Critères de quantification de l’impact Financier Environnement Impact inférieur à 1% ou nul

Impact de 1 à 3%

Impact de 3 à 10%

Impact de 10 à 25%

Impact supérieur 25%

Risques pour l'environnement sur site maîtrisés immédiatement Risques pour l'environnement sur site maîtrisés moyennant des efforts soutenus Risques pour l’environnement sur site maîtrisés en recourant à une assistance externe Risques pour l’environnement hors site maîtrisés en recourant à une assistance externe Risques pour l’environnement hors site se à traduisant par des effets dommageables

Réputation

Degré Réglementation d’implication de la direction

Impact qui n’est Manquements visible qu’en mineurs de la part interne de personnel isolé

Evénement dont l’impact peut être absorbé par l’activité normale

Impact visible par le client / partenaire

Absence d’amende et d’interruption des services programmés

Evénement dont les conséquences peuvent être absorbées mais impliquant l’intervention de la direction pour en minimiser l’impact

Série d’articles dans la presse locale / spécialisée du secteur

Amende, mais absence d’interruption des services programmés

Evénement majeur pouvant être géré dans des circonstances normales

Couverture négative de grande ampleur par les médias locaux

Amende et interruption des services programmés

Evénement critique supportable moyennant une gestion correcte

Couverture négative de grande ampleur par les médias nationaux

Interruption importante et prolongée des services programmés

Désastre susceptible de provoquer l'effondrement de l'entreprise

L’évaluation de la gravité

L’évaluation du niveau de risque se fait en combinant la probabilité de survenance et l’impact de la survenance. A la suite de leur évaluation, les risques potentiels sont synthétisés dans un tableau afin de les pondérer selon leur fréquence et leur impact, et pouvoir ainsi mesurer leur gravité, avant de construire une cartographie des risques. Si la probabilité de survenance d’un risque et du niveau de son impact sont cotés selon la pondération de la grille d’analyse des risques établie précédemment, la gravité des risques peut être catégorisée selon le schéma suivant.

90

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Schéma : Gravité 5

Impact

4 3 2 1 1

2

3

4

5

Probabilité Gravité élevée :3 Gravité Moyenne : 2 Gravité Faible :1

1.1.2. L’analyse des actions de maîtrise des risques L’objectif de l’analyse des actions de maîtrise permet à l’auditeur de mettre au regard le niveau de risque inhérent identifié et le niveau de maîtrise afin de discerner le risque résiduel. Les éléments de maîtrise sont indispensables pour garantir la maîtrise des risques. Quand aucun élément n’existe, les risques sont tous inhérents. Seuls les éléments de maîtrise existants, efficaces et approuvés, sont pris en compte dans l’analyse de la maîtrise. Pour positionner les éléments de maîtrise des risques, trois facteurs sont retenus :la prévention (cerner les causes), la détection (déceler la manifestation), la protection (se prémunir contre les conséquences).

91

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Exemple risque incendie - Détecteur de fumée - Alarmes thermiques - Rondes

- Forme - Signalétique - Communication

- Sprinkler - Extincteurs - Assurance

Détection Prévention

Protection

Impact

Temps 1 : Risque inhérent

Action

de

maîtrise

Temps 2 : Risque résiduel

Probabilité de survenance Les procédures de gestion des risques, émanant des activités de contrôle, sont des éléments de maîtrise propres à chaque processus et conçues pour réduire les risques - de risque brut à résiduel - susceptibles d’affecter la réalisation des objectifs de la société. L’analyse des éléments de maîtrise est réalisée selon la méthodologie suivante:

-

Recensement des éléments de maîtrise :

Les conséquences ou l’impact de risque peuvent être la résultante de la déficience d’un point de contrôle au niveau des ressources humaines, matérielles et immatérielles. Pour chaque risque inhérent, les activités de contrôle décrivent les moyens qui sont mis en œuvre, par le contrôle interne

92

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

pour éviter les causes des risques inhérents et donner une assurance que le processus est maîtrisé. Le COSO définit les activités de contrôle comme l’application des normes et procédures destinées à assurer l’exécution des directives émises par la direction en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs. Il existe plusieurs types d’éléments de maîtrise à tous les niveaux de l’organisation : •

-

-

-

Analyses effectuées par la direction de l’entreprise : sur les performances réalisées afin d’évaluer dans quelle mesure les objectifs sont atteints. Traitement des données : contrôles effectués afin de vérifier l’exactitude, l’exhaustivité et l’autorisation des transactions. Contrôles physiques : concerne la sécurité physique et les inventaires physiques comparés aux données figurant sur les documents comptables. Indicateurs de performance : l’analyse combinée de différents ensembles de données (opérationnelles ou financières), la revue des variations de différents indicateurs et la mise en œuvre d’opérations correctives constituent des activités de contrôle. Séparation des tâches : afin de réduire les risques d’erreur et d’irrégularité, les tâches sont reparties entre employés. •

-

Eléments de maîtrise : activités de contrôle

Autres éléments de maîtrise :

Action de sécurité / sûreté. Formation. Automatisation. Suivi de la stratégie (indicateurs de performance). Assurance…

-

Cotation des éléments de maîtrise :

Pour chaque élément de maîtrise, et en fonction de sa nature, il faut évaluer le niveau d’efficacité de cet élément, au regard du risque identifié. Il peut y avoir plusieurs éléments de maîtrise pour chaque risque. Il est utile d’apprécier l’efficacité conjuguée des éléments de maîtrise, par rapport à la nature du risque, en dressant une grille d’analyse avec une synthèse de cotation. Afin de réaliser la synthèse des éléments de maîtrise pour chaque risque, une notation globale des actions de maîtrise devra être réalisée, compte tenu de leurs niveaux et de leurs natures. La cotation porte sur l’évaluation du niveau d’efficacité des éléments de maîtrise au regard de la gravité des risques évalués précédemment. Pour chaque risque identifié, les éléments de maîtrise peuvent se décliner selon la matrice suivante :

93

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Exemple de mode de cotation +

Efficacité

3 : Maîtrise forte (efficace par rapport au risque)

Absence d’actions de maîtrise

2 : Maîtrise moyenne (efficacité partielle ou moyenne par rapport au risque) 1 : Maîtrise faible (peu efficace par rapport au risque)

-

+

Existence

1.2. La cartographie des risques dans la démarche de l’auditeur interne A la création de la cellule d’audit et à défaut d’une fonction de risk manager, la cartographie des risques peut faire partie des missions confiées à l’audit interne. Le service d’audit interne est l’un des services qui réunit le plus d’expertise pour mener à bien l’élaboration et la mise à jour de la cartographie des risques et, s’il n’en a pas la responsabilité complète, il est recommandé qu’il soit largement associé.

1.2.1. Intérêt d’élaboration d’une cartographie des risques La cartographie des risques, point essentiel de la mise en œuvre d’une gestion des risques structurée et du processus de management des risques est une représentation visuelle des résultats obtenus en amont, qui permet de repérer rapidement et plus facilement les zones de risques à traiter en priorité. Il constitue un outil de travail qui permet : - D’obtenir une vision globale des risques de l’entreprise. - De mieux apprécier et cerner les risques majeurs de l’entreprise. - De vérifier la pertinence des risques couverts par le dispositif de maîtrise en place et de l’ajuster en fonction des enjeux, évitant ainsi les situations de contrôle faible ou d’insuffisance du contrôle. - A l’entreprise de prioriser les actions à mettre en œuvre au regard de sa stratégie et des zones de risques identifiées. - De communiquer au comité d’audit, comité des risques et conseil d’administration.

94

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

La cartographie des risques est un document qui permet de façon substantielle de : - Renforcer leurs processus de gestion des risques par une approche structurée et formalisée. - Fournir un outil et une méthode de recherche et de hiérarchisation des risques qui facilitera notamment l’élaboration des plans d’audit annuel et pluriannuel, la détermination des actions et missions prioritaires. - Répondre à certaines obligations légales visant l'amélioration de la gestion et de la maîtrise des risques (loi 69-00, loi de sécurité financière, ou autres…). Le but est de visualiser de façon synthétique les zones à risque pour l’entreprise, en distinguant les risques les plus forts, dans une démarche de prévention. Il montre les risques encourus par toute la chaîne hiérarchique, de nature à renforcer la légitimité pratique de l’audit interne et à promouvoir ensuite la mise en œuvre des dispositifs de contrôle. Du point de vue de l’auditeur, l’intérêt est double. Programmer les interventions du service selon une approche annuelle ou pluriannuelle, en fonction du niveau de finesse retenu. Réguler l’activité du service et l’optimiser, en affectant les bonnes compétences aux spécificités requises, par chacune des missions programmées. La cartographie contribue aussi à rationaliser ou à expliciter l’intervention de l’audit qui se déroule dans un contexte serein, puisque les raisons de l’intervention sont connues du service concerné. Elle est aussi l’occasion d’amorcer un dialogue avec les directions opérationnelles, pour évaluer avec les responsables les zones à risque inhérentes à leurs activités. Ce dialogue ouvert, sensibilise les services de l’entreprise au bien-fondé du contrôle interne…et facilite les interventions des auditeurs.

1.2.2. Finalité de la cartographie des risques en audit interne La cartographie des risques sert de guide pour la maîtrise des risques de chaque processus. La catégorisation des risques obtenue, présentée sous forme graphique, donne une vision sommaire partagée par les managers sur tous les risques de l’entreprise. Ces risques sont synthétisés et classés par l’auditeur interne dans trois catégories qui mettent en évidence trois situations.

95

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

+

Gravité

Risque critique (action)

RD Surveillance (Contrôle et suivi)

Optimisation

•

Niveau de maîtrise

+

Situation de Zone de risque critique :

Les risques sont considérés comme critiques et peu ou mal maîtrisés. Ils font l’objet d’actions prioritaires. Elle regroupe les risques les plus sensibles en termes d’impact. Le niveau de maîtrise de ces risques est considéré faible. Le secteur public s’inscrit alors dans une démarche de mise en place de dispositifs de protection en amont ou de détection en aval afin de limiter les conséquences de ces risques. •

Situation de Zone de surveillance :

Ces risques peuvent être évalués comme ayant un impact moindre pour les organisations. Ils sont parallèlement jugés mieux maîtrisés. Ou Ils ont une importance jugée intermédiaire, avec un niveau de maîtrise élevé. -

Contrôle : les risques sont considérés comme critiques mais relativement bien maîtrisés. Il conviendra de s’assurer qu’ils demeurent sous contrôle. Suivi : les risques sont moins importants, mais perçus comme peu maîtrisés. Il conviendra de les suivre sans trop focaliser sur ces derniers. •

Situation de Zone d’optimisation :

Les risques sont considérés comme peu importants et correctement maîtrisés. Elle regroupe des risques estimés à faible impact.

96

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

RECOMMANDATIONS L’orientation vers l’analyse par processus se révèle plus pertinente dans la démarche à adopter pour mettre en place une cartographie des risques. L’approche par objectif selon la nature globale des risques (juridique, financier, pénal, voire d’image), peut ne pas donner une garantie sur l’exhaustivité de la démarche et s’avérer peu lisible par les services opérationnels.
La première étape consiste à segmenter les différents métiers et activités exercés en processus, pour identifier les risques liés à chaque processus.
La seconde étape consiste à noter et évaluer les risques ainsi obtenus pour réduire le nombre de risques résiduels et se focaliser sur les plus forts et les plus probables. Le risque maximum étant évidemment celui à fort impact ayant une haute probabilité de se réaliser. Cette analyse relève aussi du degré de qualité et de fiabilité du contrôle interne au sein de l’entreprise publique.
La troisième étape consiste à hiérarchiser ces risques pour établir une programmation des interventions d’audit interne. Seuls les risques les plus forts sont pris en compte.
La quatrième étape consiste à représenter la cartographie des risques : différentes formes de représentations sont possibles. • Sous forme d’une matrice dans laquelle on va restituer les résultats obtenus lors des évaluations des risques et des actions de maîtrise. Ces résultats sont pressés sous forme de nuage de points, les risques inhérents sont placés sur l’axe des ordonnées et l’efficacité des actions de maîtrise sur l’axe des abscisses. • Sous forme d’un graphique radar • Sous forme d’un tableau d’évaluation des risques L’importance des risques et le degré de maîtrise des contrôles mis en place pour chaque processus doivent être synthétisés dans un inventaire des risques qui sert à élaborer la cartographie.

97

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

GRAVITE

IMPACT

PROBABILITE

Description des Contrôles / Eléments de Maîtrise

Procédure d’appel d’offre pour les investissements. Contrôle des réceptions, Commandes par le responsable des achats et le DAF Processus d’achat : conservation des documents

Niveau de Maîtrise

1

R2: Bon de commande erroné

2

R3: Non respect des délais de réalisation de l’affaire

3

Procédure d’appel d’offre pour les investissements

2

2

Plan de succession validé pour tous les postes clé. Procédures de recrutements performants et bien définies

1

R5: La crise financière limite les possibilités de faire appel aux marchés à des conditions acceptables.

2

Examen mensuel, par la direction, des prévisions économiques et comparaison avec la position financière prévisionnelle de l’organisme.

1

R6: Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d’un risque d’erreur matériel ou de fraude

2

Evaluation du contrôle interne et examen semestriel des comptes

3

R7: Accès au système informatique non sécurisé (virus, piratage…)

2

Procédure du SI

2

3

Contrôle des réceptions commandées par le responsable des achats et le DAF

Ressources humaines

R1: Défauts techniques ou mauvaise qualité des produits sélectionnés

Financiers et Comptables

Risques recensés (non exhaustifs)

Gestion de la sécurité

Achat et réception

Processus

Inventaire des risques

R4: L’âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l’expertise peuvent disparaitre

R8: Vols endommagement marchandises

ou de

de sauvegarde

3

2

1

98

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Matrice de cartographie des risques +

Gravité

R8

R5 R4

R3

R2

R6

R7 R4

R1

-

Niveau de maîtrise

+

RECOMMANDATIONS
La mise à jour de la cartographie est nécessaire au moins une fois par an, pour prendre en compte l’évolution de l’entreprise, les nouvelles activités et la mise en œuvre des plans d’action, auxquels pourraient être associés des risques spécifiques, ou qui ont permis de réduire, voire éliminer le niveau de gravité des risques précédemment identifiés.
La cartographie des risques exige un effort certain lors de sa première élaboration. Sa mise à jour, est un exercice, normalement, moins contraignant que sa mise en œuvre initiale.

2. L’élaboration du plan d’audit Lorsque la cartographie des risques est établie, elle constitue l’outil de mesure pour une évaluation réelle du risque maximum possible, en affectant à la cotation mesurant le risque, un coefficient représentant la qualité du contrôle interne qui va déterminer le risque résiduel. L’auditeur interne va ainsi disposer pour chaque processus d’un niveau de risque réel à partir duquel il va définir les fréquences d’audit souhaitables : plan d’audit. Le plan d’audit est exigé par la norme 2010 de l’IIA : « Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir les

99

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

priorités cohérentes avec les objectifs de l’organisation ». Dans la même perspective, la norme prescrit que le « Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la Direction Générale et du Conseil doivent être pris en compte dans ce processus.» Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques. Il prend en compte le système de management des risques défini au sein de l’organisation, tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après consultation de la direction générale et du Conseil.

2.1. L’intérêt du plan d’audit La mise en œuvre d’un plan d’audit permet d’hiérarchiser les priorités d’audit, de le fixer en plan pluriannuel et annuel d’intervention, en parfaite adéquation avec l’évolution de l’organisation et les principaux risques. L’intérêt du plan d’audit permet notamment d’optimiser les profils et les compétences des auditeurs internes et de démontrer également aux parties prenantes, sa capacité de réponse aux préoccupations et aux attentes du management. La mesure de la performance du service d’audit interne résulte dans 75,3% des cas, du taux de réalisation du plan d’audit. (Enquête IFACI 2005). Ce document permet de définir les priorités cohérentes en conformité avec les objectifs de l’entreprise, en fonction des risques et de leur impact potentiel sur les processus et les entités concernés. Il désigne les missions auxquels l’audit interne procédera au cours des mois à venir. Il précise aussi toutes les activités susceptibles d’être audités. Le plan permet de s’assurer que toute la problématique clé soulevée lors de l’établissement de la cartographie des risques, lors des entretiens, des enquêtes et interviews menés auprès des principaux gestionnaires d’entreprise ont été assimilées et les différentes missions programmées de façon pertinente. Il reprend les risques non couverts lors des précédentes missions ou qui sont restés encore mal appréhendés, malgré les interventions de l’audit interne. Le plan annonce aux futurs audités et informe les intéressés qu’une mission sera organisée dans l’année en précisant les dates préliminaires afin d’éviter tout conflit de priorités. Un service d’audit ne pouvant répondre immédiatement à toutes les demandes d’intervention qui lui sont faites. Le plan permet de communiquer à la direction générale et au conseil les éventuels changements susceptibles d’intervenir en cours d’exercice. Il est important que le plan d’intervention soit validé par la direction générale. Il entre aussi dans les prérogatives du comité d’audit de valider le plan d’audit interne.

100

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Formalisation des missions et plan d’audit : (Enquête IIA. 2007) Pour assumer leur rôle et répondre aux principales attentes de l’organisation, les auditeurs internes se fondent sur leur professionnalisme avec notamment une approche par les risques qui se généralise. 94% des répondants formalisent les missions d’audit dans le cadre d’un plan annuel. Dans 79% des cas, cette planification est réalisée à partir d’une analyse de risques. Plus précisément, 94% des responsables d’audit interne indiquent qu’un plan d’audit est réalisé au moins annuellement. Le plan d’audit se fonde principalement sur les demandes émanant de la direction générale (85%), les entretiens réalisés avec les responsables opérationnels (79%) ainsi qu’une analyse des risques (79%). Dans 32% des cas, ce plan est mis à jour plusieurs fois dans l’année pour prendre en compte des demandes ponctuelles émanant de la direction générale, ou bien une évolution de périmètre (changement de statut, fusion, acquisition…).

2.2. La préparation du plan d’audit Le plan d’audit est un document à usage restreint, généralement classé comme document confidentiel qui contient des informations sensibles sur l’évolution de l’entreprise et sur les risques pouvant l’affecter à court ou moyen terme. Le plan d’audit est annuel, peut être pluriannuel, mis à jour au moins une fois par an, pour tenir compte de l’évolution des risques de l’entreprise et des modifications demandées par la direction générale ou liées à des changements d’orientation stratégique ou de périmètre d’intervention. La période couverte par le plan dépend de l’environnement de l’organisme, de sa stratégie et de sa politique de contrôle, ainsi que de la taille et de la maturité de l’équipe d’audit. La préparation du plan d’audit est souvent un exercice renouvelable qui nécessite de faire le point sur les missions déjà réalisées. Sa préparation commence un à deux mois, avant sa soumission à la hiérarchie et tient compte du calendrier budgétaire pour sa mise en œuvre. L’élaboration du plan va porter en priorité sur les sites et problématiques spécifiés : des interviews et contacts réguliers avec la direction de l’entreprise permettent d’identifier les besoins et orientations stratégiques qui pourraient avoir un impact sur le périmètre et les objectifs des missions de l’audit interne. Pour définir le plan d’audit deux approches sont principalement retenues: - Une approche par les processus (ou approche thématique) : lors de chaque mission d’audit, un processus stratégique est revu sur un ou plusieurs sites. - Une approche par site : lors de chaque mission d’audit tous les processus clés d’un site ou d’une agence font l’objet d’une revue approfondie. Une fois définie la liste des thèmes ou des sites qui devront être audités, le plan d’audit interne se construit de la manière suivante. Il doit : - Fixer la priorité des missions d’audits ; l’audit va disposer les missions qui peuvent se réaliser dans le cadre d’une année calendaire, positionner les autres sur un plan pluriannuel.

101

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

- Evaluer la durée des missions ainsi que les ressources humaines nécessaires à leur exécution en matière de compétences et nombre de personnes. - Positionner dans le temps les différentes missions en déterminant les fréquences d’audit souhaitables : risque élevé, donc audits fréquents ; à l’inverse risque faible signifie audits espacés. Le plan d’audit est un document qui se veut précis, clair et facile pour en suivre l’exécution. Il contient: - Le nom des sites à auditer. - Les objectifs et les thèmes des interventions. - Leurs durées et dates approximatives. - Les noms des auditeurs affectés à la mission. - Le contexte et les risques (et éventuellement leur niveau) auxquels la mission répond.

Exemple de plan d’audit interne Processus

Durée & dates Prévisionnelles

Risques identifiés

Processus Achat et réception

Défauts techniques ou mauvaise qualité des produits sélectionnés

Processus Ressources humaines

L’âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l’expertise peuvent disparaitre

25 février-25 mars Bon de commande erroné

Processus Financiers et comptables

Processus Gestion de la sécurité

Ressources Commentaires assignées M.X Chef de Mission M.T Auditeur

M.X Chef de mission 15 janvier-15 février M.Y Auditeur

La crise financière limite les possibilités de faire appel aux marchés à des conditions acceptables Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d’un risque d’erreur matériel ou de fraude

Mme Z Chef 20 janvier-20 février de mission M.T Auditeur

Accès au système informatique non sécurisé (virus, piratage…) 20 avril - 20 juin Vols ou endommagement marchandises

Mme W Responsable du PGS M.T Auditeur

Mission nécessitant des déplacements dans 5 villes différentes

de

Exemple plan d’audit pluriannuel Audits antérieurs

N° de la Processus ou mission fonctions / Risques

Cotation du risque

Budget en jours/ Homme

102

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Année

Temps d’audit passé

1 2 …

3 4 …

5 6 …

2010 2011 2012 2013 2014 -Processus Achat et réception : - Risque 1 - Risque 2 - …

-Risque significatif et peu maitrisé -Risque significatif et mal maitrisé

X X

X

X

-Processus Ressources humaines : Risque 3 Risque 4 …

-Risque significatif et mal maitrisé -Risque moyen et non maitrisé

X

X

X

-Processus financiers et Comptables - Risque 5 - Risque 6 - …

-Risque moyen et non maitrisé -Risque significatif et peu maitrisé

X

X

X X

X

-Processus Gestion de la sécurité

…

2.3. Le suivi du plan d’audit La justification des aménagements prévus dans le plan d’audit, la bonne exécution du plan, le compte rendu à la direction générale et au comité d’audit nécessitent en permanence un suivi et une appréciation régulière. Le suivi permet d’identifier les missions qui ont été réalisées, celles qui ont dû être reportées et celles à la demande, engagées en dehors du plan. Il permet de prendre en compte les retards ou avances. L’analyse de ces écarts permet des réajustements et met en évidence : - La qualité du plan : si celui-ci a été bien conçu, il ne devrait être modifié que de façon marginale. - Les missions spécifiques engagées à la demande de la direction générale. Le plan d’audit interne peut être suivi sous la forme d’un tableau de bord sur lequel sont indiqués l’avancement des travaux et le taux de réalisation, les recommandations avec leur degré de priorité ou leur impact, le nombre de plans d’actions mis en œuvre, le respect des délais de mise en œuvre. L’essentiel dans le suivi consiste à identifier les difficultés qui ont pu avoir une influence sur le plan (retards, blocages, surcroît de travail sur un dossier, sous estimation du travail à effectuer)…

RECOMMANDATIONS 103

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE


Le responsable de l’audit interne doit d’abord planifier des missions pour lesquelles il dispose d’une expertise certaine portant sur une problématique qui pourrait être traitée en quelques semaines. De telles missions permettent d’affiner la démarche d’audit, d’évaluer les compétences des auditeurs internes et/ou de compléter leur formation.
L’auditeur interne doit garder en réserve des missions non affectées pour lui permettre d’être réactif face à une urgence, soit parce qu’un facteur imprévisible va se manifester, soit parce que, dans sa cartographie, il a mal estimé le risque ou que celui-ci s’est concrétisé plus tôt que prévu.
Les plans d’audit interne doivent s’établir principalement selon les demandes spécifiques de la direction générale et du comité d’audit et aussi sur une analyse préalable des risques. Cette approche oblige les services d’audit interne à aller à l’essentiel.

104

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CHAPITRE III METHODOLOGIE DE MISSION Le service d’audit interne s’appuie sur les règles, les procédures de travail et le référentiel des normes énoncés dans le manuel d’audit pour lancer une mission. Le responsable de l'audit interne établit alors une planification fondée sur les niveaux des risques afin de définir les priorités cohérentes avec les objectifs de l’organisation. Ainsi, une évaluation préliminaire des risques liés à l’activité soumise à l'audit s’avère nécessaire en début de chaque mission.

SECTION 1 : La conduite d’une mission d’audit interne 1. La phase de préparation Cette phase permettra à l’équipe des auditeurs de définir les objectifs à atteindre et de préparer le programme de vérification qui doit être déroulé pendant la phase de réalisation. Les résultats de la mission sont présentés dans un rapport qui doit être validé avec les audités pendant la dernière phase : la phase de conclusion. La phase de préparation ouvre la mission. Elle peut se définir comme la période au cours de laquelle vont être réalisés tous les travaux préliminaires, avant de passer à l’action. Elle exige des auditeurs une capacité de lecture, d’attention et d’apprentissage. Elle sollicite l’aptitude à apprendre et à comprendre. Elle exige également une bonne connaissance de l’entreprise, car il faut savoir où trouver la bonne information et à qui la demander. Au cours de cette phase, l’auditeur doit faire preuve de qualités de synthèse et d’imagination. A l’issue de cette phase, les auditeurs rédigeront une lettre de mission, un rapport d’orientation et un programme de vérification.

1.1. l’ordre de mission Rédigé par le responsable d’audit interne et signé par la direction générale, l’ordre de mission ou lettre de mission est un document qui annonce que l’audit interne a été mandaté pour réaliser une mission sur une activité spécifique. L’objectif de l’ordre de mission est d’informer les audités de l’intervention prochaine des auditeurs internes. Il précise le périmètre et les objectifs de la mission et leur accorde le droit d’accès. Il est important parce qu’il permet d’obtenir la coopération des audités, et légitimer également l’intervention des auditeurs sur le terrain. Un préavis de 2 à 4 semaines semble adapté, pour permettre aux audités de s’organiser.

105

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

1.2. Rapport d’orientation Le rapport d’orientation ou plan de mission est un document synthétique qui délimite le champ d’intervention fonctionnel de la mission (service, division….), géographique (usine, région….) et ses limites. Il présente les objectifs permanents du contrôle interne « objectifs généraux » les zones de risques « objectifs spécifiques », que les auditeurs vont tester. Il planifie toute la démarche : découpage, bonnes pratiques, analyse des risques, ciblage/choix des orientations. Le rapport d’orientation assure aussi la pertinence des travaux par concertation entre les principaux responsables audités et le demandeur.

la

1.3. Programme de vérification Le programme de vérification ou encore « planning de réalisation » procède de façon précise, lors de la mission d’audit, à la détermination et à la répartition des tâches à effectuer par chaque auditeur, selon l’échéancier des travaux : Investigations à mener, questions à poser, points à voir, procédures à rechercher…Il permet, objectif par objectif, de décrire succinctement les travaux nécessaires et d'atteindre les objectifs du rapport d'orientation. Les programmes de vérification sont généralement préparés et définis par les auditeurs expérimentés affectés à la mission. Ils documentent le déroulement, sont mis à jour avant toute nouvelle mission et permettent au responsable de la mission de suivre le travail des auditeurs. Le programme doit préciser les outils d’interrogation et /ou de précision qui seront utilisés par chaque auditeur et contenir les éléments suivants : - Rappel des objectifs principaux de la mission. - Liste des tâches devant être effectuées (entretiens, contrôles, tests,…). - Nom des auditeurs responsables des tâches. - Résultat obtenu et référencement des pièces justificatives. Echéancier de la mission Entité à auditer

Procédures à auditer

Exercice :

Fait par : (jours)

Réf : Page : Date : Date d’exécution

Limite

Prévue

Réalisée

Phase de préparation Phase de réalisation Phase de conclusion Observation

Le programme de travail constitue la base de la phase de réalisation.

106

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2. La phase de réalisation La phase de réalisation fait beaucoup appel aux capacités d’observation, d’analyse, de dialogue, de communication et au sens de la déduction de l’auditeur. L’unité d’audit met en œuvre les orientations retenues dans le rapport d’orientation, en utilisant les techniques d’observation, de description et d’analyse qui lui sont propres. L’auditeur doit dérouler son programme de travail sur le terrain pour atteindre les objectifs fixés dans le rapport d’orientation. L’auditeur peut parfois changer le programme de travail, sous réserve de sa validation par le chef de mission. Il procède aux observations et constats qui vont lui permettre de relever tout dysfonctionnement ou problème rencontré. Les travaux sont réalisés sous la forme d’entretiens avec les principaux acteurs, ainsi que par la réalisation de tests sur pièces, orientés sur la base d’une analyse de risques préliminaire. Les constats réalisés à l’occasion de ces interviews et tests sont formalisés et donnent lieu à une phase de validation contradictoire avec les audités.

2.1. Réunion d’ouverture La réunion d’ouverture - coïncide avec le lancement de la mission et se tient sur les lieux même où celle-ci doit se dérouler - est la première réunion de travail entre les audités et les auditeurs. Elle permet d’exposer les objectifs de la mission, de présenter les auditeurs, d’expliquer la méthodologie d’audit et de définir les rôles et responsabilités de chacun. Elle permet également de mieux cerner l’environnement et le mode de fonctionnement du processus audité. L’ordre du jour pour la réunion d’ouverture doit être établi et envoyé avec le rapport d’orientation à l’audité, suffisamment à l’avance (au moins une semaine) pour l’informer de la date de la réunion sur le terrain et de son contenu. Ces documents envoyés permettront à l’audité de connaître les objectifs de la mission, le programme de travail qui va être déroulé pour les atteindre et les différentes phases de la mission. Parmi les principaux points qui peuvent être abordés lors de la réunion d’ouverture, il y’a lieu de citer : - Les droits et devoirs des auditeurs (accès à l’information et confidentialité). - Présentation des auditeurs et des tâches respectives. - Rappel des objectifs et du périmètre de la mission. - Présentation et discussion du rapport d’orientation. - Interlocuteurs et personnes à contacter. - L’approche d’audit qui va être mise en œuvre lors de la mission (interviews, tests de cheminement, tests substantifs…). - Les modalités de communication des résultats de l’audit (points réguliers à date, réunion de clôture, rapport, suivi de la mission…). - Une revue de l’activité auditée (organigramme, effectifs, objets, rôles et responsabilités…). - Une revue des principaux risques et des processus audités. - Les attentes spécifiques des audités.

107

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.2. Feuille de couverture Pour chaque procédure l’auditeur doit établir un programme de travail consigné dans la feuille de couverture. Elle met en évidence les résultats obtenus et les conclusions qui en découlent. Elle précise et spécifie les modalités de mise en œuvre d’une tâche, définie dans le planning de réalisation ou programme de vérification. La feuille de couverture contient : Les objectifs à atteindre. Les tests à effectuer en commençant par le questionnaire de contrôle interne à remplir. Les conclusions des tests effectués. La feuille de couverture facilite la constitution du dossier synthétique. Les constats soulevés par le biais du questionnaire de contrôle interne sont relatés au niveau de la feuille de révélation et d’analyse de problème FRAP.

2.3. Feuille de révélation et d’analyse des problèmes (FRAP) La Feuille de révélation et d’analyse des problèmes « FRAP» constitue le papier de travail par lequel l’auditeur présente et documente chaque risque ou dysfonctionnement révélés. Ce document est la mise en forme rigoureuse et efficace de la norme 2320 selon laquelle « les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. » La méthodologie employée consiste à formuler le problème, les faits qui le prouvent, les causes qui l’expliquent, ses conséquences et les recommandations pour le résoudre. C’est donc un document normalisé. Pour le remplir l’auditeur doit respecter le schéma suivant : Constat Causes Conséquences Recommandations Problèmes Au fur et à mesure du déroulement du questionnaire de contrôle interne, l’auditeur décrira ses constats, les anomalies, les erreurs et les dysfonctionnements soulevés au niveau de la FRAP et cherchera ensuite à identifier les causes. L’identification des causes ne consiste pas à identifier la défaillance mais l’origine de la défaillance. L’auditeur doit déterminer ensuite les conséquences de ces constats selon leur nature : Les conséquences financières Les conséquences juridiques Les conséquences économiques Les conséquences matérielles Les conséquences informationnelles Les conséquences partenaires

108

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Une fois les conséquences déterminées, l’auditeur, avant de synthétiser les travaux dans la FRAP au niveau de la partie « problème », agira sur l’origine de la défaillance, en proposant un projet de recommandations pour aider l’audité à surmonter les lacunes relevées

FRAP Feuille de révélation et d’analyse de problème Référence papier de travail :

FRAP N° :

Problème : Constat Causes : Conséquences : Recommandation : Etabli par :

Approuvé par :

Démarche de travaux d’audit L’auditeur procède à un découpage séquentiel ou logique des opérations, préalable nécessaire à l’identification des risques.

A partir de cette identification des risques, l’auditeur définit ses objectifs (rapport d’orientation) et établit un programme de travail.

Pour chaque point de ce programme de travail, il élabore un questionnaire de contrôle interne.

Pour chacun des points de contrôle, il se pose –si jugé nécessaire– les questions qui, quoi, où, quand et comment ?

Il procède éventuellement à un affinement de son questionnaire.

Il répond à ces questions en réalisant des tests avec l’aide des outils qui sont à sa disposition.

Chaque dysfonctionnement, chaque anomalie va donner lieu à l’établissement d’une FRAP.

109

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

3. La phase de conclusion L’auditeur à ce stade, après avoir réuni tous les éléments, va élaborer l’ossature du rapport, présenter ses conclusions et délivrer en finale le rapport concluant la mission. Cette phase exige également une grande faculté de synthèse et de rédaction.

3.1. Réunion de clôture Avant de rédiger le rapport final d’audit, une réunion avec les audités doit être tenue pour la discussion des constats relevés. C’est la dernière réunion de travail entre les audités et les auditeurs, elle permet de présenter au management de l’entité auditée les conclusions des travaux des auditeurs et les recommandations qui seront formulées dans le rapport. Elle permet de vérifier que les conclusions ont été bien comprises et sont acceptées. Elle garantit la transmission de l’information directement. C’est la totale validation des opérations d’audit avant la diffusion du rapport définitif à la direction générale et aux responsables des processus audités. Elle permet également de rappeler les phases ultérieures de la mission telle que la phase de compte rendu, éventuellement le suivi des points soulevés. Parmi les principaux points qui peuvent être abordés lors de la réunion de clôture, citons : • Rappel des objectifs de la mission. • Description des étapes du processus telles qu’ils ressortent des travaux d’audit : les points forts, les déficiences identifiées, les risques liés à ces déficiences, les recommandations de l’audit interne. • Rappel des rapports préliminaires, des commentaires des audités. Les recommandations et suggestions émanant des audités, qui sont jugées pertinentes par l’auditeur doivent être intégrées dans les FRAP. L’ensemble des FRAP devant être communiqué aux audités quelques jours avant la date de la réunion. Les personnes ayant participé à la réunion d’ouverture sont souvent celles invitées à la réunion de clôture: l’équipe de management de l’entité auditée, les responsables des processus revus et l’ensemble des auditeurs travaillant sur la mission.

3.2. Rapport d’audit L’activité d’audit interne est gérée efficacement quand les résultats des travaux ou rapport d’audit interne répondent aux objectifs et responsabilités définis dans la charte d’audit. Le rapport d’audit, constitue le compte rendu formel et final des travaux réalisés durant la mission. Il renseigne la hiérarchie sur le degré de maîtrise des opérations, établit les forces et les faiblesses des processus examinés et présente les conclusions de l’audit, concernant la capacité de l’entité auditée à accomplir sa mission. Il sert de référence pour le suivi de la mise en place des recommandations qui tendent à améliorer les procédures.

110

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Le rapport d’audit interne communique aux responsables concernés les plans d’action à mettre en œuvre et met l’accent sur les dysfonctionnements pour que soient développées des actions de progrès à entreprendre. Il est transmis également pour information aux organes dirigeants de l’organisation : conseil d’administration, comité d’audit, direction générale, secrétariat général… Le rapport répond à une structure qui concilie les impératifs suivants : Note de synthèse : document d’information qui doit rappeler des points du rapport d’orientation (objectifs, champs d’activités), donner des informations générales sur l’entité auditée avec indication des moyens humains et matériels. A la fin de la note de synthèse l’auditeur doit donner son opinion sur le degré de maîtrise des opérations par l’entité audité. Résultats de l’audit : outil de travail qui comprend le détail des constats, anomalies relevées suite à la non application et à l’insuffisance des procédures, qui présente des recommandations précises et concrètes en mesure de définir les actions à entreprendre.

L’adoption d’une structure normalisée du rapport d’audit peut également aborder les sujets suivants : • Rappel des dates et lieux d’intervention, nom des auditeurs. • Présentation succincte de l’entité et/ ou des processus audités. • Description des processus étape par étape mettant en avant les points forts, les points faibles et les risques liés aux déficiences éventuellement identifiées. • Une évaluation du niveau de criticité des recommandations est souhaitable. • Un calendrier de mise en œuvre des recommandations. • L’acceptation ou le refus des recommandations. • Les commentaires ou plans d’action des audités. • Une synthèse des travaux effectués. • L’évaluation globale de la performance ou de la qualité du contrôle interne de l’entité ou des processus audités, sous forme de notation telle que: satisfaisant, perfectible, réserves significatives, déficient. • Classement des recommandations en fonction du degré d’urgence : amélioration mineure, renforcement des processus existants, action critique à mettre en œuvre en urgence.

111

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

SECTION 2 : Les outils d’audit interne Les outils utilisés par l’auditeur ne sont pas employés de façon systématique. Chacun choisit l’outil le mieux adapté à son objectif. Ils ne sont pas spécifiques à l’audit interne, mais utilisés par beaucoup de professions. Plusieurs critères de classement des outils d’audit peuvent être utilisés. Les critères rentrant dans chacune des phases préparation et réalisation semblent les plus admises.

1. La phase de préparation 1.1. Le questionnaire de prise de connaissance Le questionnaire est indispensable à la connaissance du domaine et /ou du processus à auditer. L’auditeur utilisera les questionnaires qui existent déjà dans le guide d’audit et/ou le dossier de synthèse après les avoir mis à jour. Si pour un processus le questionnaire n’existe pas, l’auditeur doit le concevoir selon la structure globale ci-dessous : Activités : - Niveau général d’activité - Activité continue ou saisonnière - Activité homogène ou diversifiée - Ratios clés et statistiques d’exploitation - Exigences et problèmes en matière d’environnement. Entité : - Organigramme - Dirigeants (expérience, réputation, rotation) - Effectifs et rotations - Environnement informatique - Méthodes et procédures - Informations réglementaires - Organisation spécifique de l’entité - Système d’information - Problèmes passés ou en cours - Réformes en cours ou prévues.

1.2. Le tableau des risques Le tableau sert à appréhender les objectifs dont les dispositifs de contrôle ont été identifiés comme zones à risques « objectifs spécifiques » qui seront transcris dans le rapport d’orientation et qui feront l’objet d’un examen approfondie. L’auditeur doit mettre à jour les tableaux des risques qui existent déjà dans le guide d’audit et/ou le dossier de synthèse. Si pour un processus le tableau n’existe pas, l’auditeur doit le concevoir en respectant les étapes suivantes : 1. Découper l’activité en tâches (colonne 1) 2. Indiquer l’objectif en face de chacune des tâches (colonne 2) 3. Indiquer les risques essentiels encourus si la tâche n’est pas correctement effectuée (colonne 3)

112

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

4. Evaluer sommairement ces risques attachés à cette tâche, abstraction faite du dispositif de Contrôle existant (élevé, moyen et faible) (colonne 4) 5. Indiquer le dispositif de contrôle de référence qui devrait théoriquement être mis en place (colonne 5) 6. Apprécier le dispositif de contrôle mis en place par rapport au référentiel (colonne 6) Les zones à sélectionner ensuite pour un examen approfondi peuvent être : - Les zones à risques élevés avec un dispositif de contrôle faible - Les zones à risques spécifiques élevés - Les zones à risques élevés avec un dispositif de contrôle nouvellement mis en place ou en cours - Les zones à risques élevés avec un dispositif de contrôle élevé mais qui n’ont jamais été sélectionnés pour un examen Le tableau de risque, pour une mission d’audit interne, doit être synthétisé, il sert à planifier uniquement les travaux.

Tableau d’identification des zones de risques Risque / Tâches Objectifs Incidence (1) (2) (3)

Evaluation du Risque (4)

Dispositif type du contrôle interne (5)

Appréciation du Contrôle interne existant (6)

2. La phase de réalisation 2.1. Le questionnaire du contrôle interne Il permet grâce à un certain nombre d’interrogations précises, de déceler les forces et les faiblesses du contrôle interne et d’apprécier si les tâches sont bien faites et bien maîtrisées. L’auditeur doit mettre à jour les questionnaires du contrôle interne qui existent déjà dans le guide d’audit et/ou le dossier de synthèse. Si pour un processus le questionnaire du contrôle interne n’existe pas, l’auditeur doit le concevoir, il s’agit d’élaborer les questions qui permettront d’identifier, pour chaque procédure à auditer, les dispositifs spécifiques de contrôle essentiels.

113

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.2. Les sondages 2.2.1. Détermination de la taille de l’échantillon Il faut au préalable définir la nature de la population sur laquelle on veut effectuer la recherche et s’assurer de ses principales caractéristiques: Homogénéité : La population identifiée doit être homogène et posséder les mêmes caractéristiques pour l’exactitude des analyses. Dispersion : Il est important de disposer d’une indication sur les classes de valeur à l’intérieur de la population. Décomposer le cas échéant une population en sous-ensembles présentant des caractéristiques de même nature (décomposition en tranches de valeur). En général, pour procéder au choix de l’échantillon, (extrait de la population) le recours à l’utilisation des tables est préconisé. De nombreuses tables peuvent être utilisées pour déterminer sur simple lecture la taille de l’échantillon à choisir. A titre d’exemple, la table tirée de l’ouvrage de Hill, Roth, Arking (Sampling for Auditing, Ronald Press, New York,) donne pour un niveau de confiance de 95% et 99% avec une marge d’erreurs inférieure ou égale à 2 %, les tailles d’échantillon en fonction du nombre d’éléments de la population. Si on utilise cette table pour un niveau de confiance de 95%, avec un degré de précision de 2%, pour une population de 3 000 éléments, le résultat de la dimension de l’échantillon est de 177 éléments.

2.2.2. Modalités de prélèvement des tests -

Table de nombres au hasard

Les tables de nombres au hasard sont faites, de telle sorte, que la suite continue des nombres inscrits donne pour chaque nombre et pour chaque chiffre de l’un de ces nombres, une probabilité de sortie équivalente à celle qui serait obtenue par des tirages successifs et aveugles dans une urne, où ces nombres seraient représentés par des boules sur lesquelles ils seraient inscrits.

-

Tirage systématique

Les individus sont tirés à intervalle régulier déterminé par le rapport suivant : Taille de la population / Taille de l’échantillon Appelé « Le pas d’échantillonnage »

2.3. Les interviews Les questions à poser doivent être préparées à l’avance afin qu’aucune question essentielle ne soit omise. Elles doivent être élaborées en fonction de types d’informations recherchées par l’auditeur et dirigées principalement sur l’identification des dispositifs de contrôle qui existent et /ou qui devraient exister.

114

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L’auditeur utilisera les questionnaires qui existent déjà dans le guide d’audit et/ou le dossier de synthèse après les avoir mis à jour. Si pour un processus le questionnaire n’existe pas, l’auditeur doit le concevoir.

2.4. La narration Il existe deux sortes de narration, toutes les deux utilisées en audit interne : • La narration par l'audité permet à l’auditeur de rapporter des faits et des événements à partir du récit et des déclarations et descriptions orales de son interlocuteur: l'auditeur se contente d'écouter et de noter le récit. Par opposition à l'interview qui est préparé et recueilli pour des points précis, la narration ne fait que décrire un cadre général. • La narration par l'auditeur consiste à transcrire la narration orale. Elle représente une mise en ordre de renseignements obtenus par ailleurs. L’approfondissement de la compréhension d’un point d’une procédure, de la constations de dysfonctionnement et autres faits relevés en relation avec l’audité sont des sources de reproduction narratives d'auditeur.

2.5. L’observation physique L’observation physique d’un élément est un moyen au service de l’auditeur. C’est le moyen le plus sûr de vérifier la véracité et l’existence de certains éléments. Cette observation peut être utilisée pour apprécier l’application d’une procédure sur le terrain. Elle permettra à l’auditeur de compléter sa compréhension de la procédure, de relever les insuffisances et/ou les dysfonctionnements d’application. L’auditeur doit saisir toutes les occasions pour aller sur le terrain et observer. Tout est observable : les processus, les biens, les documents et même les comportements. L’auditeur peut utiliser à titre d’exemple, l’observation pour confirmer la réalité d’une livraison ou l’existence d’un élément d’actif (stocks immobilisations espèces en caisse, chèques en caisse …).

2.6. Les grilles d’analyses des tâches Les grilles d’analyses permettent d’identifier l’ensemble des tâches effectuées par une personne dans un processus donné et d’apprécier ce dernier par rapport au principe d’organisation auquel s’appuie le contrôle interne, notamment la séparation des tâches. La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité un même agent cumule : - Les fonctions de décisions (ou opérationnelles). - Les fonctions de détention des valeurs et des biens. - Les fonctions d’enregistrement (saisie et traitement). - Les fonctions de contrôle. Ou même simplement deux d’entre elles. Un tel cumul favorise les erreurs, les négligences, les fraudes et leur dissimulation.

115

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Pour concevoir la grille, l’auditeur doit établir un tableau à double entrée qui permet d’effectuer l’inventaire des différentes opérations réalisées et de repérer en particulier les cumuls de fonctions.

1- Réception

Ex

2- Rapprochement Fact/BC

C

3- Comptabilisation

En

4- Signature du chèque

A

5- Etablissement du chèque

Fn

…

Fondé de pouvoir

Comptable

Taches

Responsable achat

Responsable courrier

Le tableau d’analyse des tâches

6- … Ex A En Fn C

: : : : :

exécution autorisation enregistrement comptable financière contrôle (vérification)

2.7. Diagramme de circulation Le diagramme de circulation ou flow-chart est un instrument graphique de description des procédures. Il représente une suite d’opérations dans laquelle les différents documents, postes de travail, de décisions, de responsabilités, d’opérations sont représentés par des symboles dont la signification est connue. Il définit la circulation des documents entre les différentes fonctions et les responsabilités, indique leur origine et leur destination, et donc donner une vision complète du cheminement des informations et de leurs supports. Ses objectifs sont de : - Donner une description des procédures et systèmes de l’entreprise et mettre en relief les aspects importants du contrôle interne. - Etre une base pour l’audit de conformité qui sert à vérifier que les procédures sont bien appliquées. La méthode schématise toutes les opérations, et chaque opération est matérialisée par un symbole différent. La circulation quant à elle, indique des flèches qui traversent les entités concernées.

116

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.8. Les outils informatiques d’analyse et d’extraction des données Les auditeurs sont confrontés à un volume croissant de données informatiques et doivent faire face à des opérations qui consistent à : - Effectuer des tests répondant aux objectifs de l’audit. - Transformer les masses de données en informations. - Automatiser les travaux d’audit habituellement effectués manuellement. - Pratiquer l’audit par les données. - Identifier des fraudes éventuelles. Trois catégories d’outils informatiques peuvent être utilisées. - Les outils de travail de l’auditeur : logiciels de traitement de textes, de dessins, de représentation graphique et les tableurs, … - Les outils de réalisation des missions qui comprennent ceux méthodologiques pour concevoir les tableaux de risques, formaliser les FRAP…et ceux d’interrogation et d’extraction des fichiers. Un logiciel d’extraction est nécessaire pour pouvoir faire des analyses et des extractions interactives de données. Ce logiciel permettra de disposer des statistiques (moyenne, nombre de valeurs positives, nombre de valeurs négatives….) et d’effectuer des jointures entre différents fichiers (ex : rassembler dans un seul fichier les informations issues de deux autres fichiers : valorisation des stocks avec quantités dans l’un et prix de revient dans l’autre). - Les outils de gestion du service qui concourent à la gestion de la fonction.

2.9. Vérifications diverses 2.9.1. L’examen analytique Les procédures d’examen analytique présentent la caractéristique de pouvoir être utilisées à différents niveaux de la mission de l’auditeur : lors de la prise de connaissance générale de l’entité, de la planification de la mission, dans l’identification des domaines de risques, et lors de la phase de réalisation de la mission pour la détection des anomalies apparentes. La comparaison des données absolues. Cette technique consiste à faire des analyses de données par rapport à : - Celles des périodes antérieures pour déterminer si l’évolution est cohérente. - Celles issues d’un budget pour savoir si les objectifs fixés ont été atteints, sinon pour en connaître les motifs. - Aux mêmes données dans des entités comparables. La comparaison des données relatives. Il s’agit principalement de déterminer et d’analyser les ratios significatifs (ratios d’exploitation, ratios de structure de bilan, ratios de rotation). La revue de vraisemblance. Consiste à procéder à un examen critique des composantes d’un solde pour identifier celles qui sont à priori anormales.

117

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.9.2. L’examen des documents Le contrôle formel qui se fait généralement à l’occasion d’autres contrôles, permet à l’auditeur de s’assurer que les pièces justificatives sont correctement établies, qu’elles ne portent aucune trace d’altération ou de surcharge. En fait qu’elles n’ont pas été falsifiées. Le contrôle substantiel est un contrôle qui permet d’apprécier si l’opération faisant l’objet d’une pièce justificative entre bien dans le cadre de l’objet social et y trouve sa justification.

2.9.3. Les contrôles par recoupement Plus les sources d’information sont différentes, meilleure est la véracité d’un élément. En effet, l’auditeur pourra être pleinement satisfait, lorsque l’authenticité d’une opération sera confirmée grâce au rapprochement de chiffres ou de faits provenant de sources différentes. On distingue deux types de contrôle par recoupement, l’un interne, l’autre externe : Les contrôles par recoupement interne: Ces contrôles se font par rapprochement d’informations interne provenant de différentes origines. Les contrôles par recoupement externe : La confirmation directe est une procédure qui consiste à solliciter les tiers ayant des liens d’affaires avec l’entité. C’est un autre moyen de validation des constats. Les tiers à consulter sont à titre d’exemple : les avocats, les banques, les fournisseurs… Utilisation, dans le cadre des missions d'audit interne, d'outils:

60.1%

de communication (intranet, internet…) de suivi des recommandations

51.1%

généraux d'extraction, d'analyse et de test

46.8%

de cartographie des risques

35.6%

de gestion et de planification des missions

34% 27.1%

d'evaluation et d'analyse des risques de detection et de prévention de la fraude

10.1%

L’enquête sur la pratique de l’audit interne en France réalisée en 2005 par l’IFACI montre les principaux outils utilisés dans les services d’audit.

118

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

RECOMMANDATIONS
Prendre le temps de documenter et de mettre en place la méthodologie de l’audit interne tout au long d’une mission. Ces documents pourront être réutilisés et complétés lors de missions ou de formations ultérieures.
Il est recommandé de joindre la charte d’audit interne à la lettre de mission. Celle-ci doit être courte, directe et factuelle, rester formelle pour officialiser la mission.
Les composants d’un dossier d’audit doivent réunir les programmes de travail, les comptes rendus d’entretiens, les résultats des tests et toutes les pièces justificatives regroupant les recommandations de l’audit interne.
Les programmes de vérifications antérieures portant sur les mêmes processus doivent être revus avant le lancement d’une nouvelle mission, pour vérifier leur validité et être ajustés en fonction des spécificités nouvelles de l’entité auditée.
La présentation des points forts, ceux à améliorer et la mise en avant des déficiences à l’issue de chaque mission permettent de justifier la qualité du travail des audités.

119

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CONCLUSION

120

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

CONCLUSION Un développement très différencié Reconnu dans le monde entier, enrichi par ses plus récents développements liés aux technologies de l’information, aux changements sociaux, culturels, à la mondialisation, l’audit interne connaît un nouveau rebondissement dû à la dimension qu’il a prise dans l’aide à la réalisation des performances. Parce qu’il intègre dans son processus toutes les diverses activités et les contrôles que l’entreprise réalise en interne et en externe, l’audit interne participe à la prise de décision de toute nature et ses appréciations déterminent entre autres :





Si les risques majeurs de l'entreprise sont identifiés et réduits au minimum. Si les réglementations externes ainsi que les politiques et procédures internes sont respectées. Si des critères d'exploitation satisfaisants sont remplis. Si les ressources sont utilisées de manière efficace et économique.

Ces contrôles ont pour but d’aider l'institution à atteindre effectivement ses objectifs. Toutes les institutions devraient en conséquence avoir une fonction d'audit interne. Outre ses avantages propres. Elle aide ses membres à remplir efficacement leurs fonctions et leur apporte assurance sur le fonctionnement de l’institution et des conseils pour l'améliorer. Cet élargissement de l’audit interne correspond à l’approche partenariale de la gouvernance d’entreprise exprimée dans la définition et au rôle qu’il joue réellement dans l’appréciation des risques. Avec le management des risques, l’audit interne vise non seulement la protection des ressources financières, humaines, image…mais également la continuité d’activité ou de service et enfin la conformité aux lois. La discipline concourt au fait à l’amélioration de la performance, en ce sens qu’elle vise à optimiser les ressources face aux risques. Les risques dans les entreprises changent de nature. Les processus dépendent de plus en plus des nouvelles technologies et systèmes d’information (causes de nouvelles vulnérabilité : virus, fuite d’informations confidentielle…) des cadres réglementaires, de la qualité du climat social, des exigences des clients… Tous ces éléments sont pris en considération et font que les démarches d’audit se développent dans le secteur privé, comme dans les entreprises publiques. Leur champ d’action est partout renforcé, étendu et adapté à des attentes toujours accrues...L’audit interne a donc évolué de manière très forte vers les risques opérationnels et a entraîné une montée en puissance des comités d’audit. Ceci se formule par la réforme opérée du contrôle financier sur les entreprises publiques, qui rejoint les normes et standards internationaux, et qui met l’accent, sur les recommandations visant notamment la mise en œuvre des instruments de gestion et l’institution des comités d’audit au sein de ces organismes.

121

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Confusion et ambiguïté Mais si la performance de la fonction audit interne est partout si évidente, les difficultés majeures rencontrées dans le secteur public, relatives à la gestion des risques et au contrôle interne le sont beaucoup moins et posent les questionnements suivants:




La démarche d’audit interne fait elle l’objet, dans les services des entreprises publiques, d’un accueil plutôt positif, voire d’un intérêt réel ? Est-ce que les dispositifs pour accompagner cette démarche de progrès sont mis en évidence ? Est ce qu’il n’y a pas une fusion confusion entre les dispositifs de contrôle interne, de l’audit interne et externe, de l’inspection notamment autour du management des risques ? Il est établi que le développement du contrôle interne avec le contrôle de gestion sont au cœur de la modernisation de la gestion publique et que l’ensemble des audits constitue la meilleure façon de les accompagner, chacun à sa façon et dans son rôle respectif.

Les concepts cependant de contrôle et d’audits, sont souvent objet de contresens, sans doute en raison de l’ambiguïté des termes, de leur définition, de leur finalité et de leurs dispositifs mis en place, par le management dans le même but ; maîtriser les activités, apporter dans leurs domaines une valeur ajoutée, et s’assurer que les objectifs de l’entreprise sont atteints. Les seules définitions peinent parfois à faciliter la compréhension des fonctions. La couverture complète des activités, par ailleurs, est souvent assurée par des entités d’audit externes et internes complémentaires. Ces facteurs ajoutent à la confusion des fonctions et confirment l’ambiguïté de la mission audit par rapport aux autres organes de contrôle. Les interférences dans les rôles suscitent encore plus d’incompréhension. Le mélange est constaté aussi dans les approches préventives, correctives ou répressives qui correspondent à chaque organe. Le contrôle de gestion, limité à un contrôle essentiellement budgétaire ou à des indicateurs de production et d’activité. Le contrôle interne apporte une meilleure maîtrise des activités. Au-delà de ses composantes formelles (procédures, instructions, organisation…) le contrôle interne est donc davantage un état d’esprit dont la finalité est la maîtrise des risques. L’audit interne exercé par une structure interne de l'entreprise, assez axé sur la performance, est orienté vers le management des risques, l’efficacité du contrôle interne et du contrôle de gestion, et vers la validation des informations produites sur les résultats et l’interprétation de la performance. L'audit externe aboutit à la certification ou au rejet des comptes annuels de l'entreprise confiée à un commissaire aux comptes. L’inspection vérifie et généralise les divers outils de contrôle dans les services et veille au respect de la réglementation et à la préservation des actifs. Ces fonctions - et chacune à part - sont des facteurs de progrès et les piliers de toute bonne gestion d'entreprise. Le contrôle interne, le contrôle de gestion et l’audit interne forment même un ensemble assez logique où les éléments se

122

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

confortent mutuellement… Une amélioration de l’un appelle une amélioration de l’autre. Les positionnements et les rôles inadéquats attribués, un sous dimensionnement de la fonction audit interne, une confusion dans les concepts, un niveau de maturité du contrôle interne peu avancé et un déficit managérial…. constituent le principal écueil pour l’appropriation des concepts d’audit interne dans l’entreprise publique. Parallèlement, en matière de mise en œuvre de la loi 69-00 et outre les instruments de gestion déjà mis en place, les pouvoirs publics ont toujours accordé au contrôle interne dans l'entreprise publique une importance de premier plan, qui leur fait obligation de mettre en place et de renforcer l'audit interne. Effectivement, au sein des entreprises s'est développée la nécessité de la mise en place d'un dispositif de contrôle interne efficient. A partir de ces mesures l'audit interne a commencé à se positionner dans les entreprises publiques marocaines. Mais son degré de développement demeure très différencié d'une entreprise à une autre et dans beaucoup de cas la fonction reste sous dimensionnée. Certaines entreprises publiques disposent d’une entité d’audit interne, dénommée ainsi, tandis que d’autres l’appellent audit et contrôle de gestion ou cellule d’audit. Dans d’autres organisations, elle est confinée dans d’autres fonctions notamment l’inspection ou le contrôle de gestion ou subordonnée à des services subalternes, alors que parmi les normes internationales qui régissent l’audit interne, celle relative au positionnement de la fonction revêt une importance primordiale, et celle qui régit l’auditeur le définit comme un évaluateur indépendant. Dans certains cas, l’institution d’un service d’audit interne se justifie, dans le seul but d’échapper au contrôle préalable obligatoire. Car si le secteur privé est tenu par sa seule politique de management qui lui édicte de créer ou non une cellule d’audit, le secteur public organisé réglementairement a pour obligation d’appliquer l’audit interne. Cette obligation légale s’est soldée, dans certains cas, par affecter la fonction audit interne à un service existant qui assume diverses tâches non toujours compatibles.

Lever les obstacles Même si une majorité d’organisations publiques déclarent disposer d’une fonction audit interne, elle n’est pas toujours tenue par un service dédié, mais par d’autres acteurs: le contrôle de gestion est le département le plus utilisé pour assurer la fonction d’audit interne.








Il s’agit donc pour l’audit interne, sur la base de ce constat, de pénétrer les organisations encore « hésitantes ». Il s’agit de bannir la méfiance à l’égard du contrôle. Il s’agit pour le haut management d’intégrer dans ses préoccupations la nécessité de mettre en place un audit interne performant qui répond aux normes de positionnement et de dimensionnement. Il s’agit de permettre à la maîtrise des risques de devenir un des premiers objectifs pour les entreprises publiques. Il s’agit aussi de valoriser la méthodologie d’application des valeurs de l’audit interne, de capitaliser les ressources.

123

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE












Il s’agit de la nécessité de renforcer la formation et le perfectionnement des membres des comités d’audit, des structures d’audit, pour lutter contre le déficit en auditeurs internes, dont souffre la plupart des entreprises marocaines, alors que les auditeurs internes constituent une population très mobile et difficile à fidéliser. Il s’agit de l’acquisition de nouvelles compétences qui devrait s’imposer à toutes les organisations soucieuses de créer de la valeur. Il s’agit de se réadapter à l’environnement de l’audit interne en constante évolution: compléter les compétences traditionnelles en matière d’audit par d’autres aptitudes adaptées à la démarche d’analyse par les risques, à l’audit interne en temps réel, aux innovations technologiques, à la gouvernance d’entreprise, aux principes d’éthique et de conformité, pour être en mesure de répondre aux enjeux d’aujourd’hui et aux enjeux de demain, dont les nouvelles réglementations. Il s’agit de disposer d’une autonomie budgétaire. Il s’agit surtout de créer les conditions, au-delà du cadre réglementaire, d’instaurer une dynamique et une culture de contrôle avérées, au sein des organismes publics.

La réforme de l’Etat axée sur la gestion de la performance, est une tendance probablement irréversible, déclenchée pour une série de raisons. L’entreprise publique doit prendre conscience qu’elle est confrontée à des exigences de clients, à une nécessaire mutation dans une démarche globale de qualité et vers un certain nombre de valeurs dont le souci de l’éthique, du développement durable, du sentiment citoyen. Cette prise de conscience est d’autant plus nécessaire dans un environnement économique particulièrement incertain où le rôle de l’audit interne prend sa véritable dimension majeure, de détection de risques critiques que les entreprises doivent obligatoirement limiter.


Il s'agit donc aussi pour les entreprises publiques de prévenir et maîtriser tout impact négatif sur les objectifs. C'est désormais sur un plan d'audit axé sur les risques que reposent les activités de l’audit interne.

Les périodes de crise et les climats de fortes incertitudes viennent rappeler combien est nécessaire le champ de compétence de l’audit interne. Ils montrent aussi que les processus de gestion des risques s’accentuent, gagnent en importance et font apparaître de nouvelles approches qui se répandent de plus en plus, dans le domaine de l’amélioration des performances pour accompagner l’audit interne.

De l’audit interne au risk manager Les nouvelles exigences ont également sensibilisé davantage les directions aux risques et à leur maîtrise. Ceci va à un abandon progressif d'une planification et d'une exécution des audits axées sur le contrôle, au profit d'une approche ciblant davantage les risques. Ce transfert de compétences oblige les auditeurs internes à revoir leur rôle qui nécessite de plus en plus une appréciation et une surveillance en temps réel. L’entreprise a suivi l’évolution, partant d’une évaluation ponctuelle à l’occasion d’une cartographie des risques vers une véritable gestion des risques, inscrite

124

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

dans la durée, qui a vu l’émergence d'une nouvelle discipline, le riskmanagement. Une autre unité organisationnelle, toute récente venue se charger d'évaluer les processus et d'apprécier les risques - même si cette tâche incombe à l'audit interne - pour en plus s’assumer dans la gestion du risque et son suivi. La fonction risk-management lancée un peu tardivement au Maroc, se veut située en parallèle de l'audit interne qui procède à son audit régulier, comme pour tous les autres processus, et dont c’est l’attribut. Le risk-management a introduit un nouveau concept, celui de «risque acceptable», poussant les entreprises à adopter des décisions de plus en plus risquées afin de mieux performer. Il n’agit pas nécessairement pour éviter les risques, il agit au fait pour manager les risques, arbitrer entre eux pour qu’ils ne soient pris que consciemment et volontairement. L’audit interne et le risk-management - même s’il est encore insuffisamment formalisé - représentent actuellement les premières sources et les fonctions essentielles des entreprises pour maîtriser et identifier leurs risques, mais aucune n’a la responsabilité de mise en œuvre des recommandations et des plans d’action qu’ils émettent : application des plans d’actions, choix des moyens… Le risk-management souligne aussi qu’il travaille de concert avec le contrôle interne, et insiste, comme l’audit, sur le lien existant avec les fonctions contrôle et gestion des risques. Il ressort comme une fonction d’expertise, d’accompagnement et de suivi, plutôt qu’un positionnement en gestion directe. Il apparaît, dans certaines sphères publiques, comme ajoutant à la confusion et à l’ambiguïté qui s’opère par rapport aux autres organes de contrôle, alors qu’elles n’ont toujours pas soumis leur gestion à l’audit interne. L’évidence est que les trois grandes fonctions (Contrôle interne, audit interne et risk-manager.) sont totalement distinctes, comme le recommandent d'ailleurs les grands pratiques et référentiels internationaux, notamment les cadres de contrôle les plus reconnus comme le COSO1 pour le contrôle interne, le COSO 2 pour le risk Management et les normes de l’IIA. La circulaire du 1er ministre de septembre de 1993 a - pour rappel – demandé la création de départements d’audit interne au sein des établissements publics à caractère industriel et commercial et décrété la soumission de tous les aspects de leur gestion à l’audit interne et externe. Il est encore tôt pour que la notion de risk-manager apparaisse dans ce cadre réglementaire.

Fonctions en devenir Des sociétés privées citent aujourd’hui l’existence dans leur organisation d’une fonction gestion des risques dédiée, indépendante dans son concept, à l’instar de l’auditeur. Les dirigeants des services publics tout en prenant conscience des risques opérationnels de leur entreprise n'ont pas tous atteint la maturité de créer une fonction dédiée et surtout d'entreprendre le véritable «projet d’entreprise» qui consiste à déployer le management des risques, en s’appuyant sur la fonction audit interne et encore moins celle de gestion des risques ou risk-management.

125

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Une politique efficace de management de risques doit être formalisée et reposer sur des rôles et des responsabilités bien définis en interne et des processus d’évaluation, de reporting et de surveillance. L’audit interne, le risk-management et leur mise en œuvre ne rendent pas les processus plus complexes. Les vrais freins demeurent la lourdeur administrative, le manque de ressources en interne, de gouvernance d’entreprise, le manque de structure du contrôle interne. L'audit interne est certes en pleine expansion, le risk-manager en devenir, les deux concepts constituent actuellement la meilleure parade pour se protéger des risques. Il faut juste expliciter leur champ réel d'action pour ne plus observer un embrouillement dans les concepts et pour que ne ressort plus cette confusion sur les périmètres, les rôles, les missions et les responsabilités… L’audit interne est une profession qui va encore plus se centrer sur les processus de gestion des risques, le risk- manager constitue le partenaire indispensable. Leurs apports communs, la conjugaison de leurs efforts entraînent des avantages et des bénéfices appréciables dans la gestion des risques : meilleure sensibilisation, identification plus rapide, amélioration certaine des performances des processus et des activités, une meilleure allocation des ressources et un renforcement de planification stratégique. Le management du risque prendra sûrement une importance capitale dans le quotidien de l’entreprise. Déjà on lui prédit de devenir une discipline de premier plan comme la finance, le marketing, les ressources humaines…Du fait que l’application sur le terrain, s’opère au Maroc, à un rythme encore trop lent, l’idéal serait que la réalité de la pratique de l’audit interne dans nos entreprises publiques…puisse un jour correspondre à celle observée dans les pays avancés. Les efforts que nous fournissons tous intervenants, auditeurs, chercheurs, experts et managers doivent tendre à démystifier l’aspect contraignant qui peut peser sur le renforcement des mécanismes de contrôle interne, en aidant au développement de mise en place de services d’audit interne structurés. Ce travail ou son apport espère contribuer à accompagner les démarches, lever quelques ambiguïtés, présenter les référentiels et les bonnes pratiques, fournir des éléments clé de la méthodologie à mettre en œuvre, éclairer sur les difficultés spécifiques à l’environnement de l’entreprise publique et de l’audit interne…En somme faciliter la mise en place d’une cellule dédiée d’audit interne dans l’entreprise publique.

126

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

LISTE DES ANNEXES

1- LOI 69-00 2- NORMES INTERNATIONALE D’AUDIT INTERNE 3- MODELE DE CHARTE D’AUDIT INTERNE 4- MODELES DE TYPOLOGIE DES RISQUES 5- EXEMPLE DE CONTENU DE DOSSIER D’AUDIT INTERNE 6- EXEMPLE DE LETTRE DE MISSION 7- EXEMPLE DE PRESENTATION POUR UNE REUNION D’OUVERTURE 8- EXEMPLE DE PROGRAMME DE TRAVAIL 9- EXEMPLE DE PRESENTATION POUR UNE REUNION DE CLOTURE 10- EXEMPLES DE RAPPORTS D’AUDIT 11- TABLE DE NIVEAU 12- TABLE DE NOMBRES AU HASARD 13- DIAGRAMME DE CIRCULATION - FLOW-CHART

127

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 1 : Loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises publiques et autres organismes Chapitre premier : De la mission du contrôle financier de l'Etat Article premier : Généralités et définitions Au sens de la présente loi, on entend par : - organismes publics : l'Etat, les collectivités locales et les établissements publics ; - sociétés d'Etat : les sociétés dont le capital est détenu en totalité par des organismes publics ; - filiales publiques : les sociétés dont le capital est détenu à plus de la moitié par des organismes publics ; - sociétés mixtes : les sociétés dont le capital est détenu au plus à hauteur de 50% par des organismes publics ; - entreprises concessionnaires : les entreprises chargées d'un service public en vertu d'un contrat de concession dont l'Etat est l'autorité contractante. Le capital détenu s'entend de la participation directe ou indirecte, exclusive ou conjointe, des organismes publics. Article 2 : Mission du contrôle financier Le contrôle financier de l'Etat est exercé sur les établissements publics, sociétés et entreprises visés à l'article premier ci-dessus, a priori ou a posteriori, selon leur forme juridique et les modalités de leur gestion et ce, dans les conditions prévues par la présente loi ainsi que sur les organismes soumis au contrôle financier de l'Etat en vertu d'une loi particulière. Ce contrôle a pour objet, selon les cas : - d'assurer le suivi régulier de la gestion des organismes soumis au contrôle financier ; - de veiller à la régularité de leurs opérations économiques et financières au regard des dispositions légales, réglementaires et statutaires qui leur sont applicables ; - d'apprécier la qualité de leur gestion, leurs performances économiques et financières ainsi que la conformité de leur gestion aux missions et aux objectifs qui leur sont assignés ; - d'œuvrer à l'amélioration de leurs systèmes d'information et de gestion ; - de centraliser et analyser les informations relatives au portefeuille de l'Etat et à ses performances économiques et financières. Chapitre Il : Du champ et des types de contrôle Article 3 : Contrôle des établissements publics Les établissements publics sont soumis à un contrôle préalable qui est exercé par le ministre chargé des finances, un contrôleur d'Etat et un trésorier payeur, conformément aux articles 7, 8, 9 et 10 ci-dessous. Toutefois, les établissements publics qui répondent aux conditions prévues aux articles 17 ou 18 ci-dessous sont soumis, par dérogation à l'alinéa ci-dessus, au contrôle d'accompagnement prévu au chapitre IV de la présente loi. La liste des établissements publics soumis au contrôle préalable ou au contrôle d'accompagnement est fixée et révisée périodiquement par décret. Elle est jointe aux documents annexés au projet de loi de finances lors de sa présentation au Parlement. Article 4 : Contrôle des sociétés d'Etat à participation directe Les sociétés d'Etat dans lesquelles l'Etat ou une collectivité locale détient une participation directe sont soumises à un contrôle d'accompagnement qui est exercé par le ministre chargé des finances et un contrôleur d'Etat conformément aux dispositions du chapitre IV de la présente loi. Article 5 : Contrôle des sociétés d'Etat à participation indirecte et des filiales publiques Les sociétés d'Etat dans lesquelles I'Etat ou une collectivité locale ne détient pas une participation directe ainsi que les filiales publiques peuvent être soumises à un contrôle

128

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

conventionnel exercé par un commissaire du gouvernement conformément aux dispositions du chapitre V de la présente loi. Article 6 : Contrôle des entreprises concessionnaires Les entreprises concessionnaires sont soumises à un contrôle financier qui est défini dans le contrat de concession et exercé par un commissaire du gouvernement nommé auprès de l'entreprise concessionnaire. Chapitre III : Des modalités d'exercice du contrôle préalable Article 7 : Actes soumis à l'approbation du ministre chargé des finances Les décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des finances : - les budgets ; - les états prévisionnels pluriannuels ; - le statut du personnel ; - l'organigramme fixant les structures organisationnelles et leurs attributions ; - le règlement fixant les règles et modes de passation des marchés ; - les conditions d'émission des emprunts et de recours aux autres formes de crédits bancaires, telles qu'avances ou découverts ; - l'affectation des résultats. Sauf dérogation accordée par le ministre chargé des finances, les fonds disponibles des établissements publics sont déposés au Trésor. Article 8 : Organisation financière et comptable des établissements publics En application des dispositions de l'article 3 ci-dessus, le ministre chargé des finances fixe les modalités d'application de la présente loi, par établissement ou groupe d'établissements publics et arrête, à cette fin, les procédures de préparation, d'adoption et de visa des budgets et états prévisionnels pluriannuels, les modalités de tenue de la comptabilité de l'ordonnateur, les diligences devant être effectuées par le contrôleur d'Etat ainsi que les registres et autres supports devant être tenus par le trésorier payeur. Les budgets visés à l'article 7 ci-dessus sont les actes par lesquels sont prévus, chiffrés et autorisés, au titre de l'exercice suivant, les opérations d'exploitation, de financement, de trésorerie et les investissements. Ils comportent notamment un budget d'exploitation ou de fonctionnement, un budget d'investissement ou d'équipement et un plan de financement. Ils sont détaillés selon le plan de comptes de l'organisme. Le directeur de l'établissement public ou la personne habilitée est l'ordonnateur du budget. Il est chargé d'engager, de liquider et d'ordonnancer les opérations prévues dans le budget. Il est soumis, à ce titre, à la législation relative à la responsabilité des ordonnateurs. Article 9 : Le contrôleur d'Etat Le contrôleur d'Etat assiste, avec voix consultative, aux séances du conseil d'administration ou de l'organe délibérant ainsi qu'aux réunions des commissions ou comités constitués en application des dispositions législatives, réglementaires, statutaires ou conventionnelles relatives à l'organisme contrôlé. Il dispose d'un droit de communication permanent tant auprès de l'organisme que de ses filiales et participations et peut effectuer, à tout moment, sur pièces et sur place, toutes vérifications et tous contrôles qu'il juge opportuns et peut se faire communiquer toutes les pièces qu'il estime utiles à l'exercice de sa mission telle que définie à l'article 2 cidessus et notamment tous contrats, livres, documents comptables, registres et procèsverbaux. Il peut obtenir, sous couvert du ministre chargé des finances, toutes informations utiles à l'exercice de sa mission auprès des tiers qui ont accompli des opérations avec l'organisme. Le contrôleur d'Etat dispose, dans la limite des seuils fixés par le ministre chargé des finances, d'un pouvoir de visa préalable sur les acquisitions immobilières, tous contrats ou conventions de travaux, de fournitures et de services ainsi que sur l'octroi de subventions et dons. Il exerce également un droit de visa préalable des actes de gestion du personnel dans les établissements publics ne disposant pas d'un statut du personnel approuvé dans les conditions visées à l'article 7 ci-dessus. Les seuils visés au présent

129

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

alinéa sont déterminés selon l'importance de l'organisme et en fonction du nombre d'opérations concernées et de leur montant. En cas de refus de visa, le ministre chargé des finances décide en dernier ressort. Le contrôleur d'Etat peut, également, donner son avis sur toute opération relative à la gestion de l'organisme, à l'occasion de l'exercice de ses fonctions et qu'il fait connaître par écrit, selon le cas, au ministre chargé des finances, au président du conseil d'administration ou de l'organe délibérant ou à la direction. Il rend compte de sa mission dans un rapport annuel qu'il adresse au ministre chargé des finances et qui est soumis au conseil d'administration ou à l'organe délibérant. Article 10 : Le trésorier payeur Le trésorier payeur en tant que comptable public est responsable de la régularité des opérations de dépenses, tant au regard des dispositions légales et réglementaires, que des dispositions statutaires et budgétaires de l'organisme. Il doit s'assurer que les paiements sont faits au véritable créancier, sur un crédit disponible et sur présentation de pièces régulières établissant la réalité des droits du créancier et du service fait. Toutefois, la responsabilité du trésorier payeur est dégagée lorsque, après avoir adressé un rejet motivé au directeur de l'organisme, il est requis par ce dernier de viser un moyen de paiement. Il est tenu de se conformer à cette réquisition qu'il annexe à l'ordre de paiement. Il en avise sans délai le ministre chargé des finances. Le trésorier payeur signe, conjointement avec le directeur ou la personne habilitée de l'organisme, les moyens de paiement tels que chèques, virements et effets de commerce. Pour les établissements publics gérant des régimes de retraite et de prévoyance sociale, des arrêtés du ministre chargé des finances préciseront, pour chaque organisme, les limites des attributions du trésorier payeur. Le trésorier payeur peut être habilité, par arrêté du ministre chargé des finances, à effectuer un contrôle des recettes. Chapitre IV : Des modalités d'exercice du contrôle d'accompagnement Article 11 : Le ministre chargé des finances Les décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des finances ; - les budgets ; - les états prévisionnels pluriannuels ; - l'affectation des résultats. Toutefois, les budgets des établissements publics qui ne reçoivent pas de subvention de l'Etat, deviennent définitifs dès leur approbation par le conseil d'administration ou l'organe délibérant à l'unanimité de ses membres. Article 12 : Le contrôleur d'Etat Le contrôleur d'Etat accomplit les attributions prévues aux alinéas 1, 2, 3, 6 et 7 de l'article 9 ci-dessus. En outre, il apprécie la conformité de la gestion de l'organisme à la mission et aux objectifs qui lui sont assignés ainsi que les performances économiques et financières dudit organisme. Lorsque de graves insuffisances sont constatées par le conseil d'administration ou l'organe délibérant, le contrôleur d'Etat, le comité d'audit ou par tout organe de contrôle compétent, dans la gestion de l'organisme soumis au contrôle, le ministre chargé des finances peut habiliter, par décision, le contrôleur d'Etat à exercer un droit de visa préalable sur certains actes limitativement définis et pour une durée déterminée renouvelable une ou plusieurs fois jusqu'à redressement de la situation. Le contrôleur d'Etat soumet, à cet effet, un rapport motivé au conseil d'administration ou à l'organe délibérant, en vue de prendre les mesures nécessaires pour le redressement de la situation. Article 13 : Les instruments de gestion Les organismes soumis au contrôle d'accompagnement doivent se doter des instruments de gestion définis à l'article 17 ci-dessous dûment approuvés par le conseil d'administration ou l'organe délibérant.

130

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Article 14 : Le comité d'audit Les organismes soumis au contrôle d'accompagnement doivent instituer un comité d'audit. Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre membres nommés par le conseil d'administration ou par l'organe délibérant parmi les membres non-dirigeants ou de mandataires nommément désignés par eux à cet effet. Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la régularité des opérations, la qualité de l'organisation, la fiabilité et la bonne application du système d'information ainsi que les performances de l'organisme. Il a pour mission de faire prescrire et réaliser, aux frais de l'organisme, les audits internes et externes ainsi que les évaluations qui lui paraissent nécessaires. Il peut, en outre, inviter tout expert indépendant à participer à ses travaux. Le comité d'audit adresse directement au directeur de l'organisme un rapport retraçant le résultat de chaque intervention effectuée ainsi que les recommandations qu'il estime utiles pour l'amélioration de la gestion et la maîtrise des risques économiques et financiers de l'organisme. Ce rapport est soumis au conseil d'administration ou à l'organe délibérant. Chapitre V : Des modalités d'exercice du contrôle conventionnel Article 15 : Convention de contrôle Peuvent être soumises au contrôle conventionnel : - les filiales publiques à participation directe majoritaire de l'Etat ou d'une collectivité locale à travers une convention de contrôle à conclure avec l'Etat dont le suivi est assuré par un commissaire du gouvernement nommé auprès de la filiale publique ; - les filiales publiques autres que celles visées au paragraphe ci-dessus et les sociétés d'Etat dans lesquelles l'Etat ou une collectivité locale ne détient pas une participation directe, dans le cadre d'une convention de contrôle à conclure avec l'entreprise mère dont le suivi est assuré par le commissaire du gouvernement nommé auprès de la filiale publique ou la société d'Etat. L'entreprise mère, prévue au présent article, doit conclure, avec chacune des filiales publiques et sociétés d'Etat visées au paragraphe ci-dessus, une convention approuvée par leurs conseils d'administration ou organes délibérants respectifs qui détermine les modalités de contrôle que l'entreprise mère doit exercer sur lesdites filiales publiques et sociétés d'Etat. Au sens du présent article, l'entreprise mère est celle qui détient le plus fort pourcentage du capital public au sein de la société d'Etat ou de la filiale publique. La convention de contrôle doit comporter les obligations de la société d'Etat ou de la filiale publique contractante notamment en ce qui concerne les actes à soumettre à l'autorisation préalable de son conseil d'administration ou celui de son entreprise mère, les comités devant être créés auprès de son conseil d'administration, les procédures de contrôle interne à mettre en place ainsi que les informations à communiquer à l'entreprise mère. Article 16 : Le commissaire du gouvernement Le commissaire du gouvernement accomplit les attributions prévues aux alinéas 1, 2, 3 et 6 de l'article 9 ci-dessus. Il établit un rapport annuel sur l'état d'exécution de la convention visée à l'article 15 cidessus qu'il adresse au ministre chargé des finances qui est soumis au conseil d'administration ou à l'organe délibérant. Chapitre VI : De l'application du contrôle d'accompagnement aux établissements publics et des contrats de programme Article 17 : Etablissements publics soumis au contrôle d'accompagnement Sont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les établissements publics justifiant de la mise en œuvre effective d'un système d'information, de gestion et de contrôle interne, comportant, notamment, les instruments suivants, dûment approuvés par le conseil d'administration ou l'organe délibérant : - un statut du personnel fixant en particulier les conditions de recrutement, de rémunération et de déroulement de carrière du personnel de l'établissement ;

131

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

- un organigramme fixant les structures organisationnelles de gestion et d'audit interne de l'établissement ainsi que leurs fonctions et attributions ; - un manuel décrivant les procédures de fonctionnement des structures et de contrôle interne de l'établissement ; - un règlement fixant les conditions et formes de passation des marchés ainsi que les modalités relatives à leur gestion et à leur contrôle ; - une comptabilité permettant l'établissement d'états de synthèse réguliers, sincères et certifiés, sans réserves significatives, par un ou plusieurs auditeurs externes habilités à exercer la profession de commissaire aux comptes ; - un plan pluriannuel couvrant une période d'au moins trois ans, actualisé annuellement, devant comporter, notamment, par activité et sous forme consolidée, les programmes physiques et les projections économiques et financières ; - un rapport annuel de gestion établi par le directeur de l'établissement. Les modalités et formes d'établissement de ces instruments sont fixées par le ministre chargé des finances. Article 18 : Contrats de programme Sont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les établissements publics liés à l'Etat par des contrats de programme. Les établissements publics et sociétés d'Etat soumis au contrôle d'accompagnement et liés à l'Etat par des contrats de programme sont dispensés de l'approbation préalable des actes prévus aux articles 7 et 11 de la présente loi. Les contrats de programme sont conclus entre d'une part l'Etat et d'autre part les établissements publics ou les sociétés d'Etat ou les filiales publiques dans lesquelles l'Etat ou une collectivité locale détient une participation directe, lorsque l'importance et la nature de leur activité le justifient. Les contrats de programme définissent, pour une période pluriannuelle, notamment les engagements de l'Etat et de l'organisme contractant, les objectifs techniques, économiques et financiers assignés à l'organisme et les moyens pour les atteindre ainsi que les modalités de suivi de leur exécution. Les contrats de programme sont signés, au nom de l'Etat, conjointement par le ministre de tutelle et le ministre chargé des finances et, pour l'organisme, par le président du conseil d'administration ou de l'organe délibérant ou par le directeur s'il reçoit délégation dudit conseil ou organe. Chapitre VII : Des obligations des organismes soumis au contrôle financier de l'Etat Article 19 : Appel à la concurrence Les établissements publics et les sociétés d'Etat sont tenus pour l'exécution de leurs dépenses aussi bien que pour la réalisation de leurs produits, sauf exception justifiée, de faire appel à la concurrence, en vue d'assurer la transparence dans les choix du maître d'ouvrage, l'égalité d'accès aux commandes de l'organisme ainsi que l'efficacité des dépenses et l'optimisation des recettes de l'organisme. Article 20 : Obligations à l'égard du ministre chargé des finances Dans les six mois suivant la clôture de l'exercice, les établissements publics, les sociétés d'Etat, les filiales publiques et les entreprises concessionnaires doivent communiquer, au ministre chargé des finances, les documents suivants : - les états de synthèse annuels ou les comptes annuels ; - le rapport annuel de gestion ; - l'état de répartition du capital social pour les sociétés d'Etat et les filiales publiques ; - le rapport des commissaires aux comptes ou des auditeurs externes pour les organismes soumis à l'obligation d'audit ; - les comptes consolidés, l'état des filiales et participations, le cas échéant, pour les établissements publics, les sociétés d'Etat et les filiales publiques. Ils doivent répondre, en outre, à toute demande d'information d'ordre technique, économique et financier, émanant du ministre chargé des finances, dans le mois suivant la réception de cette demande.

132

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Dans les six mois suivant la clôture de l'exercice, les sociétés mixtes visées à l'article premier de la présente loi doivent adresser au ministre chargé des finances les documents suivants : - les états de synthèse annuels ; - l'état des filiales et participations ; - l'état de répartition du capital social. Le ministre chargé des finances exerce les droits et pouvoirs revenant à l'Etat, en sa qualité d'actionnaire, dans les sociétés soumises au contrôle financier. Autres obligations Les comptes annuels des établissements publics font l'objet de publication au Bulletin officiel selon les formes arrêtées par décret. Chapitre VIII : Des Obligations des agents chargés du contrôle financier Article 21 : Le contrôleur d'Etat et le commissaire du gouvernement Les fonctions du contrôleur d'Etat et du commissaire du gouvernement sont incompatibles avec tout mandat d'administrateur représentant l'Etat aux conseils d'administration ou organes délibérants des établissements publics, sociétés et entreprises visés à l'article premier de la présente loi. Ils sont tenus aux règles du secret professionnel sur toutes les informations dont ils disposent à l'occasion de l'exercice de leurs fonctions. Le secret professionnel ne peut être opposé aux auxiliaires de la justice, agissant dans le cadre de leurs fonctions. Article 22 : Le trésorier payeur Le trésorier payeur et ses fondés de pouvoirs sont tenus aux règles du secret professionnel sur toutes les informations dont ils disposent à l'occasion de l'exercice de leurs fonctions. Le secret professionnel ne peut être opposé aux auxiliaires de la justice, agissant dans le cadre de leurs fonctions. Chapitre IX : Dispositions diverses et transitoires Article 23 : Exclusions A l'exception de l'article 20 ci-dessus, n'entrent pas dans le champ d'application de la présente loi, les organismes suivants qui demeurent soumis aux contrôles prévus par les textes qui les régissent : - Bank Al-Maghrib ; - la Caisse de dépôt et de gestion - les établissements et sociétés régis par le dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l'exercice de l'activité des établissements de crédit et de leur contrôle ; - les entreprises régies par la législation relative à l'assurance et la réassurance ; - les établissements publics qui, à la date de publication de la présente loi, n'étaient pas soumis aux dispositions du dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960) organisant le contrôle financier de l'Etat sur les offices, établissements publics et sociétés concessionnaires ainsi que sur les sociétés et organismes bénéficiant du concours financier de l'Etat ou de collectivités publiques. Article 24 : Abrogations La présente loi abroge toutes dispositions législatives relatives au même objet en vigueur à la date de sa publication, notamment : - le dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960) organisant le contrôle financier de l'Etat sur les offices, établissements publics et sociétés concessionnaires ainsi que sur les sociétés et organismes bénéficiant du concours financier de l'Etat ou de collectivités publiques ; - le dahir n° 1-62-113 du 16 safar 1382 (19 juillet 1962) relatif au statut des personnels de diverses entreprises ; - le dahir n° 1-63-012 du 12 ramadan 1382 (6 février 1963) sur les conditions de dépôt des fonds disponibles des établissements publics et des sociétés concessionnaires.

133

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 2 : Normes Professionnelles de l’Audit Interne Applicables au 1er janvier 2009 NORMES DE QUALIFICATION 1000 - Mission, pouvoirs et responsabilités La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la Direction Générale et du Conseil. 1000.A1 - La nature des missions d'assurance réalisées pour l'organisation doit être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature doit être également définie dans la charte d'audit interne. 1000.C1 - La nature des missions de conseil doit être définie dans la charte d'audit interne. 1010 - Reconnaissance de la Définition de l’Audit Interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interne Le caractère obligatoire de la Définition de l'Audit Interne, du Code de Déontologie ainsi que des Normes doit être reconnu dans la charte d'audit interne. Le responsable de l’audit interne présente la Définition de l’Audit Interne, le Code de Déontologie ainsi que les Normes à la Direction Générale et au Conseil. 1100 - Indépendance et objectivité L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité. 1110 - Indépendance dans l'organisation Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation. 1110.A1 -- L'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats. 1111 - Relation directe avec le Conseil Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. 1120 – Objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt. 1130 – Atteinte à l'indépendance et à l'objectivité Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.

134

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente. 1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne. 1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées à des opérations dont ils ont été auparavant responsables. 1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont susceptibles d'être compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le client donneur d'ordre avant de les accepter. 1200 - Compétence et conscience professionnelle Les missions doivent être conduites avec compétence et conscience professionnelle. 1210 – Compétence Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. 1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission. 1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes. 1210.A3 - Les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en oeuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique. 1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseil ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de la mission. 1220 – Conscience professionnelle Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité. 1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique professionnelle en prenant en considération les éléments suivants : • l'étendue du travail nécessaire pour atteindre les objectifs de la mission ; • la complexité relative, la matérialité ou le caractère significatif des domaines • auxquels sont appliquées les procédures propres aux missions d'assurance ; • l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de • management des risques et de contrôle ; • la probabilité d'erreurs significatives, de fraudes ou de non-conformité; • le coût de la mise en place des contrôles par rapport aux avantages escomptés.

135

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse des données. 1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard des risques significatifs susceptibles d'affecter les objectifs, les opérations ou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés. 1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute leur conscience professionnelle, en prenant en considération les éléments suivants : • les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication des résultats de la mission ; • la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les objectifs fixés ; • son coût par rapport aux avantages escomptés. 1230 – Formation professionnelle continue Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue. 1300 - Programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne. 1310 – Exigences du programme d'assurance et d'amélioration qualité Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu’externes. 1311 – Évaluations internes Les évaluations internes doivent comporter : - une surveillance continue de la performance de l'audit interne ; - des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne. 1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : - du besoin d'augmenter la fréquence de ces évaluations externes ; - des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. 1320 – Rapports relatifs au programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et d'amélioration qualité à la Direction Générale ainsi qu’au Conseil. 1321 – Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.

1322 – Indication de non-conformité

136

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Quand la non-conformité de l’activité d’audit interne avec la Définition de l’Audit Interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la Direction Générale et le Conseil de cette non-conformité et de ses conséquences.

NORMES DE FONCTIONNEMENT 2000 - Gestion de l'audit interne Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à l’organisation. 2010 – Planification Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation. 2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la Direction Générale et du Conseil doivent être pris en compte dans ce processus. 2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne, avant de l'accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées doivent être intégrées dans le plan d'audit. 2020 – Communication et approbation Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources. 2030 – Gestion des ressources Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé. 2040 – Règles et procédures Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne. 2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. 2060 – Rapports à la Direction Générale et au Conseil Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte : - de l’exposition aux risques significatifs (y compris des risques de fraude) et des - contrôles correspondants ; - des sujets relatifs au gouvernement d’entreprise et ; - de tout autre problème répondant à un besoin ou à une demande de la Direction Générale ou du Conseil.

2100 - Nature du travail

137

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des risques et de contrôle et contribuer à leur amélioration sur la base d’une approche systématique et méthodique. 2060 – Gouvernement d'entreprise L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : - promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; - garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; - communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; - fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités. 2110.A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité des objectifs, des programmes et des activités de l'organisation liés à l'éthique. 2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information de l’organisation soutient et supporte la stratégie et les objectifs de l’organisation. 2110.C1 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs et objectifs généraux de l'organisation. 2120 – Management des risques L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration. 2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de: • la fiabilité et l'intégrité des informations financières et opérationnelles ; • l'efficacité et l'efficience des opérations ; • la protection des actifs ; • le respect des lois, règlements et contrats. 2120.A2 - L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est géré par l’organisation. 2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir les risques liés aux objectifs de la mission et demeurer vigilant vis-à-vis de l’existence de tout autre risque susceptible d’être significatif. 2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques acquises lors de missions de conseil pour évaluer les processus de management des risques de l'organisation. 2120.C3 - Lorsque les auditeurs internes aident le management dans la conception et l’amélioration des processus de management des risques, ils doivent s’abstenir d’assumer une responsabilité opérationnelle en la matière. 2130 – Contrôle L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. 2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants: • la fiabilité et l'intégrité des informations financières et opérationnelles ; • l'efficacité et l'efficience des opérations ; • la protection des actifs ; • le respect des lois, règlements et contrats.

138

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2130.A2 – Les auditeurs internes devraient déterminer dans quelle mesure des buts et objectifs concernant les opérations et les programmes ont été définis et si ces buts et objectifs sont conformes à ceux de l'organisation. 2130.A3 – Les auditeurs internes devraient passer en revue les opérations et les programmes afin de déterminer dans quelle mesure les résultats suivent les buts et objectifs établis et si ces opérations et programmes sont mis en oeuvre ou réalisés comme prévu. 2130.C1 – Au cours des missions de conseil, les auditeurs internes doivent examiner les dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'existence de tout problème de contrôle significatif. 2130.C2 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de contrôle de l’organisation. 2200 - Planification de la mission Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées. 2201 – Considérations relatives à la planification Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : - les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; - les risques significatifs liés à l'activité, ses objectifs, les ressources mises en oeuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable ; - la pertinence et l'efficacité des processus de management des risques et de contrôle de l'activité, en référence à un cadre ou modèle de contrôle approprié ; - les opportunités d'améliorer de manière significative les processus de management des risques et de contrôle de l'activité. 2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation, les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la mission, les responsabilités et les attentes respectives, et préciser les restrictions à observer en matière de diffusion des résultats de la mission et d'accès aux dossiers. 2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet accord doit être formalisé. 2210 – Objectifs de la mission Les objectifs doivent être précisés pour chaque mission. 2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation. 2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de non-conformité et d’autres risques importants. 2210.A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle. Les auditeurs internes doivent déterminer dans quelle mesure le management a défini des critères adéquats pour apprécier si les objectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler avec le management pour élaborer des critères d'évaluation appropriés. 2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus de gouvernement d'entreprise, de management des risques et de contrôle dans la limite convenue avec le client. 2220 – Champ de la mission

139

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Le champ doit être suffisant pour répondre aux objectifs de la mission. 2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers. 2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser les objectifs et le champ de la mission de conseil, les responsabilités et les attentes respectives. Les résultats de la mission de conseil sont communiqués conformément aux normes applicables à ces missions. 2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ d'intervention permet de répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission. 2230 – Ressources affectées à la mission Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles. 2240 – Programme de travail de la mission Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission. 2240.A1 – Le programme de travail doit faire référence aux procédures à appliquer pour identifier, analyser, évaluer et documenter les informations lors de la mission. Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajustements éventuels doivent être approuvés rapidement. 2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de la mission. 2300 - Accomplissement de la mission Les auditeurs internes doivent identifier, analyser, évaluer informations nécessaires pour atteindre les objectifs de la mission.

et

documenter

les

2310 – Identification des informations Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. 2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. 2330 – Documentation des informations Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la Direction Générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. 2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre. 2330.C1 – Le responsable de l'audit interne doit définir des procédures concernant la protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre appropriée.

140

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2340 – Supervision de la mission Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué. 2400 - Communication des résultats Les auditeurs internes doivent communiquer les résultats de la mission. 2410 – Contenu de la communication La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. 2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion globale des auditeurs internes et/ou leurs conclusions. 2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la communication des résultats de la mission. 2410.A3 – Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant pas partie de l'organisation, les documents communiqués doivent préciser les restrictions à observer en matière de diffusion et d'exploitation des résultats. 2410.C1 – La communication sur l'avancement et les résultats d'une mission de conseil variera dans sa forme et son contenu en fonction de la nature de la mission et des besoins du client donneur d'ordre. 2420 – Qualité de la communication La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile. 2421 – Erreurs et omissions Si une communication finale contient une erreur ou une omission significative, le responsable de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la version initiale. 2430 –Utilisation de la mention « conduit conformément aux Normes internationales pour la pratique professionnelle de l’audit interne » Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites conformément aux Normes internationales pour la pratique professionnelle de l’audit interne» seulement si les résultats du programme d’assurance et d’amélioration qualité le démontrent. 2431 – Indication de non-conformité Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie ou aux Normes, la communication des résultats doit indiquer : - les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec lesquelles la mission n’a pas été en conformité ; - la ou les raisons de la non-conformité ; - l'incidence de la non-conformité sur la mission et sur les résultats communiqués. 2440 – Diffusion des résultats Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. 2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs aux destinataires à même de garantir que ces résultats recevront l'attention nécessaire. 2440-A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant pas partie de l'organisation : • évaluer les risques potentiels pour l'organisation ; • consulter la Direction Générale et/ou, selon les cas, un conseil juridique ;

141

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

•

maîtriser la diffusion en imposant des restrictions quant à l'utilisation des résultats. 2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs des missions de conseil à son client donneur d'ordre. 2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux processus de gouvernement d'entreprise, de management des risques et de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour l'organisation, ils doivent être communiqués à la Direction Générale et au Conseil. 2500 - Surveillance des actions de progrès Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management. 2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en oeuvre par le management ou que la Direction Générale a accepté de prendre le risque de ne rien faire. 2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions de conseil conformément à l'accord passé avec le client donneur d'ordre. 2600 - Acceptation des risques par la Direction Générale Lorsque le responsable de l'audit interne estime que la Direction Générale a accepté un niveau de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec elle. Si aucune décision concernant le risque résiduel n’est prise, le responsable de l’audit interne doit soumettre la question au Conseil aux fins de résolution.

142

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 3 : MODELE DE CHARTE D’AUDIT INTERNE La présente charte définit et précise la mission, les pouvoirs et les responsabilités de l’audit interne au sein de « nom de l’organisation ». Les droits et devoirs des auditeurs et audités, sont également définis afin de garantir le respect des règles éthiques, déontologiques et organisationnelles applicables au sein de « nom de l’organisation ». Cette charte d’audit interne se réfère aux Normes Internationales pour la pratique professionnelle de l’audit interne. L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcés leur efficacité. Le rôle et les responsabilités de l’audit interne Le service d’audit interne procède à l’évaluation des processus de gouvernement d’entreprise, de management des risques et de contrôle, tels qu’ils sont définis au sein de « nom de l’organisation ». Par ses propositions, il contribue à leur amélioration et à l’optimisation des performances globales de l’organisation. Les missions de l’audit interne permettent notamment de : • Identifier et maitriser les risques par une approche structurée et focalisée sur les enjeux de « nom de l’organisation » et de ses métiers. • Evaluer la pertinence et l’efficacité de ces processus par rapport à leur conformité avec les règles, normes, procédures, lois et réglementations en vigueur. • Evaluer la maitrise des processus opérationnels, fonctionnels ainsi que la réalisation des opérations au regard des préoccupations de l’organisation, en matière stratégique, opérationnelle et financière. • Vérifier l’intégrité, la fiabilité, l’exhaustivité et la traçabilité des informations produites (comptables, financières, de gestion…). • Proposer des axes d’amélioration ou de progrès pour l’organisation. • Participer, le cas échéant, à certaines missions de conseil demandées par la direction générale. Le rattachement et l’organisation de l’audit interne Le service d’audit interne est rattaché hiérarchiquement à la direction générale et de façon fonctionnelle au comité d’audit. Afin d’assurer l’indépendance du service d’audit interne, le responsable de l’audit interne a un accès libre au conseil et/ou au comité d’audit. Le responsable de l’audit interne rend compte annuellement aux organes dirigeants du niveau global de maitrise des opérations et des problèmes significatifs constatés au niveau des processus de management des risques, de contrôle et de gouvernement d’entreprise de l’organisation et de ses filiales ou aux améliorations potentielles de ces processus. Le responsable de l’audit interne communique régulièrement à la direction générale et au conseil les informations sur le degré d’avancement et les résultats du plan d’audit annuel et sur le caractère suffisant des ressources du département.

Le périmètre de l’audit interne

143

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Le périmètre d’intervention du service d’audit interne s’étend à l’ensemble de l’organisation et de ses filiales, sur le territoire…ainsi qu’à l’étranger (« à adapter en fonction des prérogatives confiées au service d’audit interne dans l’organisation »). Pour assurer une bonne exécution de sa mission et conformément à son indépendance, le service d’audit interne intervient sur la base d’une planification dont il a l’initiative et qui prend en compte les requêtes spécifiques qui lui sont adressées par les dirigeants. Il intervient dans tous les domaines ou processus administratifs, comptables et financiers, fonctionnels ou opérationnels. Le responsable et l’équipe d’audit interne ne sont pas autorisés à accomplir des tâches opérationnelles pour l’organisation ou ses filiales. La coopération avec les audités Les services opérationnels et fonctionnels de l’organisation susceptibles d’être audités, doivent mettre à disposition du service d’audit interne l’ensemble des informations, documents, locaux, biens et personnes qui ont un rapport direct ou indirect avec l’objet de la mission d’audit. Les documents et les informations confiés à l’audit interne durant les missions seront traités avec le niveau de confidentialité et d’intégrité requis. Le code de conduite des auditeurs internes Conformément au Code de Déontologie de l’IIA (www.ifaci.com), il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants : • Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. • Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. • Confidentialité : Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. • Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation de leurs travaux. Le déroulement d’une mission d’audit interne Un plan d’audit prévoyant les missions récurrentes et spécifiques à réaliser est établi annuellement par le service d’audit interne. Il s’appuie sur une analyse des risques de l’organisation. La réalisation d’une mission d’audit se décompose en plusieurs phases : • Une lettre de mission est établie avant toute intervention. Cette lettre est adressée au responsable de l’entité ou du service audité. Elle définit le cadre de la mission et précise les éléments nécessaires à une compréhension réciproque entre l’auditeur et les services audités (objet, cadre, date et durée de la mission). Cette lettre permet de simplifier l’organisation de la mission et notamment de faire coïncider son planning de travail avec celui de l’auditeur interne. Les rencontres et réunions nécessaires à la réalisation de la mission seront plus facilement planifiables. • Avant toute investigation sur le terrain, une phase préparatoire permet de rechercher et de recueillir des informations et de prendre connaissance du domaine ou du service audité à partir d’entretiens et d’analyses documentaires.

144

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

•

•

• •

•

Pendant la phase de vérification et d’analyse, le service d’audit interne identifie les forces et les faiblesses du domaine audité et procède à une analyse contradictoire des causes et des conséquences des risques identifiés. Tout au long de sa mission, le service d’audit interne informe régulièrement l’audité de ses constats et de son diagnostic. La conduite des investigations terminée, le service d’audit interne établit un rapport rendant compte de la situation constatée et des propositions d’amélioration. Une version provisoire du rapport est analysée avec les audités et les services concernés qui font état de leurs remarques avant la diffusion définitive du document. Les services ou entités audités valident les comptes rendus des entretiens réalisés par les auditeurs internes et donnent une analyse objective des conclusions de l’audit interne qui les concernent. Consécutivement aux recommandations établies dans le rapport d’audit, un plan d’action est défini et décidé par la direction de l’entité ou des services audités. Selon les organisations ou la nature des recommandations (transverses ou majeures), la direction générale participe à la définition du plan d’action. Le plan d’action définit les moyens avec lesquels les recommandations émises seront mises en œuvre par les responsables identifiés. Le responsable de l’audit interne doit s’assurer de la mise en œuvre des recommandations en s’informant de l’état d’avancement des plans d’actions.

La présente charte a été approuvée par le comité d’audit le …/…/… A …, le … / … / … Signature

145

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 4 : MODELES DE TYPOLOGIE DES RISQUES MODELE : FERMA

ORIGINE EXTERNE RISQUES STRATEGIQUES

RISQUES FINANCIERS

COMPETITION CHANGEMENT DES CLIENTS CHANGEMENT DANS L’ACTIVITE DEMANDE DES CLIENTS FUSION ACQUISITION INTEGRATIONS

TAUX D’INTERET TAUX DE CHANGE CREDIT

LIQUIDITE & CASH FLOW

RECHERCHE & DEVELOPPEMENT CAPITAL INTELLECTUEL

ORIGINE INTERNE SYSTEME DE CONTROLE DES COMPTES SYSTEMES D’INFORMATION

RECRUTEMENT CHAINE D’APPROVISIONNEMENT REGLEMENTATIONS CULTURE COMPOSITION DE L’INTANCE LIQUIDITE DIRIGEANTE&

EMPLOYES MOBILIER BIENS & SERVICES

CONTATS EVENEMENTS NATURELS FOURNISSEURS ENVIRONNEMENT

RISQUES OPERATIONNELS

PERILS

ORIGINE EXTERNE

146

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

MODELE : COSO 2

CATEGORIES D’EVENEMENTS FACTEURS EXTERNES Economiques : Disponibilité des capitaux Emission, défaut de crédit Concentration Liquidité Marchés financiers Chômage Concurrence Fusions / acquisitions Environnementaux – Naturels : Emissions et déchets Energie Catastrophes naturelles Développement durable Politiques : Changements de gouvernement Législation Politique publique Réglementation Sociaux : Démographie Comportement des consommateurs Responsabilité sociale Vie privée Terrorisme

FACTEURS INTERNES Infrastructure : Disponibilité des actifs Capacité des actifs Accès aux capitaux Complexité Personnel : Compétence des employés Activités frauduleuses Santé et sécurité Processus : Capacité Conception Exécution Fournisseurs / dépendance Technologie : Intégrité des données Disponibilité des systèmes et des données Choix des systèmes et des données Choix des systèmes Développement Déploiement Maintenance

Technologiques : Interruptions Commerce électronique Données externes Nouvelles technologies

147

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 5: EXEMPLE DE CONTENU DE DOSSIER D’AUDIT Mission N° Lieu : Date : Objet de la mission : Rapport d’audit • Rapport préliminaire A • Réponse des audités • Rapport définitif Information relative à la mission • Lettre de mission B • Correspondances (y compris les e-mails) • Compte rendu de la réunion d’ouverture • Compte rendu de la réunion de clôture Information relative à l’entité auditée • Organigramme, descriptions de fonction • Etats financiers et rapport des auditeurs externes • Rapports du conseil d’administration ou des autorités de C tutelle • Statuts de l’entreprise • Tableaux de bord et/ ou indicateurs et objectifs • Principales procédures Informations pratiques sur l’organisation de la mission D • Adresse des sites audités et horaires • Adresse des hôtels, restaurants,… Revue du processus d’achat • Mémo d’audit présentant les conclusions des auditeurs E • Comptes rendus des entretiens • Tests y compris pièces justificatives Revue du processus de gestion des décaissements • Mémo d’audit présentant les conclusions des auditeurs F • Comptes rendus des entretiens • Tests y compris pièces justificatives Gestion de l’encours fournisseurs • Mémo d’audit présentant les conclusions des auditeurs G • Comptes rendus des entretiens • Tests y compris pièces justificatives

Index A10 A20 A30 Index B10 B20 B30 B40

Index C10 C20 C30 C40 Index D10 D20 Index E10 E20 E30-E60 Index F10 F20 F30-F55 Index G10 G20 G30-G70

148

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 6 : EXEMPLE DE LETTRE DE MISSION A l’attention de :

Date :

Objet : Mission d’audit interne Madame, Monsieur, Nous vous informons qu’une mission d’audit interne ayant pour objet l’analyse des processus d’achat, se déroulera du 15 septembre au 30 octobre 200X sur le site de AA. Elle aura pour principaux thèmes : -l’analyse et la revue des processus d’achat de matières premières ; -la gestion des décaissements ; -le suivi des encours fournisseurs ; -les accès et contrôles informatisés. Cet audit sera réalisé par XXX, auditeur interne, aidé d’YYY, sous la supervision de ZZZ responsable de l’audit interne. La mission s’articulera autour des étapes suivantes : -étape 1 : Examens préliminaires, entretiens et diagnostic (analyse de risques) aboutissant à la définition d’un programme de tests ; -étape2 : Entretiens, mise en œuvre des contrôles définis dans le programme de tests sur le site de AA. -étape 3 : Rédaction du rapport d’audit. Présentation des constats et recommandations à la direction des achats. Le rapport d’audit définitif sera transmis aux personnes concernées le .. / .. / …. Conformément aux instructions de la charte d’audit interne, les responsables des services audités doivent prendre toute mesure pour faciliter cette mission et mettre à la disposition des auditeurs tous les documents nécessaires au travail d’analyse. Les auditeurs devront être également en mesure de s’entretenir directement avec l’ensemble des collaborations des services audités. Les auditeurs assurent la confidentialité des données fournies dans le cadre de leurs investigations. Les constats d’audit font systématiquement l’objet d’une validation conjointe avec les responsables des services audités avant diffusion des rapports. A l’issue de la mission, des préconisations d’audit seront émises et suivies par les auditeurs. Il appartiendra aux équipes du site AA de les mettre en œuvre Nous vous remercions par avance pour votre contribution ainsi que celle de vos équipes au bon déroulement de cet audit.

P.J : charte d’audit interne

149

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 7 : EXEMPLE DE PRESENTATION POUR UNE REUNION D’OUVERTURE

Rôle de l’Audit Interne
Rattachement direct au organes délibérant
Champ d’intervention  L’ensemble des activités
Mission  Evaluer les systèmes de contrôle, signaler les anomalies, faire progresser les bonnes pratiques
Plan et cadrage  Sur la base d’une analyse des risques, le plan est validé par le conseil d’administration
Nature des missions  Missions ordinaires • Evaluation des systèmes de contrôle interne • Evaluation de l’efficacité des opérations

 Missions spéciales à la demande

Audit de (entreprise)
Périmètre  L’ensemble des activités et services de l’entreprise : • Pilotage • Achats • Ventes • Gestion de stock • Ressources humaines et paie • Comptabilité (générale, analytique) • Trésorerie • Sécurité des biens, des personnes et des systèmes d’information

150

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Objectifs de la mission


Obtenir l’assurance raisonnable que l’organisation et les instruments mis en place par l’entité permettent la maitrise des activités :  Les activités d’exploitation sont maitrisées et fiables  La gestion du personnel est réalisée dans le respect des lois et règlements dans la recherche de l’efficacité et de l’efficience  Les procédures de contrôle en place permettent de garantir la sécurité des biens et des personnes  Les achats de toute nature sont organisés et autorisés,  Les contrats locaux (achats/ ventes) sont dument autorisés, recensés et suivis  Les flux de trésorerie sont optimisés et le contrôle interne est adéquat  Les opérations sont comptabilisées sans délai et la comptabilité reflète l’exhaustivité des opérations

Organisation de la mission
Equipe d’audit dédiée à cette mission :  Prénom, Nom et téléphone du chef de mission • Prénom, Nom des auditeurs


Planning des interventions  01/12 : Entretien avec le directeur  03-05/12 : Entretien avec les responsables de département  05-22/12 : Phase de tests  23/12 : Réunion de clôture

151

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 8 : EXEMPLES DE PROGRAMME DE TRAVAIL

Revue des processus : Achat –gestion des encours fournisseurs-décaissements Documents à obtenir

Réalisé par

Index

1. Centralisation & réconciliation • • • •

Lister les comptes fournisseurs de la balance générale pour les deux dernières années. Valider les comptes avec le bilan. Lister les comptes de dépenses des deux dernières années. Valider les comptes avec le Compte de Résultat. Rapprocher la comptabilité auxiliaire fournisseurs de la balance générale et du bilan. Rapprocher le journal des achats des comptes de dépense dans la balance générale.

⇒ Balance générale Années N& N-1 bilan et compte de résultat N& N-1 ⇒ Comptes auxiliaires fournisseurs N&N-1 ⇒ Journal des achats ⇒ N& N-1

2. Revue analytique • •

• • • •

• • •

Lister et décrire les principaux fournisseurs tant en termes de dépenses engagées que de solde comptable en fin de période. Calculer ou obtenir les délais de règlement des fournisseurs tiers et groupe. Ratio = dépenses du trimestre/ encours fournisseurs *90 Comparer l’évolution du délai par rapport aux périodes précédentes. S’assurer de l’existence d’un budget d’achat détaillé. Valider l’existence d’une analyse de suivi budgétaire. Documenter dans un mémo l’évolution des achats et de l’encours fournisseurs au cours des deux dernières années en identifiant éventuellement les impacts de la saisonnalité. Vérifier que le montant total des achats inter-sociétés a été correctement reporté. Analyser les principaux investissements réalisés au cours des deux dernières années. Préparer un mémo récapitulatif listant les objectifs, le travail accompli, et les conclusions des auditeurs sur les déficiences éventuellement identifiée.

⇒ Comptes auxiliaires fournisseurs ⇒ Délai de règlement fournisseurs ⇒ Suivi budgétaire ⇒ Tableau d’évolution des valeurs d’actifs immobilisés Budget des achats

152

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Revue des processus : Achat- gestion des encours fournisseurs-décaissements Documents à obtenir

Réalisé Index par

3- Analyse et documentation du processus achat, gestion des fournisseurs • Vérifier s’il existe des procédures locales décrivant le processus achat. Si de telles procédures existent, les revoir. • Se documenter sur l’organisation du processus achat, vérifier si des délégations de pouvoir ont été mises en place et si les principes de séparation de fonction sont respectés. • Interviewer toutes les personnes participant au processus achat et documenter le déroulement de ce processus en particulier les étapes de : - Création/ mise à jour du fichier fournisseurs. - Validation des conditions générales. - Définition de critères objectifs de sélection des fournisseurs. - Demande d’achat. - Demande de cotation. ⇒ Procédures - Gestion des commandes d’achat. internes - Gestion de la réception des marchandises. relative aux - Suivi des contrats à long terme. achats - Validation des factures fournisseurs. ⇒ Matrice de - Paiement des factures fournisseurs. délégation - Comptabilisation des factures et des paiements. de pouvoir - Archivage des données fournisseurs. et de • Vérifier le processus en place pour les achats internes. séparation • Sélectionner sur le journal des achats une transaction de fonction significative et réaliser deux tests de cheminement ⇒ Budget (l’un partant de la commande pour aboutir au paiement, achat l’autre partant du paiement pour remonter à la commande.) • S’assurer de la fiabilité de la description du processus : - Obtenir la demande d’achat et vérifier qu’elle a été validée par une personne habilitée en conformité avec les délégations de pouvoir. - Obtenir les demandes de cotation auprès des différents fournisseurs et s’assurer que la meilleure offre a été retenue par le service achat. - Obtenir une copie de la commande et s’assurer que les conditions d’achat sont conformes à la cotation. - Obtenir une copie du bon de réception des marchandises et vérifier qu’il est conforme au bon de commande.

Revue des processus : 153

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Achat- gestion des encours fournisseurs-décaissements Documents à obtenir

Réalisé Index par

3- Analyse et documentation du processus achat, gestion des fournisseurs (suite) Obtenir une copie de la facture et vérifier que le bon à payer a été donnée par une personne habilitée. Vérifier que la charge a été enregistrée sur la période comptable de réception de la marchandise (soit enregistrement de la facture si elle était reçue, soit provisionnement d’une facture à recevoir). Vérifier que le paiement a été effectué par une personne habilitée et a été bien imputé en comptabilité. Documenter les conclusions dans un mémo. Réaliser un test de cut-off pour s’assurer que les charges sont reconnues dans la période comptable de rattachement : Sélectionner deux mois consécutifs et 10 transactions enregistrées en fin de mois 1, et 10 transactions enregistrées en début de mois 2. Obtenir les bons de réception des marchandises et s’assurer que les factures sont enregistrées dans la bonne période. Vérifier les provisions enregistrées à la clôture. Analyser les comptes fournisseurs débiteurs et s’assurer qu’il n’existe pas de litige avec les fournisseurs. -

•

• •

4 - Revue du processus de décaissements • • • • • • • •

Vérifier que la liste des personnes habilitées à approuver des paiements est à jour au regard de l’organisation. Obtenir la liste des comptes bancaires et pour chaque compte demander à la banque une copie des cartons de signatures bancaires. S’assurer que les listes de signataires autorisés sont à jour au regard de l’organisation de l’entreprise. Vérifier que les procédures de double signature sont en place. Vérifier que les moyens de paiement utilisés sont sécurisés. Sélectionner une dizaine de gros paiements et vérifier que le processus de validation a bien été respecté. Obtenir les rapprochements bancaires et vérifier qu’aucun montant significatif ne reste en écart pour plus de deux mois. Documenter les conclusions dans un mémo.

⇒ Cartons de signatures bancaires ⇒ Rapprochement bancaires

154

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Revue des processus : Achat- gestion des encours fournisseurs-décaissements Document à obtenir

Réalisé par

5-Revue du système informatique • • • • • • • • • • •

Obtenir la liste des utilisateurs ayant accès au logiciel de gestion des achats et au logiciel comptable. Valider les droits d’accès des utilisateurs et vérifier que les principes de séparation de fonction sont bien respectés. Vérifier que les droits d’accès sont revus et validés régulièrement. Vérifier que les droits d’accès sont conformes aux délégations de pouvoir. ⇒ Liste des Identifier qui accède à la création ou à la maintenance des utilisateurs comptes fournisseurs. ⇒ Liste des Vérifier qu’un contrôle a été mis en place sur les accès modifications des comptes fournisseurs. utilisateurs Vérifier que les accès sont restreints par l’usage de mot de ⇒ Plan et passe sécurisé. résultats des Vérifier que le service informatique fait des sauvegardes tests régulières des applications. Vérifier que les fonctionnalités et les rapports relatifs à la gestion des stocks et des encours fournisseurs ont été testés et validés par les opérationnels. Vérifier que le système rejette la double comptabilisation des factures. Vérifier le paramétrage de la réconciliation automatique entre bon de commande, bon de réception et facture.

155

Index

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 9 : EXEMPLE DE PRESENTATION POUR UNE REUNION DE CLOTURE

Réunion de clôture Audit de XXX Mois 2008

Forces et faiblesses par cycle Audit de XXX

156

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Pilotage
Forces  Existence d’un tableau de bord prospectif  Suivi des plans d’actions mis en place pour atteindre les objectifs fixés.
Faiblesses  Les objectifs additionnels qui s’est fixée la direction des ventes peuvent être en contradiction avec les objectifs généraux de l’organisation  Délégation de pouvoir non à jour

Sécurité des biens et des personnes
Forces  Accès au site sécurisé  Flux tracés  Déploiement en cours des actions liées à la politique de développement de la sécurité au travail de l’organisation
Faiblesses  Lacunes sur la législation liées à la protection contre l’incendie défaut de contrôle de création et désactivation des badges d’accès au site

157

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 10 : EXEMPLES DE RAPPORTS D’AUDIT EXEMPLE DE RAPPORT D’AUDIT (1) Nom de l’entreprise Date du rapport Rapport d’audit Titre de l’audit Objectifs de la mission : Description sommaire de la mission Liste de distribution (non exhaustive) : Comité d’audit Direction Générale Direction auditée

PLAN Le rapport d’audit doit être structuré et doit pouvoir être lu par lecteurs de profils différents. Tout rapport est accompagné généralement d’une synthèse susceptible d’être adressé à des personnes informées et sensibilisées mais qui n’ont pas à résoudre des dysfonctionnements relevés. Le corps du rapport doit être quant à lui le plus complet et technique possible afin d’apporter toutes les informations utiles aux responsables audités et aux responsables des actions à entreprendre. Introduction L’introduction présente le cadre général du sujet d’audit et doit permettre au lecteur de « rentrer » dans le sujet. A cet effet, elle contient les seules informations nécessaires à la compréhension du rapport. Il ne s’agit pas d’une présentation exhaustive de l’entité auditée. I- Contexte, objectifs et périmètre de la mission d’audit interne Présenter le contexte de l’entreprise, (présentation de l’entité auditée) ; Présenter les objectifs de la mission d’audit ; Présenter le champ de la mission d’audit ; II- Constats des processus audités (step-by-step) Cette partie doit présenter une description claire et objective de l’ensemble des processus audités. Les points forts, les points faibles ainsi que les risques liés aux déficiences identifiées doivent être mis en avant pour chaque processus audité. III-Recommandations (avec détail du niveau de criticité conformément au cahier) Les recommandations doivent être exprimées en termes de solutions par rapport aux constats réalisés. Elles sont présentées selon un ordre logique. On peut par exemple, distinguer ces recommandations en fonction de leur degré d’urgence et d’importance : - Améliorations mineurs ; - Renforcement des processus existants ; - Action critique à mettre en œuvre d’urgence. IV- Calendrier de mise en œuvre des recommandations/ suivi des recommandations Cette partie doit reprendre pour chacune des recommandations effectuées, le délai dans lequel cette dernière sera lise en œuvre.

158

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Nom de l’entreprise Date du rapport Rapport d’audit Titre de l’audit Objectifs de la mission : Description sommaire de la mission Liste de distribution (non exhaustive) : Comité d’audit Direction Générale Direction auditée

V- Synthèse générale Cette partie doit présenter très succinctement la mission d’audit et les recommandations essentielles qui en découlent. Elle doit permettre une lecture rapide et une prise de connaissances de tenants et des aboutissants de la mission en quelques minutes. Constats

Recommandation

Plan d’action

Suivi de la recommandation

1. 2. 3. 4. 5.

159

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

EXEMPLE DE RAPPORT D’AUDIT (2)

Internal Audit Department

Périmètre de l’audit Entité auditée

RAPPORT D’AUDIT

Réf.

Rapport définitif

Date

Revue du processus achat, gestion de l’encours fournisseurs, décaissements Site AA

Publication : Ce rapport contient les constats et recommandations effectués par l’audit interne à la suite de la mission réalisée sur le site de AA ainsi que le plan d’action de l’équipe de direction du site de AA. Cette dernière est responsable de la mise en œuvre du plan d’action. Pour action : M.TTT

Directeur Général

Site AA

Mme ABC

Directeur des achats

Site AA

M. CVB

Directeur financier

Site AA

M.GGG

Directeur Général

Groupe

M.PPP

Directeur financier

Groupe

M.EEE

Directeur des achats

Groupe

Pour information :

1

Périmètre, objectifs et méthodologie de l’audit : L’audit réalisé sur le site de « AA » avait pour objectif de s’assurer de la fiabilité des mécanismes de contrôle interne et en particulier de vérifier que : • les processus sont gérés efficacement ; • les résultats financiers reflètent précisément les opérations ; • les procédures internes, les lois et règlement applicables sont respectés. La mission d’audit a porté sur la revue : • de la gestion des achats ; • de la gestion des stocks de matières premières ; • des mécanismes de décaissement ; • du suivi de l’encours fournisseur.

1

La mission a été réalisée entre le 15 Septembre et le 1er Novembre par les auditeurs « XXX » et « YYY » sous la responsabilité du responsable de l’audit interne « ZZZ ».

160

Cette mission a été réalisée conformément aux Normes Professionnelles pour la pratique de l’audit interne et s’inscrivait dans le plan annuel d’audit approuvé par le comité d’audit. La mission s’est déroulée en trois étapes principales :

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

161

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

4

Revue détaillée des processus Fiche 1- Processus Description du processus : Notre revue du processus xxx nous a d’en identifier les principales étapes : • xxxx • xxxx • xxxx Les risques : L’entreprise et la gestion actuelle du processus génère les risques suivants pour l’entité: • xxxx • xxxx Les recommandations de l’audit interne Compte tenu de ces risques, recommandations suivantes :

l’audit

interne

Pour action : Responsable du département

• • •

préconise

de

mettre

en

œuvre

les

Délais

xxxx xxxx xxxx

Criticité 1. Amélioration mineure 2. Renforcement des processus existants 3. Action critique à mettre en œuvre en urgence

Les commentaires de l’entité auditée

Acceptation:

Oui Non

Engagement sur les délais de mise en œuvre des recommandations :

162

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 11: TABLE DE NIVEAU

Nombre d’éléments de la population

Taille de l’échantillon pour une précision de : ± 0,5 % ± 1% ± 2% ± 3% Niveau de confiance : 95%

200 300 400 500 1 000 1 500 2 000 2 500 3 000 3 500 4 000 4 500 5 000 6 000 7 000 8 000 9 000 10 000 15 000 20 000 25 000 50 000 100 000

1 1 1 1 1 2 2 2 2 2 2 2 2 2 2

503 619 718 804 880 005 106 188 257 315 508 664 688 840 924

430 501 547 579 602 620 634 645 654 669 680 688 695 700 717 726 731 742 747

97 116 128 137 158 167 172 175 177 179 180 181 182 183 183 184 184 185 186 186 187 188 188

59 66 70 72 78 80 81 81 82 82 82 82 83 83 83 83 83 83 84 84 84 84 84

180 197 246 268 280 289

84 98 107 113 127 132 135 137

Niveau de confiance : 99% 200 300 400 500 1000 1500 2000 2500

697 788 856

L’auditeur peut utiliser d’autres tables et moyens pour la détermination de la taille de l’échantillon à condition de les faire valider par le chef de mission

163

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 12: Table de nombres au hasard

Colonne

(1)

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

10480 22368 24130 42167 37570 77921 99562 96301 89579 85475 28918 63553 09429 10365 07119

15011 46573 48360 93093 39375 06907 72905 91977 14342 36857 69578 40961 93969 61129 97336

01536 25595 22527 96243 81837 11008 56420 05463 63661 53342 88231 48235 52636 87529 71048

02011 85393 97265 61680 16656 42751 69994 07972 10281 53988 33276 03427 92737 85689 08178

81647 30995 76393 07856 06121 27756 98872 18876 17453 53060 70997 49626 88974 48237 77233

91646 89198 64809 16376 91782 53498 31016 20922 18103 59533 79936 69445 33488 52267 13916

69179 27982 15179 39440 60468 18602 71194 94595 57740 38867 56865 18663 36320 67689 46564

14194 53402 24830 53537 81305 70659 18738 56869 84378 62300 05869 72685 17617 93354 81056

62590 93965 49340 71341 49684 90655 44013 69014 25331 08158 90106 52180 30015 01511 97735

36207 34095 32081 57004 60672 15056 48840 60045 12566 17983 31595 20847 08272 26358 85977

ligne

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

164

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

ANNEXE 13: FLOW-CHART Dans un esprit d’harmonisation, il faut utiliser les symboles usuels indiqués ci-dessous :

Document : facture, carte de pointage, bulletin de paie, pièce de caisse…

Document récapitulatif : état, tableau, feuille journalière de caisse.

Etablissement d’une liasse.

Classement définitif

Classement provisoire

Lettre dans le triangle définit le mode de classement : -a : alphabétique, -n : numérique, -c : chronologique.

Circulation physique d’un document. Circulation d’information. Base de données.

Alternative ou test / Décision ou choix à faire

Opération administrative effectuée : contrôle / vérification.

Données

165

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

TABLE DES ABREVIATIONS AMACI

Association Marocaine des Auditeurs Consultants Internes

IFACI

Institut Français des Auditeurs Consultants Internes

IIA

Institute of Internal Auditors

PME

Petites et Moyennes Entreprises

UFAI

Union Francophone de l’Audit Interne

ECIIA

Confédération Européenne des Instituts d’Audit Interne

COSO

Committee of Sponsoring Organizations

INTOSAI

IGF FERMA FRAP

Organisation Internationale des Institutions Supérieures de Contrôle des Finances Inspection générale des finances Federation of European Risk Management Associations Feuille de révélation et d’analyse des problèmes Publiques

166

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

BIBLIOGRAPHIE ETUDES, SEMINAIRES, COLLOQUES ET PUBLICATIONS DIVERSES - Séminaire de formation de Francis Lefebvre (Nov-2008) « Risk Management » Séminaire. - IFACI–Paris, (2007) « Le dispositif de Contrôle Interne : Cadre de référence » Travaux de recherche. - IFACI (2005) « Etude comparative des pratiques de l’audit interne » Etude - Jean-Baptiste Carpentier, Inspecteur des finances Ministère de l’économie, des finances et de l’industrie, France, « L’audit interne et les corps d’inspection » Etude - OCDE L’Observateur, (2005) « La modernisation du secteur public : moderniser la responsabilité et le contrôle » Synthèses de l’OCDE - The Institute of Internal Auditors, IIA (2006) « Le rôle de l’audit dans la gouvernance du secteur public » Revue - Euromed Marseille- Ecole de Management, (2007) « Audit Interne et Gouvernance d’Entreprise : Lectures Théoriques et Enjeux Pratiques » Cahier de Recherche - A. TALBI (2005) « Contrôle financier et gouvernance des entreprises publiques au Maroc », Rencontre MENA – OCDE - A. TALBI, (1993). « L'audit dans le secteur public », séminaire de l'AMACI - Ministère de l’économie et des Finances , (2009) « Rapport sur le secteur des établissements et entreprises publics», Rapport - IFACI, (2005) « Résultat de l’enquête sur la pratique de l’audit interne en France en 2005 » Enquête - IFACI & Robert Half, (2009) « Enquête sur les métiers de l’audit et du contrôle Internes» Enquête - Les cahiers de la recherche IIA & IFACI, (2008) « L’audit interne en France et dans le monde : Points de repères et tendances du CBOK », Recherches - Ernst & Young, (2007) « Les pratiques de l’Audit interne dans les groupes mondiaux et les spécificités françaises » Etude - PROTIVITI, (2008) « Le Baromètre du Risk Management 2007 » Revue - Ernst & Young, (2008) « La gestion des risques et le contrôle interne dans le secteur public » Etude - FERMA, (2003) « Cadre de référence de la gestion des risques » Revue - KPMG Audit, (2006) « Exemple de cartographie des risques » Etude - Ernst & Young, (2008) « « Vers une accélération de la mutation des départements de l’audit interne ? Présentation des résultats de l’étude mondiale Ernst & Young sur les pratiques de l’audit interne » Etude - MOUAFFAK, M. (2002) « Réforme des établissements et des entreprises publics Contrôle à plusieurs vitesses, Maroc Hebdo International - N°507 - Ministère des finances et de la privatisation. – BOUSSAID. M – (2005) « Le rôle du contrôle et l’audit des services publics dans un système national d’intégrité public ». Journée d’étude - AMACI, (2005) « le rôle de l’audit interne dans les établissements publics » Rencontre MENA-OECD - CHRISTELLE, P (2002) article « L'audit interne : réforme ou révolution ». KINNOCK, Neil (2002) « La maîtrise des risques dans le secteur public : à la commission européenne, une réforme administrative d'ensemble inclut la mise

167

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

en place du contrôle interne et la création de structures d'audit interne » Article

OUVRAGES - RENARD, J et CHAPLAIN, J-M (2006) «Théorie et pratique de l’audit interne », 6ème édition Editions d’organisation. - SCHICK P, (2007) « Mémento d’audit interne », Dunod, Paris - IFACI, PriceWaterhouseCoopers et Landwell (2005) « Le management des risques de l'entreprise. Cadre de référence - Techniques d'application - COSO II Report », Edition d’organisation - Lemant, O. (1999) « Créer, organiser et développer l'Audit Interne ». - IFACI - Institut de l'Audit Interne (2009) « Normes Professionnelles de l'Audit Interne » - BARBIER, E. (2001) « Mieux piloter et mieux utiliser l'audit, l'apport de l'audit aux entreprises et aux organisations ». - LEMANT, O (1995) « La conduite d'une mission d'audit interne : méthodologie élaborée par un groupe de recherche » Paris : Dunod. - RENARD, J (2002) « Audit Interne : ce qui fait débat » Editions d’organisation. - ARRIGNON, J-L – LESNE, C. (2001) « Evaluation de la compétence dans la pratique de l'audit interne ». - FACI – PwC (2002) « L'efficacité des Comités d'Audit : Les meilleures pratiques ». - EBONDO WA MANDZILA,E, (2006) « La gouvernance de l’entreprise : une approche par l’audit interne et le contrôle interne », L’Harmattan MEMOIRES - ZIRARI, E (2006). « Apport de la circulaire N°6 de Bank AL Maghrib et ses incidences sur l’organisation et l’audit des établissements de crédit », mémoire d’expertise comptable, Maroc. - ALBI Mohamed As said (2007). « L’entreprise Marocaine soumise à la loi Sarbanes-Oxley : Proposition d’une démarche pour assister l’entreprise à évaluer son contrôle interne à l’égard de l’information financière conformément à cette loi », mémoire d’expertise comptable, Maroc. - Mlle Siham SAMHANE (2007) « L’élaboration d’une cartographie détaillée des risques spécifiques au secteur du transport maritime Marocain. Cas du transport des marchandises (CARGO) », mémoire d’expertise comptable, Maroc. - ZEMRANI, M. (2003). « Normalisation comptable et spécificités des établissements publics à caractère administratif : cas des offices régionaux de mise en valeur agricole ORMVA », mémoire d’expertise comptable, Maroc. - EL BITAR, A. (2006). « Approche d’audit au sein d’une concession de service public : illustration d’un service de distribution d’électricité, d’eau et d’assainissement », mémoire d’expertise comptable, Maroc. - MAKHLOUF, A. (2001). « Audit interne des entreprises publiques, réalités et perspectives », mémoire d’expertise comptable, Tunisie. - WANE, O. (2007). « L'audit interne de la fonction achat dans une entreprise de BTP : cas de la CSE (Compagnie Sahélienne d'Entreprises) » mémoire de Maîtrise Professionnalisée de Gestion des Entreprises et des Organisations CESAG Dakar Sénégal.

168

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

- BLAZY, S (2004). « L’audit interne : une nouvelle mission de conseil pour l’expert-comptable- proposition d’une méthodologie illustrée », mémoire d’expertise comptable, France. TEXTES OFFICIELS - Lettre Royale - Août 1993 relative à la soumission des établissements publics et les administrations à l’audit. - Circulaire du 1er ministre – Septembre 1993 relative à la création de départements d’audit interne au sein des établissements publics à caractère industriel et commercial. - Décision n° DPE 113/70/16 – 23 Septembre 1993 organisant la fonction d’audit des entreprises publiques. - Dahir N° 1-59-271 - 14 Avril 1960 instituant le cadre légal du contrôle financier de l’Etat sur les entreprises publiques - Dahir N° 1-59-271 - 14 Avril 1960 instituant l’inspection générale des finances. I.G.F - Dahir N° 1-62-270 - 14 Avril 1960 instituant une commission nationale des comptes, modifié par le dahir N)1-62-96 du 30/06/1962. - Loi relative à l’institution de la Cour des Comptes et des Cours des Comptes Régionales. - Loi n°17/95 relative aux Sociétés Anonymes. - Circulaire n°6 du Gouverneur de Bank Al Maghrib imposant aux établissements de crédit la mise en place d’un système de Contrôle Interne formalisé et la création d’un organe de contrôle. - Loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises publiques et autres organismes. - Manuel des normes Marocain : Audit légal et contractuel SITES INTERNET -

www.theiia.org IIA – Institut of Internal Auditors, Etats-Unis www.finance.gov.ma ministère des finances www.ifaci.com « IFACI : Institut Français de l'Audit et du Contrôle Internes » www.oecd.org « AMACI – Maroc : Institut des Auditeurs Internes

169

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

LEXIQUE Secteur public Contrôle Financier de l’Etat Réforme du Contrôle Financier Etablissement public Entreprise publique Conseil d’administration Autorité publique Normes d’audit Référentiel d’audit Circulaires Arrêté Comité d’audit

‫ا ع ام‬

‫اا ا  و‬

‫  اا ا‬

 

 ‫ و‬ ‫" ! ا دارة‬

‫ا  ا‬ # $‫ا ا‬ # $‫ ا‬%‫'&م ا‬ ()‫ا‬ ‫م‬ *+,‫) ا‬-

Audit interne

. /‫* ا ا‬+,‫ا‬

Audit externe

.%‫ر‬0‫* ا‬+,‫ا‬

Audit des performances Audit Financier Audit Opérationnel

12$)‫ (ات ا‬#  4‫ ا‬# $‫ا‬ . ‫ ا‬# $‫ا‬

Organe d’administration

‫ة ا دارة‬56%‫أ‬

Organe de direction

8$‫ة ا‬56%‫أ‬

170

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Compétence

‫  رة‬-‫ءة‬,‫آ‬

Indépendance

; $<‫ا‬

Secret professionnel

=6‫ا ا‬

Commissaire aux comptes Méthodologie Société anonyme

‫ا@ ا?>ت‬

A6)

B ‫(آ‬

Organisation

C&)

Partenaires

‫(آء‬

Prise de connaissance Système de contrôle Système de contrôle interne Environnement de contrôle Patrimoine Approbation Approche Analyse des risques Evaluation des risques Identifier, mesurer, surveiller, l’ensemble

4‫;ع أو‬D‫ا‬

‫'&م اا‬

 /‫'&م اا ا ا‬

‫ ام  ا‬EF‫ا‬

 ‫ذ‬

H‫ا‬ 1I DJ‫  ا‬K DJ‫ ا‬C  DJ‫ ا‬LM >‫ ور‬،‫ س‬،  K

des risques Risques de marché Risques opérationnels

‫ اق‬DQ RS$‫ ا‬DQ

171

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

Conformité

>‫ا‬

Rentabilité

‫دود‬

Recommandations

‫ت‬T$‫ا‬

Etats de synthèse

‫آ‬U‫ ا‬C2‫ا ا‬

Régularité

''

Significatif

‫دال‬

Régularité des comptes Sincérité des comptes Recherche Prudence Organisation financière et Comptable Rapport d’audit

‫ ا?>ت‬C&) ‫ ا?>ت‬W  ‫د‬X‫ا‬ YZ

[ \]‫ و‬4 ‫'&م‬ ‫ ا?>ت‬#   

172

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

PLAN DETAILLE INTRODUCTION…………………………………………………………………………………………….

3

PREMIERE PARTIE: PRATIQUES ET MISE EN PLACE DE L’AUDIT INTERNE…………………………………………………………………………………

8

CHAPITRE I : DEFINITION DE L’ACTIVITE DE L’AUDIT INTERNE………………………………………………………………………………….

9

SECTION 1 : L’évolution historique et les objectifs de l’audit Interne…………………………………………………………………………………………

9

1. L’évolution historique de l’audit interne…………………………………………………… 1.1. L’évolution de la fonction………………………………………………………………… 1.2. L’évolution au Maroc du contexte juridique……………………………………. 1.2.1. L’audit des entreprises et organismes publics …………………. 1.2.2. La reforme du contrôle financier des entreprises et organismes publics……………………………………………………………… 2. Les objectifs et la charte d’audit…………………………………………………………………. 2.1. Les objectifs……………………………………………………………………………………… 2.2. La charte d’audit interne…………………………………………………………………. 2.2.1. Rôle de la charte d’audit……………………………………………………… 2.2.2. Contenu de la charte d’audit……………………………………………….

SECTION 2 :

11 13 13 14 14 15

16

Concept et standards……………………………………………………….

1. Définition…………………………………………………………………………………………………………… 2. Le cadre de référence de l’audit interne…………………………………………………… 2.1. Le code de déontologie…………………………………………………………………… 2.1.1. L’intégrité……………………………………………………………………………. 2.1.2. L’objectivité…………………………………………………………………………. 2.1.3. La confidentialité…………………………………………………………………. 2.1.4. La compétence……………………………………………………………………. 2.2. Les normes pour la pratique professionnelle………………………………... 2.1.5. Les normes de qualification……………………………………………….. 2.1.6. Les normes de fonctionnement………………………………………….

CHAPITRE II : LES FONCTIONS VOISINES DE L’AUDIT INTERNE.........................................................

16 16 17 17 17 17 18 18 18 19

22

SECTION 1 : Les partenaires externes…………………………………………………. 1. Relation avec l’audit externe………………………………………………………………………. 1.1. Relations avec l'auditeur externe………………………………………......... 1.2. Prise de connaissance et évaluation préliminaire des travaux de l'audit interne………………………………………………………………………………..

9 9 10 11

22 22 23 23

173

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

1.3. Liaison et coordination avec l'audit interne………………………………… 1.4. Evaluation des travaux de l'audit interne…………………………………… 2. Relation avec le consultant externe…………………………………………………………..

24 24 26

SECTION 2 : Les partenaires internes…………………………………….............

28

1. Relation avec le contrôle de gestion…………………………………………………………. 2. Relation avec l’inspection générale……………………………………………………………. 3. Relation avec le risk-management…………………………………………………………….

28 30 31

SECTION 3 : Les partenaires publics…………………………………………………….

34

1. Le contrôle financier………………………………………………………………………………………. 2. L’inspection générale des finances…………………………………………………………….. 3. La cour des comptes……………………………………………………………………………………….

34 35 37

CHAPITRE III : LES PREALABLES A LA CREATION DE LA CELLULE D’AUDIT INTERNE……………………………………………….

39

SECTION 1 : Périmètre d’intervention de l’audit interne…………………

40

1. Identification des attentes et objectifs de la mission…………………………… 2. Etablissement du plan stratégique……………………………………………………………. 2.1. Les objectifs attendus de l’audit interne dans le temps………………. 2.2. L’organisation de la fonction d’audit interne dans le temps……….. 2.3. Le plan de communication aux parties prenantes………………………..

40 42 43 43 43

SECTION 2 : Le plan d’audit et l’organisation des moyens………………

44

1. Evaluation des risques et plan d’audit……………………………………………………… 2. Etablissement des budgets à un moyen terme.…………………………………….. 2.1. Construction à partir des besoins…………………………………………………… 2.2. Prise en compte de tous les facteurs……………………………………………… 2.3. Procéder à un arbitrage………………………………………………………………….. 3. Démarrage des travaux………………………………………………………………………………… 4. Identification des compétences………………………………………………………………… 5. Développement des performances techniques……………………………………….

44 44 44 45 45 45 46 46

SECTION 3 : La communication et les résultats de l’audit interne…

48

1. Elaboration d’un axe de communication…………………………………………………. 1.1. Communication de la direction pour le lancement de la fonction… 1.2. Communication de l’audit interne vers la direction générale………… 1.3. Communication de l’audit interne vers les audités……………………….. 2. Mesure des résultats…………………………………………………………………………………….. 2.1. Degré de réalisation du plan d’audit……………………………………………… 2.2. Suivi des recommandations……………………………………………………………. 2.3. Satisfaction des audités………………………………………………………………….. 2.4. Indicateurs de mesure…………………………………………………………………….. 2.5. Evaluation des performances………………………………………………………….

48 48 48 48 49 49 49 50 50 50

174

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

DEUXIEME PARTIE : METHODOLOGIE DE CREATION DE LA FONCTION ET MISE EN PLACE DES OUTILS DE L’AUDIT INTERNE………………………………………………………………

52

CHAPITRE I : L’ORGANISATION D’UN SERVICE D’AUDIT INTERNE…………………………………………………………………….

53

SECTION 1 : Positionnement de l’audit interne………………………..........

53

1. Le rattachement hiérarchique de l’audit interne…………………………….…… 2. Le rattachement fonctionnel de l’audit interne…………………………………….

54 55

SECTION 2 : Dimensionnement de l’audit interne..........................

57

1.

57 57 61 61 62 64 64 65 67 69 70 70 71

2.

L’organisation du service d’audit Interne………………………………………………. 1.1. La structure de l’audit interne………………………………………………………. 1.2. Le comité d’audit…………………………………………………………………………… 1.1.1. Cadre juridique…………………………………………………………………… 1.1.2. Organisation et fonctionnement………………………………………… Evaluation des ressources disponibles……………………………………………………. 2.1. Les moyens humains…………………………………………………………………….. 2.1.1. Le comportement des auditeurs internes………………………….. 2.1.2. la gestion des auditeurs internes……………………………………….. 2.1.3. La sous-traitance………………………………………………………………… 2.2. Les moyens matériels……………………………………………………………………. 2.1.4. Outils informatiques……………………………………………………………. 2.1.5. Supports et dossiers de travail……………………………………………

CHAPITRE II : MISE EN PLACE D’UNE METHODE DE GESTION ET ANALYSE DES RISQUES………………………………….

75

SECTION 1 : Les différentes étapes du processus de gestion des Risques…………………………………………………………………………………

75

1. Pratiques d’analyse des risques………………………………………………………………. 1.1. Contrôle interne et audit interne…………………………………………………. 1.2. Rôles de l’auditeur interne dans la gestion des risques……………… 2. L’identification des risques……………………………………………………………………….. 2.1. définition du périmètre d’étude……………………………………………………. 2.1.1. Critère de choix de la méthode………………………………………….. 2.1.2. Mise en application de l’approche par processus………………. 2.2. Définir une typologie de risque…………………………………………………… 2.3. Affectation des risques………………………………………………………………… 2.1.3. Risques inhérents à l’entreprise publique………………………….. 2.1.4. Risques liés à l’environnement de contrôle………………………..

75 76 76 77 78 78 79 81 82 83 86

SECTION 2 : Cartographie des risques et plan d’audit interne.......

88

1. L’élaboration d’une cartographie des risques : méthodologie…………. 1.1. Analyse des risques……………………………………………………………………….

88 88

175

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

2.

1.1.1. L’évaluation des risques……………………………………………………… 1.1.2. l’analyse des actions de maîtrise des risques…………………… 1.2. La cartographie des risques dans la démarche de l’auditeur interne 1.2.1. Intérêt d’élaboration d’une cartographie des risques……… 1.2.2. Finalité de la cartographie des risques en audit interne…. L’élaboration du plan d’audit............................................................ 2.1. L’intérêt du plan d’audit………………………………………………………………….. 2.2. La préparation du plan d’audit………………………………………………………… 2.3. Le suivi du plan d’audit…………………………………………………………………….

88 91 94 94 95 99 100 101 103

CHAPITRE III : METHODOLOGIE DE MISSION…………………………..

105

SECTION 1 : La conduite d’une mission d’audit interne……………………

105

1. La phase de préparation……………………………………………………………………………. 105 1.1. l’ordre de mission………………………………………………………………………………. 105 1.2. Rapport d’orientation…………………………………………………………………………. 106 1.3. Programme de vérification………………………………………………………………… 106 2. La phase de réalisation………………………………………………………………………………. 107 2.1. Réunion d’ouverture………………………………………………………………………….. 107 2.2. Feuille de couverture…………………………………………………………………………. 108 2.3. Feuille de révélation et d’analyse des problèmes (FRAP)……………….. 108 3. La phase de conclusion………………………………………………………………………………. 110 3.1. Réunion de clôture…………………………………………………………………………… 110 3.2. Rapport d’audit…………………………………………………………………………………… 110

SECTION 2 : Les outils d’audit interne………………………………………………….

112

1. La phase de préparation…………………………………………………………………….……… 112 1.1. Le questionnaire de prise de connaissance……………………………………… 112 1.2. Le tableau des risques……………………………………………………………………….. 112 2. La phase de réalisation……………………………………………………………………………… 113 2.1. Le questionnaire du contrôle interne………………………………………………… 113 2.2. Les sondages……………………………………………………………………………………. 114 2.2.1. Détermination de la taille de l’échantillon………………………… 114 2.2.2. Modalités de prélèvement des tests………………………………….. 114 2.3. Les interviews………………………………………………………………………………….. 114 2.4. La narration……………………………………………………………………………………….. 115 2.5. L’observation physique……………………………………………………………………… 115 2.6. Les grilles d’analyses des tâches………………………………………………………. 115 2.7. Diagramme de circulation…………………………………………………………………. 116 2.8. Les outils informatiques d’analyse et d’extraction des données……. 117 2.9. Vérifications diverses…………………………………………………………………………. 117 2.9.1. L’examen analytique………………………………………………………….. 117 2.9.2. L’examen des documents………………………………………………….. 118 2.9.3. Les contrôles par recoupement…………………………………………. 118

CONCLUSION…………………………………………………………………………… ANNEXES……………………………………………………………………………………. TABLE DES ABREVIATIONS…………………………………………………… BIBLIOGRAPHIE………………………………………………………………………. LEXIQUE……………………………………………………………………………………. PLAN DETAILLE…………………………………………………………………………

120 127 166 167 170 173

176

MISE EN PLACE D’UNE CELLULE D’AUDIT INTERNE AU SEIN DE L’ENTREPRISE PUBLIQUE

177