Quelles sont les étapes d’une procédure d’audit interne, comment s’effectue le travail d’un auditeur ? Retrouvez dans cet article les réponses à ces questions.
Qu’est-ce qu’un audit interne – Définition?
En Juin 1999, le conseil d’administration de l’Institute of Internal Auditors (IIA), édita sa définition officielle de l’audit interne, dont la traduction française est la suivante : « L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. ».
Nous retenons de la définition de l’Institute of Internal Auditors, les points essentiels suivants : L’audit interne est une activité indépendante au sein des organisations : La fonction d’audit interne ne doit subir ni influences, ni pressions allant à l’encontre des objectifs qui lui sont assignés. Pour atteindre ce but, le service d’audit interne devrait être rattaché au plus haut niveau hiérarchique.
L’auditeur interne doit être indépendant des responsables des différentes fonctions, qu’il est appelé à auditer. L’audit interne est une fonction d’assistance au management de l’entreprise : Les responsables se font assister par les auditeurs internes, pour résoudre les problèmes relatifs aux dispositions mises en place pour faire fonctionner l’entreprise.
L’auditeur interne fournit des analyses, des appréciations, des recommandations, des avis et des informations concernant les activités examinées, ceci inclut également la promotion d’un contrôle efficace à un coût raisonnable.
L’audit interne est une activité d’appréciation du contrôle des opérations : C’est un contrôle qui a pour fonction d’évaluer l’efficacité des autres contrôles. Son objectif est d’assister les responsables dans le contrôle efficace des activités de l’entreprise. Les dispositions (règles, procédures, organisation, système d’information…etc) que les responsables mettent en place pour maîtriser les activités de leur entreprise, sont communément appelées « dispositif du contrôle interne ». Donc, l’audit interne est une fonction d’évaluation du contrôle interne. Partant de la définition de l’Institute of Internal Auditors, Renard (2004) scinde l’audit interne en deux : l’audit de régularité et l’audit d’efficacité.
Les points forts de la procédure audit interne sont sa simplicité, sa rapidité et la transparence des procédures de contrôle.
La procédure audit interne a pour but de mettre en place une politique de développement durable dans une entreprise.
Note 1 à l’article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le compte de l’organisme lui-même.
ISO 19011:2018
Note 2 à l’article: Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit indépendants, tels que ceux qui octroient l’enregistrement ou la certification de conformité ou des organismes publics.
Qui fait l’audit interne ?
Il est mené par un auditeur interne généralement rattaché à la direction générale.
Par « auditeur », l’on entend en réalité « équipe d’audit ». L’auditeur prend en charge la conduite de l’audit ; il doit avoir les compétences, l’expérience, parfois la reconnaissance d’un organisme tel que l’ICA (Institut de certification des auditeurs). Il est responsable du bon déroulement de ce processus.
Bien souvent, un auditeur est spécialiste d’un secteur d’activité donné : ainsi l’on trouve des auditeurs dans le domaine nucléaire, dans celui de l’automobile, des services, etc.
La norme internationale ISO 19011 Lignes directrices pour l’audit des systèmes de management de la qualité et /ou de management environnemental, reprise au niveau de l’Europe, et au niveau national stipule, à propos des auditeurs :
§ 7 Compétence et évaluation des auditeurs
§ 7.1 Généralités
La confiance et la fiabilité accordées au processus d’audit dépend de la compétence du personnel qui réalise l’audit. Cette compétence est fondée sur la démonstration
– des qualités personnelles […]
– de la capacité à appliquer les connaissances et aptitudes […] obtenues par la formation initiale, l‘expérience professionnelle, la formation d’auditeur et l’expérience d’audit […]
La confiance et la fiabilité accordées au processus d’audit dépendent de la compétence du personnel impliqué dans la planification et la réalisation des audits, y compris les auditeurs et les responsables de l’équipe d’audit.
Approche processus pour l’audit
L’utilisation d’une «approche processus» est une exigence pour toutes les normes ISO de système de management, conformément aux Directives ISO/IEC, Partie 1, Annexe SL. Il convient que les auditeurs comprennent qu’auditer un système de management consiste à auditer les processus d’un organisme et leurs interactions par rapport à une ou plusieurs normes de système de management. Des résultats cohérents et prévisibles sont obtenus de manière plus efficace et efficiente lorsque les activités sont comprises et gérées comme des processus corrélés fonctionnant comme un système cohérent.
Quand faut-il faire un audit de son entreprise ?
L’audit interne, comme son nom l’indique, est déclenché en interne dans l’organisme. Il peut être fait indépendamment des clients et des contrats en cours, pour évaluer le niveau de maturité du système de management de la qualité (système de management de la qualité), ou environnemental (système de management environnemental).
Il s’agit d’un audit interne « système ». Par exemple, pour l’audit interne (de système de management de la qualité), « l’objectif de l’audit est de déterminer l’aptitude d’un organisme à satisfaire durablement aux exigences de ses clients et à leur donner confiance par la mise en œuvre d’un système de management de la qualité efficace, conforme aux exigences de la norme ISO 9001 (version 2015) ».
L’audit interne peut aussi être déclenché pour évaluer l’application du système de management de la qualité, pour un produit ou un projet, propres à une relation contractuelle identifiée. Dans ce cas, il s’agit d’un audit interne d’application à un « produit », ou un « projet », dans le cadre du système de management de la qualité mis en œuvre.
La reconnaissance de certains systèmes de management telle que, par exemple, la certification qualité ISO 9001, environnement ISO 14001, impose des programmes d’audits internes. Ces audits internes interviennent dans le processus d’amélioration permanente de l’organisme et permettent de faire vivre le système de management de façon continue.
Bien entendu, il faut que ces programmes d’audits internes soient judicieux. Il importe donc qu’ils soient élaborés puis validés à différents niveaux de l’organisme pour bénéficier d’un accord sur les différents points de vue (terrain et direction). La durée du processus d’élaboration des programmes d’audits internes dépend de la taille de l’organisme. Les résultats des audits internes constituent des données d’entrée pertinentes pour les revues de management de la direction, qui permettent de faire évoluer le système.
Principes de l’Audit interne
Principe de permanence et de continuité :
Toutes les sociétés doivent disposer d’une fonction permanente d’audit interne. Dans l’accomplissement de ses tâches et responsabilités, la Direction Générale devrait prendre toutes les mesures nécessaires pour que la société puisse compter de façon continue sur une fonction d’audit interne compétente et appropriée à sa taille et à la nature de ses opérations. Elle doit dégager pour le service d’audit interne les ressources et les moyens humains nécessaires à la réalisation de ses objectifs.
Dans les sociétés d’une certaine taille et dans les sociétés dont l’activité est complexe, les missions d’audit interne doivent normalement être conduites par un département d’audit interne disposant d’un effectif à plein temps. Dans les sociétés plus petites, l’audit interne peut être externalisé auprès d’un prestataire externe. Certains pays autorisent les petites sociétés à recourir à des évaluations indépendantes des éléments clés de contrôle interne en tant qu’alternative à l’audit interne.
Principe d’indépendance :
La fonction d’audit interne de la société doit être indépendante des activités auditées et également des processus de contrôle de premier niveau. En d’autres termes, l’audit interne doit bénéficier d’un statut approprié au sein de la société et conduire ses missions avec objectivité et impartialité.
Le service d’audit interne doit être en mesure d’exercer sa mission de sa propre initiative dans tous les services, les établissements et les fonctions de la société. Il doit être libre de faire un rapport sur ses résultats et évaluations et de les communiquer. Le principe d’indépendance implique le rattachement du service d’audit interne, soit au Président de la société, soit au Conseil d’Administration, soit à son Comité d’audit (s’il existe), en fonction de la structure de direction de la société.
Le principe d’indépendance exige également l’absence de tout conflit d’intérêts entre les auditeurs internes et la société.
Principe d’impartialité
La fonction d’audit interne doit être objective et impartiale, ce qui signifie que l’audit doit pouvoir effectuer ses missions sans préjugés et sans subir de pression.
Pour être objectif et impartial le service d’audit interne doit lui-même chercher à éviter tout conflit d’intérêts. A cette fin, les missions des auditeurs au sein du service d’audit doivent changer périodiquement chaque fois que c’est possible. Les auditeurs recrutés en interne ne doivent pas auditer des activités ou des fonctions qu’ils ont exercées au cours des douze derniers mois.
Le souci d’impartialité contraint le service d’audit interne à ne pas s’impliquer dans les opérations de la société, dans les choix ou la mise en œuvre de dispositifs de contrôle interne. Dans le cas contraire, il assumerait une part de responsabilité dans ces activités, ce qui nuirait à l’indépendance de son jugement.
L’audit est-il une inspection, un contrôle ?
L’inspection s’apparente au contrôle du gendarme sur le bord de la route. Si tout va bien, tant mieux… Si l’automobiliste a enfreint la loi, il risque la sanction… qui peut être cinglante. L’audit est un constat partagé, il ne préjuge pas des solutions à mettre en œuvre pour améliorer la confiance. Il ne propose pas de sanction. L’audit n’est donc pas une inspection. L’audit est-il un contrôle ?
La notion de contrôle est bien souvent associée à un contrôle de type technique. Par exemple, on parle d’un contrôle pour un véhicule, les freins, la direction… On peut aussi parler d’expertise. L’audit est plutôt orienté vers le contrôle de l’organisation d’un organisme. L’audit est en quelque sorte une forme de contrôle, voire d’autocontrôle, pour tout ou partie de l’organisme, sous l’angle organisationnel. L’audit, pour revenir à la comparaison avec le véhicule, serait par exemple l’examen de l’organisation mise en place afin d’assurer de bons contrôles techniques.
Qu’est-ce qu’un plan d’audit (procédure d’audit)?
Par définition, le plan d’audit interne résulte d’une évaluation des risques. Le profil risque de l’organisation variant nécessairement avec ses changements internes et environnementaux, l’auditeur doit constamment mettre à jour le plan d’audit pour refléter les risques courants auxquels fait face l’organisation. Cette mise à jour peut se faire de façon ad-hoc, trimestrielle ou semestrielle.
En outre, la MPA 2060-1 précise que la communication annuelle de l’auditeur au Conseil (via le Comité d’audit) devrait préciser les raisons des variations des travaux d’audit par rapport au plan d’audit initial.
Planification des audits
L’auditeur recueille auprès de l’audité les documents de référence (fiches processus, procédures et autres documents) nécessaires à la préparation de l’audit.
Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l’organisation.
A la fin de chaque année, le RQSE établit, pour l’année prochaine, un planning d’audit qualité sécurité-environnement (QSE) interne qui sera communiqué et diffusé. Ce planning couvre tous les éléments du Système de Management QSE (au minimum un audit par processus par an).
Pour chaque élément du SM et lors de l’élaboration du planning, le RQSE, en fonction des résultats des audits précédents, décide de planifier un deuxième audit (et éventuellement un troisième) ou de ne pas planifier.
Lors de la planification, le RQSE tient compte de l’état et de l’importance des processus, les résultats des audits précédents et des domaines à auditer.
Le planning d’audit est approuvé par la direction générale.
Comment procéder à un audit interne ? Approche par les risques
La démarche de l’audit interne est une approche par les risques. Les normes professionnelles sont sur ce point sans ambiguïté, elles indiquent très clairement la route à suivre en donnant à l’identification des risques une portée limitée mais non négligeable : pour l’auditeur interne la mesure du risque est un outil de planning, et ce à deux niveaux:
• Au niveau de l’analyse globale où sont appréciés les risques de l’entité tout entière. C’est la macro-évaluation préconisée par la norme 2010 et qui va permettre la réalisation du plan d’audit, c’est-à-dire la définition de la fréquence des missions en fonction de l’importance des risques de chaque activité. Cette macro-évaluation se réalise à partir de la cartographie des risques (Notion à développer par la suite), s’il y en a une ; sinon l’auditeur devra développer des méthodes de substitution.
• Au niveau de l’analyse des risques de chaque activité à part. C’est la micro-évaluation de la norme 2210.A1 que l’auditeur met en œuvre dans chaque mission d’audit pour établir le planning de ses travaux.
Quelles sont les 3 phases d’une mission d’audit ?
Etapes1 : Préparation de l’audit
Le Responsable d’Audit prépare l’audit de la façon suivante : – Contacter le(s) représentant(s) de(s) l’activité(s) concerné(s) pour arrêter en commun accord le programme, la date et l’horaire de l’exécution de l’audit. – Préciser l’objectif, le domaine d’application et les intervenants de l’audit. – Préparer, éventuellement, la check-list d’audit « PI-FR 24 ».
Etapes2 : Exécution de l’Audit – réalisation
Réunion d’ouverture :
Au début de l’audit, l’équipe d’audit tient une courte réunion d’ouverture avec les responsables des activités à auditer afin de rappeler l’objectif, le domaine d’application et le programme d’audit. Lors de cette réunion le Responsable d’Audit convient avec les concernés les éventuelles modifications du programme d’audit.
Investigations et utilisation de check-list : L’équipe d’audit, entreprend les investigations dans les zones où les activités en question sont réalisées. La check-list « PI-FR24 » d’audit doit être utilisée en tant que référence pour poser les questions, l’auditeur ne se limite pas aux questions de la check-list qui doit être considérée comme point de départ de l’entretien. L’auditeur doit renseigner convenablement la check-list qui servira de base lors de l’élaboration du rapport d’audit. Il enregistre les constatations, les écarts, les remarques et les commentaires.
Réunion de synthèse : Une fois les entretiens achevés, les membres de l’équipe d’audit se réunissent ensembles et seuls pour réaliser la synthèse de l’audit, chaque auditeur fait part au RA des constats et des écarts détectés Le Responsable d’Audit est responsable de la synthèse de différents éléments qui lui sont présentés par les auditeurs et décide notamment de retenir ou pas les écarts signalés.
Réunion de clôture : L’équipe d’audit tient une réunion de clôture avec les audités. Au cours de cette réunion, le Responsable d’Audit : – Présente une évaluation globale de l’application des procédés examinés. – Présente tous les écarts. Une recherche des causes ainsi que des actions à entreprendre, le(s) délai(s), le(s) responsable(s) de réalisation et de suivi sont enregistrés sur le plan d’action PI-FR08-01
Etape 3 : Rapport d’audit – conclusion
Dans le cas où l’audit interne est fait par un auditeur externe, son rapport est utilisé. Le rapport d’audit est réalisé dans un délai ne dépasse pas dix jours.
Comment réaliser un rapport de mission d’audit ?
Le rapport d’audit est un travail collectif qui revient à l’équipe des auditeurs. Généralement, le responsable d’audit prend la plume, mais cela peut être aussi l’auditeur, lors d’un compagnonnage prévu dès la préparation de l’audit. Le style a son importance, mais doit rester simple. Le rapport est écrit pour être lu ! Le rapport s’écrit beaucoup plus rapidement dès le lendemain de l’audit. Les prises de notes des membres de l’équipe d’audit sont fort utiles aussi à ce stade. Le rédacteur utilise généralement un modèle de rapport reconnu de l’organisme auquel il appartient. Selon les cas, les points sensibles sont aussi explicités.
L’une des qualités du rapport d’audit est certainement la bonne formulation des fiches d’amélioration qui expriment l’écart par rapport à la norme ou au référentiel, ainsi que sa hiérarchisation en non-conformité ou remarque. Cette formulation est importante car c’est elle qui permettra d’engager les actions d’amélioration. Il ne doit donc pas y avoir d’ambiguïté à la lecture de la formulation de l’écart. Le style laconique est aussi frustrant. La formulation ne doit pas dépasser trois phrases.
Une fois la première version réalisée, certains préconisent l’envoi du support informatique à l’équipe d’auditeurs, pour remarques rapides (sous quelques jours). Une fois les remarques intégrées, on peut envoyer ce nouveau projet aux audités (sans que cela soit une obligation). L’objectif est de dissiper tout malentendu. Sous quinze jours, le rapport d’audit est envoyé formellement au commanditaire (ou le client d’audit), avec parfois une proposition de lettre aux audités, ainsi que la liste de diffusion. C’est le commanditaire (ou le client d’audit) qui assure la diffusion du rapport
Eléments à renseigner par le RA :
- Codification de la fiche de Non-Conformité
- Description de la non-conformité
Comment se déroule une mission d’audit ?
Que quel que soit l’objet de la mission, la méthode est toujours la même.
Tout comme la technique comptable ou comme celle de production, la technique de l’audit interne obéit donc à des règles précises, qui doivent être respectées si on veut fournir un travail clair, complet et efficace.
Et ce dans le respect des Quatre principes fondamentaux qui ne sont autres que : La simplicité, la rigueur, l’adaptabilité et la transparence.
Une mission d’audit interne se définit comme un travail « temporaire » que l’auditeur interne sera « chargé d’accomplir dans l’intention sous le mandat de la direction générale ».
Ordre de mission (Acte de naissance de la mission) = Document d’information court qui déclenche une mission d’audit et qui indique le champs d’investigation (Lieu et périmètre), l’objet de la mission, les objectifs généraux, les responsabilités, la date du début et de la fin de la mission.
La singularité d’une mission d’audit est qu’elle se découpe en périodes précises et identifiables, et qui sont toujours les mêmes à savoir:
Les outils de l’auditeur interne
Les outils d’interrogation qui vont aider l’auditeur à formuler des questions ou à répondre à des questions qu’il se pose, exemples :
- les sondages statistiques ou échantillonnages ;
- les interviews et questions écrites ;
- les outils informatiques ;
- les vérifications et rapprochements divers. Les outils de description, on pourrait presque dire de « révélation », qui ne présupposent pas de questions
particulières, mais vont aider à mettre en relief les spécificités des situations rencontrées, exemples:
- l’observation physique ;
- la narration ;
- l’organigramme fonctionnel ;
- la grille d’analyse des tâches ;
- le diagramme de circulation ;
- la piste d’audit.
