UNION FRANCOPHONE DE L’AUDIT INTERNE (UFAI)

Animé par Carlos Christian DADI,

CIA, CFSA, CFE

Avertissement: Cette présentation décrit le point de vue de

l’animateur et non celui de son employeur

• 1. Revue des normes professionnelles sur

l’élaboration d’un plan d’audit interne

• 2. L’univers d’audit

• 3. Pratique du processus d’évaluation des risques

• 4. Les autres inputs d’un plan d’audit interne

• 5. Le plan pluriannuel

• 6. Négociations et validation

• 7. Un plan d’audit interne flexible et dynamique

Sommaire

a) Norme 2010 – Planification

«…Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir

des priorités cohérentes avec les objectifs de l'organisation...»

b) MPA 2010-1 - Prise en compte des risques et des menaces pour l’élaboration du plan d’audit

l’actualisation de l’univers d’audit: étape à l’élaboration du plan d’audit.

Univers d’audit = l’ensemble de tous les audits pouvant être réalisés et est fonction du profil risque, environnemental et stratégique de l’organisation.

Plan d’audit interne= flexible et sensible aux changements affectant l’organisation.

Priorisation des audits: Matérialité du risque et probabilité d’occurrence …

c) MPA 2010-2 - Utilisation du processus de gestion des risques dans la planification

Définition du processus de gestion des risques (définition de l’ERM-COSO2) et son approche holistique au sein de l’organisation: ce processus se retrouve à la fois au niveau des entités, fonctions et

opérations.

Définition des notions de risque inhérent (étendue du risque en l’absence de contrôles), de risque résiduel (risque courant existant après la mise en œuvre des contrôles) et de contrôles clés (contrôles

réduisant le risque inhérent d’un niveau inacceptable à un niveau acceptable)

Précision: le plan d’audit interne doit refléter les résultats du processus de gestion des risques et le responsable d’audit interne

(RAI) doit veiller à l’existence de compétences suffisantes pour évaluer, comprendre et prendre en compte les risques les plus complexes

MPA 2010-2 - Utilisation du processus de gestion des risques dans la planification

Suite

Quelque soit la source de l’évaluation des risques (fonction de gestion des risques autonome ou évaluation des risques opérée par l’auditeur interne), l’auditeur interne doit considérer les facteurs suivants dans

l’élaboration du plan d’audit: Le risque inhérent, le risque résiduel, l’étendue des contrôles et du suivi, les registres de risques et la

documentation.

Le plan d’audit interne doit être coordonné avec les autres fonctions d’assurance au sein de l’organisation.

Elaborer un plan d’audit

interne = Choisir les

unités auditables en

fonction du risque et d’autres

facteurs appropriés.

Selon la MPA 2010-1, l’univers

d’audit= la population des

unités auditables.

Les unités auditables

peuvent prendre plusieurs formes en fonction de la

structure stratégique et

fonctionnelle de l’organisation.

Il convient d’aligner la définition de l’univers d’audit avec la structure fonctionnelle et stratégique: Ex: structure fonctionnelle

classique = découpage par fonction ou cycles (vente, achat, encaissements-decaissements…).

Le découpage peut être également géographique, par projets ou par sous-entités. En tout état de cause, il doit être cohérent avec la

structure de reporting: il convient de tenir compte du regroupement de l’information financière et opérationnelle telle que reçue par la

direction.

En outre, pour un processus d’évaluation des risques plus performant, il peut être utile d’étendre la granularité des découpages initiaux: vente=

commande, livraison, facturation, enregistrement comptable…

Après avoir définit l’univers d’audit, l’auditeur doit prioriser la population de cet univers. Lorsqu’une fonction de gestion des risques autonome existe, il s’appuie sur ses résultats. Dans le cas contraire, il

entreprend un classement des unités auditables en fonction de la teneur des risques qui y sont associés.

L’approche traditionnelle retenue consiste à classer chaque unité auditable selon la probabilité d’occurrence et l’impact des risques

inhérents qui lui sont associés.

La MPA 2010-1 précise divers autres éléments pouvant entrer dans la classification des unités auditables en fonction de leur risque relatif:

La matérialité

les relations avec le personnel et l’administration

la complexité

la date et les résultats de la dernière mission d’audit

le niveau de changement ou de stabilité

la qualité et le respect des contrôles internes

la compétence du management,

la liquidité des actifs

Exemple d’évaluation des risques d’un processusNB : La forme et le contenu de l’évaluation des risques varie significativement d’une

organisation à une autre, ceci est présenté à titre illustratif.

Processus: Commande des clients

Typologie des risques: Les commandes clients ne sont pas exhaustivement traitées

Niveau de l'impact ( échelle 1 - 10) (A): 3

Niveau de la probabilité d'occurrence (échelle 1 - 10) (B): 7

Niveau global du risque (A)*(B) (échelle 1 -100): 21

Commentaires sur la mesure de l'impact et de la probabilité d'occurrence

Impact: Compte tenu d'une clientèle fortement atomisées, l'impact d'une commande non traitées reste limité: le client le plus significatif pèse 2% du CA

global…, cette évaluation tient compte de l’effet de halo induit.

PO: La réception et le traitement des commandes en ligne ne sont pas soutenus par un système d'information fiable: le personnel affecté à la

réception et au traitement des commandes dénonce une indisponibilité récurrente du module informatique de traitement en ligne des commandes.

Norme 2050: « Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil …»

Le budget et les ressources de l’audit interne

Les aspirations et priorités de la direction ou du Conseil.ATTENTION: Cette prise en compte ne devrait pas influer sur

l’indépendance de l’audit interne.

Les résultats et la planification des autres missions d’assurance (Qualité, sécurité…).

Les résultats des travaux et le planning des auditeurs externes.

NB: Ces facteurs peuvent intervenir à la fois dans l’ élaboration du plan initial ou dans sa nécessaire mise à

jour au cours de l’année.

Dans le soucis de couvrir tous les éléments majeurs de l’Univers d’audit, le plan d’audit peut être élaboré sur une base pluriannuelle (de 2

à 5 ans en général).

L’avantage d’une telle approche peut être de ne pas omettre des éléments de l’Univers d’audit qui recéleraient un risque inacceptable

non capté par l’ évaluation des risques.

Si l’auditeur adopte une telle approche, il devrait tout de même revisiter l’évaluation des risques au moins sur une base annuelle pour refléter

le risque courant.

Lorsque l’auditeur a priorisé les unités auditables et identifié les autres inputs, il élabore le plan d’audit interne qui comprendra le détail des

missions de l’année.

Ce plan est alors soumis à la validation du Conseil (Via le Comite d’audit).

Ensuite, il est communiqué à la direction et aux responsables opérationnels.

L’auditeur entreprend alors les négociations avec les responsables opérationnels ou fonctionnels pour déterminer les dates et modalités

d’exécution des travaux. NB: Il peut s’avérer plus pratique de procéder à cette étape avant la validation du plan d’audit interne

par le Comité d’audit.

Par définition, le plan d’audit interne résulte d’une évaluation des risques. Le profil risque de l’organisation variant nécessairement avec

ses changements internes et environnementaux, l’auditeur doit constamment mettre à jour le plan d’audit pour refléter les risques

courants auxquels fait face l’organisation. Cette mise à jour peut se faire de façon ad-hoc, trimestrielle ou semestrielle.

En outre, la MPA 2060-1 précise que la communication annuelle de l’auditeur au Conseil (via le Comité d’audit) devrait préciser les raisons

des variations des travaux d’audit par rapport au plan d’audit initial.

FIN DE LA PREMIERE PARTIE

L’ élaboration d’un plan d’audit interne

UNION FRANCOPHONE DE L’AUDIT INTERNE (UFAI)Animé par Carlos Christian DADI,

CIA, CFSA, CFE

QUESTIONS-REPONSES