Après avoir évoqué ce qu’est un audit interne et avoir livré tous les conseils pour réaliser cet audit, l’heure est venue de parler méthodologie de l’audit interne et outils.
La méthodologie de l’audit interne est en effet complexe et demande une organisation irréprochable. Le recueil des contributions, la constitution des rapports, la communication autour de cet audit nécessitent certains documents, parfois certaines solutions logicielles, qui offrent l’énorme avantage de vous guider, et globalement de faciliter ces missions.
Ces outils peuvent intervenir à différents moments selon la phase de l’audit dans laquelle vous évoluez, de la préparation à la communication, en passant par la réalisation. Voici trois exemples des nombreux outils qui s’appuient sur les normes de fonctionnement de la série 2000 des MPA(Modalités Pratiques d’application 2200, 2300 et 2400) comme les définit l’IFACI, l’Institut Français des Auditeurs et Contrôleurs Internes.
1 – L’entretien, élément fondamental de la méthodologie de l’audit interne
L’entretien est la brique centrale de votre audit. Sans lui, pas de recueil d’information. Sans une méthode bien définie, point d’analyse possible. Son objectif ? Collecter des informations afin de prendre connaissance des activités du domaine audité et éventuellement constituer les preuves d’audit qui permettront d‘atteindre les objectifs de la mission d’audit.
Quels sont les prérequis pour mener à bien un entretien ? Commencer, pour l’auditeur, par respecter les personnes interrogées et parler leur langage, d’une part, et ne pas commencer l’entretien avec des idées préconçues. Des savoir-être qui s’accompagnent de savoir-faire quant à la préparation de cet échange.
1. Voici la checklist d’un entretien bien préparé :
- Définir les objectifs de l’entretien.
- Définir les thèmes qu’il sera nécessaire d’aborder.
- Identifier le(s) interlocuteur(s).
- Collecter des informations sur le domaine concerné par l’entretien et sur le(s) interlocuteur(s)
- Lister les questions et les organiser par thème et sur le modèle : Qui, Quoi, Où, Comment, Pourquoi, Quand.
- Définir un plan de l’entretien.
- Organiser le rendez-vous (date, heure, lieu, durée).
Après cette phase préparatoire vient ensuite le temps de la réalisation. Comment conduire efficacement un entretien ? En suivant les points suivants :
- Le cadrage
- Établir une relation de confiance avec le(s) interlocuteur(s) afin d’encourager la transparence.
- Examiner les objectifs de l’entretien, la place de l’entretien dans la mission, les thèmes à aborder, le plan prévu.
- Les échanges
- Poser les questions ouvertes (elles donnent la parole à l’interlocuteur et n’influencent pas les réponses), en rebond (elles visent à recadrer les échanges sur les objectifs de l’entretien et donnent l’occasion à l’interlocuteur d’approfondir son discours dans ce sens), factuelles (elles permettent de recueillir rapidement des informations et des précisions), à choix multiples ou fermées.
- L’écoute et la reformulation sont bien entendu essentielles pour s’assurer d’une part d’avoir collecté la meilleure information possible, et d’autre part de s’assurer que tous les termes techniques sont bien appréhendés par votre interlocuteur et que la réponse est bien validée par ce dernier.
Enfin, une fois l’entretien réalisé, vient le moment du bouclage et de la synthèse, c’est-à-dire le temps de la communication. Là encore, quelques passages obligés :
- Lors du « bouclage», synthétisez et validez les points clefs de l’entretien, listez les documents énumérés pendant l’entretien (et définissez les délais de transmission de ceux-ci), présentez les étapes suivantes et les éventuels futurs échanges, avant de terminer en remerciant votre interlocuteur.
- Le compte-rendu de l’entretien, enfin, doit être rédigé rapidement après la fin de ce dernier et enregistré dans le dossier de la mission d’audit. La validation formelle de ce document par le participant permettra de donner un caractère probant aux informations collectées.
2 – Le diagramme de flux, pour schématiser vos processus
L’objectif du diagramme de flux est de représenter graphiquement le déroulement d’un processus, c’est à dire d’un ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie (d’après la définition de la norme ISO 9000:2000).
Cette représentation graphique pourra être utile à l’auditeur interne pour identifier les risques relatifs à chaque activité du processus et les contrôles clefs qui devraient permettre de les maîtriser.
1. Pour réaliser ce diagramme, vous devez respecter les étapes suivantes :
- Identification du processus à représenter.
- Identification des activités.
- Identification des acteurs ; chaque acteur identifié fera l’objet d’une colonne du diagramme.
- Identification des documents.
- Identification des flux (informations en entrée et en sortie de chacune des activités) ; les éléments d’entrée d’une activité sont généralement les éléments de sortie d’autres activités.
2. Quelques consignes généralement données pour produire un document lisible et efficace :
- La mise en place des activités sur le diagramme s’effectue en fonction des acteurs qui les réalisent et en fonction de leur position dans le déroulement du processus ; le sens des flèches donne le sens de lecture.
- Une activité est généralement déclenchée par la réception d’une information.
- Le sens des symboles utilisés pour élaborer un diagramme de flux doit faire l’objet d’une compréhension commune.
- Il existe une norme ISO qui définit les principaux symboles utilisés dans un diagramme de flux (ISO 5807).
- Une légende précisant le sens des symboles peut être associée au diagramme.
- L’élaboration d’un diagramme de flux est un processus itératif.
3 – L’approche processus et référentiel d’audit
Cette démarche consiste à décrire de façon méthodique les activités du domaine audité afin d’identifier leurs objectifs, leurs risques et les dispositifs de contrôle qui devraient permettre de maîtriser ceux-ci. Comme toute approche reposant sur la modélisation, elle donne une représentation partiale et incomplète de la réalité. Elle peut donc servir à compléter d’autres outils.
1. Pour réaliser un audit en utilisant cette approche, vous devez vous respecter la procédure suivante :
- Identifier et décrire les processus de réalisation, ceux qui produisent des produits ou services.
- Identifier et décrire les processus de management, ceux qui produisent des décisions.
- Identifier et décrire les processus support, ceux qui produisent des ressources.
- Identifier et décrire les processus de mesure, ceux qui produisent des mesures.
- Identifier les processus clefs, ceux dont le bon déroulement est critique pour l’atteinte des objectifs du domaine audité.
- Identifier les événements qui peuvent avoir un impact négatif sur le déroulement des processus clefs.
Cette approche s’inscrit dans la rédaction du référentiel d’audit, outil indispensable s’il en est. Ce dernier recense les objectifs de chacun des processus / sous-processus et pour chacun d’eux les risques auxquels ils sont exposés et les contrôles qui devraient permettre de réduire ces risques. Les contrôles identifiés constitueront la référence à partir de laquelle sera réalisée l’évaluation du système de contrôle interne.
Ce référentiel commence par l’identification des objectifs comme décrits dans l’approche processus. Elle propose ensuite l’identification des risques, en déterminant les événements internes et externes susceptibles d’avoir un impact significatif sur l’atteinte des objectifs. Cette identification des risques doit tenir compte des travaux de Cartographie des Risques préexistants au sein du domaine audité.
Dernier élément propre au référentiel d’audit : l’identification des dispositifs de contrôle interne. Définir un cadre de contrôle pertinent à partir de cadres de contrôle externes diffusés par des instances professionnelles reconnues pour leur expertise dans ce domaine, et de cadres de contrôles internes éventuellement présents dans l’organisation.
Le(s) cadre(s) de contrôle sélectionné(s) par l’auditeur interne vont lui permettre de structurer les contrôles identifiés.
2. Les activités de contrôle intégrées dans les processus de l’entité auditée peuvent notamment porter sur :
- L’attribution des autorisations relatives à l’approbation des opérations.
- La séparation de tâches incompatibles.
- Les actions de supervision des opérations.
- L’impossibilité de réaliser des opérations non autorisées.
- Les vérifications de l’existence, de l’exactitude et du traitement dans les temps des opérations.
- La formalisation des opérations réalisées.
- La conservation et la protection des pièces justificatives.
4 – Des outils nombreux et parfois complexes
Ces trois exemples montrent l’étendue de la tâche qui attend le responsable en charge de l’audit et ses auditeurs. D’autant que de nombreux autres outils n’ont pas été abordés ici :
- Grille d’analyse des tâches
- Test de cheminement
- Hiérarchisation des risques
- Diagramme Cause / Effet
- Questionnaire de Contrôle Interne
- Procédure d’audit analytique
- Echantillonnage statistique
- CAATs (pour Computerized Assisted Audit Tools)
Dans ce cadre complexe et très structuré, l’apport d’un logiciel intégrant toute la méthodologie de l’audit interne est indéniable. Pyx4, au travers de sa solution Improver, vous permet :
- De planifier vos audits,
- De constituer les équipes d’auditeurs,
- D’encadrer la réalisation de cette mission
- D’effectuer vos analyses d’écart
- D’établir vos rapports d’audit
- De piloter la résolution des non-conformités
- De suivre les actions d’amélioration issues de votre audit.
Les équipes Pyx4 se tiennent à votre disposition pour vous présenter ses outils et les gains qu’ils pourraient apporter à votre organisation.