C'est une approche systématique et organisée pour évaluer l'efficacité des processus de gestion des risques, de contrôle et de gouvernance.
L'audit interne est indépendant des autres services, c'est aussi une activité objective. L'audit est là pour donner à une organisation, une assurance sur le degré de maitrise de ses activités. Le chef d'entreprise en a besoin pour le réassurer par rapport à ce qu'il a mis en place. On va apporter des conseils pour les améliorer, et on va donc leur ajouter de la valeur.
Pour faire un audit, il faut d'abord une information. Cette information doit être comparée à des standards, des critères préexistants. Ces critères sont normalement quantifiables. S'ils ne le sont pas, il faut déterminer à quels niveaux, il faut intervenir. S'il n'existe pas, il faut les définir avec l'auditer.
L'accumulation d'évidence : ça peut être une interview, un document interne à l'entreprise, un document externe à l'entreprise, une observation (suivre la chaine de montage, de fabrication), de la re-performance (on va recalculer quelque chose), ça peut être de l'analyse de ratio. L'évidence doit être suffisante et variée. On ne peut pas porter un jugement sur une seule source de preuve.
Les informations orales sont les moins fiables, les informations écrites sont un peu plus fiables. Les écrits en interne, il faut que ce soit des originaux. Il faut aller chercher des confirmations d'extérieurs pour savoir si ce sont vraiment des originaux. On demande par exemple aux fournisseurs de l'entreprise de nous fournir une copie de la facture.
L'information externe est la plus fiable.
L'audit doit être fait de manière compétente et indépendante : compétente pour savoir de quoi on parle. Dans l'équipe, on doit s'assurer qu'on a toutes les compétences nécessaires pour couvrir le domaine auditer. Compétent : il s'agit de savoir qu'elle information je dois aller chercher et en quelle quantité. Le reporting sert de conclusion à ce qu'on a fait. Il sert à communiquer aux audités à la fois à ce qu'il va bien, mais aussi à ce qu'il va mal.
L'audit interne : il est indépendant. Il faut lui définir sa raison d'être, sa responsabilité. Il doit être formellement défini dans une charte de l'audit interne. Cette charte doit être en accord avec les standards et souvent revue avec le top managements et le conseil d'administration. Elle est signée par ces deux parties. Elle définit la raison d'être et le secteur d'activité. On peut ne pas avoir le droit d'auditer tous les secteurs de l'entreprise. Il faut donc savoir si on a un pouvoir total ou limité. Cette charte est périodiquement revue, car il faut savoir si on peut aller par exemple dans l'entreprise qui a fusionné ou l'entreprise en faillite, etc.
[...] - Définir les objectifs de l'audit : planifier la mission d'audit. Prise de connaissance - L'organisation de l'unité - L'organigramme - La formation des hommes - La répartition des tâches - Les éléments chiffrés Acquérir une connaissance des techniques de gestion et des contrôles. On va utiliser 3 outils : - le questionnaire de prise de connaissance : sa taille, son activité, sa situation budgétaire. Cela traite aussi de la connaissance du contexte organisationnel de l'unité et sur le fonctionnement de l'entité, les procédures, les informations règlementaires, les SI, les problèmes passés ou avenir ou actuel et tous éléments chiffrés. [...]
[...] L'audit est là pour donner à une organisation, une assurance sur le degré de maitrise de ses activités. Le chef d'entreprise en a besoin pour le réassurer par rapport à ce qu'il a mis en place. On va apporter des conseils pour les améliorer, et on va donc leur ajouter de la valeur. Pour faire un audit, il faut d'abord une information. Cette information doit être comparée à des standards, des critères préexistants. Ces critères sont normalement quantifiables. S'ils ne le sont pas, il faut déterminer à quels niveaux, il faut intervenir. [...]
[...] Cette personne comprend que l'objectivité de l'audit est remise en cause. Ex : Le lien de la famille, le lien des actions (lien financier, auditer son banquier), l'inquiétude quant à la possibilité de perdre le client, quant au perd de la crédibilité en faisant la promotion du client. Le travail d'un auditeur n'est pas de détecter la fraude, c'est comprendre les schémas potentiels de fraude. A travers ces schémas, pendant l'audit, on va être sensible aux indicateurs de fraude (les red flags). [...]
[...] Si l'entreprise n'est pas trop disséminée, ça va se faire par groupe de travail. Pour définir le risque de chaque activité auditable, on va voir les managers pour les interviewés. Cela ne peut se faire que par la communication. Les différents types de contrôle : C'est des contrôles proactifs pour éviter qu'un évènement n'arrive. Il existe aussi des contrôles défectifs, ceux sont des contrôles réactifs. Il y a aussi des contrôles directifs qui sont aussi proactif. Ex : la formation continue c'est un contrôle directif. [...]
[...] Ce sont les standards appliqués dans les états financiers. Cependant, ces standards contiennent à la fin une PSP (perspective pour le secteur publique). S'il n'en contient pas, il n'a besoin d'être adapté au secteur public. L'équivalent français de l'IIA, c'est l'IFACI (établit à Paris, créer en 1965, contribue aux recherches et aux informations en Audit. Habilité par l'IIA à faire passer les certifications. L'ISACA : développe les certificats sur la sécurité des systèmes d'informations. Fondé en 1969. Dans le secteur public on a les SAI qui sont regroupés dans un organisme qu'on appelle INTOSAI qui eux ont émis les lignes directrices. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture