audit interne

1

L'AUDIT INTERNE

ENCG Casablanca - 2015

2

Plan de la présentationA) L’audit interne

- Définition

- Rôles

- Conditions d’exercice (indépendance)

B) Les champs d’évaluation de l’audit interne

- Contrôle interne- cadre de référence : le COSO I

- Management des risques- COSO II

- COSO III

- Rôle de l’audit interne

C) Les processus clefs de l’audit interne

- Planification du programme d’audit,

- Conduite de la mission : planification, accomplissement, communication des résultats, suivi des actions de progrèsD) Les normes : leur finalité, leur rôle, leur évolution

E) Déontologie et objectivité de l’auditeur interne

F) Les qualités relationnelles de l’auditeur interne


3

INTRODUCTION


4

Introduction

Audit interne : Activité qui a connu beaucoup de changements courant les dernières années. Fonction qui prend de plus en plus d’importance suite aux différents scandales financiers.

Objectif : vérifier la conformité aux lois et normes, donner un avis indépendant sur le fonctionnement du contrôle interne, la gestion des risques, la gouvernance, …

Est devenu au fil des ans un outil de management de la direction générale au service de l’organisation.Métier normalisé et cadré.

Normes de l’IIA pour l’exercice de cette activité


5

- Définition

- Rôles

- Conditions d’exercice (indépendance)

A) L’audit interne


6

« L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité. »

Normes IIA

Audit Interne - Définition


7

L’ Indépendance :

Désigne le fait de se libérer des conditions qui menacent l’objectivité ou l’apparence de l’objectivité.

l’objectivité :

Se définit comme une attitude impartiale grâce à laquelle les auditeurs internes exécutent leurs missions en étant sincèrement convaincus de la légitimité du résultat de leur travail et sans transiger sur la qualité. Pour être objectifs, les auditeurs ne doivent pas subordonner leur jugement à celui d’autrui sur des questions liées à l’audit.

Activité d’assurance :

Examen objectif dont le but est de fournir une évaluation indépendante des processus de gouvernance, gestion des risques et contrôle d’une organisation, exemples des missions portant sur les informations financière,; performances, la sécurité des systèmes…



8

Activité de conseil :

Activités de conseil et de service client, dont la nature et le périmètre sont définis en accord avec le client et qui sont destinées à offrir une valeur ajoutée et à améliorer la gouvernance d’une organisation, sans que l’auditeur interne soit responsable de l’encadrement.

Approche systématique et méthodique :

L’audit interne s’appui sur une démarche structurée pour dérouler son programme d’audit.

Risque :

L’incertitude que se produise un événement qui pourrait avoir un impact sur la réalisation des objectifs d’une entité.

Processus de Contrôle :

Politiques, procédures et activités qui font partie d’un cadre de contrôle, conçues pour obtenir les risques dans les limites de tolérance établies par le processus de gestion des risques.



9

Est dans son périmètre :

• Evaluation = Analyser et évaluer les processus de gouvernement d’entreprise, de management des risques et de contrôle ;

• Recommandation = Formuler des recommandations pour améliorer leur efficacité ; • Communication = Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés ; • Conformité = Vérifier que les dispositifs mis en place assurent la conformité aux lois et réglementations ; • Participer aux missions d’investigation dans le cadre de fusions/acquisitions ; • Contribuer à la mise en place du processus de management des risques ; • Animer, quand elle existe, une démarche d’auto-évaluation des risques et des contrôles. • …

N’est pas dans son périmètre :

• Prendre des décisions stratégiques et/ou opérationnels, • Assurer les activités de contrôle interne, • Mettre en place les recommandations, • ….

Audit Interne – Rôles


10

Type Activités d’assurance Activités de conseil

Définition Examen objectif dont le but est de fournir une évaluation indépendante des processus de gouvernance, gestion des risques et contrôle d’une organisation. Les missions portant sur les informations financières, les performances, la conformité, la sécurité des systèmes et le professionnalisme en sont quelques exemples.

Activités de conseil et de service client, dont la nature et le périmètre sont définis en accord avec le client et qui sont destinées à offrir une valeur ajoutée et à améliorer la gouvernance d’une organisation, ainsi que ses processus de contrôle et de gestion des risques, sans que l’auditeur interne soit responsable de l’encadrement.

Parties concernées

L’auditeur interne détermine la nature et le périmètre de la mission d’assurance. En général, 3 parties sont impliquées dans les activités d’assurance. - La personne ou le groupe directement impliqué dans le

processus, le système ou tout autre objet d’évaluation : audité,

- L’auditeur interne (personne réalisant l’évaluation).- La personne ou le groupe utilisant l’évaluation : DG,

Conseil.

Les activités de conseil impliquent généralement deux parties. - La personne ou le groupe dispensant des conseils (auditeur

interne), - La personne ou le groupe sollicitant et recevant les conseils

(le client de la mission).

Périmètre des activités

L’auditeur interne détermine la nature et le périmètre de la mission.

Le client détermine la nature et le périmètre en accord avec l’auditeur.

Eléments livrables

Une évaluation, une opinion ou une conclusion du résultat de la mission d’assurance est communiquée.

Conseils et apport d’une valeur ajoutée aux processus de gouvernance, gestion des risques et contrôle de l’organisation.

Audit Interne - Rôles


11

Activité de conseil : • Mission de conseil formelles : planifiées er faisant l’objet d’un accord écrit, • Mission de conseil informelles : activités courantes telles que la participation aux

comités permanents, les projets limités dans le temps, les réunions spéciales et l’échange des renseignements de caractère courant.

• Mission de conseil spéciales : participation à une équipe de fusion ou d’acquisition ou à une équipe de conversion de système

• Mission de conseil d’urgence : participation à une équipe mise en place pour restaurer ou maintenir des opérations suite à un sinistre ou tout autre évènement extraordinaire, ou à une équipe constituée pour apporter une aide temporaire afin de faire face à une demande spéciale ou de respecter un délai inhabituel.

Audit Interne – Rôles


12

Audit Interne - Outils

Code de déontologie

Charte d’audit

Normes

profe

ssion

nelle

s

Cadre de référence international des pratiques professionnelles de l’audit interne


13

Audit Interne – Conditions d’exercice (Indépendance)

L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière impartiale, leurs responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement.

L’indépendance de l’audit interne doit se traduire : - Au niveau de l’auditeur interne : indépendance vis-vis des activités à auditer, conflit d’intérêt. - Au niveau de la conduite de la mission : définition du périmètre, établissement du programme de travail, accès à

l’information, aux documents et aux personnes, et la communication des résultats, - Au niveau de l’audit interne et de son positionnement dans l’organisation : accès au Conseil et au comité d’audit,

ressources nécessaires pour la bonne marche de l’activité, …


14

Double rattachement de l’activité d’audit interne :

Conseil d’administration

Direction Comité d’audit

Fonction de l’audit interne

Le RAI doit être rattaché :- Au conseil et au comité d’audit sur le plan fonctionnel,- A la direction générale de l’organisation sur le plan hiérarchique

Attachement hiérarchiqueAttachement fonctionnel



15

Attachement fonctionnel• Approuve la charte d’audit,• Approuve le plan d’audit interne fondé sur l’approche par les risques,• Soit tenu informé des résultats de l’activité d’audit,• Approuve les résultats de l’évaluation de la performance, la nomination et la destitution du RAI,• Approuve la rémunération et la revalorisation du salaire du RAI.

Attachement hiérarchique• Donner les moyens nécessaires à l’accomplissement de sa mission, • Donner les moyens nécessaires pour la mise en place des recommandations, • Faciliter la communication interne et le flux d’information, • Gérer des ressources humaines, y compris l’évaluation et la rémunération,



16

La charte d’audit annonce le cadre de l’exercice de l’activité d’audit interne au sein d’une entreprise,

Document signé par le Président du Comité d’audit, la Direction Générale et le Responsable d’audit interne et transmis à l’ensemble du personnel,

Ce document spécifie la fonction, les pouvoirs et les responsabilités du service d’audit interne, y compris le rattachement au comité d’audit, les accès nécessaires à l’exécution du travail d’audit, toutes les restrictions de périmètre et/ou de pouvoir, le respect d’un code de déontologie et des normes d’audit interne, ainsi que les relations avec les auditeurs externes.

Ce document est revu périodiquement pour garantir son adéquation au fonctionnement de l’activité.



17

Le Comité d’audit est une émanation du Conseil d’administration. Il l’assiste sur le plan de la surveillance des règles de conformité des rapports financiers, du respect des prescriptions juridiques et réglementaires, ainsi que de la qualification, de l’indépendance et de l’action, des auditeurs externes.

Il donne avis, au Conseil d’administration, sur le dispositif de contrôle interne, la qualité des comptes, les performances ainsi que sur toute question se rapportant au système d’information et de gestion de la Société.

Il est constitué de 2 à 3 administrateurs, membres du Conseil. La bonne gouvernance stipule que l’un d’eux doit être un administrateur indépendant, et de préférence ayant des connaissances en matière de gouvernance, gestion de risques ou encore en contrôle interne.

Le secrétariat du Comité d’audit interne est généralement tenu par le Responsable d’audit interne. le Comité d’audit tient ses réunions selon un planning défini et avant la tenue du Conseil. L’ordre du jour de ses réunions est établi en

collaboration avec le Responsable de l’audit interne : La gouvernance de l’entreprise, La gestion des risques, Les arrêtés comptables, Les rapports d’audit interne, Les rapports du commissaires aux comptes, …

Le comité d’audit va s’appuyer sur les avis des experts, et surtout celui du commissaire aux comptes, qui est systématiquement présent dans les réunions du comité d’audit (pour alimenter le Comité mais aussi pour observer les travaux de ce dernier).

Comme pour l’audit interne, le Comité d’audit se dote d’une charte de fonctionnement qui va préciser son périmètre, ses obligations, ses engagements, son fonctionnement, …



18

- Contrôle interne- cadre de référence : le COSO I- Management des risques- COSO II- COSO III- Rôle de l’audit interne

B) Les champs d’évaluation de l’audit interne


19

• A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The American Accounting Association (AAA), The American

Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), The

National Association of Accountants maintenant appelé The Institute of Management Accountants (IMA) se sont alliées pour établir une

Commission Nationale appelée « Treadway Commission ».

• Cette commission, indépendante de chacun des organismes qui la composent, se consacre aux fraudes financières.

• Cette commission, comprenant des représentants de l’industrie, de la comptabilité nationale, des sociétés de placement en immobilier et de la bourse

de New York, a mené une étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses et a formulé des

recommandations pour les sociétés anonymes et leurs auditeurs indépendants ou pour la Securities and Exchange Commission (SEC) et d’autres

régulateurs.

• Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses interrogations quant au système

comptable, aussi bien au niveau des normes actuelles que de leur mise en œuvre et leur contrôle.

•

COSO (Committee Of Sponsoring Organizations of the Treadway Commission) établit en 1992 une définition standard du contrôle interne et crée un

cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.

• En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, …), promulgue la loi Sarbanes–Oxley (the

Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs

conclusions dans les états demandés par la Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le

SOX act a favorisé l'adoption du COSO comme référentiel.

• En France, la loi de sécurité financière (dite loi LSF) promulguée peu après en 2003, a également contribué à sa diffusion.

Historique du COSO


http://fr.wikipedia.org/wiki/Congr%C3%A8s_des_%C3%89tats-Unis

http://fr.wikipedia.org/wiki/Enron

http://fr.wikipedia.org/wiki/Worldcom

http://fr.wikipedia.org/wiki/Loi_Sarbanes-Oxley



http://fr.wikipedia.org/wiki/SOX

http://fr.wikipedia.org/wiki/Securities_and_Exchange_Commission

http://fr.wikipedia.org/wiki/Loi_de_s%C3%A9curit%C3%A9_financi%C3%A8re

20

• En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau référentiel COSO 2 qui est axé davantage sur le processus de management des risques en entreprise (notion d’opportunité, appétence au risques, objectifs stratégiques, élargissement du périmètre aux filiales, ..).

• En 2013, la commission met à jour le 1er référentiel COSO I axé sur le contrôle interne afin d’adapter le référentiel aux évolutions de l’environnement et de l’entreprise : nouveaux risques émergeants comme la cybercriminalité, le rôle de la technologie, les problématiques d’externalisation, les nouveaux enjeux de la gouvernance, …

Historique du COSO


21

• 1992 Référentiel du contrôle interne COSO I• 2004 Référentiel du management du risques COSO II• 2013 Référentiel du contrôle interne (actualisation du référentiel de 1992) COSO

III

Historique du COSO


22

Selon le COSO I :

« le contrôle interne est un processus mis en œuvre par le Conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : - La réalisation et l’optimisation des opérations, - La fiabilité des informations financières, - La conformité aux lois et aux réglementations en vigueur. »

Les 5 composants du contrôle interne.

Contrôle interne – cadre de référence COSO IDéfinition


23

COSO I

L’environnement de contrôle constitue le milieu dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il sert de base pour les autres éléments du contrôle interne. Dans cet environnement, les dirigeants évaluent les risques susceptibles de mettre en cause la réalisation des objectifs spécifiques. Les activités de contrôle sont mises en place pour permettre à la direction de s’assurer que ses directives visant à traiter ces risques ont été exécutées. Entre temps, les informations pertinentes sont recueillies et communiquées à l’ensemble de l’organisation.

Le processus complet fait l’objet d’un pilotage et de modifications le cas échéant.

Pour répondre aux 3 objectifs du contrôle interne.

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne


24

L’intégrité et éthique Culture de l’entreprise, état d’esprit des dirigeants code de conduite, Incitations : pressions pour atteindre des objectifs irréalisables, à court terme, formules de rémunération basée fortement sur les performances, …Tentations : contrôles inexistants ou inefficaces (mauvaise séparation des tâches par ex), forte décentralisation des responsabilités, …

Les compétences Le niveau de compétences et de connaissance requis, Critères de recrutement, Formation et évaluation objective des performances, Compétences Vs coût.

Conseil d’administration et Comité d’audit

s’assurer du bon fonctionnement du système de contrôle interne : + compétences appropriées, + administrateurs indépendants, …

Philosophie et style de management des dirigeants

Niveau de risques accepté par les dirigeants, Modèle de gestion adopté (conventionnel, informel), Niveau de délégation ou de centralisation des pouvoirs et les outils de contrôle mis en place.

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne L’environnement de contrôle


25

Structure de l’entreprise

- Organigramme détaillé, - Descriptifs des activités, Fiches de postes et descriptifs de l’organisation (hiérarchie

pyramidale, structure matricielle, …), - Système clair de délégation des pouvoirs et des responsabilités, - Définition des périmètres et les limites de prises de décisions, et de remontée d’information, - Respect du principe de séparation des tâches (autorisation, engagement et règlements) doit

être respecté.

Délégation de pouvoirs et domaine de responsabilité

Politique en matière de ressources humaines

- Traduire les exigences en matière d’intégrité, d’éthique et de compétences. - Doit englober : le recrutement, la gestion des carrières, la formation, les

évaluations individuelles, les promotions et rémunération, …

Les différences et leurs conséquences

- Tenir compte des différences de cultures et des environnements dans les cas de sociétés à répartition géographique importante (société mère et filiales installées dans différents pays par ex).

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne L’environnement de contrôle


26

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne L’évaluation des risques

Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.

Identifier les risques par process critique liés aux objectifs de l’entreprises, Facteurs Interne / externeOrganisation, techniques, réglementaire, …

Evaluer les risques : Son importance, Sa probabilité

Elaboration de la cartographie des risques : permettre une vision synthétique des risques pris par l’entreprise sur ses métiers


27

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne Les activités de contrôle

L’application des normes et procédures destinées à assurer l’exécution des directives émises par le management en vue de maitriser les risques.

Couvrent : - Le domaine opérationnel : réalisation et optimisation des opérations, - La fiabilité de l’information comptable et financière,- Le respect des règlements et lois en vigueur.


28

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne L’information et communication

L’information pertinente doit être identifiée, recueillie et diffusée dans les meilleures conditions de forme et de délai : Production de rapports de performance répondant aux critères définis par l'entreprise, Alignement des systèmes d'information et de communication avec la stratégie de l'entreprise, Engagement de l'entreprise pour développer, tester et superviser les systèmes d'informations, Plan de secours et plan de continuité informatique.


29

Contrôle interne – cadre de référence COSO IEléments composants le contrôle interne Le pilotage

Évaluation périodique des contrôles internes, Mise en place de recommandations pour amélioration, Fonction d'audit interne structurée pour superviser les activités de contrôle.


30

• Le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la préservation de la valeur. Il se définit comme suit :

– « Un processus mis en œuvre par le conseil d administration, la direction générale, le management et l'ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation.

– Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’ organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. »

• Source : COSO II

Contrôle interne – cadre de référence COSO IIDéfinition


31

Objectifs du Management de risques :

• Stratégique objectifs stratégiques servant la mission de l’organisation,• Opérationnel objectifs visant l utilisation efficace et efficiente des

ressources,• Reporting objectifs liés à la fiabilité du reporting,• Conformité objectifs de conformité aux lois et aux réglementations en

vigueur.

Contrôle interne – cadre de référence COSO IIEléments composants le contrôle interne


32

Le dispositif de management des risques comprend huit éléments. Ces éléments résultent de la façon dont l’organisation est gérée et sont intégrés au processus de management :

Environnement interne L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception du management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel l’organisation opère.

Fixation des objectifs Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec son appétence pour le risque.

Identification des événements Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs.



33

Evaluation des risques Les risques sont analysés, tant en fonction de leur probabilité que de leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués.

Traitement des risques Le management définit des solutions permettant de faire face aux risques évitement, acceptation, réduction ou partage. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation.

Activités de contrôle Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l application effective des mesures de traitement des risques.

Information et communication Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l organisation de façon efficace.

Pilotage Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s effectue au travers des activités permanentes de management ou par le biais d évaluations indépendantes ou encore par une combinaison de ces deux modalités.



ENCG Casablanca - 2015 34

En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le but de cette mise à jour est de prendre en compte les évolutions des environnements opérationnels et les attentes accrues concernant le contrôle interne. Tout en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés significatives permettant la mise en œuvre d’un dispositif plus agile s’alignant en permanence aux objectifs de l’organisation.

• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cyber-criminalité, le cloudcomputing, etc.) ;• En matière de gouvernance (notamment les rôles des comités au niveau du conseil mais aussi de la direction générale sur des enjeux importants comme les risques, la conformité, etc.) ;• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation (le « tone in the middle » et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;• La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions support, et l’audit interne) ; et• Les exigences de reporting au-delà de la communication financière (développement durable, environnement, qualité, etc.).

Contrôle interne – cadre de référence COSO COSO III

35

Le COSO III : « le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs, et qui est destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité. »

Mise en œuvre à partir du 16 décembre 2014.




17 Principes de contrôle interne et 81 points d’attention pour la mise en œuvre des 5 composantes du contrôle interne.

Objectifs de contrôle interne :

1992 2013

Réalisation et optimisation des opérations Les opérations : réalisation de la mission de l’entité, comprennent la protection du patrimoine, …

Fiabilité des informations financières Le Reporting : externe et interne, financier et non financier

Conformité aux lois et règlements en vigueur La conformité : lois, règlements, procédures, notes internes, …



Le COSO 2013 comprend :

• Un résumé ;• Le référentiel et ses annexes qui définissent le contrôle interne, le positionnent par rapport à trois catégories d’objectifs, présentent les cinq composantes du contrôle interne, déclinées en 17 principes structurants, et décrivent les exigences en matière d’efficacité ;• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour faciliter l’évaluation des 17 principes qui constituent un dispositif de contrôle interne efficace ; et• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe (Internal Control over External Financial Reporting, « ICEFR ») qui propose des exemples de mise en pratique des 17 principes dans le cadre de la réalisation des états financiers.



Les principales évolutions concernent :

1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité sociale et environnementale) ;2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et l’alignement avec le business model) ;3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la direction générale) ;4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support, et l’audit interne) ;5. La relation entre risque, performance et rémunération (notamment le principe portant sur la responsabilisation) ;6. L’articulation du « tone at the top » avec les comportements à travers l’organisation (« tone in the middle ») ;7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au code de conduite, au respect des contrôles au-delà du reporting financier) ; et8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée par exemple à la mise en place de nouveaux processus, rôles, structures, systèmes d’information, centres de services partagés, périmètre d’activité, etc.

Le périmètre du contrôle interne n’élargit pas aux objectifs stratégiques, à l’appétence pour le risque ou autres sujets du ressort de l’Enterprise Risk Management et du référentiel de 2004 (COSOII). Le COSO 2013 s’articule logiquement avec le COSO ERM, le contrôle interne étant défini comme une partie intégrante de l’ERM.



Composantes Principes Environnement de contrôle

1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne.3. Le management, agissant sous la surveillance du Conseil, défi nit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux objectifs.5. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne.

Evaluation des risques

6. L’organisation défi nit des objectifs de façon suffisamment clairepour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés.8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des objectifs.9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.

Activités de contrôle

10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des niveaux acceptables les risques associés à la réalisation des objectifs.11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces règles.

Information et communication

13. L’organisation obtient ou génère, et utilise, des informations pertinentes et fi ables pour faciliter le fonctionnement des autres composantes du contrôle interne.14. L’organisation communique en interne les informations nécessairesau bon fonctionnement des autres composantes du contrôle interne, notamment en matière d’objectifs et de responsabilités associés au contrôle interne.15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle interne.

Activités de pilotage

16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent.17. L’organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil, selon le cas.



Définition des responsabilités 3 lignes de maitrise :

1. ce sont les opérationnels (par exemple les chargés de production, des ventes, etc.) qui doivent s’assurer de la bonne conception et du bon fonctionnement du dispositif de contrôle interne ;2. les fonctions support (par exemple les chargés de conformité, sécurité, gestion des risques) apportent expertise et conseil par rapport aux objectifs de performance et de contrôle ; et3. l’audit interne permet un regard indépendant et des revues variées dans un but, notamment, d’améliorer le contrôle interne de l’organisation.

La direction générale demeure le responsable en dernier ressort du respect du dispositif.Les commissaires aux comptes, régulateurs, ne font pas partie du système de contrôle interne. Le rôle du Middle management « tone in the middle » dans la mise en œuvre et dans l’efficacité du contrôle interneL’importance du respect du dispositif de contrôle interne pour les activités externalisées : importance du choix des prestataires.L’importance d’une bonne conduite des changements organisationnels et le respect des principes de contrôle interne : projets de transformation (SI, organisationnel, …) de l’accompagnement à la mise en œuvre.


41

Les auditeurs internes procèdent à un examen direct du système de contrôle interne et recommandent des améliorations :

- Examiner la fiabilité et l’intégrité des informations financières et d’exploitation, ainsi que les moyens utilisés pour identifier, mesurer, classer et diffuser ces informations,

- Examiner les systèmes mis en place afin de vérifier la conformité aux normes, plans, procédures lois et réglementations sur les activités

Contrôle interne – cadre de référence COSO Rôle de l’audit interne


42

Contrôle interne – cadre de référence COSO ICas d’application – mise en place de gestion des risques et du contrôle interne dans une compagnie d’assurance


43

Définir les objectifs

Répertorier les processus

Identifier les risques

Evaluer les risques

Identifier les contrôles

Tester les contrôles

Etablir des recommandations

ACTUALISATION

DEMARCHE DE GESTION DES RISQUES


44

Objectifs généraux

Objectifs fixés à l’échelle de l’activité

Liés à l’activités ( Opérations) ( rendement, positionnement, opportunités etc…)

Liés aux informations financières ( IF)(produire en temps voulu des états financiers conformes aux référentiels comptables)

Liés au respect de la réglementation ( Conformité) ( appliquer rigoureusement l’ensemble des lois et réglementations)

- Découlent des objectifs généraux- La notion d’activité est lié au découpage adoptée par la compagnie- BU, Process, Branches, Produits

FIXATION DES OBJECTIFS


45

• Il s’agit d’identifier et de prendre en compte les conséquences des risques significatifs.

• Ce processus est interne et peut se faire avec l’accompagnement de professionnels externes .

• Positionnement des opérationnels au cœur du dispositif .

• Chaque opérationnel, chaque manager est propriétaire de ses risques.

• La nomenclature se fait selon le découpage adopté par l’entreprise et sont systématiquement liés à des objectifs.

IDENTIFICATION DES RISQUES


46

La granularité est le niveau de détail sur lequel peut se construire une cartographie.

Il existe cinq niveaux complémentaires de granularité, du plus large au plus particulier :

IARD

Vie

Réass

Le métier Le domaine Le processus L’opération La tâche

Auto Sinistres Règlement Envoi d’un chèque

IDENTIFICATION DES RISQUES


47

Vue 1

Vue 2


48

Vue 3


49

Ouverture du dossier

Traitement du dossier

Règlement

Enregistrement de la provision réglementaire

Etape 0

Etape 1

Etape 3

Etape 4

Début

Fin

Processus

Nœud

Tâche

: autre processus

: nœud de décision

: tâche du processus

Identification du Courrier Arrivée

Evaluation initiale du sinistre

Traitement : sous EtapeInventaire du dossier

Inventaire Physique

Inventaire Permanent

Etape 5

Réception de la déclaration de sinistre

Gestion ContentieuxTransaction ?Non

Oui

Règlement financier

Règlement judiciaire

Ecriture comptable

Etape 2

Clôture du dossier

Vue 4


50

EXEMPLE DE RISQUES (Processus de gestion des primes)

N° Risques

R1 Retard dans l'émission des primes

R2 Prise de garanties méconnue par la compagnie

R3 Déséquilibre technique dans les contrats d'assurance

R4 Sous-tarification des polices (autres que les tarifs réglementés)

R6 Renouvellement d'une police présentant des impayées

R7 Double codification d'un assuré

R9 Erreur d'imputation des numéros des tryptiques

R10 Absence de données de gestion

R11 Double remboursement

R12 Délivrance de quittance sans paiement de cotisation

R13 Risque d'incident de paiement des cotisations

R14 Risque de non-conformité juridique des polices


51

EXEMPLES DE RISQUES (Gestion Sinistres)

N° Risques

RS1 Risque d'une évaluation erronée de la PSAP

RS2 Risque de règlement erroné

RS3 Estimation erronée des provisions réglementaires

RS4 Risque de traitement tardif du dossier sinistre

RS5 Risque de perte ou de traitement tardif du courrier

RS6 Risque d'erreur dans l'identification des éléments du sinistre

RS7 Risque de double règlement

RS8 Risque de perte, disparition ou destruction de dossiers physiques de sinistres ou d'éléments de dossiers

RS9 Sous effectif du service Sinistres Corporels et Matériels

RS10 Défaillance au niveau de la sécurisation du lieu de travail


52

EVALUATION DES RISQUES• L’objectif est de cerner les risques majeurs susceptibles d’avoir un impact significatif sur la

réalisation des objectifs de l’entreprise.

• L’évaluation des risques suppose la prise en compte des contrôles existants .

• Seuls les risques résiduels sont pris en compte .

• Deux aspects importants :

• L’importance du risque

• La probabilité de réalisation ( occurrence)

Mesure des impacts : impact financiers, impact image et réputation, impact réglementaire et légal, …


53

Objectif : parvenir à placer les risques sur une échelle de criticité. Identifier les causes et les

conséquences de chaque risque.

Outil indicatif : Matrices Fréquence / Impact

Proposition d’échelles :

Autres critères d’impact : impact sur l’image de la compagnie, réglementaire, juridique…

ECHELLES DE PROBABILITEECHELLES D’IMPACT

Risque brut = Impact prévisible x Fréquence

EVALUATION DES RISQUES


54

La détermination de l’occurrence et de l’impact de chaque risque permettra de déterminer la gravité globale du risque :

Echelle Gravité

4 Majeure

3 Importante

2 Moyenne

1 Faible

4- Probable

3- Assez probable

2- Peu propable

1- Improbable

1- Faible 2- Moyen 3- Fort 4- Critique

Impact

Probabilité



Risque Définition/ Précisions Imp Mait.

Respect des règles de souscription - Bancassurance

► Non respect des règles de souscription par le réseau Bancassurance2,8 2,2

Respect des règles de souscription - Agents ► Non respect des règles de souscription par le réseau des agents (tarification, risques exclus, risques non délégués) 2,6 2,4

Fiabilité des données pour l’appréciation / tarification du risque

► Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou frauduleuses - -

Concentration / souscription - Entreprises ► Dépassement des engagements acceptables sur un même site, un même client ou un même risque d’assurance 3,5 1,8

Dépassements des pleins – identification des risques / réassurance facultative

► Dépassement des pleins ou non identification des risques devant faire l'objet d'une assurance facultative :

► Dépassement de plein lors de la souscription d’un contrat► Non identification des polices reconduites tacitement devant faire l’objet de réassurance

facultative► Non respect des conditions du réassureur (délais de règlement de la prime,…) impliquant la

non couverture des sinistres cédés en réassurance facultative

4,0 2,0

Risques non réassurés ► Acceptation d'un risque exclu par la réassurance 3,0 3,7



Risque Définition/ Précisions Imp Maît

Emission de polices et triptyques frauduleux

Emission de polices et triptyques frauduleux : non autorisés, non déclarés à la Compagnie, antidatés.. 3,7 1,0

Formulaires, contrats, documents périmés - Bancassurance

Utilisation de formulaires, contrats et autres documents contractuels qui ne sont plus en vigueur par le réseau bancassurance 3,3 1,3

Approbation du contrat par le client Contrats d’assurance en cours d’exécution non signés par le client (essentiellement pour l’AT) 3,0 3,3

Qualité des clauses contractuelles Absence ou manque de précisions de certaines clauses dans le contrat (exclusions,…) 3,0 1,2

Gestion des stocks de triptyques Gestion des triptyques inefficiente : suivi du stock de la Compagnie et des intermédiaires, sécurité du stockage, détournement des triptyques par des employés / intermédiaires, … 3,2 1,6

Fiabilité des données clients pour la tarification AT

Les données utilisées pour la cotation des affaires en AT sont inexactes, incomplètes ou frauduleuses

2,5 1,8

Base clients bancassurance / Exhaustivité du chiffre d’affaires

Ecarts entre la base clients bancassurance (banque et filiales) et la Compagnie:Nombre de têtes Données clients (âge,…)Cotisations

3,8 2,0

Annulation des primes Annulation de prime erronée, non exhaustive ou non autorisée 3,2 2,0



57

IDENTIFICATION DES CONTRÔLES• La gestion des risques majeurs consiste en :

L’acceptation

Le transfert

L’évitement

La réduction

• Elle se situent dans le cadre de la réduction des risques. Elles comprennent un large éventail de politiques et de procédures qui permettent de s’assurer de la mise en œuvre des directives de la Direction.

• Contrôles Préventifs /Défectifs

• Contrôles de pilotage/d’application

• Exemples de contrôle d’application• Vérification de l’existence de toutes les pièces

justificatives avant l’émission d’une prime• Impossibilité d’émettre une même prime plus d’une

fois au niveau de l’application qui gère la production• Etc...


58

• Contrôles de pilotage/d’application

• Exemples de contrôles de pilotage• Le suivi du taux de S/P par branche• Le suivi du taux de commissions• Le suivi des émissions par branche• Etat du volume des annulations et des résiliations par rapport aux émissions par branche• Ect...

• Contrôles manuels/Informatiques

• Les contrôles doivent être matérialisés et testés.

IDENTIFICATION DES CONTRÔLESENCG Casablanca - 2015

59

IDENTIFICATION DES CONTRÔLESRisque Fiabilité des données pour l’appréciation / tarification du risque Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou frauduleusesØ Fraude de l’intermédiaire ou descriptif erroné du risque par l’intermédiaireØ Fausse déclaration de l’assuré,Ø Manque de précisions sur l’activité du client.

Contrôle Fréquence Document support Livrable / Formalisation

Acteurs Deadline

1. ► Mettre en place et formaliser les habilitations pour la souscription des risques entreprises► Contrôles des habilitations d’acceptation, de signature et de contrôle pour la souscription► Contrôle pour l’exhaustivité des polices souscrites du respect des habilitations en matière de souscription (contrôle des signatures des contrats et des avenants).

mensuel ► État des police souscrites

► État des anomalies Directeur du Pôle Assurances des Entreprises

2. ► Vérifier sur la base des dossiers physiques la réception des données nécessaires et suffisantes à l'appréciation du

risque et à la tarification.

Dossiers physiques des polices

Directeur du Pôle Assurances des Entreprises

3. ► Contrôle pour l’ensemble des polices souscrites de l’existence d’un rapport de risque renseigné par l’intermédiaire.

mensuel ► État des polices souscrites

► état des anomalies Directeur du Pôle Assurances des Entreprises

4. ► Récupérer la liste des risques à visiter (établie par le préventeur sur la base d'un nombre de critère) : visites faites à la souscription ou au changement de capitaux ou de garanties.► Contrôler que la visite de risque pour ces polices a été effectuée

trimestriel ► État des polices souscrites► Rapports de risque

► État des polices sans visite de risque


5. ► Vérifier que les demandes de modification (pour aggravation du risque) sont traitées dans les délais (10j délai légal) :► Vérification de l’existence de l’avenant de régularisation établi et classé dans le dossier.

hebdomadaire ► État des demandes de modification

► État des anomalies (modifications demandées non traitées)

Directeur Souscription


60

IDENTIFICATION DES CONTRÔLES

Risque Concentration / souscription – Entreprises (cumul) Dépassement des engagements acceptables sur un même site, un même client ou un même risque d’assurance.Ø Dépassement des cumuls couverts par les traités de réassurance en cas de catastrophe naturelle.

Contrôle Fréquence Document support

Livrable / Formalisation

Acteur Deadline

► Préalable► Formaliser les limites de concentration par garantie► Reconstituer le fichier des risques entreprises assurés (capitaux assurés, adresse des différents sites et dépôts,…)

Directeur du Pôle Assurances des Entreprises;

1. ► Effectuer une cartographie des risques assurés par garantie (risques divers) :► Relevé des points GPS pour l’ensemble du portefeuille, et mettre les capitaux garantis,► Mise à jour semestrielle (nouvelles souscriptions / modifications)

Semestriel. ► État des polices.

► Cartographie des risques assurés.► Cumuls des capitaux dépassant la politique de concentration de la Cnie.

Responsable Prévention.

2. - Vérifier la correcte saisie des données sur le système : rapprochement entre les adresses figurant sur le contrat avec les adresses saisies sur le système- sur la base de la cartographie, vérifier le non dépassement des capitaux assurés par zone


61

IDENTIFICATION DES CONTRÔLESRisque Mise à jour des réserves – Non Vie Les réserves ne sont pas mises à jour dans le système en fonction des éléments reçus et des règlements effectués

Contrôle Fréquence Document support Livrable / Formalisation

Acteur Deadline

1. ► Inventaire tournant en partant du physique vers le système► Contrôle de l’exactitude de la réserve système par rapport au dossier physique► Contrôle de l’exactitude des règlements effectués

► Tournant avec comme critère que l’ensemble des dossiers doivent être revus au moins une fois par trimestre

► État des dossiers physiques (source archivage)

► État des anomalies

Responsable Indemnisations

2. ► Inventaire tournant en partant du système vers le physique► Contrôle de l’exactitude de la réserve système par rapport au dossier physique► Contrôle de l’exactitude des règlements effectués

► idem ► État des réserves système



3. ► Contrôle de la mise à jour de la réserve par rapport aux dossiers physiques pour certains critères ► Réserves nulles,► Réserves non mouvementées,► Modifications importantes de réserves,► Dossiers en police universelle.

► Trimestrielle ► Inventaire des dossiers système



4. ► Mesure du délai de traitement du courrier :► Mesure du délai de traitement du courrier,► Mesure des délais de traitement sur la base des dossiers mouvementés (date de réception du courrier, date de mise à jour de la réserve).

► Trimestrielle ► Backlog traité et état des documents traités► État des dossiers mouvementés► Dossiers sinistres physiques

► Reporting sur les délais de traitement du courrier par branche



62

• Jugements erronés

• Dysfonctionnements dus à des erreurs ou défaillances humaines

• Collusion entre deux ou plusieurs personnes

• Dirigeants qui outrepassent le système de contrôle interne

• Rapport coût/bénéfice

LES LIMITES DU CONTROLE INTERNE


63

• Un support affirmé de la Direction Générale, responsable de la qualité du contrôle interne devant le Conseil d’Administration

• Une analyse coût / bénéfice du projet : le dispositif de contrôle doit être simple et adapté à la taille de la compagnie, à son exposition aux différentes natures de risque, à la complexité de ses produits ou structures

• Une organisation de projet performante, sous la responsabilité d’une structure dédiée : vision des rôles et responsabilités des acteurs, définition des objectifs et de la trajectoire projet, fixation des livrables attendus, définition du cadencement du projet (comités de pilotage,…)

• Un socle méthodologique robuste : Analyse fondée sur une modélisation claire des processus et des risques, utilisation de bonnes pratiques et référentiels de place (COSO 2, IFACI,…), pérennisation du contrôle interne au sein de l’organisation de la compagnie (gouvernance, positionnement, pilotage…).

CLES DE SUCCES D’UN PROJET DE CONTRÔLE INTERNE


64

C) Les processus clefs de l’audit interne

Planification du programme d’audit,

Conduite de la mission : planification, accomplissement, communication des résultats, suivi des

actions de progrès


65

Audit Interne – Planification du programme d’audit

« Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l’organisation.

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle interne. »

Interprétations de l’IFACI à la Norme 2000 – Gestion de l’audit interne


66

Audit Interne – Planification du programme d’audit

Le responsable de l’audit interne doit tenir compte lors de la planification des missions d’audit des inputs : - Le découpage des activités et des entités de l’entreprise, en domaines auditables,- Les travaux et résultats issus du Système de management des risques, - Le niveau d’appétence aux risques tel que défini par la Direction, - La planification et les Résultats des missions d’audit précédentes (y compris les travaux des CAC), - Les demandes de la Direction Générale, du comité d’audit et des autres organes de direction (y compris pour les missions de

conseil), - Les changements importants intervenus (ou envisagés) : organisationnel, systèmes d’information, environnement, ...

Une fois établi, le plan d’audit doit être communiqué à la Direction générale et au Comité d’audit pour examen et approbation.

Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit interne soient : - Adéquates : connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit, - Suffisantes : quantité (JH) nécessaires à la réalisation du plan d’audit.

L’état d’avancement de la réalisation du plan d’audit doit être périodiquement communiqué à la Direction générale et au Comité d’audit. Tout changement dans le plan d’audit approuvé doit être également présenté et expliqué à la Direction générale et au Comité d’audit.


67

Audit Interne - Déroulement d’une mission d’audit interne

La phase de préparation

La phase de réalisation

La phase de conclusion

L’ordre de mission,L’étape de familiarisation,L’identification des risques,La définition des objectifs.

La réunion d’ouverture,Le programme d’audit,Le questionnaire de contrôle interne,Le travail sur terrain,La preuve en audit interne,Cohérences et validations.

Le projet de rapport d’audit interne,La réunion de clôture,Le rapport d’audit,.


68



L’ordre de mission :L’ordre de mission formalise le mandat donné par la Direction Générale à l’audit Interne et répond à deux fonctions essentielles :

- Une fonction de mandat,- Une fonction d’information.


69



L’étape de familiarisation :

Etape d’étude et d’apprentissage du domaine et de la culture de l’entreprise :- Avoir une idée sur l’ensemble des procédures de gestion et le contrôle interne,- Aider à identifier les objectifs de la mission,- Identifier les problèmes essentiels de la fonction auditée,- Organisation des opérations d’audit.

Outils :-- Questionnaire de prise de connaissance


70



Phase d’identifcation des risques :

Identifier les zones ou les risques sont susceptibles de se produire, cette étape va permettre à l’auditeur de construire son programme et le construire de façon modulée.

La défintion des objectifs :

C’est un contrat passé avec l’audité et qui va préciser objectifs et champ d’action de la mission d’audit. A ce stade, le contenu du contrat est élaboré par l’audit interne et porté à la connaissance de l’autre partie et soumis à son approbation lors de la réunion d’ouverture.


71



La réunion d’ouverture :

Cette réunion marque non pas le début de la mission mais plutôt le commencement des opérations de réalisation et on ne peut la tenir tant qu’il y’a pas un « programme » à présenter à l’audité.

Le programme d’audit :Appelé aussi « programme de vérification », il s’agit du document interne au service et dans lequel on va procéder à la détermination et à la répartition des tâches. Son contenu est essentiellement technique:

Objectifs

Planning du travail

Suivi des travaux

Fil conducteur


72



Le questionnaire du contrôle interne :

C’est un guide pour l’auditeur pour réaliser son programme, il inclut toutes les bonnes questions à se poser pour réaliser une observation complète .

Le travail sur terrain :Rappel de la démarche logique;

• Définition des objectifs

Rapport d’orientation

• Planning des tâches

Programme de travail • Questionnement

sur chaque point du programme

Q.C.I

• Vérification sur le terrain des points fort théorique via des tests.

Vérification terrain • Chaque

anomalie va donner lieu à une FRAP

FRAP*

*FRAP: Feuille de révélation et d’analyse des problèmes


73



La preuve en audit interne :Tout élément permettant d’affirmer un constat d’audit :

Preuves

Preuve physique

Preuve testimoniale

Preuve documentaire

Preuve analytique

Ce qu’on voit, ce qu’on constate.

Témoignage : preuve la plus faible.

Pièce comptable, PV, procédure…

Calcul, comparaison, déduction..

Cohérences et validations:L’auditeur s’assure par un travail de synthèse de la cohérence de ses observations.


74



Projet de rapport d’audit :1- Les observations qu’il contient n’ont pas encore fait l’objet d’une validation générale,2- ce document, s’il comporte déjà les recommandations des auditeurs, ne comprend pas les réponses des audités. C’est donc un document incomplet.

La réunion de clôture: les 5 principes :Le principe du « livre ouvert »: C’est l’affirmation que rien ne saurait être écrit dans le rapport d’audit qui n’ait été au préalable présenté aux audités,Le principe de la « fil d’attente »: Le premier servi en matière d’information est l’audité et le responsable direct.Le principe de « ranking »: les recommandations sont présentées en fonction de leur importance (classement par conséquence du FRAP),Le principe de l’action immédiate: dès que l’audité est informé, on doit l’encourager à prendre les mesures correctives sans attendre la publication officielle du rapport,La connaissance commune: la participation de l’auditeur/audité à cette validation générale permet de créer une synergie de groupe.


75



Le rapport d’audit :• Pas d’audit interne sans rapport d’audit interne,• Document final,• Présentation préalable aux audités,• Droit de réponse de l’audité,• La forme : page de garde et lettre d’envoi, introduction et synthèse, le corps du rapport, conclusion et plan

d’action.• Annexes.


76

Audit Interne – Suivi des recommandations

• L’audit interne doit mettre en place un processus de suivi de la mise en place des recommandations :

• Fixer des délais de réponse du Management, • Mettre en place une évaluation de ces réponses : questionnaires, vérification sur

le terrain, planification de mission de suivi, …• Etablir un rapport de suivi des recommandations, • Informer le Comité d’audit de l’état d’avancement.


77

D) Les normes : leur finalité, leur rôle, leur évolution


78

Les normes : leur finalité, leur rôle, leur évolution

Référence indispensable pour tout connaître sur l’audit interne, elles permettent de : Définir les principes de base de la pratique idéale de l’audit interne, Fournir un cadre pour l’exécution et la promotion d’un large éventail d’activités d’audit interne apportant une valeur

ajoutée, Etablir une base pour évaluer la performance de l’audit interne, Favoriser des opérations et processus organisationnels améliorés.

Normes

Qualification

Fonctionnement

Définissent les caractéristiques des structures et parties réalisant des activités d’audit interne

Décrivent la nature des activités d’audit interne et déterminent les critères en fonction desquels la réalisation de ces services peut être évaluée.


79

Les normes : leur finalité, leur rôle, leur évolution

Normes

QualificationFonctionnement

1000 Mission, pouvoirs et responsabilités1100 Indépendance et objectivité1200 Compétence et conscience professionnelle1300 Programme d’assurance et d’amélioration qualité

2000 Gestion de l’audit interne2100 Nature du travail2200 Planification de la mission2300 Accomplissement de la mission2400 Communication des résultats 2500 Surveillance des actions de progrès2600 Acceptation des risques par la direction générale


80

E) Déontologie et objectivité de l’auditeur interne


81

Déontologie et l’objectivité de l’auditeur internePourquoi ?

• Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier qui est le leur.

• Expliciter et illustrer les notions d’indépendance et d’objectivité, • Témoigner du niveau élevé d’intégrité de l’audit interne, • Contribuer à la qualité des résultats en rappelant l’exigence de confidentialité et de compétence.

De quoi il s’agit ?

• Intégrité : Confiance, crédibilité des auditeurs internes,• Objectivité : le plus haut degré d’objectivité par une démarche professionnelle, • Confidentialité : Respect de la valeur et la propriété des informations reçues, • Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et

expériences requis pour la réalisation de leurs travaux.


82

F) Les qualités relationnelles de l’auditeur interne


83

Les qualités relationnelles d’un auditeur interne

• La personnalité de l’auditeur interne est fondamentale, compte tenu de la nature de son travail qui consiste à observer, analyser, évaluer et recommander. Pour cela, il doit gagner le respect, l’estime et la collaboration de l’ensemble du personnel.

• L’esprit positif : encourager la critique constructive et éviter le négativisme. Éviter les jugements de valeur. • L’esprit d’équipe : Un bon auditeur interne doit être affable et capable de travailler en équipe. • L’imagination et le sens pratique : L’auditeur interne doit avoir la perspicacité nécessaire pour distinguer les faits

importants des banalités. Il doit faire preuve d’imagination et de sens pratique pour que ses recommandations soient utiles et applicables.

• Le sens des relations humaines et l’écoute : L’auditeur interne doit savoir écouter. Il doit avoir l’aptitude à communiquer efficacement verbalement ou par écrit. Il doit maintenir de bonnes relations avec les personnes verifiees. Il doit savoir non seulement expliquer et convaincre, mais aussi transcender pour mieux avancer.

• Le soin professionnel et la discipline : être sans cesse à la recherche d’informations probantes, suffisantes et adéquates pour appuyer ses conclusions et ses recommandations. Mettre le soin professionnel nécessaire pour analyser et présenter les informations.

• Le jugement professionnel : ne pas confondre jugement personnel et jugement professionnel. Accepter que ses points de vue soient questionnés et trouver des arguments objectifs pour défendre ses points de vue ou pour convaincre ses interlocuteurs. Le jugement est professionnel lorsqu’il est émis sur la base de connaissances et principes établis et pour autant qu’il puisse être objectivement justifié ou défendu.


84

Les qualités relationnelles d’un auditeur interne

Etude menée aux USA par The Korn/Ferry Institute et The Institute of Internal Auditors – 2010, que le poste de responsable d’audit interne peut être occupé par d’autres profils que les profils standards : expert comptable, auditeur interne de formation et de carrière. Ex : contrôle de gestion, finance, risque et conformité ou encore opérationnel.

Les Sept qualités indispensable à un responsible d’audit interne :

1. Un sens aigu de l’activité de l’organisation : comprendre les aspects liés à l’activité de l’entreprise et pouvoir les intégrer dans la démarche d’audit. Environnement, marché, organisation de l’entreprise, … pour pouvoir être une force de proposition efficace en matière de gestion des risques et optimisation des ressources affectées aux activités de contrôle et de pilotage, …

2. De réelles qualités de communicant : être en mesure de transmettre un message clair, concis et pertinent. Savoir transmettre les messages clairement. Entretenir des relations fortes avec le Conseil, la direction générale, les auditeurs externes. Savoir encadrer ses équipes.

3. Une intégrité et une déontologie sans faille : donner l’exemple.

4. Une expérience variée : disposer de compétences techniques de niveau, d’une solide connaissance des risques et du contrôle. Disposer des certifications (CIA ou CPA, notamment). Mise en place de système de rotation interne et externe au service.

5. Une excellente connaissance des risques de l’entreprise : S’appuyer sur des techniques d’identification et d’appréciation des risques. Prendre conscience des limites des ressources de l’entreprise. Possibilité de s’appuyer sur l’audit interne dans les projets stratégiques de l’entreprise.

6. Un don pour développer les talents : pépinière pour les futurs managers de l’entreprise

7. Un courage inébranlable.

audit interne

Documents

contrle interne

introduction encg casablanca

dfinitionencg casablanca

systmesaudit interne

introductionaudit interne

activitencg casablanca

contrle dune organisation

gestion des risques