Diagramme d'une mission d'audit interne pimade bonnees TaRI= Tableau de Risques Pian dapproche es ul foneonirer sance du sujet & Finatité} — = feonnes |_—+| Gue\ire acer Découpage en [| cenanoffch [impact Pratques ‘Guar (ie fare} Obfets Auditables ie 2 ‘du TaRiau TFA Rapport 2 Réunion | Disceme- = Choi des} Ponaatanon| EB _(abuverturd-+| ment des |—srnanes] 22.) ep] rral-o] Oblectis | /Reca. a Rieques aaa z Datei drage } | Programme al es | a [He A tans] SO nation des ey Teches érieations zg FdeC Fa = PaeT| Paer 5 S FAR |” FAR 3 2 E pe ou Réunion de Validation a Téquipe Rappor ‘& évaluation des z Plans d'Action 2 ‘Synthese S Rapport zi ‘ Suivi des Etat des Es tit |» Prisons © [mE ®) | geet a Actions de et Actions Progrés Act *. Extrait formation [Link]= Audit Interne et référentiels de risques = Dunod ©Pivoter: du Rapport d'Orientation au plan du Rapport lors d’une réunion de synthése interne a 'équipe d’Audit Conseils Pratiques Reprendre tous les problémes (Synthétique, Autonome, Percutant) Décider ce qu'on veut écrire dans le Rapport et ordonner ses idées Etablit la liste ordonnée des probiémes avec intertitres Ossature du Rapport (O.R) = énoncé des problémes, classés dans l'ordre désiré pour le Rapport, avec titres de regroupements Pivoter Ne pas pivoter Diune logique de questionnement: | Structure constante, par exemple : Intellectuelle + 1 theme tous établissements pour comparaisons a une logique de presentation + 1 standard toutes filiales pour synthése par divisions Points a faire passer + Falblesses relevées par theme + Provision & passer par montants > = Guide de montage ou de rédaction du rapport d’audit et de relecture par l'audit ea ad > - Support de présentations lors du compte rendu final sur site Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 2Exemple d'Ossature du Rapport : auait ae /a fiabilité des |. Organisation du Service Comptable résultats mensuels de *** 1.1 Le personnel comptable insuifisant ne peut garantir une comptabilté et une gestion informatique erformante 1.2 La comptabilté analytique telle qu'elle existe actuellement ne permet pas deffectuer un suivi précis de la rentabilié d'une affare Il, Systéme Informatique 2.1 Le progiciel de comptabilté trop ouvert ne respecte pas les rgles de la comptabilité tenue sur ordinateur et manque de fiabilté 2.2 Toutes les fonctionnaltés du systéme informatique nétant pas utlisées, certains travaux sont réalisés de facon extra-comptable ce qui accroit les délais et les risques d'erreurs 2.3 absence de prooédure ne permet pas de s assurer de la sauvegarde correcte de ensemble des enregistrements comptables 2.4 Le systéme informatique de la société est sous-utilise Il Procédures et Contréles 3.4 La tenue des stocks de métal en quantté manque de précision 3.2 La tenue des stocks de métal en valeur manque de précision 3.3 Le stack métal est sous-dvalué car les chutes de métal sont valorisées au prix du premier choix 3.4 Des articles non consommes devant figurer en compte de stock sont directement imputés en frais généraux 3.5 La procédure de sorte de stock de maliéres consommables ne permet pas de s'assurer que toute Sorte est bien comptabilisée IV. Ventes 4.1 Aucune procédure ne permet de s'assurer que toute sortie dusine est facturée 4.2 En fabsence de prooédure formalisée des avoirs peuvent étre émis sans justficatts V. Travaux Comptables 5.1 L'absence de rapprochement entre les heures payées et les heures pointées ne permet pas de s'assurer ue la société ne paye que les heures dues aux salaries 5.2 Certains travaux comptables ne sont pas faits reguliérement, ce qui allonge les délais de sortie des résultats et affabit le contréle interne 5.3 Les immobiisations ne sont pas suffisamment distinguées dans la procédure achats Extrait formation [Link] — Audit Interne et référentiels de risques - Dunod © =Souhait du principal responsable d’étre informé, rapidement, le premier + Légitime : c'est constitutif d'étre responsable, + Exprimé ou non ... et d’autant plus fort que non exprimé ! Y répondre dans l'Ossature du Rapport * Quitter sans compte rendu structuré : Incompétence + Conclure sans prendre du recul : Imprudence « Trucs et Astuces » > Synthese (O.R) avant demiéres (et secondaires) vérifications > CR provisoires (multi sites) = observations provisoires, pas conclusions / problemes > Toute 'équipe (explication) et tous les audités (compréhension et engagement), ou informel (déjeuner) > En profiter pour tester l'acceptabilité des propositions et inciter la mise en ceuvre avant sortie du Rapport > ATTENTION : des questions et des contestations peuvent entrainer des travaux complémentaires Cest le dernier moment informel de travail en commun. Ensuite la relation sera plus formelle (tout en restant cordiale) Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 4Le Rapport d'Aud’ Interne Ce que le Président doit en connaitre + — opinion de laudit L'essentiel pour les lecteurs qui veulent 6tre informés mais n'ont pas a résoudre les pbm : contraction de texte, sans démonstration +— ou Cahier des Recos (< Norme 2410) SSYNTHESE +— Origine, circonstances, objectifs Champs et limites (Assurance), période Ppaux traits, chiffres et caractéristiques __ Complet, détaillé et technique (mais pas compte rendu descriptif des travaux) Elements et modes de réflexion que Al veut partager avec audités et leur hiérarchie immédiate FAR. ‘PROJET~ = =~ annexes éyentuelles grease i i i i 4 Ime et référentiels de risques ~ Dunod © 5Critéres de rédaction : OBJECTIF : basé sur des faits, impartial et hiérarchisé (mise en perspective) CLAIR : aisément compréhensible, logique, langage simple, 6tayé par suffisamment d'informations CONCIS (court ?) : qui va droit au fait, évite les détails. Le minimum de mots possible UTILE : constructif, aidant a la réflexion, riche en améliorations, ... et émis dans un délai permettant d’agir efficacement Comité de lecture : + Aucun rédacteur ne peut étre son propre relecteur : effet produit = effet désiré ? Présentation: + Standardiser pour aider les lecteurs et renforcer l'image de Audit Interne Dtusione éfléchie et restreinte, parfois partielle Pei ee et ec a Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 6prévenir (sur fond rose) IMPORTANT Ce document est un rapport d’Audit Interne Il est recommandé de ne pas en étendre la diffusion au dela de la liste prévue : > il contient des informations confidentielles ; > son style peut surprendre un lecteur non averti.. Un rapport d'audit interne choque : il analyse une situation, mais, comme un devis de réparation, il met accent sur les dysfonctionnements pour faire développer des actions de progrés. "Au moins une page sur ce qui ne va pas, au plus une ligne sur ce qui va". II contient des recommandations Une recommandation n'est pas une critique, elle n’implique pas de faute : c'est une solution proposée au responsable habilité 4 mener action. Celui-ci est en charge de développer et mettre en place une solution au probleme soulevé : celle proposée ou une meilleure. Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 7La Réunion de Validation Buts : rendre le Rapport non contestable : constats, raisonnements, conclusions, formulation + la derniére chance de convaincre et le moment pour obtenir les plans d'actions (Norme 2410 : La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions) + convenir d'un destinataire pour chaque recommandation jusque la solution sans pilote > l'organiser : participants, réles, diffusion, référencer > la ralentir et la solenniser : v valider techniquement, page par page, FAR par FAR, le corps du rapport Vv le RAI "marque" le Dr des audités >» en cas de désaccord persistant : Y maintenir son opinion : indépendance v mentionner dans le rapport (et insérer texte de l'audité, approuvé par hiérarchie) : objectivité Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 8Les Recommandations N°n : Le [manager de cecil] devrait / devra [faire cela] pour obtenir un plan d'actions [| des a numérotées-et "A.A.A." Adressées Affirmatives Action (verbe d’) Exemples : = "Le Chef Comptable devra effectuer mensuellement la réconciliation des résultats de comptabilites analytique et générale, conformément a..." = "Le Directeur Commercial et le Crédit Manager devraient ensemble definir les conattions acceptation des commandes clients. Ceci devrait comprendre notamment : pour les clients actuels, les régles de fixation du plafond de découvert ; + pour les nouveaux clients, le type d'enquéte de solvabilité en fonction du montant de la commande ; la définition des responsabilités et la description de leur mise en oeuvre (autorisations et signatures) ; + la procédure d'arbitrage pour les exceptions demandées par les commerciaux et le suivi spécifique des clients pour lesquels une dérogation aurait été accordée”. Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 8Adressées ? 3 modes de tir possible DCA : ascendant, en I'air: vers le P/DG qui décide des suites qu'il veut leur donner © a condition que la taille soit petite et le P/DG proche du terrain Mortier : balistique : aux audités par le P/DG qui les appuie et les faits redescendre par la hiérarchie ® le P/DG est amené a signer sans chercher a comprendre © les recommandations deviennent des ordres : déresponsabilisant ® maintient la sujétion de I'Al / obére son indépendance Canon : tendu : directement vers les audités qui doivent repondre directement et agir © IAl évalue les réponses (et tient le P/DG informé) Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 10Pour que les Recommandations "passent" Pour qu'une recommandation soit acceptée et mise en ceuvre, il faut spe son décideur percoive plus d'avantages que d'inconvénients lans la situation et le fonctionnement futurs, et dans le changement vers cette situation perceptions du décideur ¥ logique claire, simple, solide + luilaisser le temps de se faire au pbm + lui faire développer sa solution +resp de pbm = “coupable", resp de solution = "sauveur" avantages > inconvénients V rentabilité, sécurité (de lentreprise, des actifs, des personnes) + utilité pour les opérateurs : efficacité/agrément de leur travail + réputation/prestige, influence/pouvoir du décideur le changement ¥ cotits du changement (4 déduire des / 4 comparer aux bénéfices) + quels travaux préparatoires et qui va les faire ? + pbm diinterface avec les autres Services ? + capacités des collaborateurs, risque d'échec, d'insubordination ? quels besoins de formation ? + capacité du décideur : compétence, autorité, poids social se mettre 4 sa place et passer les recos au banc d'essai Extrait formation [Link] — Audit Interne et référentiels de risques - Duridd 6” aHiérarchiser les recommandations ? sur 2 critéres évalués pour et lors de la réunion de validation Importance, enjeu METRO AVION ga roule tout seul me battre = et ca arrivea l'heure |"¢a en vaut la peine" PAQUEBOT PARAPENTE . prier aimablement : oublier, ¢a ne “c'est pas difficile" | passera pas sauf... me + Difficulté, effort Extrait formation [Link] — Audit Interne et référentiels de risques ~ Dunod © 12