Chapitre 1 

: LES FONDAMENTAUX DE L’AUDIT INTERNE

Introduction
L’Audit Interne : Un service au sein de la banque
 Mission principale d’évaluer tous les mécanismes de contrôles internes : les procédures, les
moyens, les méthodes
 S’assurer de leur mise en pratique et proposer une amélioration des performances
 Sauvegarder l’efficacité du contrôle interne en général
 Veiller au respect des politiques, à la maîtrise des risques, à l’exactitude de l’information
Les responsables de l’audit interne : la catégorie des cadres dirigeants de l’organisation +
directement rattachés au comité d’audit.
Définition de l’audit interne
Selon le Conseil d’Administration de l’Institut de l’Audit Interne, l’audit interne est:
 Une activité indépendante et objective : Le Code de déontologie et les Normes internationales
 Une assurance sur le degré de maîtrise de ses opérations : 3 parties
 L’audité : directement concerné par l’aspect étudié,
 L’auditeur interne, qui procède à l’évaluation et rend des conclusions
 L’utilisateur, qui se fonde sur l’évaluation des preuves et sur les conclusions de
l’auditeur
 Les organes de gouvernance et la direction générale comptent sur l’audit interne pour
donner une assurance (l’efficacité et l’efficience des processus de gouvernance, de
gestion des risques et de contrôle interne)
 Apporter des conseils : rendre un avis, et d’apporter d’autres formes d’assistance
 Améliorer, contribuer à créer de la valeur ajoutée (+ efficacité et ++ performance)
 Atteindre ses objectifs1 : évaluer des processus de management des risques, de contrôle, et de
gouvernance2 + donner des propositions pour renforcer leur efficacité.
 Évaluation et amélioration de l’efficacité des processus de gestion des risques, de contrôle et de
gouvernance
 Une approche systématique et méthodique, 3 étapes fondamentales du processus d’audit
interne : la planification de la mission + la réalisation + la communication
Nature et périmètre des services d’audit interne modernes
L’audit interne doit se concentrer sur :
 Le fonctionnement effectif et l’efficience des processus opérationnels
 La fiabilité des systèmes d’information et la qualité des informations (la prise de décision)
 La protection des actifs contre les pertes (fraudes du management et de collaborateurs)
 Le respect des règles de l’organisation, des contrats, des lois et règlements
1
Les objectifs: le Committee of Sponsoring Organizations of the Tread-way Commission (COSO)
•Les objectifs stratégiques: choix opérés par le management en vue de créer de la valeur ajoutée pour les parties prenantes de l’organisation.
•Les objectifs opérationnels : l’efficacité et l’efficience des activités + la rentabilité et de performance + la protection des actifs contre des pertes.
•Les objectifs de reporting : la fiabilité du reporting interne et externe et se rapportent à des informations financières et non financières.
•Les objectifs de conformité : le respect des lois et des réglementations.

2
La gouvernance : est le processus piloté par le Conseil qui consiste à autoriser, diriger et surveiller les activités de la direction générale en vue de
réaliser les objectifs de l’organisation.
Les principes de l’OCDE, la gouvernance :
– l’ensemble des relations : la direction + CA+ les actionnaires + autres parties prenantes
– fournit le cadre au sein duquel les objectifs de l’organisation sont fixés
– définit les moyens de les atteindre et de surveiller les performances
 L’audit interne : touche toutes les parties de l’organisation
 Répondre aux besoins des parties prenantes : le CA, la DG, les collaborateurs et les tiers.
Un ensemble d’outils pour tester l’adéquation de la conception et le fonctionnement effectif des
processus au sein de l’organisation. Il peut notamment :
 Enquêter auprès des managers et des collaborateurs ;
 Observer les activités ;
 Inspecter les ressources et les documents ;
 Exécuter à nouveau les activités de contrôle ;
 Analyser les tendances et les ratios ;
 Analyser les données au moyen de techniques d’audit informatisées ;
 Rassembler des éléments de corroboration émanant de tiers indépendants
 Effectuer des tests directs d’événements et de transactions.
L’audit interne peut également mettre à profit diverses activités de conseil pour :
 Suggérer des orientations : processus de gouvernance, de gestion des risques et de contrôle ;
 Faciliter la mise en œuvre d’actions
 Aider à la mise en place d’une formation
Principes fondamentaux pour professionnelle de l’audit interne la pratique
 Intégrité : honnêteté, impartialité, incorruptibilité, pureté, justice, probité, vertu
 La base de la confiance et de la crédibilité accordées à leur jugement.
 Objectivité :
Niveau élevé d’objectivité professionnelle : collecte, évaluation et communication des info
Evaluer de manière équitable tous les éléments pertinents
Pas de jugement par leurs propres intérêts ou par autrui.
 Confidentialité : Respecter la valeur et la propriété des informations reçues
ne pas divulguer les info sauf : les autorisations requises
 Compétence : les connaissances, les savoir-faire et expériences requis
Règles de conduite
Intégrité
 Accomplir leur mission avec honnêteté, diligence et responsabilité.
 Respecter la loi et faire les révélations requises par les lois et les règles de la profession.
 Ne pas prendre part à des activités illégales ou s’engager dans des actes déshonorants
 Respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
Objectivité
 Ne pas prendre part à des activités ou établir des relations qui pourraient compromettre ou
risquer de compromettre le caractère impartial de leur jugement (les activités + relations
d’affaires => en conflit avec les intérêts de leur organisation)
 Ne pas accepter qui pourrait compromettre ou risquer de compromettre leur jugement.
 Révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas révélés,
auraient pour conséquence de fausser le rapport sur les activités examinées.
Confidentialité
 Utiliser avec prudence et protéger les informations
 Ne pas utiliser ces infos pour en retirer un bénéfice personnel/ contreviendrait aux
dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur
organisation.
Compétence
 S’engager dans des travaux : les connaissances, le savoir-faire et l’expérience nécessaires.
 Réaliser: travaux dans le respect des Normes internationales des pratiques de l’audit interne
 Améliorer leur compétence, l’efficacité et la qualité de leurs travaux.
Les compétences d’un auditeur interne
 Faire preuve d’intégrité, de compétence et de conscience professionnelle
 Etre objectif et libre de toute influence indue (indépendant)
 Etre en phase avec la stratégie, les objectifs et les risques de l’organisation
 Etre positionné de manière appropriée et disposer des ressources adéquates
 Démontrer la qualité de l’audit interne et son amélioration continue
 Communiquer de manière efficace
 Fournir une assurance fondée sur une approche par les risques
 Encourager le progrès au sein de l’organisation
Le cadre de référence international des pratiques professionnelles CRIPP de l’Institute of
Internal Auditors (IIA)
L’ensemble des lignes directrices existantes et émergentes destinées à la profession.
Le développement de l’audit interne au plan international. L’IIA et l’IIARF3 collaborent avec des
chercheurs du monde entier, qui réalisent des études
L’organisation internationale de la fonction
 The Institute of Internal Auditors » (IIA) (1941, aux États-Unis)
 Activités : formation professionnelle et de recherche, publication des ouvrages et revue (The
Internal Auditors), organise un examen professionnel (CIA), organise conférences et colloques.
 Autres regroupements : la « Confédération européenne des instituts d’audit interne » + l’«
Union francophone de l’audit interne » (UFAI).
 1947 : La déclaration des responsabilités objectifs et champ d’action de l’audit interne
(financiers) 1957 : toutes les activités.
Des révisions qui ont eu lieu en 1981, en 1991, en 1995, en 2002 et en 2009.
Une refonte totale initiée dès 2015 vient de s’achever en 2017.

Le Cadre de référence international des pratiques professionnelles de l’audit interne CRIPP

 De guider l’application des dispositions obligatoires (CRIPP) ;
 De fournir un cadre de référence ;
 D’établir des critères d’appréciation ;
 D’être un facteur d’amélioration.
-Les normes de l’audit interne, 95 normes : l’outil de travail indispensable du bon professionnel.
-Les textes relatifs aux normes sous la forme d’un cercle : la partie supérieure pour les dispositions
obligatoires et la partie inférieure pour les dispositions facultatives (ce cercle constitue le CRIPP)
-Le CRIPP comporte deux catégories de dispositions :

 Catégorie 1 : dispositions obligatoires (Le respect indispensable)

-Elaborer selon un processus de due diligence (une consultation publique afin de permettre aux
parties prenantes d’apporter une contribution.)
-3 éléments obligatoires : la définition de l’audit interne, le Code de déontologie et les Normes
 Catégorie 2 : dispositions fortement recommandées.
3
(Institute of Internal Auditors Research Foundation) les Recherches financées par l’IIARF
-Un processus d’approbation formel.
-Proposer des pratiques pour la mise en œuvre effective de la définition de l’audit interne, du Code
de déontologie et des Normes de l’IIA.
-3 éléments recommandés : les Modalités Pratiques d’Application, les prises de position et les
guides pratiques.
Les normes internationales pour la pratique professionnelle de l’audit interne
Les Normes ont pour objet de :
 Guider l’application des dispositions obligatoires de CRIPP
 Fournir un cadre pour la réalisation et le développement des activités d’audit interne à VA
 Etablir des critères d’évaluation de l’audit interne
 Favoriser l’amélioration des processus et des opérations de l’organisation.
Les Normes sont constituées :
 De déclarations sur les exigences fondamentales
 D’interprétations clarifiant les termes et les concepts utilisés dans les Normes.
 Le Code de déontologie la conformité avec le Code de déontologie et les Normes témoigne du
respect des dispositions obligatoires.
 Deux principales catégories de normes : les normes de qualification et les normes de
fonctionnement.
 Les normes de qualification : les caractéristiques des entités et des personnes qui réalisent des
activités d’audit interne.
 Les normes de fonctionnement : la nature des activités d’audit interne + les critères de qualité
pour mesurer leur performance.

-Les normes de qualification et les normes de fonctionnement s’appliquent à toutes les missions
d’audit.
-Les normes de mise en œuvre : compléter les autres normes : les exigences applicables aux
missions d’assurance ou de conseil.
-Pour contrôler les comptes, l'auditeur va chercher à valider les assertions d'audit
=> il existe 6 assertions : exhaustivité, réalité, propriété, correcte évaluation, séparation des
exercices, correcte imputation. Pour valider ces assertions, l'auditeur va mettre en œuvre des
procédures d'audit.
-Les Normes s’appliquent aux auditeurs internes et à la fonction d’audit interne. Ils doivent se
conformer aux Normes relatives:
A l’objectivité, aux compétences et à la conscience professionnelle individuelles
Aux responsabilités associées à leur poste d’assurer la conformité globale de l’audit interne

 La mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement
définis dans une charte d’audit interne, en cohérence avec la Mission de l’audit interne et les
dispositions obligatoires du CRIPP de l’audit interne
 Revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la DG et CA
 La charte d’audit interne : est un document officiel qui précise la mission, les pouvoirs et les
responsabilités de l’audit interne.
 La charte définit le positionnement de l’audit interne dans l’organisation y compris la nature du
rattachement fonctionnel du responsable de l’audit interne au Conseil ; autorise l’accès aux
 données, aux personnes et aux biens nécessaires à la réalisation des missions ; définit le
périmètre de l’audit interne.
 L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil.
Chapitre II : POSITIONNEMENT DE LA FONCTION
Audit interne / audit externe
L’audit externe :
une fonction indépendante
la mission est de certifier l’exactitude des comptes, résultats et états financiers
les commissaires aux comptes : certifier la régularité, la sincérité et l’image fidèle des comptes et
états financiers.
Les différences entre l’audit interne et l’audit externe
L’auditeur interne l’auditeur externe
Le statut appartient au personnel cabinet international ou CAC prestataire de
services
Les bénéficiaires Les responsables de la bq : managers, direction certifie les comptes actionnaires, banquiers,
générale, éventuellement comité d’audit autorités de tutelle, clients et fournisseurs
Les objectifs Apprécier la bonne maîtrise des activités Certifier la régularité, la sincérité, l’image fidèle,
(dispositifs de contrôle interne) et de recommander des comptes, résultats et états financiers.
des actions
Le champ d’application Toutes les fonctions de la bq dans toutes leurs Englobe tout ce qui concourt à la détermination des
dimensions. résultats, à l’élaboration des états financiers mais
dans toutes les fonctions
La prévention de la fraude la confidentialité des dossiers du personnel, par toute fraude, dès l’instant qu’elle a, ou est
concerne l’audit interne, mais non l’audit externe susceptible d’avoir, une incidence sur les résultats
L’indépendance de l’auditeur des restrictions du métier titulaire d’une profession libérale, elle est juridique
et statutaire
La périodicité des audits En permanence : des missions planifiées en de façon intermittente et à des moments privilégiés
fonction du risque et qui l’occupent avec la même pour la certification des comptes
intensité quelle que soit la période.
Le contrôle interne est un moyen pour l’audit externe alors qu’il est un objectif pour l’audit interne.
Les complémentarités entre l’audit interne et l’audit externe
 L’audit interne doit :
-Partager des informations
-Coordonner les travaux pour éviter toute duplication de tâche.
 Possibilité d’effectuer des travaux pour les auditeurs externes (respecter les normes de l’IIA)
 Possibilité pour l’audit interne, de porter une appréciation sur les travaux des auditeurs externes.
 Accès réciproque aux programmes et dossiers de travail
 Compréhension mutuelle des techniques, des méthodes et de la terminologie => la formation
des auditeurs internes.
 Transmission des rapports d’audit externe aux audit interne et réciproquement (la
confidentialité)
 Établissement en commun du planning d’intervention afin de minimiser les dérangements
causés par les audits.
 Réunions de travail périodiques
Deux points en commun :
L’utilisation des outils identiques, même si la méthodologie diffère
L’interdiction de toute immixtion dans la gestion
Exemple Audit externe et audit interne de la comptabilité
Dans son examen du secteur strictement comptable, l’auditeur
Interne Externe
Le respect des règles de fonctionnement dictées par l’entreprise Appréciation de la régularité, sincérité et image fidèle des comptes :
 L’ensemble des dispositifs de contrôle interne gouvernant le L’exhaustivité des enregistrements ;
fonctionnement de la comptabilité La réalité des chiffres ;
La formation professionnelle des comptables L’évaluation correcte des opérations ;
=> porter un jugement sur la bonne maîtrise des opérations comptables La période d’enregistrement ;
=> recommander La correction de la présentation au regard des obligations légales ;
=> l’améliorer

 Pour réaliser ces objectifs, l’auditeur externe analyse les dispositifs de contrôle interne
mis en place pour assurer la régularité des comptes et résultats.
L’audit interne / l’inspection : à la différence de l’audit interne, l’inspection :
 Pas d’interprétation ou de remettre en cause les règles et directives
 Réaliser plus des contrôles exhaustifs que de simples tests aléatoires ;
 Intervenir spontanément et de son propre chef / L’audit interne n’intervient que sur un mandat
 Saisir des révélations de l’audit interne pour inspecter les opérateurs impliqués
 Disposer d’une totale liberté pour fixer ses objectifs et définir ses méthodes de travail/l’audit
interne qui est soumis à des normes professionnelles.
 Un tout autre profil que celui exigé des auditeurs internes : les inspecteurs seront le plus souvent
des hommes d’expérience, rigoureux, ayant autorité et talent pour s’imposer et en imposer
=>un grade élevé dans la hiérarchie
L’audit interne / le contrôle de gestion
Le contrôle de gestion = l’activité permettant le pilotage économique et financier de l’organisation.
-l’audit interne : la maîtrise des activités par un diagnostic des dispositifs de contrôle interne.
-Le CDG s’intéresser plus à l’information qu’aux systèmes et procédures
=> son rôle est de définir la performance, sa mesure et son suivi
=>recommander les dispositions à prendre pour restaurer la situation.
L’audit interne / le contrôle interne
Le contrôle interne = un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Un
ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques
propres de chaque banque.
=> la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources
=> prendre en compte les risques significatifs : opérationnels, financiers ou de conformité.
Le dispositif vise plus particulièrement à assurer :
 La conformité aux lois et règlements
 L’application des instructions et des orientations fixées par la DG
 Le bon fonctionnement des processus internes (concourant à la sauvegarde de ses actifs)
 La fiabilité des informations financières
 Ne se limite pas à un ensemble de procédures et aux processus comptables et financiers.
Contrôle interne Audit interne
Un dispositif : ensemble de mesures et contrôles Une fonction de la banque
Sécuriser Identifier
Garantir Evaluer
Maitriser Recommander

 L’audit interne renforce et améliore les dispositifs du contrôle interne

 L’audit Interne doit être le promoteur du contrôle et de son efficacité au meilleur coût.
L’audit interne / le risk management :
(Points de convergence) La fonction du risk manager:
  Au service du management et la DG
 Rattachée au plus haut niveau pour préserver son indépendance
 Exclusive de toute fonction opérationnelle mais doit être relayée par les opérationnels.
 Concerne toutes les activités de l’organisation.
Quatre missions :
1) Identifier tous les risques internes et externes de l’entreprise
2) Elaborer une cartographie des risques permettant de les apprécier.
3) Définir une stratégie de risques et la proposer à la DG. Cette stratégie offre quatre options pour
chaque risque identifié :
accepter le risque => ne rien faire risk appetite + éviter le risque + transférer le risque
(l’assurance)
4) Sensibiliser et former les managers pour aligner la gestion des risques opérationnels sur la
stratégie globale + assistance dans la réalisation.
La définition d’une stratégie et les propositions de solutions sont autant de préconisations pour
améliorer le contrôle interne => le risk manager prépare le terrain pour l’auditeur interne.
L’audit interne : l’évaluation du processus de management des risques => contrôle interne
Le risk manager : la contribution à élaborer et à mettre en place le processus sous la responsabilité
de la DG.
Risk management, assurances, contrôle de gestion, audit interne : préoccupation du risque à des
degrés divers
La direction générale : définit et coordonne les responsabilités de chacun pour éviter toute
confusion
DIAGRAMME DE CONTROLE INTERNE SELON COSO
Chapitre 3 : DEROULEMENT D’UNE MISSION D’AUDIT
Selon les normes de fonctionnement et les modalités pratiques du CRIPP : une mission d’audit
interne est constituée de trois phases : planification +réalisation+ communication
La phase de préparation
-ouvre la mission d’audit + des capacités de lecture, d’attention et d’apprentissage
- l’aptitude à apprendre et à comprendre=> une bonne connaissance : la bonne information et à qui
la demander => synthèse
-la réalisation de tous les travaux préparatoires avant de passer à l’action
-La construction son référentiel : le modèle vers lequel doit tendre le résultat de sa mission.
La phase de réalisation
-Les capacités d’observation, de dialogue et de communication
-le critère d’une intégration réussie : aux capacités d’analyse et au sens de la déduction
=> des observations et constats => élaborer la thérapeutique
La phase de conclusion
Une grande faculté de synthèse et une aptitude certaine à la rédaction
-élaborer et présenter son produit après avoir rassemblé les éléments de sa récolte : c’est le temps
des engrangements et de la panification.

La phase de préparation
1) Ordre de mission (lettre de mission)
Le mandat donné par une autorité compétente a l'audit: l’entité + l'origine de la mission + son
étendue => trois principes
 La décision de réaliser une mission d'audit n’appartient pas à l’audit. La possibilité de proposer
une mission au Comité d'audit ou à la DG
 Doit émaner d'une autorité compétente : DG, Comité d'audit, cabinet ministériel
 Permet de diffuser l'information à tous les responsables concernés (Direction de l'entité auditée)
ORDRE DE MISSION : Destinataire + Copie pour information + Objet+ signature DG
Deux types de missions d’audit :
 Missions prévues dans le programme d'audit : Le programme d'audit = un ordre de mission
collectif
=> ne pas attendre de recevoir d'ordre de mission spécifique pour commencer
=> rédiger un ordre de mission selon un modèle préétabli et le soumet à la signature à la DG
 Missions spécifiques : non prévues dans le programme d'audit et qui émanent de la DG.
Une demande émane de la DG d’une entité => les auditeurs la formalisent sous forme d'ordre de
mission dans un document écrit et le soumettent à la signature de la DG.
2) Rencontre avec la Direction de l’entité auditée
Familiarisation avec l’entité à auditer
 Avoir une vision d’ensemble
 Identifier les risques => focaliser sur les points essentiels => éviter l’omission des aspects
fondamentaux et le risque de se perdre dans les détails inutiles
 Définir les objectifs de la mission : organiser planifier, estimer le temps et le cout
 Donner une image de rigueur et de professionnalisme qui facilité les contacts
Questionnaire de prise de connaissance
Les outils appropriés : interviews, observations, documents
Trois parties : allant du général au particulier => La structure globale de questionnaire :
Connaissance du contexte socio-économique : Taille et activités du secteur audité + situation
budgétaire et commerciale + effectifs et environnement de travail
Connaissance du contexte organisationnel de l’unité : Organisation générale et structure +
organigrammes et relations de pouvoir + environnement informatique.
Connaissance du fonctionnement de l’entité auditée : méthodes et procédures + informations
réglementaires - organisation spécifique de l’entité + système d’information ; - problèmes passés ou
en cours + réformes en cours ou prévues.
Le cas particulier : Les questionnaires volumes et types de transaction (VTT)
recensent les éléments statistiques de l’unité en volume ou en valeurs => une meilleure vision
Mesurer les évolutions et faire des comparaisons => les écarts en récupérant par anticipation des
présomptions d’anomalies. Ex p 63
La prise de connaissance : Organiser une rencontre avec la Direction de l'entité auditée avant de
commencer pour discuter différents points4 :

3) Compte rendu de la réunion avec la Direction de l’entité auditée

4
Objectifs de la mission + Faisabilité de la mission d'audit + Étendue de la mission + Nature de la mission d'audit Délais de la mission + Auditeurs
responsables de la mission +Description du déroulement de la mission +Organisation ou non d'une réunion d'ouverture avec l'ensemble du personnel
+ Rapport d'audit : destinataires du rapport, rapport intermédiaire + Plan d'action
Après la rencontre avec la Direction de l'entité auditée
=> rédiger un compte rendu de cette réunion
=> envoyer aux personnes présentes +délai pour communiquer modifications / commentaires
=> introduire les modifications et transmettre le compte rendu final par note interne aux mêmes
personnes.
La phase de réalisation
Des travaux qui vont le maintenir durablement au sein de l’unité auditée => des réunions :
 La réunion de présentation /de début de mission= la première prise de contact au tout début de
la mission (simple communication téléphonique/visite pour les missions courtes)
 La réunion d’ouverture/d’orientation/ de début des opérations : qui ouvre la phase de réalisation
 La réunion finale sur le site/ de validation générale/ de fin de mission
1) Réunion d’ouverture
-Pour établir les premiers contacts avec l'ensemble des personnes impliquées par l'audit
-La réunion d'ouverture est facultative
-Décision : les auditeurs et la Direct de l'entité (la présence de beaucoup de personnes)
-Support de la présentation : orale par les auditeurs, avec support Power Point.
-Répondre aux questions des audités.
-Personnes concernées5 et Contenu de la présentation6
2) Récolte d’informations (prise de connaissance du Domaine audité)
La durée est en fonction de : complexité du sujet, profil de l'auditeur, existence d'audits antérieurs
Pour pouvoir bâtir le référentiel de contrôle interne et définir les objectifs d'audit.
Plusieurs objectifs
 Avoir une bonne vision d'ensemble des contrôles internes
 Identifier les problèmes essentiels
 Éviter d'omettre des questions et des préoccupations importantes
 Ne pas tomber dans des considérations abstraites
 Permettre l'organisation des opérations d'audit
Contenu
La récolte d'informations : organisation + planification
=> Les informations à récolter peuvent être regroupées en différents thèmes :
Contexte structurel + Structure et organisation internes + Organigramme et relations de pouvoirs +
Environnement informatique + Contexte réglementaire + Processus et procédures + Système
d'information + Problèmes passés ou en cours + Réformes en cours ou prévues
Outils pour acquérir des connaissances:
1- Examen des résultats de l'analyse de risques
 Une base aux auditeurs et peuvent être soumis aux agents lors des entretiens pour mise à
jour ou validation.
2- Entretiens avec les responsables de plus haut niveau dans l'activité auditée
 Pour avoir des informations claires et générales sur les objectifs de l'organisation
3- Analyse de documents de base
 Les flow-charts : prendre connaissance des processus
 Les grilles d'analyse de tâches : comprendre la répartition des travaux entre les agents
5
Le responsable de l’audit interne ou son délégué les auditeurs chargés de la mission, la Direction de ou des entité(s) auditée(s) l'ensemble du
personnel de ou des entité(s) auditée(s) ou les responsables des processus audités.
6
Présentation succincte du Service d'audit + Contexte et objectifs de la mission + Etendue de la mission + Déroulement de la mission + Présentation
de la méthodologie + Rapport + Evaluation + Plan d'action et suivi de la mission +Planning + Contacts
  L'examen des rapports des audits antérieurs/ l’Inspection : identifier les risques présents
 Des rapprochements sur diverses statistiques

3) La détermination des objectifs d’audit

-Pour restreindre le champ couvert par le référentiel de contrôle interne.
Hiérarchiser les risques du référentiel : mesure de la probabilité + impact des risques par les audités
=> Attribuer des cotes pour la probabilité que pour l'impact, l'échelle de cotation va de 1 à 4
(Très faible, faible à moyen, moyen à important, très important)
Les auditeurs peuvent, en fonction de leur appréciation des risques, modifier la cotation
4) La définition des objectifs ou l’élaboration du référentiel
Rapport d’orientation = plan de mission = termes de référence
Elaborer et documenter un programme de travail permettant d’atteindre les objectifs de la mission
Caractéristiques :
-Un contrat « contrat d’adhésion » avec l’audité : objectifs et champ d’action de la mission d’audit.
-Il n’appartient pas à l’audité d’exiger des modifications.
-Ce caractère contractuel est essentiel : connaissance des engagements + le référentiel de l’auditeur

-Reprendre les éléments de l’identification des risques effectuée antérieurement

=>définir les objectifs de la mission : objectifs généraux, objectifs spécifiques et champ d’action.
=> définir et proposer le champ d’application de sa mission (des risques apparents significatifs)
=>pour estimer l’importance de la mission et son contenu.
Contenu :
 Reprendre les objectifs d'audit déterminés
 Prendre en compte les priorités et préoccupations d'actualité de l'entité
 Prendre en compte les objectifs incontournables du service d'audit
 Déterminer les ressources, humaines et matérielles, nécessaires à la réalisation de la mission
 Etablir un calendrier d'exécution de la mission
5) Le programme d’audit ou programme de travail
Le programme de vérification = planning de réalisation
=>un document interne au service : la détermination, la répartition et la planification des tâches qui
pour atteindre les objectifs du rapport d'orientation
Etabli par l’équipe chargée de la mission, sous la supervision du chef de mission
la base de la phase de réalisation avec un contenu essentiellement technique.
 Les travaux d'audit à accomplir pour atteindre les objectifs d'audit
 Les techniques, outils: diagramme de circulation, sondage statistique, entretien
6) Le questionnaire de contrôle interne QCI
 Un document interne utilisé par les auditeurs
 Un guide pour réaliser le programme de travail : observation d'évaluer le dispositif de contrôle
interne
 Des questions : analyser les opérations à risques + vérifier l'existence et l'efficacité des
contrôles définis dans le référentiel de contrôle interne.
 Ce ne sont pas des questions que l'auditeur pose mais les questions qu'il va se poser
 5 questions fondamentales pour regrouper l'ensemble des interrogations concernant les points
de contrôle pour chaque opération cataloguée " à risques ": qui - quoi - où - quand – comment.
 Qui7 ? L’opérateur => identifier avec précision et déterminer quels sont ses pouvoirs
 Quoi ? L'objet de l'opération => la nature de la tâche, la nature du produit fabriqué, du contrôle.
 Où ? Concerne les endroits l'opération
 Quand ? Temps : début, fin, durée, périodicité
 Comment ? La description du mode opératoire, comment se réalise la tâche
7) Le travail sur le terrain
La démarche logique
Un découpage séquentiel ou logique des opérations, préalable nécessaire pour identifier les risques
Définition des objectifs (rapport d’orientation) et établit un programme de travail.
Pour chaque point de ce programme, il élabore (ou met à jour) un questionnaire de contrôle interne.
Pour chacun des points de contrôle : les questions : qui ? quoi ? où ? quand ? comment ?
Un affinement de son questionnaire.

-Répondre aux questions du QCI => la phase de terrain

-Les outils à mettre en œuvre sont déterminés dans le QCI
-Réaliser des tests liés aux risques sous-jacents avec des outils à sa disposition (selon une méthode
déterminée à l’avance) (une opération unique ou dans le cadre d’un plan de tests préétabli)
=> apporter la preuve du dysfonctionnement et ouvrir la voie à la recherche de l’analyse causale
=> le dysfonctionnement est manifeste et incontestable = le test est superflu
=> Chaque dysfonctionnement, chaque anomalie va donner lieu à l’établissement d’une FRAP
-Les outils : des observations aux différents de tests : analyse de documents, réconciliation des
données, entretiens
-jamais baser les constats sur des hypothèses ou intuitions => des preuves : 4 critères de qualité de
(pour qu'un constat soit considéré comme prouvé et valable)
 Pertinente = en relation avec les objectifs d'audit
 Suffisante = fonctionnelle, appropriée et probante, présentant assez d'information
 Concluante = fiable pour aboutir à une conclusion précise et certitude de la qualité de la source
 Utile = répondant aux objectifs de l'organisation
8) La FRAP8
 Un document normalisé : un moyen d’analyse simple et clair
 Reproduire les différentes phases du raisonnement dans leur ordre logique et chronologique
 Conduire le raisonnement de l’auditeur à seule fin de l’amener à formuler une recommandation
 Fonder des conclusions des résultats des missions sur des analyses appropriées
 La FRAP est divisée en 5 parties : problème, constat, causes, conséquences, recommandations
 La FRAP est remplie par l’auditeur à chaque fois qu’il rencontre :
un dysfonctionnement, une erreur, une malversation, une insuffisance
 À la fin de son audit : une grande quantité de FRAP, relatives à tous les domaines explorés dans
l’ordre chronologique et logique du questionnaire de contrôle interne et d’importance plus ou
moins grande selon les conséquences du phénomène analysé.

7
Les organigrammes hiérarchiques et fonctionnels, les analyses de postes
8
La FRAP = feuille de révélation et d’analyse de problème IFACI
« feuille de fait » ou « feuille d’analyse » ou encore FECI (« feuille d’évaluation du contrôle interne »)
La phase de conclusion
L’ensemble de les FRAP + les papiers de travail => la validation générale, il rédige un document
final + la réunion de clôture et validation, d’où sort le rapport d’audit en son état final et auquel il
faut assurer un suivi.
1) Le projet de rapport d’audit interne nommé pour trois raisons :
 Les observations ne sont définitives : attendre une validation générale (chaque FRAP a fait
l’objet d’une validation spécifique)
 Il comprend les recommandations des auditeurs et non pas les réponses des audités
 Il ne comporte pas encore le plan d’action9 (document joint au rapport définitif)
2) La réunion de clôture

Mêmes participants (la réunion d’ouverture) => commenter ce qu’ils ont fait
Quatre principes + s’organise et se déroule en fonction de modalités pratiques précises.

Le principe du « livre ouvert » : principe de transparence (présenté et commenté aux audités)
Le principe de la « file d’attente » : le projet de rapport n’est ni diffusés ni divulgués tant que la
réunion de clôture et de la validation non encore achevées.

Le principe du « ranking » : Les recommandations dans le projet de rapport sont présentées en

fonction de leur importance. (Classement des constats énoncés dans les FRAP/ des conséquences).
Le principe de « l’action immédiate » :
l’audité est informé => l’encourager – sans attendre la publication du rapport officiel – à prendre
immédiatement les mesures correctives, s’il en a les moyens bien évidemment => mentionner
3) Le rapport d’audit interne
L’audité : une réponse écrite aux recommandations du projet de rapport
Le rapport d’audit : des principes une forme spécifique un contenu obéit à des normes.
Les quatre principes
1-Pas d’audit interne sans rapport d’audit interne
2-Document final : le dernier acte de l’auditeur dans la mission d’audit
La mise en œuvre des recommandations

9
sur lequel l’audité indique quand et par qui seront mises en œuvre les recommandations qu’il a acceptées
3-Présentation préalable aux audités
Au cours de la réunion de clôture => l’accord s’est fait sur la version définitive du document.
À défaut d’accord, chacun a une connaissance exacte du contenu du rapport.
=> Droit de réponse de l’audité
=>le caractère définitif du document et sa présentation impliquent un droit de réponse qui
s’exerce d’une double façon :
Le rapport d’audit interne : Sa structure est incontournable: répond à 2 fonctions (relativement
contradictoires)
1-des informations + un outil de communication, pour la hiérarchie
=> les mesures importantes à prendre pour améliorer la situation
=> pas de détails des investigations réalisées + une argumentation claire : l’identification précise
des risques + les grandes lignes les points de faiblesse et les mesures à prendre.
2-un outil de travail pour l’audité => entreprendre les actions correctives => analyser et
présenter le détail des constats et observations, les recommandations doivent être concrètes et
précises,
4-Structure originale que l’on peut analyser en quatre parties :
Page de garde et lettre d’envoi à ne pas omettre dans l’ordre :
Le titre de la mission et la date d’envoi du rapport l’ordre de mission initial est rappelé ;
les noms des auditeurs ayant participé au travail, avec ceux des chefs de mission
les noms des destinataires du rapport d’audit
Sommaire – introduction et synthèse
Cet ensemble introductif commence par le sommaire détaillé du rapport

L’introduction brève + obligatoirement comporter deux informations :

Le rappel du champ d’action et des objectifs de la mission (le but recherché et les limites dans
lesquelles se sont situées les investigations)
Un très bref descriptif de l’organisation de l’unité ou de la fonction auditée (l’information de la
hiérarchie) +un rappel sur l’organisation du milieu audité.
La synthèse = la lettre du président => informer la hiérarchie
La synthèse doit obéir à deux règles essentielles : elle doit être
Brève + précise => apprécie la qualité du contrôle interne : aspects positifs et les aspects
négatifs. => opinion globale de l’auditeur : s’appuie et doit s’appuyer sur des constats
Le corps du rapport – ou « rapport détaillé »
Destiner en premier lieu à l’audité et qui comporte : constats, recommandations et réponses aux
recommandations, le tout présenté dans l’ordre logique et cohérent du sommaire.
Le rapport sert également :
 à documenter le périmètre de la mission en explicitant observations et conclusions ;
 à établir des archives permanentes, lesquelles seront particulièrement utiles pour les missions
à venir sur le même sujet.
Le rapport doit : Rester centré sur les risques + identifier les causes des constats + éviter
l’anecdote + se faire comprendre + répondre aux questions posées en début de mission.
Conclusion – plan d’action – annexes
La véritable conclusion est la note de synthèse en tête du document
=> pour ouvrir deux autres directions possibles :
 
-annoncer – ou suggérer – d’autres missions dont l’intérêt aurait été révélé par la présente
mission d’audit
-rappeler – en se référant au plan d’audit approuvé – à quelle date se situera la prochaine mission
de l’audit interne sur le même thème.
On a pu se demander s’il ne convenait pas de procéder à une notation sur la qualité de la gestion.
Les pratiques varient mais on s’abstient en général de « donner une note », ce qui apparenterait
la mission d’audit à une mission d’inspection. En revanche, l’appréciation du contrôle interne
par l’auditeur est toujours la bienvenue et souhaitée par le management.
Routine de confection du rapport

Chapitre 4 : LE DISPOSITIF DE CONTROLE INTERNE ET DE GESTION DES RISQUES

DANS LA ABNQUE
I- Dispositif de contrôle interne et gestion des risques dans la Banque
La fonction Risques
Le dispositif de gestion des risques des banques doit servir de socle au système de contrôle
interne.
 Objectif : identifier, mesurer, gérer + évaluer l’ensemble des risques
 la gestion des risques de contrepartie, de marchés, opérationnels, stratégiques et de
réputation + les techniques d’atténuation du risque
 il faut : -définir la gouvernance des risques et sa stratégie de gestion des risques
-assurer une vision consolidée de ses risques : pilotage + un suivi des risques.
-assurer une procédure coordonnée de gestion des risques et de contrôle interne
Le Système de Contrôle Interne
Pour maîtriser des risques + optimiser la rentabilité => l’obligation de se doter d’un système de
contrôle interne : les objectifs
 La vérification de la conformité des opérations de l’organisation et des procédures ;
 Le contrôle du respect des procédures et des prises de risque ;
 La vérification de la qualité de l’information comptable et financière ;
 La vérification du respect des normes et usages professionnels et déontologiques.
Gouvernance du Système de Contrôle Interne
La mise en œuvre d’un système de gouvernance efficace :
-adopter une répartition claire et une séparation appropriée des responsabilités
=> fonctions de contrôle doivent être séparées des fonctions opérationnelles.
Indépendance : garantie par un rattachement hiérarchique un Système de Contrôle Interne
clairement dissocié des fonctions commerciales, opérationnelles et supports de la banque.
Les acteurs du Contrôle Interne : L’affaire de tous
-des organes de gouvernance : organe délibérant, organe exécutif
-l’ensemble des collaborateurs de la banque.
Un système, deux fonctions
 Le Contrôle Permanent : s’assure au fil de l’eau de la maîtrise des activités
Le système de contrôle des opérations est structuré autour de deux fonctions de contrôle qui
ensemble, forment une structure de contrôle à 3 niveaux.
 Le Contrôle Périodique : s’assure périodiquement (selon le programme d’audit) non
seulement de la conformité (du cadre législatif et réglementaire) des opérations réalisées,
mais également de la pertinence et de l’efficacité du Contrôle Permanent.
Un système à 3 niveaux

Niveau 1 : Des contrôles opérationnels

Le contrôle : par le Collaborateur et responsable hiérarchique
Par rapport : des règles définies par la fonction Risques ou la fonction Conformité)
Compléter par des phases de validation : entre collaborateurs (principe de séparation des tâches)
ou par le responsable hiérarchique.
=> des contrôles a priori
=> possibilité des contrôles a posteriori (par le responsable hiérarchique) : contrôles par
échantillonnage = de manière aléatoire mais permanente.
Niveau 2 : Les contrôleurs internes + le plan de contrôle défini par le Responsable du Contrôle
Interne (à partir des zones de risques identifiées par les Fonctions Risques)
=> s’assurer en permanence du respect des procédures : les collaborateurs et les responsables
hiérarchiques
=> d’autres contrôles (régulier ou ponctuel)
- sur des échantillons d’opérations non contrôlés par les responsables hiérarchiques
-selon d’autres axes d’analyse : L’organisation, la formalisation et l’efficacité des processus
Niveau 3 : l’Audit interne : s’assure, dans le cadre de ses missions, de la conformité et de
l’efficacité de l’ensemble du dispositif de contrôle interne.
II- Dispositif de contrôle interne bancaire en Tunisie (pages 91-99)
III- Le champ d’intervention de l’audit interne dans la banque
Audit financier 
-les établissements de crédit Bq non-résidentes : doivent respecter les dispositions des normes
comptables bancaires tunisiennes et particulièrement celles relatives au contrôle interne. En ce
qui concerne :
-l’information comptable : garantir l'existence d'un ensemble de procédures : piste d'audit, qui
permet de :
 Reconstituer dans un ordre chronologique les opérations
 
 Justifier toute information : une pièce d'origine +document de synthèse
 Expliquer l'évolution des soldes d'un arrêté comptable (les soldes comptables des postes des
états financiers)
- Les informations comptables : dans les situations destinées à la BCT+ nécessaires au calcul des
normes de gestion et des normes prudentielles
Audit du système de maitrise des risques
=> adaptés à la nature + volume + degré de complexité des activités de l’établissement de crédit
et de la banque non-résidente.
=> faire régulièrement : un réexamen réalisé dans le cadre du processus d’audit interne de
l’établissement de crédit ou de la banque non résidente.
Rapport sur le contrôle interne
Elaborer au moins 1/an : un rapport sur les conditions dans lesquelles le contrôle interne est
assuré (les différentes catégories des risques mentionnées dans la circulaire p 101)
Audit de l’organe chargé du contrôle de la conformité
Le CA ou CS veille au suivi de l’activité de l’organe chargé du contrôle de la conformité : bon
fonctionnement + la révision de ce système : des rapports du comité d’audit interne
Rapport aux comités d’audit
L’organe de direction est tenu de fournir au comité permanent d’audit interne :
 La documentation : les moyens pour assurer le bon fonctionnement du contrôle interne
 Les notes sur la stratégie de développement et les projections financières
 Les états financiers intermédiaires et annuels avant leur transmission au conseil pour
approbation.
Audit du système de notation
L’audit interne est tenu de revoir, au moins 1/an, le système de notation et son fonctionnement
=> s'assurer du respect des exigences minimales définies dans la présente circulaire
=> la rédaction d’un rapport : BCT au plus tard un mois après sa validation par le conseil
Audit du dispositif de contrôle interne pour la gestion du risque blanchiment d’argent
Il faut assurer un contrôle permanent et périodique rigoureux sur la bonne application des
procédures internes. « Le dispositif de contrôle interne »
=> doit être audité selon une périodicité : la nature + volume + complexité des opérations de
l’établissement et dans tous les cas au moins une fois tous les 2 ans.
Les termes de référence des missions d’audit doivent être validés par le comité d’audit
Les conclusions des missions d’audit : consignées dans un rapport validé par le comité d’audit et
transmis au CA ou au CS (les mesures nécessaires pour en assurer un suivi)
Audit du système informatique
Les établissements de paiement : un audit annuel de la sécurité informatique + communiquer à la
BCT une copie du rapport
Procéder à des tests : analyser l’état de sécurité de leurs systèmes informatiques + évaluer leurs
capacités à faire face de manière efficace à des attaques ciblant lesdits système :.
=> pas des risques de perturbation opérationnelle => la continuité du service de leurs systèmes
informatiques les cyberattaques.
=> informer immédiatement la BCT et l’Agence Nationale de la Sécurité Informatique de toutes
attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement de leurs
systèmes informatiques.
=> se conformer aux mesures arrêtées par l’Agence Nationale de la Sécurité Informatique
Le cycle des moyens de paiement
Présentation du cycle : La gestion des moyens de paiements => des opérations de livraisons et
de règlements => compensation pour que leurs règlements soient menés à bonne fin
Les moyens de paiement = les instruments qui permettent à toute personne de transférer des
fonds, quel que soit le support ou le procédé technique utilisé
(virements, prélèvements, cartes de paiement, chèques, effets de commerce)
L’approche d’audit : La nature et la complexité des opérations relatives aux moyens de
paiement => une approche par processus, indépendante d’une approche (plusieurs métiers)
=> l’appréciation du contrôle interne, les contrôles des comptes (un complément)
Quatre axes d’analyse :
 La sécurité et l’efficience des systèmes d’information
 Le niveau des procédures opérationnelles et leur application effective
 La compréhension détaillée des schémas comptables
 L’analyse du contrôle comptable : identifier toute anomalie
Le contrôle des comptes : 3 types de comptes liés aux opérations de moyens de paiement :
Les comptes de confrères et correspondants :nostri et lori
Les comptes d’encaissement de chambre de compensation + les comptes d’attente
Les comptes de trésorerie (caisse)
Le cycle crédits et engagements
L’évaluation du contrôle interne concernant l’activité de crédit se concentre sur l’analyse :
Des procédures d’engagements + De la gestion des encours sains
Du dispositif : de surveillance des risques + de contrôle sur les comptes + de la revue du risque
pays.
Le cycle des opérations de marché
L’examen du contrôle interne au sein du front- office doit permettre d’évaluer la procédure:
- d’établissement des tickets d’opéré, leur correcte transmission au back- office, sans délai
-d’enregistrement sur bande magnétique des ordres téléphoniques initiés par le front- office
-de suivi en temps réel des résultats => contrôles réalisés par les risk managers rattachés au
front- office sur les paramètres de valorisation et les méthodes de valorisation ;
-de délégation (existence de lettres de pouvoir);
-la compatibilité avec les limites d’exposition aux risques de marché des procédures d’octroi et
de suivi des limites comportementales octroyées à chaque opérateur.
-Trading : des procédures pour maîtriser les risques liés à la défaillance de la contrepartie :
La conformité aux conventions : les opérations de compensation et d’appels de marge + les
contrats standards sur instruments financiers.
Les circularisations
=>Il faut avoir recours aux techniques de « circularisation » dans le cadre de la phase finale de
contrôle des comptes
=>La circularisation pour une banque consiste à demander aux sociétés en relation avec
l’établissement de confirmer les soldes des dettes et des créances qu’ils détiennent auprès de ces
sociétés.
