1. Mise à jour : octobre 2011
Chapitre 8
La mission d’audit – La planification
2.
3. Table des matières
1. Les procédés préliminaires ..............................................................................................................1
2. L’approche de partenariat avec le gestionnaire..............................................................................2
3. La connaissance de l’unité ou de l’activité à auditer......................................................................3
4. Les objectifs d’audit..........................................................................................................................4
5. La description de système et des contrôles ...................................................................................4
6. L’identification et l’évaluation des risques et des contrôles .........................................................4
6.1 Les risques.........................................................................................................................................5
La définition des risques...................................................................................................................5
L’identification des risques particuliers..........................................................................................5
L’évaluation d’un risque particulier .................................................................................................5
6.2 Les contrôles .....................................................................................................................................6
La définition des contrôles ...............................................................................................................6
L’identification des contrôles particuliers.......................................................................................6
L’évaluation d’un contrôle particulier..............................................................................................7
L’évaluation d’un portefeuille de contrôles.....................................................................................7
7. Le programme d’audit des contrôles...............................................................................................7
4.
5. Chapitre 8 – La mission d’audit – La planification page 1
1. Les procédés préliminaires
La première étape de toute mission d’audit menée par le Bureau de l’audit interne comprend des procédés
administratifs visant à assurer le bon déroulement de la mission.
La mission d’audit débute lorsqu’un spécialiste en audit du Bureau est avisé qu’il est chargé de la mener.
L’auditrice interne lui communique les objectifs généraux de la mission, la stratégie à utiliser, les attentes
particulières, les analyses et les rapports à produire ainsi que l’échéancier de réalisation des travaux.
Avant d’assigner une mission à un spécialiste en audit, l’auditrice interne doit tenir compte de l’expérience
et de l’expertise requise pour mener à bien la mission, de la nature et de la complexité de la mission, des
contraintes de temps et des ressources disponibles. Si des connaissances, des habiletés ou des disciplines
additionnelles sont requises, l’auditrice interne doit adjoindre au spécialiste en audit des ressources
externes pour compléter l’équipe.
L’auditrice interne communique avec le gestionnaire de l’unité ou de l’activité à auditer pour :
annoncer la mission;
identifier les modifications de structure, de responsabilités ou autres qui auraient pu survenir depuis
l’approbation du plan annuel des activités du Bureau de l’audit interne;
réévaluer la pertinence de réaliser la mission à la date prévue ou de la différer selon les conditions
existantes.
Lorsque le champ d’audit est très vaste, le spécialiste en audit entame une prise de connaissance en
parcourant les lois et les politiques gouvernementales s’y rapportant ainsi que les règlements, les politiques
et les procédures mis en place par l’Université pour encadrer les activités. Cette prise de connaissance vise
à préciser le ou les volets qui seront audités. L’information est colligée dans la section D (L’encadrement
juridique et administratif) du dossier.
Afin de compléter cette prise de connaissance, l’auditrice interne fait parvenir un courriel au gestionnaire
concerné lui demandant d’informer son personnel qu’un spécialiste en audit du Bureau le rencontrera au
cours des prochaines semaines, et l’avisant que la mission d’audit sera précisée et confirmée
ultérieurement.
Après avoir précisé le ou les volets qui seront audités, l’auditrice interne confirme la mission au moyen d’un
courriel. Ce courriel est classé dans la section A-3 (La confirmation de la mission) du dossier.
Le spécialiste en audit crée la feuille de travail B-2 (La feuille de route) et prépare le dossier d’audit selon la
structure et les normes présentées dans le chapitre 11 (Le dossier d’audit), dossier qu’il alimentera tout au
long de la mission. Il prépare un calendrier de travail répartissant le budget de temps par phase et le classe
dans la section B-4 (La gestion du temps).
Enfin, le spécialiste en audit communique avec le gestionnaire afin de prendre rendez-vous pour réaliser
une entrevue.
6. Page 2 chapitre 8 – La mission d’audit – La planification
2. L’approche de partenariat avec le gestionnaire
La seconde étape d’une mission d’audit consiste à réaliser une entrevue avec le gestionnaire responsable
de l’unité ou de l’activité à auditer afin de planifier la phase d’exécution et de recueillir de l’information
probante, suffisante et pertinente permettant d’orienter la mission. Cette entrevue a également pour objet
l’acquisition de connaissances générales sur l’unité ou l’activité à auditer. L’étendue de cette entrevue
variera selon la complexité de l’objet d’audit et la connaissance préalable qu’en a le spécialiste en audit.
Le spécialiste en audit s’inspire de la feuille de travail de la page 6 du chapitre 11 (Le dossier d’audit) pour
préparer cette entrevue.
Au cours de l’entrevue, il doit créer un climat de confiance avec son interlocuteur en lui expliquant
l’approche d’audit et la procédure qu’il entend utiliser. II explique d’abord au gestionnaire son rôle comme
partenaire de la mission. II est très important que le gestionnaire ait une bonne compréhension de la
mission d’audit et de son déroulement, car il y va du succès même de l’opération.
Par la suite, le spécialiste en audit prend note des propos et des commentaires du gestionnaire et s’assure
de posséder toutes les données nécessaires à la rédaction d’une description sommaire des activités à
auditer.
Enfin, le spécialiste en audit identifie, avec le gestionnaire, les personnes clés concernées par l’exécution
de la mission et détermine un calendrier de travail efficace selon les disponibilités de chacun.
Au terme de ces trois étapes, le spécialiste en audit informe le gestionnaire qu’il ajourne l’entrevue afin de
statuer, de façon indépendante et objective, sur l’étendue et l’approche d’audit à privilégier. Le fait
d’ajourner l’entrevue plutôt que d’y mettre fin permet de sensibiliser le gestionnaire au processus continu de
la mission d’audit et de planifier immédiatement un moment pour poursuivre l’entrevue.
Le spécialiste en audit rédige un résumé de l’entrevue et le classe dans la section E-2 (Les entrevues) du
dossier.
7. Chapitre 8 – La mission d’audit – La planification page 3
3. La connaissance de l’unité ou de l’activité à auditer
Les connaissances générales de l’unité ou de l’activité à auditer s’acquièrent au moyen de l’entrevue avec
le gestionnaire et de la lecture des documents internes et externes. Elles concernent :
l’énoncé de la mission et des objectifs de l’Université et de l’unité à auditer;
le cadre légal et réglementaire dans lequel s’exerce l’activité concernée;
les structures, les organigrammes, les descriptions de tâches;
les budgets, les résultats, les rapports;
les politiques, les processus et les procédures;
les principaux systèmes;
les ressources utilisées;
les extrants, qu’ils soient tangibles ou intangibles;
les résultats des audits antérieurs;
les flux de travail et les interrelations avec d’autres procédés ou d’autres unités administratives.
Ces connaissances générales sont complétées par d’autres renseignements provenant de sources
externes pour apprécier :
l’importance de l’unité ou de l’activité, la perception qu’en ont ses clients, ses partenaires, ses
bailleurs de fonds, ses fournisseurs et les autres parties intéressées;
les meilleures pratiques du domaine d’activité;
l’environnement social, économique, politique et technologique dans lequel s’exerce cette activité et
les tendances les plus susceptibles de l’influencer à court terme.
L’analyse de l’information ainsi colligée permet d’identifier les principaux enjeux de l’unité ou de l’activité à
auditer et les risques les plus importants auxquels elle fait face. De là découlent les objectifs d’audit.
8. Page 4 chapitre 8 – La mission d’audit – La planification
4. Les objectifs d’audit
Le spécialiste en audit formule les objectifs d’audit sur la feuille de travail Le champ d’application et les
objectifs d’audit. Il classe la feuille de travail dans la section C (Champs et objectifs) du dossier.
Les objectifs d’audit sont approuvés par l’auditrice interne et présentés au gestionnaire.
5. La description de système et des contrôles
Les connaissances acquises lors de l’entrevue avec le gestionnaire et l’étude des documents liés à l’unité à
auditer permettent au spécialiste en audit d’analyser chaque activité, d’en faire une brève description et
d’identifier les risques et les contrôles permettant de minimiser l’incidence des risques.
Cette description se fait de façon narrative. Elle est complétée par des schémas pour en faciliter la
compréhension. Elle comporte au moins trois parties : l’environnement externe, la gouvernance de l’activité
ou du processus et la gestion de l’activité ou du processus.
La description est classée dans la section E-1 (Description de système et des contrôles) du dossier.
6. L’identification et l’évaluation des risques et des contrôles
L’analyse des enjeux et des risques peut être fournie par l’unité à auditer. Dans un tel cas, le spécialiste en
audit doit la valider avec le gestionnaire de l’unité.
En l’absence d’une telle analyse, le spécialiste en audit effectue lui-même l’identification des enjeux, des
risques et des contrôles. À cette étape, il prépare la feuille de travail L’identification et l’évaluation des
risques et des contrôles. Cette feuille de travail est classée dans la section F-1 (Risques et contrôles) du
dossier.
Il est important que l’analyse du spécialiste en audit soit alors validée par le gestionnaire de l’unité à
auditer. L’auditrice interne doit s’assurer que la perception de ces enjeux et de ces risques est uniforme
d’un niveau à l’autre dans la hiérarchie de l’Université.
9. Chapitre 8 – La mission d’audit – La planification page 5
6.1 Les risques
La définition des risques
Un risque est un danger ou un inconvénient plus ou moins probable auquel une activité est exposée.
Le risque universel
Un risque universel est un danger ou un inconvénient résultant d’un ou de plusieurs risques
particuliers.
Le risque particulier
Un risque particulier est une situation précise qui pourrait causer un des dix risques universels. Par
exemple, la perte de données est un des risques particuliers qui pourrait causer l’interruption des
opérations qui est un risque universel.
L’identification des risques particuliers
Afin d’identifier les risques particuliers liés à une activité, il s’agit d’imaginer les situations qui pourraient
causer chacun des risques universels.
Dans l’identification des situations qui pourraient causer un risque universel, le spécialiste en audit et le
gestionnaire doivent utiliser leur jugement et leur expérience et tenir compte, pour chaque situation, du
niveau de matérialité et de probabilité. Ils ne doivent cependant pas tenir compte des contrôles en place. En
effet, l’exercice consiste à identifier aussi bien les risques mal ou non contrôlés que ceux qui sont déjà
contrôlés.
L’évaluation d’un risque particulier
L’évaluation de chaque risque particulier a comme objectif de classer les risques par ordre d’importance à
l’intérieur d’une activité. L’échelle suivante est utilisée :
1 = Risque faible
2 = Risque modéré
3 = Risque élevé
4 = Risque très élevé
10. Page 6 chapitre 8 – La mission d’audit – La planification
Le spécialiste en audit et le gestionnaire évaluent les risques en tenant compte non seulement de facteurs
comme les répercussions financières, mais aussi de facteurs comme la satisfaction de la clientèle et
l’image de l’Université.
Cette classification des risques est un outil de gestion pour aider le gestionnaire à fixer ses priorités et à
concentrer son attention sur les bons contrôles. Le spécialiste en audit doit encourager la participation du
gestionnaire et des personnes clés de l’unité administrative dans une démarche de partenariat.
6.2 Les contrôles
La définition des contrôles
Un contrôle est une mesure prise par un gestionnaire pour minimiser un risque particulier.
Le contrôle universel
Un contrôle universel regroupe un ou plusieurs contrôles particuliers.
Le contrôle particulier
Un contrôle particulier est une mesure (c’est-à-dire une action, une procédure ou un mécanisme) qui
permet de minimiser en partie ou totalement un risque particulier.
Le portefeuille de contrôles
Un portefeuille de contrôles est l’ensemble des contrôles particuliers nécessaires pour équilibrer
l’importance des risques particuliers.
L’identification des contrôles particuliers
L’identification des contrôles particuliers consiste à cibler, en se référant à la liste des contrôles universels,
les contrôles qui permettent de minimiser de façon satisfaisante un risque particulier donné.
Dans l’identification des contrôles particuliers, le spécialiste en audit et le gestionnaire doivent utiliser leur
jugement et leur expérience. L’exercice consiste à identifier aussi bien les contrôles en place que ceux qui
ne le sont pas, mais qui devraient l’être.
11. Chapitre 8 – La mission d’audit – La planification page 7
L’évaluation d’un contrôle particulier
Le contrôle est évalué selon l’échelle suivante :
0 = Contrôle absent
1 = Contrôle faible
2 = Contrôle modéré
3 = Contrôle élevé
4 = Contrôle très élevé
L’évaluation d’un portefeuille de contrôles
Le portefeuille de contrôles est évalué satisfaisant s’il permet d’atteindre l’objectif fixé, c’est-à-dire s’il
minimise de façon satisfaisante le risque particulier.
Par contre, même si le portefeuille de contrôles est évalué satisfaisant pour minimiser le risque, il est
important de l’examiner globalement pour juger si des contrôles sont superflus ou pourraient être remplacés
par des contrôles plus efficaces et moins coûteux permettant d’atteindre l’objectif fixé.
7. Le programme d’audit des contrôles
La rédaction du programme d’audit fait aussi partie de la planification de l’audit. Le programme doit définir
les procédés qui seront utilisés pour porter un jugement sur les contrôles et préciser la portée et l’ampleur
des sondages et des autres procédés.
Les procédés d’audit portent sur la collecte, l’analyse et l’interprétation de l’information. L’utilisation
judicieuse de procédés analytiques permet au spécialiste en audit de tirer des conclusions valables et de
formuler des recommandations bien appuyées.
Le programme d’audit doit faire l’objet d’une approbation par l’auditrice interne. Il est communiqué dans ses
grandes lignes aux gestionnaires de l’unité ou de l’activité à auditer dès le début de l’audit.
Le programme se classe dans la section F-2 (Programme d’audit des contrôles) du dossier.