Table des matières

1. Pourquoi l'efficience promise n'arrive presque jamais 2. Cadre d'évaluation de l'audit interne 3. Utilisation directe versus assistance directe 4. Exemple pratique 5. Liste de contrôle pratique 6. Erreurs courantes et constats H2A 7. Contenu connexe

Pourquoi l'efficience promise n'arrive presque jamais

Trois échecs récurrents reviennent dans les dossiers que nous voyons quand un confrère s'est trop appuyé sur l'audit interne.

Premier échec : l'évaluation de l'objectivité reste superficielle. Le dossier note « rattachement au comité d'audit confirmé » et s'arrête là. L'ISA 610.A5-A6 demande davantage : examen du mandat, des responsabilités opérationnelles annexes, et des contraintes budgétaires sur l'audit interne. Quand le responsable de l'audit interne fixe aussi des politiques comptables ou prépare des écritures, l'objectivité est compromise au sens de l'ISA 610.A6, même si la ligne de reporting au comité d'audit est correcte.

Deuxième échec : aucun re-test, ou un re-test cosmétique. L'ISA 610.17 oblige à tester l'efficacité du travail de l'audit interne, soit en re-exécutant des procédures, soit en examinant d'autres travaux similaires. À la H2A, c'est le constat qu'on retrouve le plus souvent dans les inspections de dossiers où l'audit interne a été utilisé : pas de re-performance traçable, ou un re-test sur deux items pris au doigt mouillé. Le dossier est trop léger pour soutenir l'opinion.

Troisième échec : la confusion entre utilisation et délégation. L'auditeur externe utilise des conclusions issues du travail de l'audit interne (610.15 première branche), ou bien obtient une assistance directe (610.20). Ce ne sont pas les mêmes régimes documentaires. Mélanger les deux dans un même cycle de tests crée une zone grise que le superviseur de revue va systématiquement marquer.

Le contre-argument que l'on entend en réunion de planning : « Mais nos confrères des Bigs s'appuient bien sur l'audit interne sur les gros mandats, alors pourquoi pas nous. » C'est vrai, et c'est aussi pour cela que la H2A regarde ces dossiers de très près. Sur un mandat EIP avec audit interne mature, la combinaison fonctionne quand les trois critères sont documentés sérieusement et quand le re-test est calibré (10 à 20 % du travail réutilisé, selon notre expérience à la H2A et chez nos clients pour des audits internes notés favorablement). Sur un mandat mid-market avec une fonction d'audit interne récente, l'économie est illusoire. Verdict : l'utilisation de l'audit interne sert à étendre la couverture, pas à comprimer le budget temps.

Cadre d'évaluation de l'audit interne

L'ISA 610.7 pose trois critères. Chacun doit être évalué séparément, et chacun a sa propre zone d'échec dans les dossiers que nous voyons.

Objectivité de la fonction d'audit interne

L'ISA 610.A5 précise que l'objectivité comprend l'indépendance organisationnelle et l'absence de responsabilités incompatibles. L'audit interne doit relever directement du conseil d'administration ou du comité d'audit, pas de la direction opérationnelle. Si le responsable de l'audit interne rapporte au directeur financier qui supervise également la comptabilité, l'objectivité est compromise.

L'ISA 610.A6 va plus loin. Les auditeurs internes qui préparent des écritures comptables, fixent des politiques comptables ou prennent des décisions opérationnelles ne peuvent pas ensuite auditer ces mêmes domaines de manière objective.

Ce qui se passe réellement : sur les missions mid-market, le rattachement hiérarchique formel est souvent au comité d'audit, mais le rattachement fonctionnel quotidien passe par le directeur financier. Les collaborateurs de l'audit interne reçoivent leurs priorités du DAF, leur budget vient du DAF, leurs entretiens annuels sont co-signés par le DAF. Sur le papier, l'objectivité est intacte. Dans les faits, elle est sous pression. Documentez ce point explicitement.

Compétence technique

L'ISA 610.A9 exige d'évaluer si l'audit interne possède les connaissances, l'expérience et la formation appropriées. Pour les tests de contrôles informatiques, l'auditeur interne doit comprendre l'architecture système et les risques de sécurité. Pour les tests substantifs de valorisation, il doit maîtriser les normes comptables applicables.

La certification professionnelle (CIA, CISA) est un indicateur positif mais ne suffit pas. L'expérience sectorielle compte plus qu'une qualification généraliste.

Ce qui se passe réellement : la compétence est rarement uniforme. Une fonction d'audit interne peut être très solide sur les contrôles généraux IT et catastrophique sur la juste valeur des instruments financiers. La règle pour moi : évaluer la compétence par cycle d'audit, pas en bloc. Une note globale « compétence satisfaisante » est insuffisante au sens de l'ISA 610.A9 et c'est précisément ce que les inspecteurs H2A relèvent.

Approche systématique et disciplinée

L'ISA 610.A11 décrit les éléments d'une approche systématique : planification, documentation, supervision, examen des travaux. L'audit interne doit utiliser une méthodologie cohérente avec des programmes de travail standardisés et une documentation appropriée.

Quand les papiers de travail manquent ou que les conclusions ne sont pas étayées, l'approche n'est pas suffisamment disciplinée pour contribuer à l'audit externe. Cela paraît évident. C'est pourtant le critère le plus rapidement balayé en revue de planning, parce qu'il oblige à demander les programmes de travail de l'audit interne avant la phase intérim.

Utilisation directe versus assistance directe

L'ISA 610.15 distingue deux choses qu'on a tendance à fusionner en pratique : utiliser le travail déjà effectué par l'audit interne, et obtenir une assistance directe pour nos propres procédures.

Utilisation du travail de l'audit interne

Quand l'audit interne a déjà testé des contrôles ou effectué des procédures substantives, l'ISA 610.16 permet d'utiliser ce travail après évaluation. Vous devez déterminer si le travail est suffisant pour vos objectifs d'audit, ce qui est rarement le cas tel quel : les objectifs internes (efficacité opérationnelle, conformité aux procédures groupe) ne recoupent pas exactement nos objectifs d'audit financier.

L'ISA 610.17 exige de tester l'efficacité du travail de l'audit interne en re-exécutant certaines procédures ou en examinant d'autres travaux similaires. L'ampleur de ces tests dépend de l'évaluation des trois critères de l'ISA 610.7. Plus l'évaluation est favorable, plus le re-test peut être réduit, mais il ne peut pas disparaître.

Ce qui se passe réellement : la re-performance, c'est ce qui mange l'efficience. Si vous re-faites 10 % de l'échantillon de l'audit interne, vous avez déjà consommé une fraction non négligeable du temps qu'aurait demandé un test direct. Ajoutez la documentation de l'évaluation 610.7, l'évaluation par cycle, et la revue par le manager. Le gain net se compte en heures, pas en jours.

Obtenir une assistance directe (Partie 2 de l'ISA 610)

L'ISA 610.20 autorise les auditeurs internes à effectuer des procédures d'audit externe sous notre direction et notre supervision. L'ISA 610.22 exige de déterminer la nature, le calendrier et l'étendue de la direction et de la supervision en fonction de l'évaluation des auditeurs internes et de la complexité des procédures assignées.

Et là, un désaccord existe entre praticiens. La partie 2 de l'ISA 610 autorise l'assistance directe, mais elle est interdite ou restreinte dans plusieurs juridictions (la France l'a longtemps refusée pour les CAC sur des mandats EIP, et la position reste prudente). Un confrère que je respecte refuse systématiquement l'assistance directe, même quand elle est juridiquement permise : son argument est que la frontière entre « notre travail » et « leur travail » devient impossible à tenir au moment de la revue de l'associé. Un autre l'accepte sur les tests de détail volumineux, en cadrant la supervision par un programme écrit et un échantillon de re-performance fixé d'avance. Les deux positions se défendent. Pour moi, l'assistance directe ne se justifie que quand le volume de tests à exécuter dépasse la capacité de l'équipe et quand la supervision peut être quotidienne, pas hebdomadaire.

Exemple pratique

> Durand & Associés SA. Audit des charges de personnel > > Société française de distribution spécialisée. 850 employés. Chiffre d'affaires de 125 M EUR. Mandat de commissariat aux comptes en deuxième année. L'équipe d'audit interne comprend un responsable certifié CIA et deux assistants avec formation comptable.

Étape 1 : Évaluer l'objectivité selon l'ISA 610.7(a)

Le mandat d'audit interne prévoit un rattachement au comité d'audit, avec rapport trimestriel. Examen de la charte d'audit interne et des trois derniers comptes rendus du comité d'audit : les sujets de paie ont bien été présentés, sans intervention du DAF. Aucune responsabilité dans la préparation de la paie ou la gestion RH.

Note de documentation : « Fonction d'audit interne indépendante de la direction opérationnelle. Rapport direct au comité d'audit confirmé par examen du mandat et de trois CR de comité. Pas de responsabilité opérationnelle paie/RH. »

Complication apparue en intérim : lors d'un entretien avec le responsable de l'audit interne, nous apprenons que les entretiens annuels et la fixation du bonus passent en pratique par le DAF, même si le rapport hiérarchique formel est au comité d'audit. C'est un cas classique de l'ISA 610.A6. L'objectivité reste suffisante mais sous condition : nous documentons la dépendance économique au DAF, et nous augmentons le re-test de 10 à 25 % sur les domaines où le DAF est partie prenante (réconciliations bancaires de paie en particulier).

Étape 2 : Évaluer la compétence technique selon l'ISA 610.7(b)

Évaluation par cycle. Sur les contrôles généraux de paie (pointage, approbation des heures supplémentaires, séparation des tâches sur la mise en paiement), la compétence est suffisante. Sur la valorisation des stock-options et les indemnités d'expatriation, elle ne l'est pas. Le responsable l'admet lui-même.

Note de documentation : « Compétence adéquate pour les tests de contrôles généraux de paie. Expertise insuffisante pour la valorisation des paiements en actions et des indemnités d'expatriés. Tests directs requis sur ces deux domaines. »

Étape 3 : Évaluer l'approche systématique selon l'ISA 610.7(c)

Méthodologie standardisée avec programmes de travail. Papiers de travail détaillés. Conclusions documentées avec références aux contrôles testés. Approche suffisamment disciplinée.

Note de documentation : « Méthodologie d'audit interne cohérente avec documentation appropriée des tests et conclusions. Programme de travail revu, échantillon de cinq dossiers de tests internes examiné. »

Étape 4 : Déterminer l'utilisation et le re-test selon l'ISA 610.15-17

Utilisation du travail de l'audit interne pour les contrôles généraux de paie sur 65 % de la couverture. Re-test sur 25 % de l'échantillon (au lieu des 10 % initialement prévus, à cause de la complication étape 1). Tests directs sur stock-options et expatriation. L'audit interne ne nous fait pas gagner du temps cette année. Il nous permet d'étendre la couverture sur les contrôles généraux à un niveau que nous n'aurions pas atteint en tests directs avec le même budget temps.

Note de documentation : « Travail d'audit interne utilisé pour 65 % des tests de contrôles de paie, avec re-performance de 25 % de l'échantillon. Tests directs effectués sur stock-options et expatriés. Augmentation du re-test motivée par la dépendance économique du responsable AI au DAF (cf. note étape 1). »

Liste de contrôle pratique

1. Documenter l'évaluation des trois critères ISA 610.7 par cycle d'audit, pas en bloc. Une évaluation globale « satisfaisante » ne soutient pas l'opinion en cas d'inspection.

2. Identifier les domaines d'utilisation possible selon l'ISA 610.11. Les contrôles généraux se prêtent mieux que les jugements comptables complexes. La juste valeur, les estimations de durée d'utilité et les provisions pour litiges restent en tests directs.

3. Calibrer l'étendue des re-tests selon l'ISA 610.17, entre 10 % (audit interne très favorablement évalué) et 30 % (audit interne acceptable mais avec des réserves documentées). Plus de 30 %, et l'utilisation perd son sens : autant tout refaire.

4. Superviser directement toute assistance selon l'ISA 610.22. Les auditeurs internes travaillant sous notre direction restent notre responsabilité, et la supervision se documente quotidiennement, pas en synthèse de fin de mission.

5. Exclure les domaines sensibles selon l'ISA 610.14. L'évaluation des risques, la matérialité (le seuil) et les questions significatives restent notre prérogative.

6. Refuser l'utilisation quand un des trois critères ISA 610.7 n'est pas satisfait. L'efficacité opérationnelle de l'audit interne ne suffit pas à justifier son utilisation pour l'audit externe.

Erreurs courantes et constats H2A

Sur l'utilisation de l'audit interne, les constats H2A et CSR récurrents tournent autour de quatre points.

Évaluation superficielle des trois critères. L'objectivité résumée à la ligne de reporting au comité d'audit. La compétence évaluée en bloc. L'approche systématique cochée sans examen de papiers de travail réels. L'ISA 610.A6 demande explicitement d'examiner les responsabilités incompatibles, les contraintes budgétaires, et les pressions économiques sur l'audit interne.

Documentation insuffisante de l'évaluation. Les inspecteurs s'attendent à voir une analyse écrite des trois critères, avec des éléments probants à l'appui : examen du mandat d'audit interne, échantillon de papiers de travail revus, comptes rendus du comité d'audit. Une conclusion générale « utilisation possible » ne tient pas.

Re-performance manquante ou cosmétique. L'ISA 610.17 n'est pas optionnel. Le re-test doit être traçable, échantillonné de manière justifiable (pas au doigt mouillé), et documenté avec les résultats du re-test comparés au travail original de l'audit interne. C'est le constat numéro un sur ce sujet.

Supervision inadéquate de l'assistance directe. L'ISA 610.23 exige des instructions claires et une revue du travail effectué. Déléguer sans superviser viole la norme et expose le mandat à un risque d'inspection sévère.

Contenu connexe

- Glossaire : Objectivité de l'audit interne. Les critères spécifiques d'évaluation de l'indépendance selon l'ISA 610.A5-A8 - Outil : Matrice d'évaluation ISA 610. Grille d'évaluation des trois critères avec documentation automatique - Article : ISA 315 et l'évaluation des contrôles internes. Comment intégrer le travail de l'audit interne dans la compréhension des contrôles

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.