Synthese des Rencontres Audit Interne-septembre 2009-UDS - vDef
Description
SYNTHESE des premières rencontres de « L’audit interne des établissements d'enseignement supérieur et de recherche » qui se sont déroulées les 17 et 18 septembre 2009 à Strasbourg Strasbourg, le 30/09/09 Service d’audit interne Réf. : JER/N° 2009-10 Mesdames, Messieurs, chers collègues Je vous remercie de m’avoir fait l’honneur de participer aux premières rencontres sur Jean-Emmanuel Rudio le thème de “l’audit interne dans les établissements d’enseignement supérieur et de Responsable de l’Audit Interne recherche” que l’Université de Strasbourg a organisé les 17 et 18 septembre 2009. Affaire suivie par Vous trouverez ci-après une rapide synthèse de nos échanges, qui furent riches et Jean-Emmanuel Rudio animés, afin de capitaliser le fruit de nos expériences réciproques. Tél. : +33 (0)3 68 85 07 32 Avertissement : ce document ne reflète pas l’intégralité et le déroulement de ces JE.Rudio@unistra.fr rencontres. Les échanges sont synthétisés ci-dessous par grandes thématiques : 1. Origine de la création de la fonction / contexte / organisation 2. Approche processus (cartographie des processus) 3. Approche risques (cartographie des risques) 4. méthode de travail / processus des missions d’audit interne 5. poursuite de la mutualisation / réseau des auditeurs internes **** Rappel de la liste des participants : Personnels extérieurs à l’Université de Strasbourg Marie-Caroline ...
Informations
| Publié par | Vion |
| Nombre de lectures | 289 |
| Langue | Français |
Extrait
Jean-Em m anuel Rudio
Responsable de l’Audit Interne
Affaire suivie par
Jean-Emmanuel Rudio
Tél. : +33 (0)3 68 85 07 32
JE.Rudio@ unistra.fr
Institut de physique (bureau 360)
3 rue de l’Université
CS 90032
F-67081 Strasbourg Cedex
Tél. : +33 (0)3 68 85 07 32
Fax : +33 (0)3 68 85 07 33
w w w .unistra.fr
Service d’audit interne
Mesdames, Messieurs, chers collègues
Je vous remercie de m’avoir fait l’honneur de participer aux premières rencontres sur
le thème de “l’audit interne dans les établissements d’enseignement supérieur et de
recherche” que l’Université de Strasbourg a organisé les 17 et 18 septembre 2009.
Vous trouverez ci-après une rapide synthèse de nos échanges, qui furent riches et
animés, afin de capitaliser le fruit de nos expériences réciproques.
Avertissement : ce document ne reflète pas l’intégralité et le déroulement de ces
rencontres. Les échanges sont synthétisés ci-dessous par grandes thématiques :
1.
Origine de la création de la fonction / contexte / organisation
2.
Approche processus (cartographie des processus)
3.
Approche risques (cartographie des risques)
4.
méthode de travail / processus des missions d’audit interne
5.
poursuite de la mutualisation / réseau des auditeurs internes
****
Rappel de la liste des participants :
Personnels extérieurs à l’Université de Strasbourg
Marie-Caroline Beer
Centre National de la Recherche Scientifique
(FR)
[CNRS]
François-Xavier Demont
Université de Genève (CH)
[UNIGE]
Marie-Hélène Giardina-
Sanchez
Auditeur Interne auprès d’un groupe français du secteur
privé (FR)
Benoît Herr
Université Henri Poincaré (Nancy) (FR)
[UHP]
Serge Lion
Université catholique de Louvain (BE)
[UCL]
Karine Lesquoy
Université Henri Poincaré (Nancy) (FR)
[UHP]
Personnels de l’Université de Strasbourg
[
UDS
]
Raffaela Eckenfelder
Directrice du Service de l’Aide au Pilotage (SAP)
Jacques Lallement
Dir. adj. du Service de l’Aide au Pilotage (SAP)
Anne-Fabienne Malet
Dépt. Qualité & Contrôle Interne (SAP)
Eric Mathieu
Dépt. du contrôle interne (Agence Comptable)
Sébastien Hoffbeck
Dépt. du contrôle interne (Agence Comptable)
Jean-Emmanuel Rudio
Responsable du Service d’Audit Interne (SAI)
Strasbourg, le 30/09/09
Réf. : JER/N° 2009-10
SYNTHESE
des premières rencontres de
«
L’audit interne des établissements
d'enseignement supérieur et de recherche »
qui se sont déroulées les 17 et 18 septembre 2009
à Strasbourg
Page 2 / 7
Thème 1 : Origine de la création de la fonction / contexte / organisation
Points de comparaison
:
•
Création généralement récente de la fonction
(UNIGE 2005, CNRS 2007,
UHP 2008, UCL 1999, UDS 2009)
•
Volonté de la direction
de l’établissement ; pas d’obligation légale
(sauf
Genève : loi cantonale imposant l’audit interne à l’université)
•
Fonction
rattachée directement à la direction
de l’établissement
(Présidence ou équivalent). UNIGE et UCL : rattachement au comité d’audit.
•
Service/direction d’audit interne identifié en tant que tel
(sauf UHP :
« Mission
Indicateurs-Qualité-Contrôle-Audit » :
amalgame
contrôle
de
gestion-audit qui sera clarifié)
•
Effectifs d’auditeurs
limités : CNRS 4 ; UNIGE 2, UDS 1 ; UCL : 4 (mais
missions + larges : audit des associations...)
•
Charte d’audit interne
mise en place, disponible sur le site web des
établissements (sauf UDS : en cours et UHP : pas de charte pour l’instant)
•
Comité d’audit
o
CNRS : 4 membres
o
UNIGE : 6 membres, nommés par l’équivalent Genevois du
Ministère de l’éducation ; 1 seul personnel de l’université. Comité
indépendant de l’université, rend compte au Ministère.
o
UCL : 8 personnes, pour moitié externe
o
UHP : pas de comité pour l’instant
o
UDS : comité prévu par la charte, en cours de constitution (env. 5
membres, panachage interne/externe à l’université)
Observations
:
•
Utilité d’un «
conseil
» (« boussole ») ou d’un «
parrainage
», par une
personnalité reconnue au sein de la structure, ayant le recul nécessaire pour
pouvoir apporter un éclairage particulier aux auditeurs (notamment sur les
spécificités « métier » de l’organisation) (CNRS, UDS)
•
Le
périmètre de l’audit
ne se limite pas au « back office » (fonctions support).
Les activités de « front office » (enseignement, recherche) devraient faire partie
du champ potentiel de l’audit interne, ou en font déjà partie (dans son domaine
de compétences, bien entendu : il ne s’agit pas d’évaluer les enseignants ou la
recherche)
•
L’appui de la direction et du comité d’audit est indispensable, mais l’audit interne
doit
démontrer au quotidien son utilité
par la qualité de ses travaux, sa
méthodologie, son objectivité, son indépendance, le suivi de la mise en oeuvre
effective des plans d’action associés à ses recommandations…
•
Importance de l’aspect communication
: il faut être à la fois « ambitieux et
modeste (humble) », « pédagogue et prudent » ; il faut être à l’écoute ; il faut
travailler dans la transparence (expliquer ce que l’on cherche) ; prendre en
compte la dimension psychologique (« c’est difficile d’être audité »).
•
L’
approche par les risques
est un élément caractéristique et fondamental pour
l’audit interne.
•
Contrairement au commissaire aux comptes
(CAC) :
o
l’AI n’est pas centré sur le seul aspect financier (certification des
comptes)
o
l’AI peut aller au fond de l’analyse des processus : l’évaluation du
contrôle interne est un moyen pour le CAC [en vue de la certification],
alors qu’elle est au coeur de l’activité de l’AI.
•
L’AI assure des missions de
conformité
, mais également des audits
d’
efficience
(par exemple : audit des bibliothèques à l’UNIGE). Cette liste de
types de missions n’est ni limitative ni exhaustive.
•
Question de l’
audit de fraude
: hormis l’UCL, les audits de fraude ne sont pas
pratiqués par les collègues => Véritable problématique : réaliser les audits de
fraude donne une image « inspection », mais ne pas les réaliser s’il existe une
Page 3 / 7
suspicion de fraude est également dommageable en termes d’image (à quoi sert
l’audit s’il n’intervient pas quand on signale une fraude ?). L’AI a, a minima, une
responsabilité d’alerte de la gouvernance, en cas de présomption, suffisamment
tangible, de fraude.
•
Est-ce que l’AI peut
donner un avis sur les procédures
en cours d’élaboration :
position mitigée voire très critique, car risque de devenir juge et partie, ou
submergé par ce type de demande de validation, voire de faire à la place de…
Donner un tel avis n’est pas incompatible, mais il vaudrait mieux que cela reste
exceptionnel.
•
La
distinction entre l’audit interne et les autres fonctions
proches (contrôle
de gestion, qualité, contrôle interne…) doit être clairement établie : l’audit interne
est une fonction spécifique, avec des exigences particulières (cf. normes prof.),
même si ses outils et méthodes sont partagés par d’autres fonctions (notamment
approche par les processus et les risques, référentiel COSO/AMF,…)
Thème 2 : Approche processus (cartographie des processus)
Dans la phase de préparation d’une mission, l’auditeur se penche nécessairement
sur le processus à auditer et s’intéresse aux procédures mises en place. Pour
identifier les principaux risques de l’organisation, disposer d’une cartographie globale
des processus est bien utile.
L’approche qualité repose également sur l’analyse en termes de processus, de
même que le contrôle interne.
L’UHP a fait une
présentation de sa cartographie des processus qui s’appuie
sur un outil spécifique MEGA Process
utilisé à Nancy pour modéliser les
processus : la modélisation de certains processus est déjà réalisée (RH, scolarité,…)
et d’autres sont en cours (finances,…). Les possibilités offertes par l’outil et les
travaux menés à l’UHP ont fortement intéressé les collègues.
Les
remarques
suivantes ont été formulées :
•
Possibilités de mutualiser et enrichir réciproquement la modélisation
des processus
? (fortes similitudes dans les modes de fonctionnement
entre établissements)
•
Analyse en termes de risques à intégrer dans la modélisation
(permis
par le logiciel et prévu par l’UHP dans une étape ultérieure)
•
Modélisation très utile aux « gestionnaires », mais peut-être mal adaptée aux
besoins des « usagers » (l’UHP va le tester prochainement) => ne remplace
pas un «
manuel des directives
» (ex. UNIGE) où l’usager peut trouver de
façon synthétique et simplifiée les démarches à accomplir (sans entrer dans
tout le détail des traitements de sa demande).
•
La
mise à jour permanente
des processus et procédures (en fonction de
l’évolution réglementaire par exemple) doit être prévue et organisée.
•
L’AI peut utilement
exploiter la modélisation
réalisée dans MEGA pour les
missions d’audit (=référentiel de CI), mais l’alimentation de la base relève
des services opérationnels (CI et/ou qualité) [cf. thème suivant].
Complément : le Ministère français de l’Education Nationale s’est engagé, sous la
pression de la cour des comptes, à mettre l’accent sur le contrôle interne (objectif de
certification des comptes de l’Etat). Dans ce cadre, les universités ont été associées
à la réalisation d’un outil de diagnostic (
ACIDUES
) de la maitrise des risques dans 4
domaines (pour l’instant) : rémunération, contrats de recherche, immobilisations,
recettes. Des référentiels ont été produits. L’outil et les référentiels sont disponibles
sur le site de la DAF du Ministère en suivant le lien ci-dessous :
http://idaf.pleiade.education.fr/fichiers/pageframe.htm?fichierId=915
(login (minuscules) :
ven
/ mot de passe (minuscules) :
zen
)
Page 4 / 7
Thème 3 : Approche « risques » (cartographie des risques)
Une question fondamentale s’est imposée :
qui établit la cartographie
des
risques ?
Idéalement, l’organisation s’est dotée d’un «
risk-manager
» qui est spécifiquement
en charge de l’évaluation des risques. L’idéal n’existant pas (du moins dans les
établissements représentés), les observations suivantes ont été formulées :
•
L’
évaluation globale des risques est nécessaire pour l’auditeur
qui doit
fonder sur cette évaluation sa proposition de programmation des missions d’audit
(plan pluriannuel d’audit). Cette évaluation prend généralement la forme d’une
cartographie des risques.
•
Dans le cadre de chacune de ses missions, l’
auditeur réalise une analyse
spécifique des risques
par rapport au processus ou à la fonction auditée.
•
Mais, en principe, l’
AI n’a pas pour rôle d’établir la cartographie des risques
(le référentiel COSO fait figurer l’évaluation des risques au coeur du contrôle
interne, donc sous la responsabilité de l’opérationnel).
•
Que faut-il mettre sous le vocable « cartographie des risques » ? (est ce le terme
le plus approprié ?)
La cartographie des risques peut être abordée sous
deux angles
:
•
Une
approche bottom-up
, qui s’appuie sur une analyse en termes de
risques de chacun des processus. Celle-ci est réalisée avec les
opérationnels, sur la base d’une revue de leurs processus.
Cette approche requiert un grand nombre d’entretiens, un temps conséquent,
et une capacité de consolidation ou d’agrégation des risques à partir de
l’approche
« microscopique »
permettant
de
dégager
au
niveau
« macroscopique » (de l’organisation dans son ensemble) les risques
majeurs.
Cette approche, très utile car reposant sur des éléments « concrets », relève
a priori du domaine du contrôle interne : chaque responsable opérationnel
devrait procéder à cette analyse pour mettre en place le dispositif de CI
adéquat (référentiel COSO).
•
Une
approche top-down
pour laquelle seul le top-management sera
interviewé sur sa « perception » des principaux risques auxquels est
exposée l’organisation.
Le nombre de personnes à interviewer est plus faible (et dépendra du
périmètre considéré pour ce top-management) et peut donc être réalisé plus
rapidement. Il sera également plus aisé de dégager les risques majeurs
(possibilité d’établir la cotation « globale » des risques lors d’une réunion du
top management).
Cette cartographie peut éventuellement être sous-traitée (externalisée) ou
confiée à l’audit interne (à défaut d’autre solution).
Les cartographies résultant des deux approches peuvent utilement être rapprochées.
Le CNRS dispose d’une cartographie des risques (ayant nécessité plusieurs mois, un
grand nombre de personnes représentant les différents « métiers » du CNRS y ayant été
associé). A partir de cette cartographie, ont été identifiés les risques majeurs de
l’établissement. Cette cartographie est l’un des éléments que la Direction de l’audit
interne utilise pour établir sa proposition de plan d’audit.
L’UNIGE a confié à l’AI la réalisation d’une cartographie globale des risques, ainsi qu’une
cartographie des risques des composantes. La cartographie globale a été réalisée à partir
de rapports existants (audits externes notamment) dans une approche top-down.
L’Université Henri Poincaré (qui n’a pas encore arrêté la méthode à mettre oe uvre)
abordera probablement le travail par une approche bottom-up en s’appuyant sur la
modélisation des processus réalisée dans MEGA. La strate de modélisation qui sera
choisie n’est pas pour l’instant arrêtée et dépendra des objectifs du contrôle interne.
Page 5 / 7
Thème 4 : méthode de travail / processus des missions d’audit interne
Le point de départ des échanges a été la
description du processus telle que
proposée par l’IFACI
(cf. doc joint) et traduisant l’application des normes
professionnelles.
Certains collègues ont adapté leurs pratiques sur certains aspects :
A - Au niveau de la
préparation de la mission
:
•
Importance primordiale de la définition du
périmètre
de la mission d’audit : il faut
surtout préciser ce qui est exclu du périmètre (les risques qui ne seront pas
traités). Les exclusions doivent notamment tenir compte de ce qui ne peut pas
être traité par l’AI, soit par manque de compétences adéquates, soit faute de
temps.
•
Au CNRS, une «
fiche de cadrage
» est établie, en plus de l’ordre de mission
(OM). Cette fiche, qui est validée par la gouvernance et transmise à l’audité
après l’ordre de mission mais avant le début de la mission sur le terrain, précise
le périmètre (notamment les exclusions) et les risques majeurs identifiés (lors de
la phase de prise de connaissance).
•
Le périmètre et le programme de travail peuvent évoluer en fonction des
premiers constats => il y a une
boucle d’itération
dans le processus à ce
niveau. L’OM doit être suffisamment « ouvert » pour permettre ces adaptations.
Le cas échéant, cela peut déboucher sur une mission complémentaire (compte
tenu de l’importance ou du temps nécessaire).
B - Au niveau de la
réalisation de la mission
:
•
« Valider les
preuves
d’audit » : comment valider les éléments pour lesquels il
n’y a pas de preuve tangible ? (par exemple les éléments recueillis lors
d’entretiens) ?
o
Etablir un compte rendu de l’entretien et le faire valider par l’audité.
o
Etablir une fiche d’observation, qui aboutit à une recommandation, en
utilisant une tournure du type « selon notre compréhension… » ou « les
travaux ne permettent pas de conclure… ». L’audité devant se
positionner par rapport aux observations et recommandations, il validera
ou invalidera l’observation.
•
Les
extractions
de données : à qui les demander ? comment les traiter ?
o
Les demander aux audités n’est pas sans poser de questions (fiabilité,
exhaustivité), mais les services informatiques ne sont pas toujours à
même de produire les « bonnes »
extractions. Il est essentiel d’opérer
une validation du caractère pertinent et complet des données reçues.
o
L’existence d’un service tiers (contrôle de gestion ou pilotage) est un
avantage dans ce cas.
o
L’utilisation d’outils de traitement de données (Access, IDEA ou autre)
s’impose pour gagner du temps et traiter un volume important de
données.
•
Réaliser des «
tests de faiblesse
» ? (modifier des données ou introduire des
éléments erronés pour voir comment réagit le système de CI).
o
C’est délicat : il vaut mieux établir des « scénarios » précis et voir
comment ces cas seraient pris en compte par le dispositif de CI.
C - Au niveau de la
fin de mission
:
C.1-
Rapport
•
Qui lit les rapports
(à qui sont-ils destinés) ? les audités, le comité d’audit, la
« direction ». Le temps qui peut être consacré par ces différents destinataires à
la lecture du rapport est décroissant => la direction ne lira au mieux que la
synthèse du rapport, alors que les membres du comité approfondiront peut-être
certains points saillants, les audités en faisant une lecture complète (le rapport
leur est présenté lors de la réunion de clôture)
Page 6 / 7
•
Signature des rapports
: les rapports ne sont pas « physiquement » signés par
l’auditeur.
•
Le rapport est plus ou moins volumineux ; accord sur la nécessaire
concision et
précision dans la rédaction
(pas de « lyrisme ») ; les termes employés sont
importants (=> certaines tournures sont bien utiles)
•
Une
synthèse
(en 2 pages maximum) accompagne chaque rapport et en fait
partie intégrante.
•
L’auditeur peut être amené à réaliser
différentes présentations
(powerpoint ou
autre) du rapport de mission et de ses conclusions, selon le destinataire et en
réponse à une question du type «
quels sont les 3 points à retenir ? que dois-je
savoir ? ».
•
Le
rapport doit être « soigné »,
étant donné que c’est ce qui restera en
définitive de la mission => contradiction à gérer entre qualité et rapidité de
production [question sous-jacente du délai accordé pour la réalisation de la
mission]
•
Les
risques relevés
lors de l’audit font l’objet d’une
appréciation
(fort, moyen,
faible) de la part de l’auditeur afin de permettre à l’audité de prioriser ses actions.
Mais les collègues présents se refusent à « noter » le contrôle interne mis en
place par l’audité.
•
Les
points forts relevés
lors d’un audit doivent-ils figurer dans le rapport ?
position mitigée => il est intéressant de relever les « bonnes pratiques », pour
pouvoir les diffuser au sein de l’organisation.
C.2-
Suivi du plan d’action
:
•
L’
élaboration et la mise en oeuvre du plan d’action relève de l’opérationnel
.
L’AI fait des recommandations mais ne doit pas imposer des solutions. Le cas
échéant, il peut faire des suggestions. C’est la direction qui valide le plan
d’actions et demande sa mise en oeuvre : c’est à la direction que les
opérationnels doivent rendre compte de la réalisation des actions.
•
Mais l’AI assure un
suivi des recommandations et des plans d’action
selon
une périodicité définie.
•
Il convient de
distinguer
:
o
l’
audit de suivi
(véritable mission ayant pour but de s’assurer que le
plan d’action a été mis en oeuvre et que les mesures prises ont en effet
permis d’améliorer la maîtrise du processus et des risques et n’ont pas
induit de nouveaux risques)
o
le simple
suivi « administratif »
des recommandations (interrogation
des audités par rapport à la mise en oeuvre des recommandations et du
plan d’action, à intervalles réguliers).
CNRS et UCL : audits de suivi
UNIGE : le plan d’action ne fait pas partie du rapport d’audit ; c’est l’audité qui doit
l’établir en réponse aux recommandations et le proposer à la direction de
l’établissement ; l’AI assure un simple suivi administratif (reporting trimestriel) pour le
comité d’audit qui se tourne ensuite vers la direction pour obtenir des explications par
rapport aux recommandations ou actions qui ne seraient pas mises en oe uvre.
Seul le CNRS utilise un
outil spécifique pour le management de son processus
d’audit
(TeamMate ©).
Page 7 / 7
Thème 5 : poursuite de la mutualisation / réseau des auditeurs internes
L’
intérêt des échanges
permis par ces rencontres est unanimement reconnu par les
participants. En ouverture des rencontres, M. Déroche, Secrétaire Général de l’UDS,
a insisté sur l’intérêt et le bénéfice des travaux en réseau, tant pour les auditeurs
internes que pour les organismes employeurs.
Les
interrogations
soulevées par la poursuite de la mutualisation sont les
suivantes :
-
manque de disponibilité (services de taille réduite / charge de travail)
-
confidentialité des rapports qui ne peuvent en aucun cas être rendus publics
et diffusés, sauf exception dument autorisée par la charte d’audit interne de
l’établissement, sa direction et/ou son comité d’audit.
-
périmètre du réseau de mutualisation : autres universités ayant manifesté de
l’intérêt pour ces rencontres mais n’ayant pu y participer ; réseau déjà
existant sur le thème de la « qualité » qui présente des similitudes
Les
propositions
émanant du groupe sont les suivantes :
•
il ressort nettement que la question de
la cartographie des risques de
l’université est un thème fondamental
et fédérateur
pour la plupart des
collègues. D’importantes économies d’échelle peuvent être espérées si les
établissements s’engagent ensemble dans ce chantier et mutualisent leurs
efforts (la majeure partie des risques est probablement commune, étant
donné que les objectifs et le contexte sont largement similaires entre les
différents établissements).
•
Il est donc proposé que
chaque participant soumette à sa direction l’idée
d’une mutualisation de la réalisation de la cartographie des risques
. Cet
engagement au niveau de la direction est nécessaire compte tenu des
enjeux et du caractère relativement sensible de ce chantier.
•
Il est précisé que :
o
les services d’audit interne ne sont pas les seules parties
prenantes
à la réalisation de la cartographie des risques (cf. le
thème concernant cette cartographie). D’autres services des
établissements (contrôle interne, qualité, ou autres) peuvent
également être impliqués dans ce chantier.
o
L’AI peut intervenir dans le processus de gestion des risques au
niveau de l’
identification des risques
(ou des évènements pour
reprendre la terminologie COSO), mais l’évaluation et le traitement
des risques relève de l’opérationnel.
•
La
poursuite des échanges à distance
: échanges directs, échanges via
une liste de diffusion (demande en cours auprès de la DI de l’UDS),
visioconférence (l’UHP dispose d’un outil (Adobe Connect) permettant la
création d’une salle virtuelle pour faciliter les réunions par le biais de visio-
conférences). La logistique ne saurait être un frein à la création du réseau.
•
La
diffusion de la liste des missions réalisées
par les uns et les autres
permettrait d’identifier les collègues ayant déjà « défriché » le terrain et
permettrait un gain de temps important (ex : missions sur les bibliothèques
menée à l’UNIGE).
30/09/09 - Jean-Emmanuel Rudio
Responsable de l’Audit Interne / UDS
En collaboration avec les participants aux rencontres
© 2010-2024 YouScribe