Manuel d'audit de la DGCG - Banque des États de l'Afrique Centrale PDF
Document Details
2013
Tags
Related
- Checkliste für Internes Audit - zur Hilfestellung PDF
- Interne Audits - Auditablauf Präsentation PDF
- Guía Didáctica: Maestría en Auditoría - UTPL
- UE4 - Audit - #3 - Prise de connaissance et évaluation des risques - Fiche de cours PDF
- UE4 - Audit - #4 - Distinction Audit Externe et Audit Interne - Fiche de Cours PDF
- Cours d'Audit et Contrôle Interne - Clients - PDF
Summary
Ce manuel d'audit, publié par la Direction Générale du Contrôle Général de la Banque des États de l'Afrique Centrale (BEAC) en 2013, décrit les procédures et les méthodes à suivre pour l'audit interne. Il s'appuie sur les normes de l'Institut des Auditeurs Internes (IIA) et sur le COSO pour fournir un cadre méthodologique détaillé aux inspecteurs.
Full Transcript
Banque des Etats de l'Afrique Centrale Direction Générale du Contrôle Général MANUEL D'AUDIT DE LA DGCG TABLEAU DE GESTION DES VERSIONS Version du Date Objet...
Banque des Etats de l'Afrique Centrale Direction Générale du Contrôle Général MANUEL D'AUDIT DE LA DGCG TABLEAU DE GESTION DES VERSIONS Version du Date Objet Validation document Le DirecteurGénéral Créationdu du ContrôleGénéral 01 25/11/2013 document ~------~----------+-------------~Date: 2 13 TABLE DES MATIERES GLOSSAIRE 3 CONVENTIONS ET DEFINITIONS 3 1- PREAMBULE.5 1.1- OBJECTIF GENERAL DU MANUEL 5 1.2- OBJECTIFS DETAILLES DU MANUEL 5 1.3- APPLICATION OBLIGATOIRE DE CE MANUEL 6 1.4- MISE A JOUR DU MANUEL 6 II- INTRODUCTION 7 Il.1- CADRE DE REFERENCE 7 11.2-DEFINITION DE L'AUDIT INTERNE 7 Il.3- CHARTE D'AUDIT 7 Il.4- CODE DE DEONTOLOGIE 8 III- PROCESSUS D'AUDIT INTERNE 9 111.1-PLANIFICATION STRATEGIQUE 9 111.1.1-Prise en compte des parties prenantes 9 111.1.2-Cartographie des processus 10 111.1.3-Cartographie des risques 10 111.1.4-Plan d'audit pluriannuel 10 111.2-PLANIFICATION ANNUELLE 13 111.2.1-Prise de connaissance des activités de l'organisation 13 111.2.2-Evaluation annuelle des risques 14 111.2.3-Plan d'audit annuel 14 111.2.4-Mise à jour de la cartographie des risques 14 111.3-DEROULEMENT D'UNE MISSION D'AUDIT INTERNE 14 111.3.1-Phase d'étude 16 111.3.2-Phase de vérification 25 111.3.3-Phase de conclusion 35 111.4-ASSURANCE QUALITE 40 111.4.1-Evaluation interne de la fonction audit interne 40 111.4.2-Enquête de satisfaction de la mission 41 111.4.3-Evaluation externe de la fonction audit interne 41 111.5-COMMUNICATION AVEC LES PARTIES PRENANTES 42 111.5.1-Communication avec le Gouverneur 43 111.5.2-Communication avec le Comité d'Audit 43 111.5.3-Communication avec les autres parties prenantes 43 111.6-AUTRES PROCESSUS DE L'AUDIT INTERNE 43 111.6.1-Matérialité 43 111.6.2-Taille des échantillons 44 111.6.3-Ressources humaines 44 111.6.4-Dossier de la mission 46 111.6.5-Externalisation de certaines activités d'audit interne 49 111.6.6-Missions Ad-hoc 50 111.6.7-Supervision de la mission 50 IV- ANNEXES 51 IV.1- TECHNOLOGIES ET OUTILS 51 BEAC IDGCG - Manuel d'audit de la DGCG _ GLOSSAIRE CONVENTIONS ET DEFINITIONS Cycle d'audit: Pour la BEAC, c'est une période de cinq ans au terme de laquelle toutes les entités auditables doivent avoir été revues au moins une fois. Univers d'audit: Ensemble des processus auditables. Objet d'audit: Processus auditables. DEMARIS : Démarche de Maitrise des Risques Opérationnels. SIRISBEAC : Système d'information sur les risques de la BEAC. Risque: La BEAC définit le risque comme la possibilité qu'un événement, qu'une action, qu'une situation ou qu'un comportement affecte la réalisation de ses objectifs. Il se mesure en termes d'impact et de probabilité. Dispositif de contrôle interne: Eléments mis en œuvre afin de fournir une assurance raisonnable quant à la réalisation des objectifs, principalement sur la réalisation et l'optimisation des opérations, la fiabilité des informations fmancières enregistrées et la conformité aux lois et réglementations en vigueur. FAR: La Fiche d'Audit et de Recommandation. La DGCG : La Direction Générale du Contrôle Général. Le DGCG : Le Directeur Général du Contrôle Général. Le DAISCX: Le Département de l'Audit et de l'Inspection des Services Centraux. Le DAI C : Le Département de l'Audit et de l'Inspection des Centres. Le CDAISCX: Le Chef du Département de l'Audit et de l'Inspection des Services Centraux. Le CDAIC : Le Chef du Département de l'Audit et de l'Inspection des Centres. CD : Le Chef du Département. AEM : Agents d'Encadrement Moyen. lIA : Institute of Internai Auditors. BEAC 1 DGCG - Manuel d'audit de la DGCG _ MP A : Modalités pratiques d'application. DCI : Dispositif de contrôle Interne. BAPS : Budget, Allocation, Planning et Suivi. TaRi: Tableau des risques. TFfa : Tableau des forces et faiblesses apparentes. PdT : Papier de travail. Rd'O : Rapport d'orientation. OR : Ossature du rapport. COSOI: Committee of Sponsoring Organizations of the Treadway Commission - 1 (cadre de référence du contrôle interne) COS02: Committee of Sponsoring Organizations of the Treadway Commission - 2 (cadre de référence du management des risques) BEAC 1 DGCG - Manuel d'audit de la DGCG _ 1- PREAMBULE 1.1- OBJECTIF GENERAL DU MANUEL Norme lIA 2040- règles et procédures « Le Responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne ». Le présent manuel est la mise en œuvre de la Norme 2040 de l'lIA. Son objectif est de fournir aux Inspecteurs de la DGCG, la démarche à suivre pour organiser et réaliser les missions d'audit. Il vise donc à faciliter l'intervention de l'Inspecteur sur le terrain et à favoriser sa compréhension des concepts de base relatifs à une mission d'audit interne. Ce manuel est complété par des fiches de méthodologie pour chaque activité ou service à auditer, la façon dont les investigations doivent être effectuées et leurs résultats formalisés. 1.2- OBJECTIFS DETAILLES DU MANUEL Son objectif fondamental est de définir, de manière détaillée, le cadre de travail des Inspecteurs (normes à respecter, méthodologie à appliquer, formulaires standards à utiliser, règles d'archivages des dossiers, supervision, etc.), afin de garantir que la DGCG mène ses audits en conformité avec les normes de l'lIA. Les principales fonctions de ce manuel sont les suivantes: transposer les principes fondamentaux de la pratique de l'audit interne; fournir un cadre de référence pour la réalisation des audits des entités; aider à la formation et au travail des Inspecteurs débutants et encadrer le travail des Inspecteurs expérimentés; garantir que tous les Inspecteurs de la DGCG travaillent de manière similaire et tendent à fournir le même niveau de qualité. BEAC 1 DGCG - Manuel d'audit de la DGCG _ 1.3- APPLICATION OBLIGATOIRE DE CE MANUEL Sauf dispositions particulières, le présent manuel est d'application obligatoire. Tout audit doit donc être conduit en respectant les règles qui y sont indiquées. 1.4- MISE A JOUR DU MANUEL Ce manuel sera régulièrement mis à jour et enrichi, notamment en tirant profit de l'expérience acquise lors de son application dans les audits, dès lors qu'ils mettraient en évidence la nécessité d'apporter des précisions sur des points déjà traités dans le manuel ou de compléter une quelconque partie de celui-ci. Afin que ce manuel réponde au mieux aux besoins des Inspecteurs de la DGCG, tout utilisateur est invité à faire part des difficultés d'application qu'il rencontrerait ou de ses suggestions. Le manuel sera également revu en fonction de l'évolution des normes et des MPA de l'lIA. BEAC 1 DGCG - Manuel d'audit de la DGCG _ 11- INTRODUCTION 11.1- CADRE DE REFERENCE Le présent manuel s'inspire des normes de l'lIA, des standards et des bonnes pratiques en matière d'audit interne. Il s'inspire également du COSOI et du COS02 qui traitent, respectivement, du contrôle interne et de la gestion des risques. II.2- DEFINITION DE L'AUDIT INTERNE Selon l'lIA, la définition de l'audit interne est la suivante: « L'audit interne est une activité indépendante et objective qui donne à l'organisation, une assurance sur le degré de maîtrise de ses opérations, lui apporte des conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d'entreprise en faisant des propositions pour renforcer son efficacité. » II.3- CHARTE D'AUDIT Norme lIA 1000- Mission, pouvoirs et responsabilités « La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d'audit interne, être cohérents avec la définition de l'audit interne, le Code de Déontologie ainsi qu'avec les Normes. Le responsable de l'audit interne doit revoir périodiquement la charte d'audit interne et la soumettre à l'approbation de la direction générale et du Conseil. » Norme lIA 1110 - Indépendance dans l'organisation « Le responsable de l'audit interne doit relever d'un niveau hiérarchique suffisant au sein de l'organisation pour permettre au service d'audit interne d'exercer ses responsabilités. Le responsable de l'audit interne doit confirmer au Conseil, au moins annuellement, l'indépendance de l'audit interne au sein de l'organisation. » BEAC IDGCG - Manuel d'audit de la DGCG _ Norme lIA 1111- Relation directe avec le Conseil « Le responsable de l'audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. » La mission, les pouvoirs et les responsabilités des unités en charge de l'audit à la DGCG, sont contenus dans la Charte d'audit de la BEAC. La Charte d'audit garantit les conditions d'indépendance de la fonction d'audit interne et couvre notamment: la nature des missions; la planification des missions ainsi que la compétence de l'audit interne; le déroulement d'une mission d'audit; le processus de validation des conclusions, la diffusion des rapports; les responsabilités des Inspecteurs et des audités ; le suivi des recommandations. Cette Charte traite également de l'indépendance de la DGCG et de ses relations avec le Comité d'Audit. II.4- CODE DE DEONTOLOGIE En plus des dispositions du statut général qui s'imposent à l'ensemble des agents de la BEAC, les Inspecteurs de la DGCG sont soumis à un Code de Déontologie. Il a pour but de promouvoir une culture éthique au sein de la DGCG. Ainsi, il énonce quatre principes fondamentaux: Intégrité, Objectivité, Confidentialité, Compétence. BEAC IDGCG - Manuel d'audit de la DGCG _ 111- PROCESSUS D'AUDIT INTERNE Figure 1 : Schéma simplifié des processus d'audit interne PLANIFICATION Prise en compte des parties prenantes STRATEGIQUE Cartographie des processus Cartographie des risques Plan d'audit pluriannuel PLANIFICATION ANNUELLE Prise de connaissance des activités de l'organisation Evaluation annuelle des risques Plan d'audit annuel Mise à jour de la cartographie des risques C m s: l> DEROULEMENT MISSION D'AUDIT D'UNE INTERNE Phase d'étude Phase de vérification Phase de conclusion :;0 n I~ Evaluation interne de la fonction d'audit c... ASSURANCE QUALITE Enquête de satisfaction de la mission l> Evaluation externe de la fonction d'audit e Indication de non-conformité c - -1 COMMUNICATION AVEC LES Communication avec le Gouverneur PARTIES PRENANTES Communication avec le Comité d'Audit Communication avec les autres parties prenantes Matérialité Taille des échantillons AUTRES PROCESSUS DE Ressources humaines L'AUDIT INTERNE Dossier de la mission Externalisation de certaines activités d'audit interne Missions Ad-hoc Supervision de la mission 111.1- PLANIFICATION STRATEGIQUE III.1.1- Prise en compte des parties prenantes Dans le cadre de la planification stratégique des audits, la DGCG prend en compte les besoins et attentes des principales parties prenantes, notamment: BEAC 1 DGCG - Manuel d'audit de la DGCG _ le Comité d'Audit; le Gouvernement de la Banque; les partenaires extérieurs (FMI, etc.). Cette prise en compte permet à la DGCG de définir le niveau des missions de conseil et d'assurance, ainsi que les facteurs clés de succès de la fonction audit interne. III.1.2- Cartographie des processus Les missions de la BEAC sont scindées en activités « cœur de métier» (Gestion des réserves, Emission monétaire, Systèmes et Moyens de Paiement, etc.) et en « métiers supports» (Ressources Humaines, Informatique, Comptabilité, etc.). A terme, la Banque devrait se doter d'une cartographie des processus. III.1.3- Cartographie des risques La réalisation de la cartographie des risques opérationnels se fait dans le cadre de la méthodologie DEMARIS. Les risques stratégiques et financiers feront, à terme, l'objet de cartographies. La méthodologie DEMARIS comprend les phases d'identification, d'évaluation, de traitement, de suivi et de reporting des risques. Elle est mise en œuvre au travers des dix phases opérationnelles suivantes: la description des processus; la fixation des objectifs; l'identification des risques associés à ces processus; l'évaluation des risques bruts; l'identification et l'évaluation du Dispositif de Contrôle Interne (DCI) ; l'évaluation des risques résiduels; le traitement des risques; le reporting périodique et régulier au Gouvernement de la Banque; la garantie de la maitrise des risques; la mise à jour de DEMARIS. III.1.4- Plan d'audit pluriannuel L'élaboration du plan d'audit pluriannuel requiert la définition de son univers d'audit, l'analyse des facteurs de risques et la détermination du cycle d'audit aussi bien pour les Services Centraux que pour les Centres. BEAC 1 DGCG - Manuel d'audit de la DGCG _ L'information actuellement disponible ne permet pas d'établir un plan exclusivement fondé sur les risques. Aussi sera-t-il périodiquement actualisé en fonction des nouvelles informations collectées. 1I1.1.4.1-Univers d'audit Aux Services Centraux Pour obtenir l'univers d'audit, c'est-à-dire la liste de tous les processus auditables, il convient de retenir l'ensemble des activités du Siège, les projets et l'activité des institutions qui bénéficient des fonds de la BEAC pour leur fonctionnement ou leurs investissements (BDEAC, COBAC, GIMAC, etc.). Dans les Centres L'univers d'audit est constitué de l'ensemble des activités des Directions Nationales, des Agences, des Bureaux et des Dépôts. 111.1.4.2-Analyse des facteurs de risques Le recours à la base SIRISBEAC donne un premier classement des unités opérationnelles (UO), en fonction du nombre de risques qui ont été évalués et validés à la fin du dernier exercice. Ce classement est ensuite affiné par: la prise en compte du niveau des risques (critique, majeur, sensible et faible) constatés lors des audits effectués par la DGCG et les Commissaires aux comptes; l'évaluation, en termes d'impact financier et d'image, des incidents survenus dans les entités de la BEAC ; l'ancienneté des audits et les données statistiques susmentionnées. BEAC IDGCG - Manuel d'audit de la DGCG _ Figure 2 : Facteurs des risques Indicateurs appréciation du d'importance des dispositif de contrôle unités il auditer, interne, lorsque des SIRISBEAC parmi lesquels, le éléments positifs ou périmètre des négatifs sont activités, le niveau disponibles d'activité et l'effectif ancienneté des l!Iudits et conclusions de Rapports des audits connaissance ceux-ci ainsi que leur externes d'Incidents survenus à la BEAC déclinaison en termes de processus par nature de risques 1/1.1.4.3- Détermination du Cycle d'Audit Les normes de l'liA ne fixent pas le cycle d'audit, qui doit être apprecie par chaque organisation en fonction de ses risques, de son univers d'audit et des ressources affectées à l'audit interne. Conformément à la démarche DEMARIS, le cycle retenu est de cinq (5) ans. Le plan pluriannuel d'audit est obtenu grâce à la démarche décrite plus haut. Il appelle les commentaires suivants : le périmètre d'audit retenu couvre les Services Centraux et les 23 Centres y compris les deux Dépôts de Bouar et d'Abéché; le critère d'ancienneté des audits considère les entités qui n'ont pas été auditées depuis au moins cinq ans, comme étant assorties d'un risque critique. La périodicité des audits retenue par niveau de gravité des risques est la suivante: les entités à risque critique doivent être auditées au moins 1 fois par an ; les entités à risque majeur doivent être auditées au moins 1 fois tous les 2 ans; les entités à risque sensible doivent être auditées au moins 1 fois tous les 3 ans; les entités à risque faible doivent être auditées au moins 1 fois tous les 5 ans. BEAC 1 DGCG - Manuel d'audit de la DGCG _ //1.1.4.5- Communication du plan d'audit pluriannuel Norme liA 1111- Relation directe avec le Conseil «Le Responsable de l'audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. » Norme liA 2020 - Communication et approbation « Le Responsable de l'audit interne (RAI) doit communiquer à la Direction Générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le RAI doit également signaler l'impact de toute limitation de ses ressources. » L'article 68 des Statuts de la BEAC traite des relations de la DGCG avec le Conseil d'Administration, le Comité d'Audit et le Gouvernement de la Banque. Conformément à ces Statuts, le plan d'audit pluriannuel est approuvé par le Comité d'Audit après avis du Gouverneur. Le plan pluriannuel, fait ressortir le nombre d'Inspecteurs nécessaires pour réaliser toutes les missions dans le cycle d'audit de 5 ans. Il appartient alors à la Banque de fournir ces ressources à la DGCG. Faute d'un effectif suffisant, pour réaliser les missions issues du plan pluriannuel, le DGCG proposera au Comité d'Audit un plan d'audit annuel dont le nombre de missions sera revu pour être compatible avec les ressources humaines du moment. 111.2- PLANIFICATION ANNUELLE N orme liA 2010 - Planification « Le Responsable de l'audit interne doit établir un plan d'audit fondé sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation. » 11I.2.1-Prise de connaissance des activités de l'organisation La démarche de planification des missions d'audit est essentielle afin de permettre au DGCG d'identifier la population (métier, entités, processus, etc.) qui sera soumise à l'audit en fonction des risques inhérents. BEAC IDGCG - Manuel d'audit de la DGCG _ Cette démarche doit être enrichie par la prise en compte des évolutions dans l'activité, des changements dans l'organisation et des mutations de l'environnement. III.Z.Z- Evaluation annuelle des risques La planification des audits de la DGCG repose sur le modèle des risques de la BEAC. Les outils de prévention des risques comprennent, notamment: le référentiel des processus répartis par niveau; le référentiel des risques génériques organisés en catégories et sous-catégories; DEMARIS; la base de données de l'application SIRlSBEAC. Les sources retenues portent sur les résultats des audits internes et externes, les enquêtes déj à réalisées, l'ancienneté des audits internes et diverses données statistiques, telles que les encaisses, les effectifs, les budgets de fonctionnement. III.Z.3- Plan d'audit annuel Le plan d'audit pluriannuel est décliné en plan annuel. Il peut être ajusté après prise en compte des nouveaux risques, des orientations du DGCG, du Gouverneur et du Comité d'Audit. C'est après approbation de ce dernier que le plan d'audit annuel devient définitif. III.Z.4- Mise à jour de la cartographie des risques Elle est effectuée par l'entité en charge de la cartographie des risques sur la base de nouveaux risques identifiés et de nouvelles informations pertinentes. Cette mise à jour induit l'actualisation du plan d'audit pluriannuel, et par conséquent celle du plan d'audit annuel. 111.3- DEROULEMENT D'UNE MISSION D'AUDIT INTERNE La mission d'audit se déroule en trois phases: étude, vérification et conclusion. 1. La phase Etude se décompose elle-même en trois sous-phases: initialisation de la mission qui correspond à l'établissement de la lettre de mission ; préparation de la mission qui correspond à l'examen préliminaire de l'activité et l'établissement du Tableau des Risques (TaRi) ; lancement de la mission sur le terrain qui commence par la réunion d'ouverture et s'achève avec l'établissement du programme de travail; BEAC 1 DGCG - Manuel d'audit de la DGCG _ 2. La phase Vérification qui correspond à : à l'établissement du BAPS (Budget, Allocation, Planification, Suivi) ; et aux travaux de recherche et d'analyse sur site prévus dans le programme de travail; 3. La phase de Conclusion contient deux sous-phases rédaction des conclusions de la mission qui commence avec celle du pré- rapport et s'achève avec la validation du rapport définitif; suivi des recommandations qui consiste à s'assurer de la mise en œuvre des plans d'actions. Figure 3: Schéma de déroulement d'une mission d'audit 1- Initialisation de la mission (Norme 2200 Planification de la mission) 1.1- Lettre de mission (2210- Objectif de la mission, 2220- champ de la mission et 2230- Ressources affectées à la mission) 2- Prépartion de la mission (Norme 2200 Planification de la mission) 2.1- Examen préliminaire de l'activité 2.2- Analyse et découpage de l'activité 1- ETUDE 2.3- Tableau des risques (2210;A1) 3- Lancement de la mission (Norme 2300 Accomplissement de la mission) 3.1- Réunion d'ouverture (MPA 2200.1) 3.2- Tableau des Forces et Faiblesses Apparentes (TFFA) 3.3- Rapport d'orientation 3.4- Programme de travail 1- BAPS 2- Travaux de recherche et d'analyse sur site (Norme 2300 Accomplissement de la mission) 11- 2.1- Papiers de travail (2320 Analyse et évaluation, 2330 Documentation des VERIFICATION informations et 2340 Supervision) 2.2- Feuille d'Audit et de Recommandations (2320 Analyse et évaluation, 2330 Documentation des informations et 2340 Supervision) 2.3-Techniques et outils 2.4- Reporting hebdomadaires des anomalies constatées 2.5- Réunion d'étape des Inspecteurs 1- Rédaction des conclusions et validation (Norme 2400 Communication des résultats) 1.1-0ssature du rapport 111- 1.2- Compte rendu final sur site CONCLUSION 1.3- Projet du rapport d'audit 1.4- Réunion de clôture 1.5- Note de synthèse au Gouverneur 1.6- Rapport définitif d'audit 2- Suivi des recommandations (Norme 2500 Surveillance des actions de progrès) BEAC IDGCG - Manuel d'audit de la DGCG _ III.3.1- Phase d'étude Cette sous-phase se fonde sur les normes suivantes: orme lIA 2200 - Planification de la mission « Les auditeurs internes doivent concevoir et documenter un plan d'audit pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées. » Norme lIA 2210 - Objectifs de la mission « Les objectifs de la mission doivent être précisés pour chaque mission. » Norme lIA 2220- Champ de la mission « Le champ doit être suffisant pour atteindre les objectifs de la mission. » Norme lIA 2230- Ressources « Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles. » L'origine de la mission peut provenir: - du plan d'audit approuvé par le Comité d'Audit; - de demandes ponctuelles d'un membre du Gouvernement de la Banque ou des Responsables d'Unités Opérationnelles (Directions Centrales, Départements ou Centres). La décision de diligenter les missions d'audit relève de la seule compétence du DGCG qui signe les ordres de mission. Lorsqu'une mission est envisagée, le CD adresse une lettre au DGCG pour enclencher ladite mission. BEAC IDGCG - Manuel d'audit de la DGCG _ 111.3.1.1- Lettre de mission La lettre de mission a pour but de donner un cadre précis à la réalisation de la mission qui sera menée par les Inspecteurs. Elle donne à ces derniers un droit d'accès aux informations nécessaires à la réalisation de leur mission. La lettre de mission est établie par le Chef de mission ou le CD, et doit comporter les éléments suivants: l'objet de la mission; l'entité à auditer ; le demandeur de la mission (plan d'audit, membres du Gouvernement, unités opérationnelles, etc.) ; une brève description de la mission (champ, objectifs, points prioritaires, etc.) ; la composition de la mission; les dates de début et de fin de la mission. La lettre de mission est signée par le DGCG ou son représentant dûment mandaté. Si la proposition de mission n'est pas validée, elle peut être aménagée pour prendre en compte les attentes de ce dernier. En effet, le DGCG peut notamment demander une réévaluation du champ, des objectifs et de la période de la mission. Après validation, la lettre de mission devient alors le mandat donné par le DGCG aux Inspecteurs, dans le but de réaliser une mission d'audit sur une entité ou un processus donné. La lettre de mISSIon est par la suite communiquée aux responsables audités, accompagnée de la liste des documents provisoires à mettre à la disposition de la Mission. 111.3.1.2- Ordre de mission A la BEAC, l'ordre de mission est un document purement administratif qui est remis aux Inspecteurs avant le déplacement sur le site. Il permet notamment: d'attester que l'Inspecteur est en situation régulière d'absence. A ce titre, il garantit la couverture des accidents de travail pouvant survenir lors du déplacement ou sur le site de contrôle; à l'Inspecteur de prélever, s'il y a lieu, les indemnités de mission prévues par les textes en vigueur. L'ordre de mission contient les principales informations de la mISSIOn (nom, objet, lieu, dates et imputations budgétaires). Il peut être présenté au responsable de l'unité auditée si celui-ci en fait la demande. BEAC 1 DGCG - Manuel d'audit de la DGCG _ Il est signé par le DGCG ou son représentant dûment mandaté. 111.3.1.3- Préparation de la mission La préparation de la mission a lieu avant le déplacement des Inspecteurs sur le site. Elle consiste à examiner l'activité de l'entité soumise à l'audit. 11I.3.1.3.1-Enquête préliminaire sur l'entité à auditer MPA 2210.Al-l - Evaluation des risques dans la planification de la mission 3. «Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avec les activités, les risques et les contrôles, pour identifier les domaines où la mission sera approfondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions. » Au cours de cette phase, il est question d'établir avec preC1SIOn le champ de l'audit, d'identifier les personnes qui seront rencontrées et de recueillir l'ensemble de la documentation relative à l'entité à auditer. Concernant la documentation, les informations suivantes sont à rassembler: la cartographie des risques de l'unité opérationnelle ainsi que la base incident- nsques; les reportings mensuels de l'entité auprès de la DGCG ; les rapports de la Cellule Interne de Contrôle de la Direction Nationale ou des Services Centraux dont dépend l'entité; les précédents rapports d'audit; les rapports des missions produits par les Cabinets d'audit sur des thématiques précises concernant l'entité à auditer ; les différentes résolutions prises à l'issue des réunions des Chefs de Centre; les rapports des missions spécifiques effectuées par les responsables des unités opérationnelles du Siège, dans les différentes Directions Nationales et autres Centres secondaires relevant fonctionnellement de leur compétence; toute autre information concernant l'entité à auditer. L'analyse de ces documents doit permettre aux Inspecteurs affectés à la mission, d'avoir une vue globale et pertinente de l'entité à auditer et d'en comprendre le fonctionnement. En effet, de la bonne connaissance de l'entité auditée dépendra le succès de la mission. De façon synthétique, les informations suivantes (non exhaustives) peuvent être tirées de ces vérifications préliminaires: BEAC 1 DGCG - Manuel d'audit de la DGCG _ organigramme (Organisation et fonctionnement de l'entité) ; responsabilités et attributions (Qui est responsable de quoi ?) ; identification des principaux problèmes de l'entité; fonctions incompatibles; effectif du personnel; répartition de l'activité (processus tirés de SIRISBEAC) ; stock de billets et pièces; volume des opérations (exemples d'indicateurs: versements, prélèvements des banques, total des écritures, etc.) ; comparaison dans le temps des indicateurs d'exploitation; moyens budgétaires mis à la disposition de l'entité et leur évolution sur les derniers exercices; identification des principaux risques et des évolutions négatives; prise de connaissance des incidents enregistrés dans l'entité. En définitive, pendant la phase préliminaire, c'est la procédure d'audit analytique qui est notamment utilisée. Cette procédure consiste à analyser les écarts, les tendances et ratios. IlI.3.1.3.2- Analyse et découpage de l'activité L'Inspecteur recherche tout élément de définition, de connaissance, d'analyse de l'activité à cerner, dans des supports propres à l'entreprise et/ou au métier. On utilise la typologie DEMARIS pour découper l'activité en objets auditables en vue d'élaborer le référentiel d'audit. A titre de rappel, le référentiel méthodologique de la BEAC définit quatre niveaux de processus: Niveau 1 : Méga Processus (Lignes Métiers) ; Niveau 2 : Processus Majeur ; Niveau 3 : Processus Générique; Niveau 4 : Processus Elémentaire. La granularité du découpage proposé par DEMARIS est dans la plupart des cas, insuffisante. Aussi, convient-il, pour les besoins de l'audit, d'affiner ce découpage. Les processus élémentaires doivent être à leur tour décomposés en tâches chronologiques plus fines. BEAC 1 DGCG - Manuel d'audit de la DGCG _ III.3.1.3.3- Elaboration du Tableau des Risques (TaRi) Norme lIA 2210.Al - Evaluation des risques dans la planification de la mission «L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation. » Le Tableau des Risques (TaRi) est un outil essentiel qUI permet à l'Inspecteur de : cerner son champ d'investigations; présenter également dans une forme appropriée et synthétique ses analyses et ses conclusions. Ce tableau comprend huit colonnes dont les intitulés sont: Colonne 1 : Processus génériques Elle indique les processus génériques identifiés dans SIRISBEAC et objets de l'audit. Colonne 2 : Processus élémentaires Elle fait référence à la déclinaison des processus génériques de SIRISBEAC. Colonne 3 : Activités On mentionne les activités contenues dans chaque processus élémentaire. Au-delà des données de SIRISBEAC, il conviendra ici de recenser, avec l'audité, toutes les activités dont il a effectivement la charge au moment de l'audit. Colonne 4 : Objectifs Elle reprend les objectifs assignés à chaque activité. Dans le cas où ces objectifs ne seraient pas formalisés, il faudra le faire de concert avec l' audité. Colonne 5 : Risques Elle présente les risques qui pourraient entraver l'atteinte des objectifs ci-dessus. Il convient d'utiliser la typologie des risques DEMARIS, pour le faire. S'il devait arriver qu'un risque identifié n'y figure pas, il faudra demander au CD de mettre à jour la typologie des risques. Le CD devra en informer les responsables de SIRISBEAC pour une mise à jour de leur fichier. BEAC 1 DGCG - Manuel d'audit de la DGCG _ Colonne 6.'Evaluation brute Il s'agit d'évaluer chaque risque, ci-dessus, selon la méthodologie DEMARIS. L'évaluation sera brute, car, à ce stade, elle ne devra pas tenir compte des DCI en place. Colonne 7.' Dispositifs de contrôle interne (DCI) Elle concerne toutes les mesures susceptibles d'empêcher la réalisation des risques identifiés plus haut. Il convient d'utiliser la typologie des DCI de DEMARIS. S'il devait arriver qu'un DCI pertinent n'y figure pas, il faudra demander au CD de mettre à jour la typologie des DCI. Ce dernier devra en informer les responsables de SIRISBEAC pour une mise à jour de leur fichier. Colonne 8.' Observations Il s'agit d'indiquer si « oui» ou « non» le DCI a été mis en place. Il est à noter qu'à ce stade, l'on ne juge pas de la pertinence du DCI, puisque c'est l'objet de la mission d'audit. Remarque: Chaque membre de la mISSIOn d'audit participe à l'élaboration du tableau des risques. Le Chef de mission est chargé de répartir le travail et d'élaborer le tableau de synthèse. Le tableau des risques est ensuite soumis au CD, pour approbation. 111.3.1.4- Lancement de la mission /11.3.1.4.1- Réunion d'ouverture MPA 2200.1 Planification de la mission 4. « L'auditeur interne informe le management concerné. Il tient des réunions avec le management responsable de l'activité auditée. Il résume les discussions et diffuse les comptes rendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans les papiers de travail de la mission ». La réunion d'ouverture ou d'installation de l'équipe a pour but d'établir les premiers contacts physiques avec l'ensemble des personnes impliquées par l'audit avant le démarrage des travaux sur site. Elle se déroule sur le lieu de la mission d'audit. BEAC IDGCG - Manuel d'audit de la DGCG _ Les participants à cette réunion sont: le CD; les Inspecteurs; le Responsable de l'entité auditée ; les Chefs de Services audités. Les points suivants sont principalement abordés au cours de cette réunion: la présentation des Inspecteurs et des audités ; l'exposé du rôle et de la place de l'audit interne à la Banque; l'explication des circonstances ayant entrainé le déclenchement de la mission; l'explication du déroulement de la mission en insistant sur l'importance des échanges entre Inspecteurs et audités ; la collecte des premiers documents et remise aux audités, si possible, de la liste complémentaire des documents et dossiers nécessaires à la mission; la discussion sur des habilitations des Inspecteurs aux systèmes d'information; l'échange sur la logistique (locaux, fournitures de bureau, téléphones, connexion réseau, hébergement, etc.) et prise des premiers rendez-vous; la prise en compte des attentes des audités et l'exposé de la procédure d'escalade. Il est important de mettre en confiance les audités en leur expliquant qu'ils sont les acteurs de la mission et non les victimes. 111.3.1.4.2- Tableau des forces et faiblesses apparentes (TFfa) Le TFfa complète le tableau des risques. Il a pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l'entité ou du domaine audité. Le TFfa doit présenter de façon synthétique et argumentée l'avis de l'Inspecteur sur chacun des thèmes analysés et permet de hiérarchiser les risques dans le but de préparer le rapport d'orientation (Rd'O). Les forces et faiblesses peuvent être exprimées qualitativement et quantitativement par rapport aux objectifs de contrôle interne, notamment des règles, procédures et systèmes. Le TFfa a trois colonnes complétant le tableau des risques: - Colonne 1 : Forces/faiblesses ; - Colonne 2 : Commentaires/Justifications/Explications; - Colonne 3 : Evaluation préliminaire des risques. BEAC 1 DGCG - Manuel d'audit de la DGCG _ 11I.3.1.4.3- Rapport d'orientation (Rd'O) Le rapport d'orientation est rédigé au cours de la phase étude de l'audit. Le Rd'O définit et formalise les axes d'investigation de la mission et ses limites. Le Rd'O est adressé par le Chef de mission au CD, pour observations. Il est ensuite discuté avec les principaux responsables de l'entité auditée. A ce moment, il revêt le caractère d'un contrat que la mission d'audit passe avec cette dernière. Le Rd'O comprend trois parties: Partie 1 : Rappel des objectifs généraux de contrôle, que sont: 1. La protection du patrimoine Les hommes Les biens L'image 2. La fiabilité et l'intégrité des informations financières et opérationnelles Informations fiables et vérifiables Informations exhaustives Informations pertinentes Informations disponibles 3. Le respect des textes Codifications Décisions et notes de services Contrats Règlementation 4. L'efficacité et l'efficience des opérations Capacité à atteindre les objectifs Atteinte des objectifs à un coût raisonnable. Partie 2 : Objectifs spécifiques de contrôle pour l'audit en cours Il s'agit ici d'énumérer, à partir des risques identifiés dans le TFfa, toutes les vérifications envisagées pour éval uer l'efficacité des DCI. BEAC 1 DGCG - Manuel d'audit de la DGCG _ Le Rd'O reprend à son compte, les principales conclusions du TFfa. Il les exprime en objectifs à atteindre par l'audit. Pour ce faire, il est recommandé de commencer chaque phrase par des termes tels que: « S'assurer de », « Vérifier que », « Apprécier », « Evaluer », « Analyser », etc. Partie 3 : Champ d'action de la mission d'audit Il s'agit d'indiquer les Services et les Sections de l'entité auditée qui auront à travailler avec la Mission, ainsi que la période couverte par les investigations. 111.3.1.4.4- Programme de travail N orme lIA 2240 - Programme de travail de la mission «Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission. » Le programme de travail est élaboré à partir du Rd 'O. Il définit les travaux de contrôle à effectuer par la mission. Il permet au Chef de mission de définir, de répartir et de suivre les travaux des Inspecteurs. En d'autres termes, il dresse la liste des tâches à réaliser, des questions à poser ainsi que des procédures à appliquer. Il est un véritable guide pour l'Inspecteur. Le programme de travail se présente sous forme d'un tableau à six colonnes dont les intitulés sont: Colonne 1 : Tâches Il s'agit de donner un numéro chronologique à chaque tâche. Les tâches sont, ici, les objectifs spécifiques de contrôle mentionnés dans le Rd'O. Elles peuvent être des observations, des rapprochements, des entretiens, etc. Colonne 2 : Objectifs de contrôle Cette colonne reprend les objectifs spécifiques de contrôle du Rd'O. Colonne 3 : Outils à utiliser Il s'agit d'indiquer la technique ou l'outil d'audit que la Mission envisage d'utiliser pour ses investigations. D'une manière générale, il convient ici d'indiquer le travail que se propose de réaliser la mission pour évaluer chaque DCI. BEAC 1 DGCG - Manuel d'audit de la DGCG _ Colonne 4 : Travaux préalables Ce sont les documents à obtenir, les données informatiques à extraire, etc. qUI conditionnent le début des investigations. Colonne 5 : Temps (en jours) Il fait référence à l'estimation du temps qu'il faudra à un Inspecteur pour effectuer le travail. L'estimation se fera lors d'une réunion de l'équipe d'audit présidée par le Chef de mission. Colonne 6 : Inspecteur Il s'agit d'indiquer le nom du membre de la mission qui sera chargé d'effectuer la tâche. Ce travail reviendra au Chef de mission, qui veillera à ce que chaque membre de l'équipe reçoive la même charge de travail. Remarque: Le programme de travail ne peut être finalisé qu'après accord du CD, sur le Rd' O. Malgré la formalisation du programme de travail, l'Inspecteur garde une certaine marge de manœuvre. Par conséquent, il doit faire preuve d'esprit d'initiative et de jugement en fonction des situations qui se présentent à lui après approbation du CD. 111.3.2- Phase de vérification Cette phase correspond à l'établissement du BAPS (Budget, Allocation, Planification, Suivi) et aux travaux de recherche et d'analyse sur site prévus dans le programme de travail. 111.3.2.1- BAPS (Budget, Allocation, Planning et Suivi) Le BAPS se présente sous la forme d'un diagramme de Gantt. Il permet au Chef de mission de répartir, entre les Inspecteurs, les tâches liées à chaque objectif du Rd 'O. Il reflète l'état d'avancement des travaux de la mission et est régulièrement mis à jour : en ligne, il est mentionné chaque objectif qui est lui-même subdivisé en différentes tâches; en colonne, le temps est subdivisé en mois, en semaines et en jours. Le temps consacré à chaque tâche est matérialisé par des traits de couleur différenciée par Inspecteur. BEAC IDGCG - Manuel d'audit de la DGCG _ 111.3.2.2-Travaux de recherche et d'analyse sur site Le travail sur le terrain consiste à réaliser les points de contrôle prévus dans le programme de travail. Il s'agit en particulier: d'effectuer des rapprochements et reconstitutions; d'analyser les documents retraçant les opérations; de faire des requêtes sur le système d'information; d'effectuer des tests ; de réaliser des enquêtes; de tracer des diagrammes; de mener des interviews; de réaliser des observations physiques; de rédiger les PdT et les FAR, puis de les discuter avec les audités. 11I.3.2.2.1- Papier de travail (PdT) Norme lIA 2310 - Identification des informations «Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. » N orme lIA 2330 - Documentation des informations « Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. » Le PdT est préparé par l'Inspecteur et sert à : étayer et à argumenter les constats de l'Inspecteur ; démontrer l'exactitude et l'exhaustivité du travail effectué; documenter les informations obtenues et les analyses effectuées; valider les conclusions et recommandations de la mission. Selon les meilleures pratiques, les PdT doivent être: nets: lisibles; uniformes: avoir une forme standard; BEAC IDGCG - Manuel d'audit de la DGCG _ compréhensibles: le lecteur doit comprendre ce qui est dit sans se référer à un autre document, ce qui nécessite un travail d'interprétation du problème par l'audit pour être compris de l'audité ; pertinents: les faits ou les documents rapportés doivent être en relation avec les objectifs de la mission; économiques: éviter de reprendre ou de refaire ce qui est déjà fait. Il est donc recommandé de s'inspirer des papiers de travail des audits antérieurs; complets: toutes les questions pertinentes doivent trouver des réponses. Sur ce point également, il est recommandé de consulter les résultats des précédents audits; rédigés simplement: style dépouillé, voire télégraphique, mais sans utiliser le jargon ou un langage trop technique qui serait incompris. organisés de manière logique: les conclusions issues du PdT doivent être en cohérence avec les problèmes soulevés et les preuves sous-jacentes. Chaque PdT rédigé par l'Inspecteur doit être validé par le Chef de mission. Ce dernier doit s'assurer que les investigations menées par l'Inspecteur sont exhaustives et que les preuves sont suffisantes, fiables et pertinentes. Celles-ci sont généralement de quatre ordres: preuve matérielle (ce que les yeux voient) ; preuve testimoniale (par les témoignages recueillis) ; preuve documentaire (pièces comptables, factures, notes de services, lettres, etc.) ; preuve analytique (états, rapprochements, comparaison, etc.). En cas de divergence sur des questions d'ordre purement technique entre l'Inspecteur et le Chef.de mission, le point est remonté au CD, pour arbitrage. La solution retenue est documentée dans les PdT. 111.3.2.2.2- Fiche d'audit et de recommandation (FAR) Norme lIA 2320 - Analyse et évaluation « Les auditeurs doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. » BEAC 1 DGCG - Manuel d'audit de la DGCG _ La FAR est un document synthétique par lequel l'Inspecteur présente chaque anomalie. Pour chaque PdT, l'Inspecteur rédige une FAR en fonction de l'anomalie constatée, qui sera adressée à l' audité, de préférence par la messagerie Group Wise, pour recueillir sa réaction et discuter de la recommandation formulée. Avant transmission aux audités, la FAR doit préalablement être validée par le Chef de mission. La FAR est essentiellement composée de cinq rubriques: le problème; le constat; les causes; les conséquences; et les recommandations. Toutefois pour son élaboration, il est recommandé de : a) toujours commencer par les constats qui fournissent les preuves. L'Inspecteur doit se contenter de décrire les faits tels qu'il les a observés en se gardant de faire des jugements sans preuve; b) rechercher ensuite les causes qui expliquent le dysfonctionnement. Les causes peuvent être le fruit d'une constatation ou d'une déduction. Elles doivent avoir un rapport direct avec le dysfonctionnement. De la bonne analyse des causes dépendra une bonne formulation de la recommandation; c) déduire les conséquences qui peuvent être qualitatives ou quantitatives; d) résumer le problème sous une forme accrocheuse, percutante et autonome pour susciter une réaction; e) formuler une recommandation qui corrigera le dysfonctionnement. La recommandation doit avoir un lien évident et direct avec la cause dont elle est la contrepartie. Pour permettre à l'audité de s'approprier de la recommandation et éviter les malentendus, l'Inspecteur est tenu d'en discuter avec ce dernier (MPA 2440.1- Diffusion des résultats de la mission). Pour des raisons de commodité, il est préconisé de se limiter à une seule recommandation par FAR. Lorsque plusieurs solutions sont préconisées, l'Inspecteur retiendra la plus réaliste, c'est-à- dire celle qui donne plus rapidement les résultats, traite la cause la plus profonde et offre un meilleur rapport coût/avantage attendu. Toutefois, certaines recommandations portant notamment sur la conformité aux lois et règlements, doivent être mises en œuvre sans prendre en compte leur coût. Pour aider à la recherche des recommandations, l'Inspecteur doit utiliser le modèle SMART (Spécifique, Mesurable, Atteignable, Réaliste, Temporel) exposé dans les manuels pédagogiques d'audit interne; BEAC IDGCG - Manuel d'audit de la DGCG _ f) Les autres rubriques sont: «commentaires », «référentiel» qUI précisent le texte qui s'applique et « cotation du risque ». 111.3.2.3- Techniques et outils N orme lIA 2320- Analyse et évaluation « Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. » N orme lIA 1210.A2 - Compétence « Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque defraude et la façon dont ce risque est géré par l'organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes. » Cette partie donne un bref aperçu des techniques d'audit les plus utilisées. Il est fortement recommandé à chaque Inspecteur de les maitriser. Elles sont longuement exposées dans les manuels pédagogiques d'audit interne. L'objectif d'un certain nombre de ces techniques est de donner à l'Inspecteur les outils pour détecter les indices de fraude conformément à la norme IIA 1210.A2. 111.3.2.3.1- Questionnaire de Contrôle Interne (QCI) N orme lIA 2320 - Analyse et évaluation « Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. » Les Inspecteurs doivent, pour chaque objectif spécifique de contrôle, dresser une liste de questions, relatives à l'évaluation des DCI des opérations, auxquelles ils doivent répondre lors des investigations. Pour élaborer ce questionnaire, l'Inspecteur est encouragé à utiliser l'hexamètre de QUINTILIEN en formalisant ses questions en « Qui », « Quoi », « Où », « Quand », « Comment », « Combien », «Pourquoi» (QQOQCCP). BEAC IDGCG - Manuel d'audit de la DGCG _ Chaque Inspecteur soumettra son QCI au Chef de mission pour examen. Celui-ci soumettra au CD l'ensemble des QCI pour approbation. 11I.3.2.3.2- Questionnaires (QCM et QD) C'est une liste écrite de questions à poser à l' audité. Le questionnaire se présente essentiellement sous deux formes: Questionnaire ouvert (QO) : l'Inspecteur laisse le choix à l'audité de choisir ses propres mots; ou, Questionnaire à Choix Multiples (QCM) : l'audité choisit ses réponses parmi une liste de réponses prédéfinies. Il est recommandé à l'Inspecteur de : - classer les questions par thème et dans un ordre cohérent en partant du général au particulier; soigner la présentation du questionnaire (clarté, précision et concision) ; - aborder les questions les plus complexes au milieu du questionnaire; - limiter la longueur du questionnaire. Le questionnaire peut précéder l'interview afin de réduire la durée de celle-ci. Il est déconseillé d'envoyer un questionnaire à l'audité sans le faire suivre d'une interview. 11I.3.2.3.3- Interview Elle consiste à poser des questions aux personnes (audités et tiers) dans le cadre de la mission d'audit dans le but de comprendre leurs opinions sur les opérations réalisées et ainsi permettre l'identification des risques potentiels. L'interview n'est fructueuse que si elle est soigneusement préparée. Pour ce faire, l'Inspecteur doit établir un canevas des informations à recueillir (thèmes, documents, etc.). BEAC 1 DGCG - Manuel d'audit de la DGCG _ Il est recommandé de respecter la démarche suivante: Figure 4: Schéma simplifié des trois étapes d'une interview AVANT Sélection des thèmes à aborder Détermination de la liste des documents à demander Choix des audités à interviewer Détermination de la date, du lieu et de la durée de l'interview PENDANT Au début de l'entretien: après les présentations d'usage, rappeler le contexte, les objectifs et le champ de l'interview Relever les réponses et commentaires de l'interviewé Laisser l'interviewé s'exprimer en toute liberté en l'écoutant avec attention, en l'orientant parfois et en évitant de lui couper la parole Eviter de porter de jugement S'efforcer d'atteindre les objectifs préalablement fixés Reformuler les réponses de l'interviewé, si possible Préciser les étapes suivantes APRES Etablir un compte rendu d'entretien Analyser et recouper les informations recueillies 111.3.2.3.4- Piste d'audit La piste d'audit est un outil d'investigation qui permet à l'Inspecteur de reconstituer toutes les étapes d'une opération ou du processus audité. A partir d'un document ou du résultat final d'une opération, l'Inspecteur doit pouvoir remonter à la source, de la totalisation au détail et vice-versa (exemple: de la décision de commande jusqu'au règlement par virement bancaire). Toutes les informations doivent, en somme, être justifiées et conservées dans des conditions de sécurité acceptable. L'absence ou l'insuffisance de la preuve d'audit constitue une défaillance du contrôle interne qu'il convient de relever. L'analyse de la piste d'audit est très consommatrice de temps, c'est pour cela qu'il est recommandé de l'utiliser seulement en cas de risque élevé. BEAC 1 DGCG - Manuel d'audit de la DGCG _ 11I.3.2.3.5- Rapprochement et reconstitution Le rapprochement est une technique très utilisée en audit interne. Il s'agit de vérifier la même information à partir de plusieurs sources, notamment le rapprochement entre: l'inventaire physique et les soldes comptables; le montant des encaisses et les soldes comptables; les bons de réception et les bons de livraison. La reconstitution consiste quant à elle, à refaire le déroulement d'un processus afin de s'assurer qu'il aboutit au résultat attendu et ainsi déceler les éventuels dysfonctionnements ou écarts. 11I.3.2.3.6- Confirmation par des tiers Elle consiste à solliciter auprès des tiers avec lesquels la Banque est en relation (établissements de crédit, fournisseurs, etc.), la confirmation d'une information que l'Inspecteur a en sa possession (soldes, montant factures, dettes, créances, etc.). 11I.3.2.3.7- Interrogation des fichiers informatiques Il s'agit de faire des requêtes dans le système d'information de la Banque pour collecter les informations exploitables dans le cadre d'un audit. 111.3.2.3.8- Sondage statistique ou échantillonnage Il convient d'analyser les caractéristiques d'une population à travers l'étude d'un échantillon, en utilisant les méthodes probabilistes, étant donné qu'un contrôle exhaustif serait consommateur de temps. Il s'articule autour de quatre étapes que sont: la préparation qui consiste à choisir les caractéristiques de la population à estimer ainsi que l'intervalle de confiance; l'échantillonnage qui consiste à prélever la sous-population sur laquelle l'Inspecteur va travailler; l'observation qui consiste à analyser l'échantillon choisi; l'extrapolation qui consiste à qualifier un résultat sur la population globale à partir des observations sur l'échantillon. 111.3.2.3.9- Grille de séparation des tâches Elle permet de comprendre dans un processus, la répartition des tâches entre différents responsables (acteurs) afin de s'assurer du respect du principe de la séparation des tâches incompatibles. BEAC 1 DGCG - Manuel d'audit de la DGCG _ La grille de séparation des tâches se présente sous la forme d'un tableau à double- entrée qui mentionne: en ligne, « les tâches» ; en colonne, « les acteurs ». L'analyse consiste à cocher, pour chaque tâche, les acteurs concernés. Après cette étape, l'on peut facilement déduire les tâches effectuées de façon redondante ou celles qui sont simplement omises. II!. 3. 2.3. 1 0- L'observation physique Elle consiste notamment à aller sur le terrain pour constater la réalité d'une situation, l'exécution d'un processus, etc. Il est recommandé de : noter les observations dans l'instant où elles sont relevées; effectuer l'observation à plusieurs pour éviter la part de subjectivité qUI pourrait la biaiser. III.3.2.3.11- Diagramme de circulation (Flow chart) Il permet de représenter schématiquement la circulation des documents entre les différents acteurs et responsables afin d'avoir une vue complète sur l'enchainement des opérations (de l'origine à la destination) et ainsi mettre en évidence des faiblesses du dispositif de contrôle interne. Il est élaboré à partir des informations recueillies lors d'une interview ou sur la base des manuels de procédures, de l'analyse de l'organigramme, etc. Le diagramme est élaboré à l'aide des symboles standardisés et différents selon le type d'opération: création de document, duplication, comparaison, archivage, etc. La circulation des documents est indiquée par des flèches qui traversent les entités concernées. BEAC IDGCG - Manuel d'audit de la DGCG _ 11I.3.2.3.12- Procédures analytiques Dans le cadre de ses vérifications, l'Inspecteur doit toujours envisager l'éventualité d'une fraude. Pour ce faire, il doit réaliser les tests pouvant révéler les indices de fraude. Ce sont les procédures analytiques qui sont couramment utilisées pour ce genre de test. Les procédures analytiques comprennent: l'analyse de tendances, l'analyse proportionnelle et la vérification des transactions. Selon la MPA 2320-1 - Procédures analytiques, les procédures analytiques consistent à analyser: les écarts: comparer un ensemble de données avec un autre et voir s'il y a des écarts inattendus ou l'absence d'écarts attendus. (exemple: écart entre les dépenses en N et celles en N+ 1). Si l'écart est trop important, il est nécessaire de mener une enquête plus approfondie; les tendances: détecter les évolutions contraires aux tendances (exemple: évolution de la consommation d'électricité des bureaux et des domiciles, et celle de la consommation de carburant du l'entité auditée) ; les ratios: (exemple: comparer les taux des dépassements budgétaires sur deux périodes). 111.3.2.4-Reporting hebdomadaire des constats relevés MPA 2410-1- Contenu de la communication « 14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière officielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des informations nécessitant une attention immédiate, pour signaler un changement dans le champ de la mission ou pour informer le management de l'avancement des travaux lorsque la mission est de longue durée. L'emploi de rapports intermédiaires ne réduit ni n'élimine la nécessité d'un rapport définitif.» Il est destiné au DGCG et consiste à lui faire la synthèse des observations de la mission sur la base des informations des FAR. BEAC IDGCG - Manuel d'audit de la DGCG _ Il s'agit de renseigner le tableau ci-après: Responsabilité de la N° Constats Niveau associé de Recommandations mise en œuvre de la risques recommandation Le tableau est établi service par service et adressé en fin de semaine par le Chef de mission au CD. Ce dernier, après éventuelles corrections, transmet le reporting au DGCG pour avis et observations éventuelles qui seront prises en compte pour la poursuite des travaux sur site. 111.3.2.5- Réunion d'étape des Inspecteurs Cette réunion d'étape, à laquelle doivent participer tous les Inspecteurs, est animée par le Chef de mission. Elle doit se tenir au moins une fois par semaine et autant de fois que le besoin se fera sentir, en fonction de l'importance des problèmes à examiner. Au cours de ces réunions, les Inspecteurs doivent faire le point sur le déroulement de la mission et procéder à la validation des premières conclusions à leur niveau. Cette séance doit donner lieu à un débat ouvert et franc entre les Inspecteurs sur les dysfonctionnements constatés ainsi que les recommandations à formuler. Il revient aussi au Chef de mission de revoir la durée de la mission ainsi que l'orientation des contrôles en fonction des contraintes rencontrées. A l'issue de cette réunion, un compte rendu dument signé du Chef de mission est établi et envoyé au CD et au DGCG, en faisant le point sur le déroulement des contrôles. 111.3.3-Phase de conclusion 111.3.3.1- Rédaction des conclusions et validation Norme lIA 2400 -Communication des résultats « Les auditeurs internes doivent communiquer les résultats de la mission. » BEAC 1 DGCG - Manuel d'audit de la DGCG _ Norme lIA 2410 - Contenu de la communication « La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, les recommandations et plans d'action. » Norme lIA 2420- Qualité de la communication « La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile. » orme lIA 2440- Diffusion des résultats de la mission «Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. » 11I.3.3.1.1- Ossature du rapport (OR) L'OR est élaborée à partir des énoncés de «problèmes» et de « recommandations» figurant sur chaque FAR. Ce document est élaboré lors d'une réunion de synthèse interne des membres de la mission d'audit. Les problèmes sont classés par thème ou titre de regroupement dans l'ordre où l'on aimerait qu'ils apparaissent dans le rapport. L'OR nécessite un travail de réflexion, où, avec le recul, la mISSIon peut être amenée à fusionner deux problèmes traitant du même sujet, à éclater un problème pour mieux le clarifier ou à abandonner des problèmes qui s'avèreraient sans réel intérêt. L'OR se fait en concertation avec le CD et sert de support de présentation (éventuellement sur PowerPoint) lors de la réunion de clôture. 11I.3.3.1.2- Projet de rapport d'audit Le projet de rapport d'audit est rédigé par le Chef de mission et revu par le CD. Il comprend: BEAC 1 DGCG - Manuel d'audit de la DGCG _ une synthèse du rapport, qui donne les constatations les plus marquantes et l'opinion générale de la mission. C'est également dans cette synthèse que les éventuels points positifs seront mis en évidence; le rapport détaillé reprend la forme des FAR (problème, constat, causes, conséquences et recommandations) structurées en thème. Pour chaque thème, les F AR correspondantes sont classées du risque le plus élevé au risque le plus faible. Le projet de rapport est diffusé aux audités, une semaine avant la réunion de clôture et sert de support aux débats. 11I.3.3.1.3- Compte rendu final sur site C'est une étape au cours de laquelle le Chef de mission présente aux audités l'OR et le projet du rapport, recueille les compléments d'information et les avis éventuels des audités. Il est conseillé de passer en revue le corps du rapport, page par page, et de recueillir les avis des audités. 11I.3.3.1.4- Réunion de clôture Deux jours au moins avant la fin des travaux sur site, la Mission doit tenir une réunion de clôture pour valider le projet de rapport. Participent à cette réunion, outre le DGCG et ses collaborateurs ayant pris part à la vérification, le Responsable de l'entité auditée, entouré de tous les cadres et, si possible, des AEM de l'entité ou du domaine d'activité concerné. Cette réunion a pour objet de recueillir l'avis des audités sur les conclusions de la mission, de façon à aplanir les divergences persistantes entre les deux parties (Inspecteurs et audités) sur les constats et l'applicabilité de certaines recommandations. Toutefois, en cas de désaccord, la mission est libre de maintenir son opinion, signe de son indépendance. Au début de la réunion, un membre de la mission et un représentant de la partie auditée seront désignés pour rédiger un procès-verbal des échanges. 11I.3.3.1.5- Note de synthèse au Gouverneur La synthèse du projet de rapport est finalisée après la réunion de clôture et transmise au Gouverneur et au Vice-Gouverneur, accompagnée du procès-verbal de la réunion de clôture. BEAC IDGCG - Manuel d'audit de la DGCG _ La lettre de transmission est rédigée par le Chef de mission et revue par le CD avant d'être soumise au DGCG pour signature. 11I.3.3.1.6- Rapport définitif d'audit Figure 5 : Structure du rapport définitif d'audit Après la réunion de clôture, le projet de rapport doit être finalisé dans un délai d'un mois par le Chef de mission qui prend en compte les avis des audités. Il est structuré de la façon suivante : la synthèse (quatre pages maximum) : la même qui est adressée au Gouverneur au Vice-Gouverneur, puis au Comité d'Audit; le corps du rapport: composé essentiellement des FAR, il doit être complet, détaillé et technique sans pour autant se compromettre dans la description des travaux. Le rapport ne doit pas se contenter de faire apparaitre les points négatifs, mais également les points positifs, conformément à la Norme lIA 2410.A2- Contenu de la communication: «Les auditeurs internes sont encouragés à faire état des forces relevées lors de la communication des résultats de la mission », Cette démarche vise à renforcer l'objectivité de l'audit. Les constats sont suivis des commentaires de la partie auditée ; le cahier de recommandations: il dresse la liste des recommandations; BEAC IDGCG - Manuel d'audit de la DGCG _ les annexes. La rédaction du rapport d'audit doit obéir à plusieurs critères, notamment: objectivité: Il doit être factuel et impartial; clarté: phrases simples et suffisamment étayées; concision: faire usage d'un minimum de mots possibles en évitant les détails inutiles; précision: éviter les erreurs. Chaque rapport d'audit porte un numéro d'identification composé de la façon suivante: Département/AnnéelNuméro d'ordre de la mission. Il est examiné nécessairement par un comité de relecture avant sa validation par le DGCG. Il est important d'associer dans ce comité, les Inspecteurs n'ayant pas participé à la mission. 111.3.3.2- Suivi des recommandations N orme lIA 2500- Surveillance des actions de progrès « Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management. » Moins de trois mois après la diffusion du rapport, l'entité auditée doit élaborer un plan d'action à partir du cahier de recommandations contenu dans le rapport définitif. A cet effet, le Responsable de l'entité doit indiquer, pour chacune des recommandations, le ou les responsable(s) chargé(s) de sa mise en œuvre ainsi que la date de celle-ci. A compter de six mois après la diffusion du rapport, le Responsable de l'entité adresse un reporting à la DGCG, présentant l'état d'avancement du plan d'action proposé par ce dernier. Une communication de ce reporting est faite à l'endroit du Comité d'Audit, du Gouverneur, du Vice-Gouverneur et des Directions Centrales pour les parties qui les concernent. Une mission de suivi des recommandations est diligentée sur site, douze mois après transmission du rapport définitif aux audités, en vue de s'assurer de la réalité de leur reporting. BEAC IDGCG - Manuel d'audit de la DGCG _ 111.4- ASSURANCE QUALITE 111.4.1-Evaluation interne de la fonction audit interne Norme liA 1300 - Programme d'assurance et d'amélioration qualité «Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne. » Norme liA 1310 - Exigences du programme d'assurance et d'amélioration qualité « Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu'externes. » Norme liA 1311 - Évaluations internes « Les évaluations internes doivent comporter,' - une surveillance continue de la performance de l'audit interne; - des évaluations périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne. » MPA 1311-1- Evaluation Interne « Les évaluations internes périodiques peuvent,' - comporter des enquêtes et des entretiens plus approfondis avec les parties prenantes de l'audit interne; - être réalisées par les membres de l'audit interne (auto-évaluation) ; - être réalisées par des auditeurs internes certifiés CIA ou par d'autres professionnels de l'audit, intervenant dans d'autres départements de l'organisation; - combiner auto-évaluation et préparation de documents revues ultérieurement par des auditeurs internes certifiés CIA ou par d'autres professionnels de l'audit ; - inclure une étude comparative des pratiques et des indicateurs de performance de l'audit interne et des meilleures pratiques de la profession.» BEAC DGCG - Manuel d'audit 1 de la DGCG _ Le DGCG effectue une auto-évaluation tous les cinq ans de la fonction audit interne. 111.4.2-Enquête de satisfaction de la mission Après la production du rapport définitif, la fiche d'évaluation ci-après est adressée à l'entité auditée pour recueillir son avis sur le déroulement de la mission. ACTIONS Mauvais Moyen Bon Excellent Commentaires Utilité globale de l'audit pour votre entité Prise en compte de vos observations Perturbation des activités courantes de l'entité Communication du rapport d'audit en temps voulu Précision et objectivité du rapport Corn portement des Inspecteurs Le but de cette évaluation post-audit est l'amélioration de la qualité des audits, en aidant les Inspecteurs à acquérir des techniques efficaces pour accomplir leur mission. C'est une étape au cours de laquelle une évaluation de la mission est faite par les audités. 111.4.3-Evaluation externe de la fonction audit interne orme lIA 1312 - Évaluations externes « Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d'évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet: - des modalités et de lafréquence de l'évaluation externe; et - des qualifications de l'évaluateur ou de l'équipe d'évaluation externes. » L'évaluation externe est réalisée par les tiers extérieurs, retenus par la DGCG, ayant une expertise en la matière. BEAC DGCG - Manuel d'audit 1 de la DGCG _ 111.4.4- Indication de non-conformité Norme lIA 1322 - Indication de non-conformité « Quand la non-conformité de l'activité d'audit interne avec la définition de l'audit interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l'audit interne doit informer la direction générale et le Conseil de cette non-conformité et de ses conséq uences. » Lorsqu'une miSSIOn donnée n'a pas été conduite conformément au Code de Déontologie et/ou aux Normes, la communication des résultats doit indiquer: les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec lesquelles la mission n'a pas été en conformité; la ou les raison(s) de la non-conformité; l'incidence de la non-conformité sur la mission et sur les résultats communiqués. Au terme de la mission, le Chef de mission est tenu de mentionner dans le rapport que la mission a été conduite conformément ou non aux dispositions du Code de Déontologie et du Manuel d'audit de la DGCG. 111.5- COMMUNICATION AVEC LES PARTIES PRENANTES Norme lIA 2440 - Diffusion des résultats «Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. » Norme lIA 2410 - Contenu de la communication « La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. » BEAC 1 DGCG - Manuel d'audit de la DGCG _ Norme lIA 2410.Al- Contenu de la communication « La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu'une opinion ou une conclusion sont émises, elles doivent prendre en compte les attentes de la direction générale, du Conseil et des autres parties prenantes. Elles doivent également s'appuyer sur une information suffisante, fiable, pertinente et utile. » 111.5.1-Communication avec le Gouverneur Le DGCG a la responsabilité de transmettre le plan d'audit annuel pour avis, au Gouverneur. La synthèse des rapports d'audit interne pour chaque missron, est transmise au Gouverneur et Vice-Gouverneur. 1I1.5.2-Communication avec le Comité d'Audit Le DGCG a la responsabilité de transmettre le plan d'audit annuel pour approbation, au Comité d'Audit. Il établit et transmet le reporting trimestriel et le rapport annuel d'activité pour examen, au Comité d'Audit. III.5.3- Communication avec les autres parties prenantes Le DGCG échange avec les autres parties prenantes (FMI, Commissaires aux comptes, etc.) dans le cadre de leurs missions. 111.6- AUTRES PROCESSUS DE L'AUDIT INTERNE III.6.1- Matérialité Le Chef de mission détermine la matérialité ou le seuil de tolérance pour la rrussion. La matérialité est le seuil de sélection des éléments à tester. Le seuil de tolérance est quant à lui, la valeur (montant maximum) au-delà de laquelle le risque serait jugé significatif. BEAC IDGCG - Manuel d'audit de la DGCG _ Remarque: Pour la détermination du seuil de tolérance, le Chef de mission s'inspirera de DEMARIS. 111.6.2-Taille des échantillons Le Chef de mission définit la taille de l'échantillon en fonction de la matérialité et de l'univers de la population. 111.6.3- Ressources humaines 111.6.3.1- Indépendance 11I.6.3.1.1- Déclaration d'indépendance par mission Les Inspecteurs doivent effectuer, avant chaque miSSIOn d'audit interne, une déclaration d'indépendance auprès du DGCG. Un formulaire est établi à cet effet. 11I.6.3.1.2- Déclaration d'indépendance annuelle En fin d'année, les Inspecteurs de la DGCG sont tenus de faire une déclaration annuelle d'indépendance auprès du DGCG, pour attester ou non qu'ils ont été en conformité avec les règles d'indépendance au cours de l'année. Le DGCG est tenu de confirmer cette indépendance devant le Comité d'Audit, une fois par an. 111.6.3.2- Confidentialité Les Inspecteurs doivent se conformer aux dispositions relatives à la confidentialité contenues dans le Code de Déontologie. 111.6.3.3- Compétences Les Inspecteurs doivent se conformer aux dispositions du Statut Particulier des Inspecteurs en matière de compétences. 111.6.3.4- Recrutement Le recrutement s'effectue selon les critères retenus dans le Statut Particulier des Inspecteurs. BEAC IDGCG - Manuel d'audit de la DGCG _ 111.6.3.5- Coaching et évaluation Le Chef de mission coache et évalue chaque Inspecteur, membre de l'équipe de la mission. Le Chef de mission est évalué par le CD, qui lui-même est évalué, à son tour, par le DGCG. Le but de cette évaluation est d'inciter les Inspecteurs à améliorer leur façon de travailler et leur comportement, dans l'optique de leur permettre ainsi de progresser. La grille d'évaluation, qui porte sur les qualités factuelles attendues d'un bon Inspecteur, se présente comme suit: Critères 1 2 3 4 Commentaires Maîtrise générale des procédures Qualité du travail : Documentation des PdT, rédaction des livrables, pertinence de l'analyse des risques, sens de l'anticipation, sens de priorité, communication, etc. Quantité du travail : nombre de dossiers examinés par rapport au nombre total de dossiers - les sondages doivent être significatifs et représentatifs, etc. Recueil des preuves: Capacité à rassembler les éléments de preuves relatifs aux écarts constatés (documents, dossiers, plans, tableurs, courriers, etc.) Respect des délais et la gestion du temps Respect des normes déontologiques Aptitudes relationnelles Légende.· 1= Passable, 2= Moyen; 3= Bien, 4= Très bien. La grille est transmise au DGCG par le CD après chaque mission et son contenu est communiqué à l'Inspecteur concerné lors d'un entretien en tête-à-tête. BEAC 1 DGCG - Manuel d'audit de la DGCG _ 111.6.3.6- Formation continue N orme lIA 1230 - Formation professionnelle continue « Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue. » Chaque Inspecteur doit avoir rempli un minimum de 80 heures de formation continue tous les ans. 111.6.3.7- Recours aux experts et spécialistes MPA 1210.Al - Recours à des prestataires externes «Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission. » Au cours d'une mission et pour un domaine de compétence donné, si la DGCG ne dispose pas de qualifications requises, il peut être fait recours à des prestataires externes qualifiés. 111.6.3.8- Rotation des Inspecteurs Le DGCG veillera à ce que les Inspecteurs aient la plus grande diversité en termes d'activité auditée. 111.6.4-Dossier de la mission Norme lIA 2330.- Documentation des informations « Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. » BEAC 1 DGCG - Manuel d'audit de la DGCG _ Norme lIA 2330.A2- Conservation des dossiers « Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quel que soit le support d'archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre. » Au début de chaque mission, le Chef de mission crée un dossier dont le nom est composé de celui de l'entité auditée, du numéro de la mission et de l'année. A l'intérieur de ce dossier, il doit créer quatre autres sous dossiers comme suit: - préparation de la mission: ce sous dossier contient une copie du plan annuel, sur lequel figure la mission, la lettre de mission, les copies scannées des ordres de mission, les informations qui ont été rassemblées sur l'entité auditée ; - planification de la mission: ce sous dossier contient le TaRi, le Rd'O, le programme de travail, le planning des travaux et le macro planning de la mission; - réalisation de la mission: ce sous dossier contient les QCI, les PdT, avec éventuellement les éléments de preuve qui peuvent être mis sous forme électronique, les FAR. - rapport: Ce sous dossier est destiné au rapport d'audit et à ses annexes. Les membres de la mission doivent apporter le plus grand soin à la constitution des dossiers d'audit. Les règles de classement et d'archivage doivent être scrupuleusement respectées par l'Inspecteur. 111.6.4.1- Tenue de dossier en cours de mission Il est recommandé d'ouvrir un chrono par service, pour le classement physique des documents importants de la mission. De façon ordonnée et méthodique, les documents doivent être classés ainsi qu'il suit: l'organigramme du service; la lettre de mission; le TaRi du service audité ; le Rd'O ; le programme de travail ; les PdT ; BEAC 1 DGCG - Manuel d'audit de la DGCG _ les FAR auxquelles sont annexées les pièces justificatives essentielles (Exemples: diverses preuves, pièces comptables, factures, notes de services, etc.). Ce classement, qui doit être supervisé par le Chef de mission, est constitué au fur et à mesure de l'évolution des travaux. Il doit rester accessible et remis au CD, ou au DGCG, s'il en fait la demande. A la fin de la mission, en plus des documents ci-dessus cités, on y ajoute notamment: le rapport d'audit; le plan d'actions; le procès-verbal de la réunion de clôture; etc. Tous les éléments relatifs à une mission feront l'objet d'un archivage aussi bien papier qu'électronique. 111.6.4.2-Archivage 11I.6.4.2.1- Archivage électronique Il est créé par mission un dossier identifié par le nom de l'entité auditée et le numéro d'ordre de la mission. (Exemple: Audit BafoussamIDAIC/2013/03). L'archivage électronique est la transcription des documents de la mISSIOn en fichier électronique. Les dossiers électroniques sont figés sous format PDF, cinq jours après ['émission du rapport définitif Le Département d'audit concerné dispose d'un espace sur le serveur partagé, accessible uniquement par son personnel. 11I.6.4.2.2- Archivage papier A la fin de chaque mission, le Chef de mission s'assure de l'archivage en relation avec la secrétaire du CD. Cinq jours après rémission du rapport définitif, la secrétaire du Département d'audit concerné, sous les directives du Chef de mission, constitue un dossier d'archivage au même contenu que le dossier électronique. Il contiendra également toute la documentation rassemblée par les membres de la mission. Le dossier papier est classé dans les archives du Département d'audit concerné et porte la même référence que le dossier électronique. BEAC 1 DGCG - Manuel d'audit de la DGCG _ Les dossiers papiers sont transmis aux archives mortes après un délai de 8 ans. 111.6.4.3-Accès au dossier N orme lIA 2330.Al. - Contrôle des dossiers d'audit « Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la missio