Dans la première partie du cours, vous avez appréhendé la stratégie globale et les objectifs de votre entreprise. Vous savez maintenant :
quel est son fonctionnement ;
comment les processus et les activités sont structurés pour créer de la valeur ajoutée et générer de la marge.
Vous avez également défini votre vision de l’audit au moyen d’une charte ou d’une politique d’audit. Vous êtes en phase avec vos responsables sur :
votre rôle dans l’entreprise ;
les objectifs de la fonction d’audit ;
et les principes d’actions pour mener des audits pertinents et efficients.
Pour compléter la charte d’audit, je vous propose dans les prochains chapitres de définir le périmètre d'intervention de l’audit, au moyen, bien évidemment, d’une méthode structurée.
Vous allez apprendre à construire un plan d'audit, qui listera tous les audits à réaliser sur des périodes à court terme et moyen/long terme.
Un plan d’audit pluriannuel est établi sur 3 à 5 ans ; tandis qu’un plan d’audit annuel est composé des audits à mener sur l’année, de janvier à décembre.
Un univers d’audit à explorer...
Qu’est-ce que l’univers d’audit ?
L’univers se définit comme un ensemble de galaxies et de planètes, régies par un certain nombre de lois. L’univers d’audit s’apparente à cette notion d'astronomie. En tant qu’auditeur, vous allez explorer ces différentes galaxies et planètes, au sens figuré, bien sûr !
L’univers d’audit est donc votre champ d’action dans l’entreprise. Cependant, tel un scientifique, nous n’aurez pas le temps, ni les ressources financières, pour tout découvrir. Vous voulez vérifier certaines lois fondamentales ou certains concepts en priorité, vous allez donc vous concentrer sur une galaxie ou une planète en particulier.
Pour définir votre univers d’audit, la modélisation des principaux processus dans l’entreprise à partir de la chaîne de valeur que nous avons vue, vous sera utile.
C’est une base de travail à approfondir pour identifier tous les composants organisationnels et techniques de l’entreprise. Cela vous amènerait à identifier toutes les galaxies et les planètes, et à cartographier l’univers.
Équipez-vous de cartographies des processus et des SI
L'établissement d'un plan d'audit doit prendre en compte :
les aspects organisationnels : secteurs d'activité, modèle financier, complexité et interdépendance des processus, localisation des actifs matériels et immatériels, les programmes et projets de transformation ;
les aspects techniques, constitués par les systèmes d'information (SI) : l'architecture composée des couches applicatives, middlewares et infrastructures, la gestion des applications et des opérations, ainsi que les flux entre les applications de l'entreprise.
Pour identifier ces aspects organisationnels et techniques et en déduire les thématiques d’audit, je vous propose de vous appuyer sur les cartographies suivantes :
la cartographie des processus ;
la cartographie des systèmes d’information (SI).
Vous pourrez vous lancer dans ces modélisations, qui vous prendront du temps car vous devrez rencontrer tous les interlocuteurs clés de tous les départements de l’entreprise ; ou bien vous tourner vers les services qui ont probablement déjà réalisé ces cartographies.
La cartographie des processus
Afin d’avoir une vision des activités et de leur interaction dans votre entreprise, la cartographie des processus vous permettra de mettre à plat les processus, et d’analyser précisément le fonctionnement de l'entreprise.
Je vous rappelle ci-dessous la définition d’un processus :
Un processus est un ensemble d’opérations réalisées par des humains ou des machines, permettant de transformer des éléments en entrée, destinés à un autre processus. Un processus peut également être déclenché par un événement, qui aboutira à un résultat tangible.
Dans le cas où vous souhaitez modéliser vous-même la cartographie des processus de votre entreprise, et si vous avez modélisé la chaîne de valeur de Porter, dans le cadre de votre réflexion sur la stratégie d’audit, vous avez déjà une base de travail, puisque vous avez identifié les principaux processus de votre entreprise.
En matière de processus, la norme ISO 9001 est une référence à l’échelle internationale. Cette norme fournit de bonnes pratiques de pilotage d’une entreprise, orientées clients pour satisfaire leurs besoins et leurs attentes, et pour que l’entreprise puisse s’améliorer. La norme ISO 9001 vise à mettre en place un système de management de la qualité, basé sur l’identification des processus, leur séquencement et leurs interactions.
Vous allez probablement être confronté au niveau de granularité de cette analyse. Une cartographie trop générale aura peu d'intérêt opérationnel, tandis qu’une cartographie trop détaillée sera inexploitable.
Dans ce cas, je vous invite à vous questionner sur les destinataires de cette cartographie et à vous mettre à leur place. En outre, vous pouvez également élaborer une cartographie sous formes de vues, sur laquelle il sera possible de zoomer pour avoir plus de détails.
L’approche descendante sera pertinente, en identifiant d’abord les macroprocessus, puis les processus qui les composent, et les sous-processus. Je vous propose un exemple de cartographie dans l’industrie ci-dessous :
Les processus sont regroupés en trois macroprocessus :
pilotage, qui permettent de définir la stratégie, les objectifs de l’organisation, tout en assurant son amélioration continue ;
opérationnels, qui contribuent directement à la réalisation d’un produit ou service, et peuvent être assimilés aux activités de base de la chaîne de valeur. C’est le cœur de métier de l’entreprise ;
support, qui participent au bon fonctionnement des processus opérationnels, en leur fournissant les ressources matérielles et immatérielles.
Les processus opérationnels ont été décomposés en sous-processus, considérés comme trop vastes pour être analysés.
La cartographie des SI
Les entreprises se dotent de nombreux outils qui s’intègrent dans les processus de pilotage (outils d’intelligence économique, de veille), opérationnels (outils de production, ou de gestion des clients), ou de support (outils de facturation, de paie). Ces outils forment le système d’information (SI) et sont connectés à l’intérieur de l’organisation ou à l’extérieur.
Leur représentation vous sera utile pour avoir cette vision interne de l’entreprise, plus technique.
Les objectifs d’une cartographie des SI sont de :
dresser un inventaire du système d’information, c’est-à-dire la liste des composants matériels, logiciels, et réseaux de connexion du SI ;
présenter le système d’information sous forme de vues, avec les différents liens entre les composants.
Le DSI de votre entreprise peut vous fournir une cartographie des SI. En revanche, celle-ci ne répondra pas forcément à votre besoin en tant que responsable de l’audit interne ou auditeur.
Vous trouverez ci-dessous une cartographie simplifiée des applications d’une filiale d’un groupe de distribution. L’objectif de cette cartographie est d’identifier les outils informatiques nécessaires au bon fonctionnement des processus, ainsi que leurs interactions via les flux.
Chaque application de cette cartographie pourra faire l’objet d’un audit. Les flux également peuvent être audités, afin de s’assurer de la cohérence des informations contenues dans chaque outil. De même, dans le cadre d’un audit d’un domaine (ou fonction), les applications utilisées pourront également être auditées. Par exemple :
dans le cadre de l’audit de la fonction des ventes, sur le périmètre de la filiale, les applications suivantes seront revues : éditeurs A, B, C, X et Y ;
dans le cadre de l’audit de la fonction comptable sur le périmètre de la filiale : éditeur X uniquement.
Ces cartographies vous permettent d'identifier toutes les thématiques organisationnelles et SI spécifiques à l'entreprise, pouvant faire l'objet d'un audit. Il s’agit de vos différentes galaxies et planètes dans l’univers d’audit à explorer.
Vous allez donc devoir prioriser les audits avant d’avoir un plan d’audit définitif, qu’il soit sur 3 à 5 ans ou pour l’année. Cette priorisation s’effectue au moyen d’une analyse de risques que nous verrons dans le chapitre 3 de cette partie.
Identifiez également les projets à auditer
En complément des aspects organisationnels et techniques, l’univers d’audit comprend les projets dans l’entreprise, étant donné leurs éventuels enjeux stratégiques.
Vous pouvez donc être amené à auditer des projets à la demande de la direction générale, ou d’autres parties prenantes internes ou externes.
Par exemple, dans le cadre d’un projet de changement d’outil comptable et financier, la direction générale pourra demander un audit du projet afin de s’assurer que les données produites par l’outil sont fiables et de qualité, en vue de la certification des comptes par les CAC.
L’audit permettra d’évaluer la manière dont les risques sont maîtrisés pour atteindre les objectifs du projet, compte tenu des besoins, des coûts et des délais. Vous allez également vous assurer que la gestion de projet est conforme aux bonnes pratiques en la matière. À ce titre, vous vous appuierez sur des standards et des cadres de référence, que nous détaillerons dans le prochain chapitre. Par ailleurs, cette liste de projets devra être mise à jour annuellement dans le cadre d’une démarche d’amélioration continue, sujet traité également dans un autre chapitre. À suivre...
En résumé :
l’univers d’audit est le champ d’action de la fonction d’audit dans l’entreprise ;
il est composé de thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;.
ces thématiques sont identifiées à l’aide de cartographies des processus et des systèmes d’information ;
les projets en cours dans l’entreprise sont également compris dans l’univers d’audit étant donné leurs enjeux stratégiques.
Dans le chapitre suivant, je vous propose de compléter l’univers d’audit avec les cadres de référence et les bonnes pratiques.
