Conduite des travaux d'audit interne

  • Réf. 0257
  • Date de publication : 09/12/2021

Cette directive a pour objectif de définir ce qui est attendu des collaborateur/trices de l’Université dans le cadre des activités d’audit menées par le service d’audit interne1. Conçue dans un esprit de valorisation des travaux effectués par le service d’audit interne, elle concourt à optimiser le processus d’audit, notamment la mise en œuvre des recommandations et leur suivi.  

Cette directive est le pendant, interne à l’Université, de la Charte d'audit et du Règlement sur l'indépendance de l'audit interne de l'Université, entré en vigueur le 13 décembre 2019. Tous les deux fixent le cadre de l'action du SAI.
 

1. Cette procédure est applicable, par analogie, aux différents audits auxquels l’Université peut être soumise.

Définition de l'audit interne

« The Institute of Internal Auditors » (IIA) définit l’audit interne comme une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour renforcer leur efficacité.

Il existe deux types de missions dans le cadre d’un audit définit ainsi selon l’IIA :

Mission d’assurance
II s’agit d’un examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernance, de management des risques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécurité des systèmes ou de « due diligence ».

Mission de conseil
Il s’agit de conseils et services y afférents rendus à l’organisation donneur d’ordre, dont la nature et le périmètre d’intervention sont convenus au préalable avec elle. Ces activités ont pour objectifs de créer de la valeur ajoutée et d’améliorer les processus de gouvernance, de management des risques et de contrôle d’une organisation sans que l’auditeur interne n’assume aucune responsabilité de management. Quelques exemples : avis, conseil, assistance et formation.
Ce type de mission pouvant placer l’auditeur interne dans une situation de conflit d’intérêts et le Service d’audit interne ayant des ressources limitées, la possibilité d’effectuer des missions de conseil a été suspendue par le Comité d’audit lors de sa séance du 27 septembre 2017.
Les principales étapes d’une mission d’assurance sont les suivantes :
- Prise de connaissance des éléments utiles à la compréhension des enjeux de l’audit
- Ordre de mission
- Préparation de la matrice de contrôle interne
- Réunion d’ouverture
- Travaux d’audit et collecte de preuves auprès des audités
- Rédaction et validation du rapport (cf. détails ci-après)

Plan d'audit annuel

1. Le SAI élabore le plan d'audit, qui doit faire l'objet d'une validation par le Comité d'audit. Il se base sur sa propre analyse des risques en prenant en compte celle du Rectorat.

Lors d'une réunion du Comité d'audit et en présence de ses invités membres du Rectorat, le projet de plan d'audit annuel est examiné et validé. Sur cette base, le Rectorat au sens large est ensuite informé des missions d'audit envisagées. A cet effet, le/la Secrétaire général-e inscrit un point de discussion lors d'une réunion hebdomadaire du comité de direction du Rectorat et  transmet les documents préparés par le SAI. L'objectif visé est d’informer l'ensemble des services du plan d'audit à venir, afin de connaître leurs contraintes et d'identifier les responsables métier (ci-après, référent-es métier) pressenti-es.

2. Le Rectorat est informé officiellement de l'adoption du plan d’audit annuel par le Comité d’audit par courrier (ou mail)  adressé au/à la Secrétaire général-e.

3. Le Rectorat valide pour chacun des audits inscrits dans le plan le/la ou les référent-es métier ainsi que les périodes d'intervention planifiées. En cas de difficultés par rapport à la planification prévue, le Rectorat peut adresser une demande de report au Comité d'audit pour arbitrage.

Ordres de mission

4. Le SAI élabore un ordre de mission qui présente le périmètre et les objectifs de l'audit. En cas de besoin, le SAI peut solliciter le/la référent-e métier désigné-e par le Rectorat lors de l'élaboration du projet d'ordre de mission afin d'affiner les éléments.

5. Après validation par le Président du Comité d’audit, l’ordre de mission est présenté lors d'une réunion hebdomadaire du comité de direction du Rectorat. Si des difficultés particulières sont relevées par le/la référent-e métier, elles sont exposées au Rectorat pour résolution. Le cas échéant, elles sont remontées au Comité d'audit pour arbitrage.

6. Le Rectorat finalise le choix du/de la référent-e métier qui sera l’interlocuteur/trice  principal-e du SAI dans le déroulement de l’audit, ainsi que le/la Vice-Recteur/trice concerné-e.

Déroulement d'une mission d'audit interne

7. Sur la base de l’ordre de mission, l’audit est lancé et géré par le SAI. Le/la référent-e métier est informé-e par le SAI du programme de travail  (avec la liste initiale des personnes à rencontrer), ainsi que de la méthodologie développée pour mener à terme la mission d’audit. En cas de modification(s) ultérieure(s) importantes(s) de la mission (liste initiale des personnes à rencontrer, changement du périmètre de l'audit, modification des objectifs, etc.), le/la référent-e métier en est informé-e dès que le SAI a connaissance des modifications (validées par le Comité d'audit).

8. Le/la référent-e métier informe, dans les meilleurs délais, les personnes à rencontrer de la visite du SAI, du périmètre et du contenu de la mission d’audit. Dans ce cadre, il remet une copie de l’ordre de mission, ainsi que des consignes pour garantir un déroulement optimal de la mission d’audit.

9. Les personnes rencontrées informent le/la référent-e métier du contenu des discussions avec le SAI et fournissent, le cas échéant, une copie des documents / données transmises au SAI.

10. Pendant le déroulement de l’audit, une étroite communication et collaboration se met en place entre le/la référent-e métier et le SAI au sujet de l'état d'avancement des travaux.

Projet de rapport d'audit et de la position de l'audité

11. L’auditeur interne après revue de la version V1 par les audités, présente lors d'une réunion de clôture, une première version du rapport d’audit au/à la  référent-e métier pour discussion des constats et des recommandations. Il s'agit de la version V1 finalisée du projet de rapport.

12.  S'il le juge nécessaire, le SAI prend en compte dans son rapport les comentaires du/de la référent-e métier et établit une version V2 du projet de rapport avec synthèse et cotation des risques, dans un délai maximum de 30 jours conformément à l'article 9 alinéa 5 lettre b du Règlement sur l'indépendance de l'audit interne et l'envoie au Rectorat.

13. Le projet de rapport V2 est présenté par le/la référent-e métier au/à la Vice-recteur/trice concerné-e pour commentaires lors d'une séance à laquelle le Secrétaire général ainsi que les personnes en charge de l'assurance qualité "AQ" peuvent être conviés. Le SAI peut participer aux discussions si sa présence est demandée. S'il le juge nécessaire, le SAI amende ce projet de rapport en fonction des derniers commentaires du/de la Vice-recteur/trice, du Secrétaire général et de l'AQ.

14. Le/la référent-e métier et/ou l'audité-e et/ou le/la Vice-recteur/trice concerné-e:

  • - Accepte ou rehette la recommandation (prise de position)
  • - Propose une première ébauche de prises de position sous forme de plan d'intention avec le/la responsable par action correctrice,
  • - Définit le délai approximatif de mise en place de la recommandation.

Ce rapport complété du plan d'intention constitue la version V3 de ce document.

Rédaction et validation du rapport final d'audit

15. Le/la référent métier inscrit, le projet de rapport d'audit V3 à l'ordre du jour d'une réunion hebdomadaire du Comité de direction du Rectorat. Lors de cette séance, il/elle présente les constats et les recommandations du SAI, invité lors de cette séance avec la présence de l'AQ. Le/la référent-e métier expose les projets de prises de position et fait part du plan d'intention ainsi que des délais approximatifs pour les réaliser.

16. Le Rectorat prend acte formellement du rapport d’audit par une décision protocolée et arrête sa position d’audité et son plan d'intention, en tant que direction de l’Université pour obtenir une version V4. Conformément à l'article 9 alinéa 5 lettre c du Règlement sur l'indépendance de l'audit interne, le Rectorat doit rédiger et valider ses prises de position ainsi que son plan d'intention dans un délai d'un mois après réception du projet de rapport V2.

17. Lorsque le Rectorat refuse une recommandation ou décide de ne pas entrer en matière, un exposé des motifs expliquant les raisons de ce refus doit accompagner la décision. Si le SAI juge la prise de risque inacceptable, il en discute avec le Rectorat. Si la divergence de points de vue subsiste, le SAI en informe le Comité d'audit. Si le Rectorat maintient sa position, le Comité d'audit le mentionne dans son rapport semestriel au Conseil d'Etat et au Rectorat.

18. Le SAI finalise le rapport d'audit dans un délai de maximum  2 semaines après réception du document suite à la séance du Comité de direction conformément à l'article 9 alinéa 5 lettre d du Règlement sur l'indépendance de l'audit interne etle transmet au Comité d'audit en vue de sa validation lors du Comité d'audit trimestriel et obtenir ainsi la version V finale du rapport.

19. Le Rectorat désigne le/la référent-e métier qui prend en charge l'établissement du plan d'actions et qui précise les délais de mise en oeuvre sur la base de cette version V finale (cf. point 21).

20. Le processus d'édition des rapports d'audit doit respecter un délai de 2 à 3 mois à partir de la fin des travaux avec les audité-es, soit à partir du projet de rapport V1 finalisé avec les audté-es.

Plan d'actions et son suivi

21. Dans un délai de 2 à 3 mois après l’adoption du rapport par le Rectorat et sur la base du plan d'intention de la V finale, le/la référent-e métier propose un plan d’actions détaillé au Rectorat. Ledit plan d'actions comprend une description des actions, les responsables de leur mise en œuvre et le calendrier précis par action. Le plan d'actions est formellement approuvé par le Rectorat par une décision protocolée.

22. Le/la référent-e métier en charge du plan d’actions s’assure de la bonne mise en oeuvre des mesures proposées et du respect du calendrier. L'assurance qualité, "AQ" dépendant du Rectorat, joue un rôle d'accompagnement et d'assurance de la mise en oeuvre des plans d'actions dans les délais définis.

23. Le/la référent-e métier doit présenter au moins une fois par an lors d'une séance du Rectorat l'état d'avancement de son plan d'actions avec les statuts en les expliquant. Sur proposition du/de la référent-e métier et après que l'AQ ait vérifié que les mesures mises en place sont cohérentes avec la recommandation et la prise de position du Rectorat, ce dernier valide en séance de Comité de direction formellement chaque action considérée comme définitivement traitée.

24. L'AQ assure un suivi régulier (au minimum annuel ou lorsque les circonstances l'obligent) du plan d'actions des audits. Il produit une présentation synthétique annuelle (en principe en fin d'année) des actions et des réalisations pour le Comité d'audit et le SAI. Ce document, validé par le Rectorat, permet d'une part de résumer l'état d'avancement de mise en oeuvre des recommandations et d'autre part, d'expliquer les écarts avec le plan d'actions et les éventuelles diffucultés rencontrées. Le Comité d'audit peut décider d'ajouter ce document en annexe de son rapport adressé au Conseil d'Etat.

25. Sur la base du suivi du plan d’actions effectué par l’AQ et afin de s’assurer de l’efficience du pilotage réalisé par le Rectorat, le SAI réalise, conformément à la norme professionnelle 2500 de l’IIA, une surveillance périodique (au minimum annuelle ou lorsque les circonstances l’obligent) des actions de progrès ou de déviance des recommandations présentant un risque majeur. Ce suivi se fera essentiellement sur un mode déclaratif par le biais du tableau de suivi des recommandations (plan d’actions mis à jour) adressé par l’AQ aux audité-es et par la participation du SAI aux séances de Comité de direction évoquées au point 23. Toutefois, le SAI peut être amené à réaliser un suivi direct sur le terrain avec les audités dans certains cas (incertitude sur l’efficience de la mesure, retard significatif injustifié, preuves d’audit non satisfaisantes…). Dans ce cas, l’audit de suivi sera intégré dans le plan d’audit annuel et validé par le Comité d’audit. Que ce soit via un mode de suivi « déclaratif » ou « sur le terrain », le SAI évaluera quantitativement et qualitativement les mesures mises en oeuvre.

26. Toute première demande de report dans l’exécution du plan d’actions supérieure à 3 mois devra être validée par le SAI. Toute demande additionnelle devra être adressée, par le biais du SAI, au Comité d’audit qui accordera ou non une nouvelle prolongation.

27. Lorsque toutes les actions sont considérées comme définitivement traitées par le/la référent-e métier, le Rectorat valide formellement la clôture du suivi de l’audit.

28. Le Rectorat informe le SAI de cette clôture et l’invite lors d’une séance de direction ad hoc.

29. Le SAI propose un audit de suivi au Comité d’audit dès que l’ensemble du plan d’actions est réalisé en fonction du degré de gravité de risques et de son occurrence.

30. Les entités autres que le SAI ayant réalisé des audits à l’UNIGE (service d’audit interne de l’Etat de Genève, Cour des comptes…) seront chargées d’assurer le suivi de leurs recommandations assistées par l’AQ et de faire part des résultats au SAI. Le SAI peut proposer au Comité d'audit un audit de suivi dès que l'ensemble du plan d'action est réalisé.


Version Objet de la modification Date de publication
4 Révision du document et du processus 09.12.2021
3 Révision complète du document 23.07.2020
2 Modifications apportées pour préciser le flux du traitement des actions 25.11.2017
1

Document contrôlé à jour en mai 2015

27.03.2014 : modification hors processus de révision, point 18) six en lieu et place de 4 ; correction d'une coquille

Document contrôlé à jour en mars 2014

(1) 26.09.2013 : correction mineure hors processus de révision : six en lieu et place de quatre selon décision du Rectorat du 16.09.2013

Document contrôlé à jour en février 2013
19.04.2012 : Modification adoptée par le Rectorat le 02.04.2012, à savoir ajout d'un tableau donnant des précisions quant aux responsabilités attribuées au référent métier et au vice-recteur en charge du domaine (consignes).
Création
30.09.2011
Vérificateur/trice Jonathan Dadoun (Directeur du service d'audit interne)
Approbateur/trice Didier Raboud (Secrétaire général)

Dernières modifications : 13/10/2023