Conduite des travaux d'audit interne
- Réf. 0257
- Date de première publication : 09/12/2021
Cette directive a pour objectif de définir ce qui est attendu des collaborateur/trices de l’Université dans le cadre des activités d’audit menées par le service d’audit interne (SAI)1. Conçue dans un esprit de valorisation des travaux effectués par le SAI, elle concourt à optimiser le processus d’audit, notamment la mise en œuvre des recommandations et leur suivi.
Cette directive est le pendant, interne à l’Université, de la Charte d'audit et du Règlement sur l'indépendance de l'audit interne de l'Université, entré en vigueur le 13 décembre 2019. Tous les deux fixent le cadre de l'action du SAI.
1. Cette procédure est applicable, par analogie, aux différents audits auxquels l’Université peut être soumise.
Définition de l'audit interne
Il existe deux types de missions dans le cadre d’un audit définit ainsi selon l’IIA :
Mission d’assurance
II s’agit d’un examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernance, de management des risques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécurité des systèmes ou de « due diligence ».
Mission de conseil
Il s’agit de conseils et services y afférents rendus à l’organisation donneur d’ordre, dont la nature et le périmètre d’intervention sont convenus au préalable avec elle. Ces activités ont pour objectifs de créer de la valeur ajoutée et d’améliorer les processus de gouvernance, de management des risques et de contrôle d’une organisation sans que l’auditeur interne n’assume aucune responsabilité de management. Quelques exemples : avis, conseil, assistance et formation.
Ce type de mission pouvant placer l’auditeur interne dans une situation de conflit d’intérêts et le Service d’audit interne ayant des ressources limitées, la possibilité d’effectuer des missions de conseil a été suspendue par le Comité d’audit lors de sa séance du 27 septembre 2017.
- Prise de connaissance des éléments utiles à la compréhension des enjeux de l’audit,
- Ordre de mission,
- Préparation de la matrice de contrôle interne,
- Réunion d’ouverture,
- Travaux d’audit et collecte de preuves auprès des audités,
- Rédaction et validation du rapport (cf. détails ci-après).
#1 Cette procédure est applicable, par analogie, aux différents audits auxquels l'Université peut être soumise.
Plan d'audit annuel
1. Le SAI élabore le plan d'audit, qui doit faire l'objet d'une validation par le Comité d'audit. Il se base sur sa propre analyse des risques en prenant en compte celle du Rectorat.
Lors d'une réunion du Comité d'audit et en présence de ses invité-es membres du Rectorat, le projet de plan d'audit annuel est examiné et validé. Sur cette base, le Rectorat au sens large est ensuite informé des missions d'audit envisagées. A cet effet, le/la Secrétaire général-e inscrit un point de discussion lors d'une réunion hebdomadaire du comité de direction du Rectorat et transmet les documents préparés par le SAI. L'objectif visé est d’informer l'ensemble des services du plan d'audit à venir, afin de connaître leurs contraintes et d'identifier les responsables métier (ci-après, référent-es métier) pressenti-es.
2. Le Rectorat est informé officiellement de l'adoption du plan d’audit annuel par le Comité d’audit par courrier (ou mail) adressé au/à la Secrétaire général-e.
3. Le Rectorat valide pour chacun des audits inscrits dans le plan le/la ou les référent-es métier ainsi que les périodes d'intervention planifiées. En cas de difficultés par rapport à la planification prévue, le Rectorat peut adresser une demande de report au Comité d'audit pour arbitrage.
Ordres de mission
4. Le SAI élabore un ordre de mission qui présente le périmètre et les objectifs de l'audit. En cas de besoin, le SAI peut solliciter le/la référent-e métier désigné-e par le Rectorat lors de l'élaboration du projet d'ordre de mission afin d'affiner les éléments.
5. Après validation par le Président du Comité d’audit, l’ordre de mission est présenté lors d'une réunion hebdomadaire du comité de direction du Rectorat. Si des difficultés particulières sont relevées par le/la référent-e métier, elles sont exposées au Rectorat pour résolution. Le cas échéant, elles sont remontées au Comité d'audit pour arbitrage.
6. Le Rectorat finalise le choix du/de la référent-e métier qui sera l’interlocuteur/trice principal-e du SAI dans le déroulement de l’audit, ainsi que le/la Vice-Recteur/trice concerné-e.
Déroulement d'une mission d'audit interne
7. Sur la base de l’ordre de mission, l’audit est lancé et géré par le SAI. Le/la référent-e métier est informé-e par le SAI du programme de travail (avec la liste initiale des personnes à rencontrer), ainsi que de la méthodologie développée pour mener à terme la mission d’audit. En cas de modification(s) ultérieure(s) importantes(s) de la mission (liste initiale des personnes à rencontrer, changement du périmètre de l'audit, modification des objectifs, etc.), le/la référent-e métier en est informé-e dès que le SAI a connaissance des modifications (validées par le Comité d'audit).
8. Le/la référent-e métier informe, dans les meilleurs délais, les personnes à rencontrer de la visite du SAI, du périmètre et du contenu de la mission d’audit. Dans ce cadre, il remet une copie de l’ordre de mission, ainsi que des consignes pour garantir un déroulement optimal de la mission d’audit.
9. Les personnes rencontrées informent le/la référent-e métier du contenu des discussions avec le SAI et fournissent, le cas échéant, une copie des documents / données transmises au SAI.
10. Pendant le déroulement de l’audit, une étroite communication et collaboration se met en place entre le/la référent-e métier et le SAI au sujet de l'état d'avancement des travaux.
Projet de rapport d'audit et de la position de l'audité
11. L’auditeur interne présente, lors d'une séance de restitution, ses principaux constats et projets de recommandations au/à la référent-e métier. Le SAI rédige alors une première version du rapport d'audit version V1 et l'adresse au/à la référent-e métier qui dispose alors de 20 jours pour partager ses remarques et commentaires au SAI.
12. S'il le juge nécessaire, le SAI prend en compte dans son rapport les comentaires du/de la référent-e métier et établit, sous 10 jours, une version V2 du projet de rapport avec synthèse et cotation des risques qu'il renvoit au/à la référent-e métier.
Conformément à l'article 9 alinéa 5 lettre b du Règlement sur l'indépendance de l'audit interne, le projet de rapport d'audit doit être soumis au Rectorat dans un délai d'un mois après la fin des travaux avec les audité-es correspondant à la réception de la V1 du rapport par le/la référent-e métier.
13. Le projet de rapport V2 est présenté par le/la référent-e métier au/à la Vice-recteur/trice concerné-e pour commentaires lors d'une séance à laquelle le/la Secrétaire général-e ainsi que les personnes en charge de l'assurance qualité "AQ" peuvent être conviés. Le SAI peut participer aux discussions si sa présence est demandée. S'il le juge nécessaire, le SAI amende ce projet de rapport en fonction des derniers commentaires du/de la Vice-recteur/trice, du/de la Secrétaire général-e et de l'AQ.
14. Le/la référent-e métier et/ou l'audité-e et/ou le-la Vice-recteur/trice concerné-e:
- - Accepte ou rehette la recommandation (prise de position),
- - Propose une première ébauche de prises de position sous forme de plan d'intention avec le/la responsable par action correctrice,
- - Définit le délai approximatif de mise en place de la recommandation.
Ce rapport complété du plan d'intention constitue la version V3 de ce document.
Rédaction et validation du rapport final d'audit
15. Le/la référent métier inscrit le projet de rapport d'audit V3 à l'ordre du jour d'une réunion plénière hebdomadaire du Comité de direction du Rectorat. Lors de cette séance, il/elle présente les constats et les recommandations du SAI, invité lors de cette séance avec la présence de l'AQ. Le/la référent-e métier expose les projets de prises de position et fait part du plan d'intention ainsi que des délais approximatifs pour les réaliser.
16. Le Rectorat, en tant que direction de l'Université, prend acte formellement du rapport d’audit par une décision protocolée et arrête sa position d’audité et son plan d'intention pour obtenir une version V4.
Conformément à l'article 9 alinéa 5 lettre c du Règlement sur l'indépendance de l'audit interne, le Rectorat doit rédiger et valider ses prises de position ainsi que son plan d'intention dans un délai d'un mois après réception du projet de rapport V2.
17. Lorsque le Rectorat refuse une recommandation ou décide de ne pas entrer en matière, un exposé des motifs expliquant les raisons de ce refus doit accompagner la décision. Si le SAI juge la prise de risque inacceptable, il en discute avec le Rectorat. Si la divergence de points de vue subsiste, le SAI en informe le Comité d'audit pour en discuter avec le Rectorat. Si ce dernier maintient sa position, le Comité d'audit le mentionne dans son rapport semestriel au Conseil d'Etat et au Rectorat.
18. Le SAI finalise le rapport d'audit dans un délai de maximum 2 semaines après réception du document suite à la séance du Comité de direction conformément à l'article 9 alinéa 5 lettre d du Règlement sur l'indépendance de l'audit interne etle transmet au Comité d'audit en vue de sa validation lors du Comité d'audit trimestriel et obtenir ainsi la version finale du rapport (V finale).
19. Le Rectorat désigne le/la référent-e métier qui prend en charge l'établissement du plan d'action et qui précise les délais de mise en oeuvre sur la base de cette version V finale (cf. point 21).
Conformément à l'article 9 alinéa 5 lettre a du Règlement sur l'indépendance de l'audit interne, les rapports d'audit doivent être adressés au Comité d'audit dans un délai de 2 à 3 mois à partir de la fin des travaux avec les audité-es, soit à partir du partage au-à la référent-e métier du projet de rapport V1.
20. Tout retard dans les délais indiqués dans les paragraphes précédents, jugé significatif par le SAI, sera notifié par ce dernier au Rectorat. Le Rectorat prendra les mesures nécessaires afin que les délais soient tenus. Dans le cas où les actions entreprises ne génèrent pas les résultats escomptés, le SAI informera le Comité d'audit qui décidera, le cas échéant, si une communication au Conseil d'Etat est nécessaire.
Plan d'action et son suivi
21. Dans un délai de 3 mois après l’adoption du rapport par le Comité d'audit et sur la base du plan d'intention de la V finale préalablement validée par le Rectorat, le/la référent-e métier propose un plan d’action détaillé au Rectorat. Ledit plan d'action comprend une description des actions, les responsables de leur mise en œuvre et le calendrier précis par action. Le plan d'action est formellement approuvé par le Rectorat par une décision protocolée.
22. Le/la référent-e métier en charge du plan d’action s’assure de la bonne mise en oeuvre des mesures proposées et du respect du calendrier. L'assurance qualité, "AQ" dépendant du Rectorat, joue un rôle d'accompagnement et d'assurance de la mise en oeuvre des plans d'actions dans les délais définis.
23. Le/la référent-e métier doit présenter au moins une fois par an lors d'une séance du Rectorat l'état d'avancement de son plan d'action avec les statuts en les expliquant. Sur proposition du/de la référent-e métier et après que l'AQ a vérifié que les mesures mises en place soient cohérentes avec la recommandation et la prise de position du Rectorat, ce dernier valide en séance plénière de Comité de direction formellement chaque action considérée comme définitivement traitée.
24. L'AQ assure un suivi régulier (au minimum annuel ou lorsque les circonstances l'obligent) du plan d'action des audits. Il produit une présentation synthétique annuelle (en principe en fin d'année) des actions et des réalisations pour le Comité d'audit et le SAI. Ce document, validé par le Rectorat, permet d'une part de résumer l'état d'avancement de mise en oeuvre des recommandations et d'autre part, d'expliquer les écarts avec le plan d'action et les éventuelles diffucultés rencontrées. Le Comité d'audit peut décider d'ajouter ce document en annexe de son rapport adressé au Conseil d'Etat.
25. Sur la base du suivi du plan d’action effectué par l’AQ et afin de s’assurer de l’efficience du pilotage réalisé par le Rectorat, le SAI réalise, conformément à la norme professionnelle 2500 de l’IIA, une surveillance périodique (au minimum annuelle ou lorsque les circonstances l’obligent) des actions de progrès ou de déviance des recommandations. Ce suivi se fera essentiellement sur un mode déclaratif par le biais du tableau de suivi des recommandations (plan d’action mis à jour) adressé par l’AQ aux audité-es et par la participation du SAI aux séances de Comité de direction évoquées au point 23. Toutefois, le SAI peut être amené à réaliser un suivi direct sur le terrain avec les audités dans certains cas (incertitude sur l’efficience de la mesure, retard significatif injustifié, preuves d’audit non satisfaisantes, etc.). Dans ce cas, l’audit de suivi sera intégré dans le plan d’audit annuel et validé par le Comité d’audit. Que ce soit via un mode de suivi « déclaratif » ou « sur le terrain », le SAI évaluera quantitativement et qualitativement les mesures mises en oeuvre.
26. Toute première demande de report dans l’exécution du plan d’action supérieure à 3 mois devra être validée par le SAI. Toute demande additionnelle devra être adressée, par le biais du SAI, au Comité d’audit qui accordera ou non une nouvelle prolongation. En cas de dépassement des délais, jugé critique par le Comiét d'audit, celui-ci pourra décider de réévaluer la gravité des recommandations et, le cas échéant, informer le Conseil d'Etat de ce retard.
27. Lorsque toutes les actions sont considérées comme définitivement traitées par le/la référent-e métier, le Rectorat valide formellement, en séance de Comité de direction, la clôture du suivi de l’audit.
28. Le Rectorat informe le SAI de cette clôture et l’invite lors d’une séance de direction ad hoc.
29. Le SAI peut proposer un audit de suivi au Comité d’audit dès que l’ensemble du plan d’action est réalisé en fonction du degré de gravité de risques et de son occurrence.
30. Les entités autres que le SAI ayant réalisé des audits à l’UNIGE (service d’audit interne de l’Etat de Genève, Cour des comptes, etc.) seront chargées d’assurer le suivi de leurs recommandations assistées par l’AQ et de faire part des résultats au SAI.
Schéma des différentes étapes du rapport d'audit et de son suivi