Améliorer la coopération entre l'audit interne et l'audit externe

28
AMÉLIORER LA COOPÉRATION ENTRE L'AUDIT INTERNE ET L'AUDIT EXTERNE PRISE DE POSITION

Transcript of Améliorer la coopération entre l'audit interne et l'audit externe

Page 1: Améliorer la coopération entre l'audit interne et l'audit externe

AMÉLIORERLA COOPÉRATIONENTRE L'AUDIT INTERNEET L'AUDIT EXTERNEP

RIS

E D

E P

OSI

TIO

N

Page 2: Améliorer la coopération entre l'audit interne et l'audit externe

© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Les auditeurs partenaireset alliés indispensablesdes administrateurs dans l’exercice de leursmissions

On sait les missions essentielles imparties aux conseils d’adminis-tration dans la gouvernance de l’entreprise : contribuer à l’élabo-ration de la stratégie et veiller à sa bonne mise en œuvre ; arrêterles comptes et s’assurer de la qualité de l’information financièredonnée par la société à ses actionnaires ; nommer les dirigeantsmandataires sociaux, évaluer leurs performances, décider de leurrémunération et de leur succession ; veiller à l’efficacité des sys-tèmes de contrôle interne et de gestion des risques.

Pour exercer de manière effective et efficace ces missions, lesadministrateurs, en particulier les administrateurs extérieurs, ontbesoin de recevoir du management de la société une informationaussi complète, rapide et sincère que possible sur les sujets dontils ont à délibérer et à décider. Mais ils ont aussi besoin d’avoiraccès aux professionnels qui, dans l’entreprise ou auprès d’elle,sont en charge de fonctions d’audit, de contrôle et d’évaluation,au premier rang desquels les auditeurs internes et externes.

C’est le plus souvent par l’intermédiaire des comités d’audit quese sont construites au fil du temps ces relations faites de profes-sionnalisme, de transparence et de confiance entre ces acteurs dela gouvernance auxquels la législation et les codes ont confié laresponsabilité de veiller à la fiabilité et à la qualité des comptes,de l’information financière et du dispositif de contrôle interne etde gestion des risques. Quels progrès avons-nous réalisé depuisune dizaine d’années dans les outils développés par les uns et lesautres, dans l’intimité et la sincérité de leurs échanges, dans le pro-fessionnalisme et la déontologie de leurs pratiques.

Je salue l’initiative prise par la CNCC et l’IFACI d’une publicationcommune sur le sujet qui contribuera, j’en suis convaincu, à denouvelles avancées dans la gouvernance de nos entreprises.

Daniel LebèguePrésident d’honneur de l’Institut français des administrateurs

Page 3: Améliorer la coopération entre l'audit interne et l'audit externe

3© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

EDITORIALL’IFACI (Institut Français de l’Audit et du Contrôle Internes)et la CNCC (Compagnie Nationale des Commissaires auxComptes) se sont appuyés sur les travaux de l’ECIIA, qu’ilsont adapté à l’environnement français. L'ECIIA est la Confé-dération européenne qui rassemble 34 instituts nationauxde l'IIA (The Institute of Internal Auditors).

Nos deux organisations ont souhaité se faire l’écho de cetteprise de position qui vise à rappeler les bénéfices d’uneinteraction entre l’audit interne et l’audit externe. Nousavons notamment souhaité souligner les relations que nousentretenons avec le comité d’audit dans le cadre d’un« triangle d’or » qui contribue à la bonne gouvernance et àla qualité des dispositifs de management des risques et decontrôle interne. Nous avons également illustré cette coo-pération autour d’un socle commun à nos deux profes-sions : l’approche par les risques.

Nous adressons nos remerciements aux membres dugroupe de travail qui, sous le pilotage de Jean Bouquot etde Marie-Hélène Laimay, ont contribué à cette prise deposition.

Pour l’IFACI : Béatrice Ki-Zerbo Philippe Mocquard Jean-Marie Pivard Michel Uhart Najwa Ziani

Pour la CNCC : Jean-Luc Barlet François Guillon Marie-Agnès Hans-Muris Bertrand Pruvost Isabelle Tracq-Sengeissen Jean-Paul Vellutini

Farid Aractingi Yves NicolasPrésident de l’IFACI Président de la CNCC

Table des matières

PRÉAMBULE ....................................................... 4

Des structures de taille et d’activité différentes ...................................................... 4

Une collaboration fructueuse entre l’audit interne et l’audit externe ....... 4

INTRODUCTION .............................................. 6

LES RÔLES ET RESPONSABILITÉS DE L'AUDIT INTERNE ...................................... 7

LES RÔLES ET RESPONSABILITÉS DE L'AUDIT EXTERNE ..................................... 8

INTERACTION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE ...................................... 9

Des rôles distincts ................................... 10

Interaction et coopération ................ 11

CONCLUSION ................................................. 13

ANNEXES .......................................................... 14

1. Audit externe, audit interne,organes de gouvernance :« Le triangle d’or » ..................................14

2. Cartographie des risques ................ 17

3. Exemples des bonnes pratiquespour une coopération efficace ... 20

3.1. Cartographie des fonctions d’assurance ..................................... 20

3.2. Un exemple du secteur bancaire ............................................ 21

3.3. Un exemple du secteur del’énergie ............................................. 22

BIBLIOGRAPHIE ............................................. 23

NOS MISSIONS .............................................. 25

Page 4: Améliorer la coopération entre l'audit interne et l'audit externe

4 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

PRÉAMBULE« Un dialogue régulier devrait avoir lieu entre le comité d'audit de l'entreprise, l'auditeur externe (légal) et l'auditeurinterne afin de garantir que les fonctions de respect de la conformité, de contrôle du risque et de vérificationapprofondie des actifs, des passifs, des produits et des dépenses sont mises en œuvre de manière rigoureuse ».1

1 Livre vert – Politique en matière d'audit :les leçons de la crise – 13 octobre 2010

2 Cf. article 1 du Code de déontologie de la professionde Commissaires aux comptes

3 Dans la suite de ce document, on entendra par Conseil, le conseild’administration ou le conseil de surveillance

Ces exigences sont valables au-delà des entre-prises dont les titres sont admis aux négociationssur un marché réglementé.

Des structures de taille etd’activité différentes

L’audit interne est présent dans des structures detaille et d’activité très variées : entreprises dont lestitres sont admis aux négociations sur un marchérèglementé en France et dans d’autres pays, éta-blissements gérant des activités financières, struc-tures non cotées, secteur public, associations…En évaluant les processus de gouvernement d’en-treprise, de management des risques et decontrôle interne, l’audit interne contribue à l’effi-cacité et à l’amélioration continue de ces diffé-rents types organisations.

Dans la plupart de ces structures, un ou plusieursauditeurs externes ont pour mission d’effectuerun audit des comptes annuels, de réaliser d’autresinterventions prévues par la loi française et le caséchéant d’effectuer un examen limité descomptes semestriels. Les auditeurs externes peu-vent, par ailleurs, réaliser d’autres interventions àla demande de l’entité (audits, examens limités,procédures convenues, attestations…) dans lecadre des diligences directement liées à leur mis-sion2.

Bien qu’encadrés par des normes profession-nelles, la pratique et les moyens affectés à l’auditinterne différent d’une entité à l’autre, en fonctiondes objectifs qui sont assignés à cette fonctionainsi que des règlementations qui s’imposent àl’entité en matière de contrôle interne. Ainsi, l’au-dit interne pourra avoir des effectifs plus ou moinsnombreux, recourir ou non à de la sous-traitance...De même, certains auditeurs internes pourrontêtre affectés à cette fonction à plein temps, ou

réaliser cette activité ponctuellement ou de façonrégulière en complément d’autres activités dansla structure.

De la même façon, les équipes d’audit externepourront être composées de nombreux collabo-rateurs et experts, parfois de plusieurs cabinets etdans différents pays, ou bien être composéesd’un nombre plus restreint de collaborateurs.

Une collaboration fructueuseentre l’audit interne et l’auditexterne

Quelle que soit la taille de l’entité et des équipesd’auditeurs internes et externes, la collaborationdes auditeurs internes et des auditeurs externesest pertinente et porteuse de valeur ajoutée pourl’entité : Lors de la prise de connaissance de l’entité

et de l’évaluation des risques d’anomaliessignificatives dans les comptes, afin de par-tager leur connaissance de l’organisation etdes procédures de l’entité, ainsi que des fai-blesses de contrôle interne et le cas échéantdes fraudes identifiées ou suspectées.

Tout au long de l’année, dans le cadre de lapréparation des réunions des organes degouvernance (comité d’audit / conseil d’ad-ministration ou conseil de surveillance3), afinde présenter une information coordonnéeet pertinente sur les sujets relatifs aucontrôle interne et à l’établissement descomptes.

Page 5: Améliorer la coopération entre l'audit interne et l'audit externe

5© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

4 Cf. ISA 610 et NEP 610 relatives à la prise de connaissanceet à l’utilisation des travaux de l'audit interne

Plus particulièrement, quand, en applicationde ses normes professionnelles4, l’auditeurexterne a déterminé que les qualificationsprofessionnelles, l’expérience, la compé-tence, l’objectivité des membres de l’auditinterne, les procédures qu’ils appliquent etleur documentation lui permettent de s’ap-puyer sur ses travaux dans certainsdomaines. L’auditeur externe prend alorsconnaissance des travaux réalisés par l’auditinterne dans ces domaines et réalise des tra-vaux pour en vérifier la fiabilité. Ainsi, laredondance de certaines procédures entrel’audit interne et l’audit externe peut êtreévitée.

Pour être efficace, le dialogue entre l’audit interneet l’audit externe se déroule de manière régulièreet tout au long du cycle d’audit (des travaux pré-liminaires et de planification, au suivi des actionscorrectives cf. annexe 3.3). Il soutient les échangesavec les organes de gouvernance (Comité d’au-dit / conseil) dans le cadre du « triangle d’or » (cf.annexe 1).

L’auditeur externe s’intéressera naturellement àtous les sujets liés au contrôle interne comptableet financier, mais il trouvera également des élé-ments pertinents pour sa mission dans d’autresinterventions de l’audit interne relatives à : la cartographie des risques (cf. annexe 2) et

à la cartographie des fonctions d’assurance(cf. annexe 3.1) ;

l’appréciation du respect des textes légauxet des règlementations propres à l’entité, ycompris dans le domaine financier ou envi-ronnemental ;

l’analyse du pilotage stratégique, notam-ment l’évaluation de la déclinaison de la stra-tégie du groupe au niveau des filiales et dela coordination des activités opération-nelles ;

la revue des business plans à moyen / longterme des filiales ;

l’évaluation de l’efficacité opérationnelle descontrôles au sein des processus de reportingfinancier.

Ce document n’a pas vocation à établir une listeexhaustive des modalités de collaboration entrel’audit interne et l’audit externe. Il fournit des pro-positions concrètes de coordination fondées surles normes professionnelles (ISA / NEP, IIA / IFACI) ;la synthèse de retour d’expériences au niveauinternational (IAASB, ECIIA) et national (IFACI /CNCC). Ces travaux ont également bénéficié del’avis de nos parties prenantes (IFA).

Ce ne sont pas les opportunités de coordinationqui manquent encore faut-il une réelle volontédes professionnels. Elle se nourrit d’une compré-hension mutuelle des enjeux de cette collabora-tion et d’une confiance dans le profes-sionnalisme de ses interlocuteurs. Elle nécessiteune clarification des rôles et des responsabilitésrespectifs ainsi qu’un processus de communica-tion au sein du « triangle d’or ».

Ces préconisations sont autant de pistes de col-laboration qu’il convient d’adapter au contexte dechaque organisation.

Elles resteront lettre morte sans le soutien actifdes organes de gouvernance et de la directiongénérale qui devront manifester leur sensibilitéaux problématiques de contrôle interne, leurappétence pour les résultats des audits et le suivide leurs constats, encourager la transparencedans les communications et s’interroger sur lesopportunités de collaboration.

Les textes encadrés ont été produitspar le groupe de travail IFACI-CNCCen complément de la prise de posi-tion de l'ECIIA.

Page 6: Améliorer la coopération entre l'audit interne et l'audit externe

6 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Dans sa résolution sur les leçons de la crisefinancière et leur impact sur l'audit5, le Par-lement européen recommande d'établir

une distinction claire entre audit interne et auditexterne. La Commission européenne a adoptérécemment une réforme de l'audit 6, qui clarifienotamment les responsabilités de l'audit externeet la gouvernance des cabinets d'audit.

Dans le contexte législatif actuel, la directiongénérale et les organes de gouvernance – telsque le Conseil et le Comité d'audit – sont chargésd’assurer le suivi de l'efficacité des systèmes decontrôle interne et de management des risques.Pour s'acquitter de leur responsabilité, ils cher-chent à obtenir une assurance concernant cetteefficacité auprès de diverses sources internes et

externes à l'organisation. Les organes de gouver-nance devraient également jouer un rôle clé dansla coordination des différents acteurs et dans ladélimitation des responsabilités en matière decontrôle et de management des risques, afin des'assurer que les risques significatifs sont pris enconsidération et que des contrôles adéquats pourles maîtriser et les réduire sont mis en place.

L’IIA (The Institute of Internal Auditors)7 propose,avec le modèle des trois lignes de maîtrise, unoutil d’intégration, de coordination et d’aligne-ment de l'ensemble des activités d'assurance afind'optimiser le niveau de surveillance du gouver-nement d'entreprise, du management desrisques et du contrôle interne.

INTRODUCTION

2ème ligne de maîtrise

Conseil d’administration / Comité d’audit

Régulateurs

Audit externe

Direction générale

1ère ligne de maîtrise 3ème ligne de maîtrise

Managementopérationnel

Auditinterne

S.I.

R.H.

Juridique

Finance

HSE

Contrôlede gestion

...

assuranceconform

ité

managem

ent des risquescontrôle interne

Figure 1 : Le modèle des trois lignes de maîtrise 8

5 Résolution sur la politique en matière d’audit du Parlement européen – 13 septembre 20116 Réforme de l’audit, Journal officiel de l’Union Européenne – 27 mai 2014

7 IIA Global, Plate-forme mondiale de promotion, www.theiia.org8 Ce modèle illustre les meilleures pratiques recommandées, largement appliquées dans le secteur financier et dans certains pays

Page 7: Améliorer la coopération entre l'audit interne et l'audit externe

7© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

Dans ce modèle : la première ligne porte sur la responsabilité

et le devoir de rendre compte des mana-gers,

la deuxième ligne concerne la méthodolo-gie retenue pour le management desrisques et des contrôles ainsi que son pilo-tage opérationnel,

la troisième ligne donne une assurance glo-bale sur l'efficacité du gouvernement d'en-treprise, du management des risques et ducontrôle interne.

Comme le montre la figure 1, l'audit interne estfonctionnellement rattaché au Comité d'audit, cequi renforce son indépendance et lui confère le

degré d'objectivité nécessaire pour exercer sonrôle. L'audit interne fournit une assurance globaleà l'organe de gouvernance et à la direction géné-rale.

L'audit externe peut être considéré comme uneligne de maîtrise supplémentaire, extérieure à l'or-ganisation, bénéficiant d'un mandat délimité etd'un périmètre d'intervention spécifique pourexprimer une opinion sur les états financiers.

Cette publication vise à clarifier les différencesentre audit interne et audit externe, et à expliquerla relation qui devrait s’établir entre ces deux typesd'audit. Elle fournit également quelques exem-ples de bonnes pratiques.

LES RÔLES ETRESPONSABILITÉSDE L'AUDIT INTERNEDéfinition de l’IIA (The Institute ofInternal Auditors)

« L’audit interne est une activité indépendante etobjective qui donne à une organisation une assu-rance sur le degré de maîtrise de ses opérations, luiapporte ses conseils pour les améliorer, et contribueà créer de la valeur ajoutée. Il aide cette organisationà atteindre ses objectifs en évaluant, par uneapproche systématique et méthodique, ses processusde management des risques, de contrôle, et de gou-vernement d’entreprise, et en faisant des propositionspour renforcer leur efficacité. » 9

L'audit interne est une composante importantedu gouvernement d'entreprise, qui aide le Conseilet la direction générale à assurer le bon fonction-nement de l'organisation. L'audit interne agit comme un catalyseur permet-tant d'améliorer l'efficacité et l'efficience d'uneorganisation, grâce à des recommandations fon-

dées sur des analyses et des évaluations objec-tives des informations et des processus. Le Cadre de Référence International des PratiquesProfessionnelles (CRIPP) de l'IIA fournit un cadremondial pour aider la profession dans l’exercicede ses responsabilités. Il comprend notammentdes Normes, un Code de déontologie et desModalités Pratiques d'Application. En outre, l'IIA adéveloppé des qualifications internationalescomme celle d'auditeur interne certifié (CIA – Cer-tified Internal Auditor) ou d'autres certificationsspécifiques (CRMA – Certification in Risk Manage-ment Assurance, CCSA – Certification in ControlSelf-Assessment) pour accompagner les auditeursinternes dans l'acquisition des connaissances etdes compétences requises par la profession. Cer-tains instituts nationaux proposent égalementdes équivalences reconnues (Par exemple enFrance, l’IFACI a développé la CPAI – Certificationprofessionnelle d’auditeur interne).

9 Définition tirée du Cadre de Référence International des PratiquesProfessionnelles (CRIPP)

Page 8: Améliorer la coopération entre l'audit interne et l'audit externe

8 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Définition de l’IAASB(International Auditing andAssurance Standard Board)

L’auditeur doit se forger une opinion sur le fait desavoir si les états financiers sont établis, dans tousleurs aspects significatifs, conformément au référen-tiel comptable applicable. Les responsabilités de l'auditeur externe sont les sui-vantes :

(i) Identifier et évaluer les risques d'anomaliessignificatives, que celles-ci proviennent defraudes ou résultent d'erreurs, définir et mettreen œuvre des procédures d'audit répondantaux risques évalués, et recueillir des élémentsprobants suffisants et appropriés pour fournirune base raisonnable à l’opinion exprimée. Lerisque de non-détection d'une anomalie signi-ficative provenant de fraudes est plus élevé quecelui de non-détection d'une anomalie signifi-cative résultant d'une erreur, car la fraude peutrésulter de collusions, de falsifications de docu-ments, d'omissions intentionnelles, de déclara-tions erronées ou de contournements ducontrôle interne.

(ii) Acquérir la connaissance du contrôle internepertinent pour l'audit afin de définir des procé-dures d'audit appropriées en la circonstance,mais non dans le but d'exprimer une opinionsur l'efficacité du contrôle interne de l'entité. 10

En outre, les auditeurs externes peuvent effectuerd'autres missions contractuelles qui ne sont pasincompatibles avec leur mission principale. Deplus, les auditeurs externes ont l'entière respon-sabilité de l'opinion qu'ils expriment sur les étatsfinanciers. Les normes internationales de cette professionsont les Normes Internationales d'Audit (NormesISA) publiées par le l’International Auditing andAssurance Standard Board (IAASB). Dans chaquepays européen, une législation spécifique enca-dre l'audit légal notamment en ce qui concernela désignation, les normes11 et les rapports desauditeurs externes.

LES RÔLES ETRESPONSABILITÉSDE L'AUDIT EXTERNE

10 Définition issue des Normes Internationales d'Audit (Normes ISA)11 Exemple : Normes d’exercice professionnel du Commissaire aux

comptes en France

Page 9: Améliorer la coopération entre l'audit interne et l'audit externe

9© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

L'audit interne est une fonction qui fait partieintégrante des structures de gouvernementd'entreprise, de management des risques et

de contrôle interne d'une entité. La possibilitépour l'audit interne d'avoir recours à d'autresfonctions d'assurance est définie dans les Normesinternationales d'audit interne (Norme 2050).Dans certains secteurs, comme le secteur finan-cier, l'établissement d'une fonction d'audit interneest une obligation légale. Encadrée par desnormes internationales, les objectifs et le périmè-tre d'une fonction d'audit interne peuvent êtremodulés en fonction de la taille et de la structurede l’entité et en tenant compte des attentes de ladirection.

La Norme ISA 61012 précise comment les compé-tences et l'expérience de l'équipe d’audit internepeuvent aider l'auditeur externe à mieux appré-hender l'entité et son environnement. Les normesd'audit interne ainsi que celles d'audit externerequièrent partage d'informations et coordina-tion.

L'auditeur externe assume l'entière responsabilitéde l'opinion qu'il exprime, et cette responsabilitén'est pas atténuée par l'utilisation qu'il fait des tra-vaux des auditeurs internes.

INTERACTION ENTREL’AUDIT INTERNE ETL’AUDIT EXTERNE

12 Les Normes internationales pour les auditeurs externes(cf. Norme ISA 610) définissent la possibilité pour l'audit externe

d'utiliser les travaux de l'audit interne afin de modifier la nature ou lecalendrier des procédures d'audit qu'il doit effectuer directement, ou

afin d’en réduire l'étendue

Page 10: Améliorer la coopération entre l'audit interne et l'audit externe

10 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

AUDIT INTERNE AUDIT EXTERNE

Relation detravail /Rattachement

Collaborateurs de l'organisation.Le responsable de l’audit interne estfonctionnellement rattaché au Conseil ou auComité d'audit

Prestataire externe qui rend compte auxactionnaires ou à des parties prenanteséquivalentes

Périmètred'intervention

Évaluer toutes les catégories de risques et leurprocessus de gestion (risques financiers,opérationnels, risques liés à la conformité et augouvernement d'entreprise)

Exprimer une opinion sur les états financiersannuels et les informations liées, en examinantpar conséquent les dispositifs de contrôleinterne pertinents pour cette opinion

Objectifs Donner une assurance que la directiongénérale remplit ses obligations en matière degouvernement d'entreprise, de managementdes risques et de contrôle interne

Donner une assurance aux actionnaires ou àdes parties prenantes équivalentes sur les étatsfinanciers annuels et sur d'autres rapports, telque requis par la réglementation locale

Priorité Comprendre les métiers, donner une assurancesur l'efficacité et l'efficience des systèmes decontrôle interne et de management desrisques

Appréhender suffisamment l'organisation pourpouvoir exprimer une opinion sur les étatsfinanciers

Indépendance Mise en œuvre des Normes professionnellessupervisée par le Comité d'audit à travers lesuivi du programme d'amélioration etd'assurance qualitéÉlément central : objectivité

Normes professionnelles et cadre de référenceréglementaire ; Confirmation d’indépendancedonnée annuellement au Comité d’audit.Élément central : avis indépendant sur les étatsfinanciers

Destinatairesdes rapports

Le Conseil, le Comité d'audit, la directiongénérale et les entités auditées

L'opinion de l'auditeur est communiquée auxactionnaires ou à des parties prenanteséquivalentes. Des lettres de recommandationssont transmises à l'organe de gouvernance et àla direction générale

Calendrier etfréquence14

Conformément à un plan d'audit approuvé parle Conseil (ou le Comité d'audit) et la directiongénérale

Reporting financier réglementaire pourcertaines entités cotées en bourse

Cadre deréférenceprofessionnel

Cadre de Référence International des PratiquesProfessionnelles (CRIPP) de l’IIA comprenantnotamment des Normes professionnellesinternationales et un Code de déontologie

Cadre de référence légal et réglementaire

Améliorations Recommandations pouvant concernerl’ensemble des processus de l’organisation etsuivi des mesures correctives mises en œuvrepar la direction

Lettre de recommandations concernant lesprocessus revus et les améliorationsnécessaires, portant essentiellement sur lesprocessus de reporting financier

Compétences Compétences diverses exigées : capacité àcomprendre le gouvernement d'entreprise, lesrisques encourus, qu’il s’agisse de risquesopérationnels stratégiques, ou liés à laconformité

Comprendre l'organisation pour être capabled'analyser de manière critique l'application desnormes comptables

Figure 2 : Rôles distincts de l'audit interne et de l'audit externe 13

13 Tableau élaboré sur la base de bonnes pratiques14 L’audit externe intervient généralement a minima une fois par an. Pour certaines entités, l’audit interne intervient en fonction d’un cycle pluriannuel.

Page 11: Améliorer la coopération entre l'audit interne et l'audit externe

11© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

Interaction et coopération

L'interaction et la coopération entre les auditeursinternes et les auditeurs externes permettent dedonner à l'organe de gouvernance une visionplus globale des activités et des risques tout enlimitant l'éventuelle duplication des efforts d'au-dit. Une bonne communication entre l'auditinterne et l'audit externe s'avère également béné-fique pour les dirigeants car les missions d'auditet les recommandations qui en résultent pourl'amélioration du management des risques et ducontrôle interne seront mieux coordonnées.

L'auditeur externe qui décide d'utiliser les travauxde l'audit interne pour formuler son opinion, lefera dans le cadre de la Norme ISA 610.

Étant donné les objectifs et le périmètre spéci-fiques de leur mission, les informations concer-nant les risques recueillies par les auditeursexternes se limitent généralement aux risques liésau reporting financier, et ne portent pas sur lamanière dont la direction générale et le Conseild'administration / le Comité d'audit gèrent oupilotent les risques liés à la stratégie de l’organi-sation, aux opérations et à la conformité. L'auditinterne peut cependant donner à la directiongénérale ainsi qu'à l'organe de gouvernance uneassurance sur ces points.

En France, les auditeurs externes ont d’au-tres obligations légales et statutaires parmilesquelles la révélation des faits délictueux(Art. L 823-12 du code de commerce) et ledevoir d’alerte pour les entreprises en diffi-cultés (Art. L 234-2 du code de commerce).

La distinction entre l'audit externe et l'auditinterne peut être illustrée graphiquement (cf.figure 3). Bien que les objectifs de l'audit externe et de l'au-dit interne soient différents, il peut y avoir desdomaines où ils se recoupent, en particulier dansle cadre du reporting financier. L'audit externepeut notamment fournir des lettres de recom-mandations à la direction concernant les fai-blesses du contrôle interne relevées au cours dela mission d'audit.L'audit interne devrait prendre ces éléments enconsidération dans son processus de planificationet prendre l’initiative de s'assurer de l'efficacité desmesures correctives de la direction. De même,l'audit externe devrait prendre en considérationles résultats de l'audit interne dans le cadre de sespropres travaux. Avant que la coopération ne soit mise en place,l’auditeur externe doit déterminer quels sont lestravaux de l’audit interne sur lesquels il pourraits’appuyer et vice versa.

Figure 3 : Référentiel de management des risques de l'entreprise (ERM)15 du COSO

EntitéD

ivisionU

nité opérationnelleFiliale

Environnement interne

Fixation des objectifs

Identi!cation,évaluation et

traitement des risques

Activités de contrôle

Information et communication

Pilotage

Stratégie

Conformité

Opérations

ronnement in

ation des obj

Identi!catioévaluation e

ement des ri

ivités de con

ion et comm

Pilotage

gOpérations

AUDIT EXTERNE

AUDIT INTERNE

15 Enterprise Risk Management (ERM) :Le management des risques de l'entreprise – COSO (Committe of

Sponsoring Organization of the Treadway Commission).IFACI/PwC/Landwell & Associés - Eyrolles (2005)

Page 12: Améliorer la coopération entre l'audit interne et l'audit externe

12 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Cette interaction se caractérise, a minima, de lamanière suivante : La planification de l'audit par les deux caté-

gories d'auditeurs devrait faire l'objet d'unecoordination afin d'éviter la duplication etles chevauchements.

Les auditeurs internes devraient mettre àdisposition des auditeurs externes la syn-thèse de leur rapport et l’auditeur externedevrait envoyer une copie de son rapport etde sa lettre de recommandations au respon-sable de l'audit interne.

Les auditeurs internes et les auditeursexternes devraient se réunir au moins unefois par an pour discuter de problématiqueset de préoccupations communes et pourassurer leur coordination.

Le responsable de l'audit interne devraitassister aux réunions du Comité d'audit (oudu Conseil) au cours desquelles les auditeursexternes présentent leurs travaux.

Un niveau de coopération plus élevé et plus fré-quent pourrait comprendre les éléments sui-vants : l’échange d'informations et des discussions

durant l'exercice d'évaluation des risquesfinanciers et d’autres types de risques ;

l’évaluation des dispositifs de contrôleinterne figurant dans les rapports détaillésd'audit interne, qui pourrait être mise à dis-position des auditeurs externes ;

l’échange de points de vue concernant lesméthodologies et les référentiels afin d'éta-blir une compréhension mutuelle de l'ap-proche d'audit ;

la transmission régulière d'informations àl'auditeur externe sur les mises à jour duplan d'audit interne ;

à la demande, et si la loi le permet, l’autori-sation d'accès à certains documents de tra-vail ;

les rapports semestriels d'audit interne,comprenant l'état d'avancement et les pro-grès réalisés quant à la mise en œuvre desrecommandations, qui pourraient être mis àdisposition de l'audit externe ;

des réunions régulières entre les auditeursinternes et les auditeurs externes pour dis-cuter de toute question pertinente ;

selon le niveau des risques, l’inclusion desrecommandations des auditeurs externesdans les rapports d’audit interne.

Il est recommandé que le degré de coopérationsoit discuté et défini au niveau du Comité d'audit(ou du Conseil). La confidentialité des travaux del'audit doit être respectée16. La nature de la coo-pération peut également être spécifiée dans lacharte d'audit interne. Le responsable de l'auditinterne17 devrait régulièrement évaluer la coordi-nation entre les auditeurs internes et les auditeursexternes.

16 Norme internationale d'audit 610 §3317 Cadre de Référence International des Pratiques Professionnelles,

Modalité Pratique d'Application 2050

Page 13: Améliorer la coopération entre l'audit interne et l'audit externe

13© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

L'audit interne aide le Conseil à s’assurer dubon fonctionnement de l'organisation. L'au-dit externe exprime une opinion sur les états

financiers destinée au Conseil et aux marchés. Chaque type d'audit a un rôle, un périmètre etdes responsabilités bien définis. La plupart desmissions d'audit interne concernent les processusextra-financiers, tandis que l'audit externe estprincipalement axé sur les processus financiers.Néanmoins, il est recommandé que l'audit interneet l’audit externe collaborent afin de coordonnerles messages délivrés à l'organe de gouvernance.Le Comité d'audit devrait définir et gérer le péri-mètre de cette coopération. Même si le degré et l'intensité de cette collabora-tion peuvent varier en fonction de divers facteurs,les organisations doivent s’assurer du bon niveaude coopération entre l’audit interne et l’auditexterne.

A minima, un échange d’informations sur la pla-nification des travaux, et sur des domaines dontl'impact potentiel est élevé est recommandé. Dessynthèses ou un rapport annuel devraient êtremis à disposition de l'audit externe par l'auditinterne. L'audit externe devrait communiquer sonrapport et sa lettre de recommandations auxauditeurs internes. Cette relation entre audit interne et audit externepermet de faciliter les travaux des uns et desautres, d'éviter les doublons et d'assurer une cou-verture optimale des risques encourus par l'entité.Elle permet également à un organe de gouver-nance d'obtenir une vision globale des contrôleset des risques de l'entité.

CONCLUSION

Page 14: Améliorer la coopération entre l'audit interne et l'audit externe

14 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

1. Audit externe, audit interne,organes de gouvernance :« Le triangle d’or »

� Eléments de contexte et enjeux

Les trois acteurs clés du système d’audit de l’or-ganisation, que sont le comité d’audit, l’auditexterne et l’audit interne forment un « triangled’or » contribuant à la bonne gouvernance et à laqualité des dispositifs de management desrisques et de contrôle interne. Il est donc impor-tant qu’une relation transparente et coopérativeexiste entre ces trois acteurs.

Relations de l’audit interne avec les organes degouvernance (le comité d’audit / le Conseil)

L’audit interne apporte, via le comité d’audit, saconnaissance au Conseil qu’il soutient dans samission de surveillance de la gestion. Il entretientavec le comité d’audit des relations transparenteset suivies, dans le strict respect de l’autorité et desresponsabilités de la direction générale.L’audit interne est notamment chargé de détecterles principaux risques très en amont de leur tra-duction en comptabilité et d’en évaluer le niveaude maîtrise. Il apporte au comité d’audit un regardimpartial, non biaisé, sur l’ensemble de ces risqueset sur le dispositif de contrôle interne. C’est unoutil indispensable du comité d’audit pour appré-cier l’efficacité des processus financiers, opéra-tionnels et de conformité d’une organisation etlui permettre d’agir en toute connaissance decause. Pour ce faire, les administrateurs ont besoind’une information synthétique, organisée, hiérar-chisée leur permettant d’utiliser efficacement lesconstats et recommandations de l’audit interneet d’initier, le cas échéant, les mesures qu’ils esti-meraient appropriées.

Les relations entre l’audit interne et le comitéd’audit se matérialisent notamment par la parti-cipation, permanente ou périodique, du respon-

sable de l’audit interne aux réunions du comitéd’audit. Ces relations étroites permettent aucomité d’audit de jouer son rôle de garant de l’in-dépendance de l’audit interne.

Relations de l’audit externe avec le comité d’au-dit

En France, les relations de l’audit externe et desorganes de gouvernance sont régies par le codedu commerce et précisées par les normes d’exer-cice professionnel. Les NEP 260 et 265 précisentnotamment les destinataires, le contenu et laforme de la communication de l’audit externe. Lecomité d’audit est particulièrement intéressé parles informations concernant des faiblesses signi-ficatives du contrôle interne.

Relations de l’audit interne avec l’audit externe

L’audit externe a pour principale mission de cer-tifier la régularité, la sincérité et l’image fidèle descomptes et s’appuie, pour ce faire, sur les procé-dures qui concourent à la production de l’infor-mation comptable et financière.L’audit interne est un outil du gouvernementd’entreprise et d’aide au management. Il fournitune assurance sur le degré de maîtrise des activi-tés, en s’appuyant sur une analyse des risquesfinanciers, opérationnels et de conformité.Malgré leurs rôles distincts (cf. figure 2, p.10 ), l’au-dit externe et l’audit interne ont en commun l’ap-proche par les risques, l’évaluation del’environnement de contrôle et une relation deconfiance avec le comité d’audit. Les résultats deleurs travaux éclairent les organes de gouver-nance sur l’efficacité du système de managementdes risques et de contrôle interne.

Points d’attention

Une coordination efficace entre les différentsacteurs est indispensable.Au-delà de la prise de connaissance des rap-ports respectifs (échange d’informations ex

ANNEXES

Page 15: Améliorer la coopération entre l'audit interne et l'audit externe

15© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

post), l’évolution de la régulation en matièrede gouvernement d’entreprise conduit àaméliorer le partage d’information et la coor-dination ex ante (programme dans les douzemois à venir afin de rationaliser les interven-tions). Néanmoins, l’auditeur externe, demême que l’auditeur interne, conserve unélément de non prévisibilité dans ses dili-gences ; ce qui peut parfois être un frein à unecommunication détaillée ex ante.

Bonnes pratiques

Des propositions opérationnelles concrètespermettent d’améliorer l’interaction desConseils et des comités d’audit avec leurs par-tenaires naturels que sont l’audit interne etl’audit externe.

L’axe principal de coordination entre ces diffé-rents acteurs s’articule autour du manage-ment des risques. S’appuyant sur les bonnespratiques professionnelles et des recomman-dations de Place, le groupe de travail préco-nise que :

S’agissant du suivi de l’audit interne, lecomité d’audit :

approuve la charte de l’audit interne ;

prenne connaissance du plan d’auditinterne fondé sur une approche par lesrisques et l’approuve ;

reçoive régulièrement des informationssur l’activité de l’audit interne (suivi de laréalisation du plan d’audit, principalesconclusions des missions, rapport surl’exposition aux risques significatifs et lescontrôles correspondants …) ;

s’intéresse aux principales recommanda-tions de l’audit interne et, concomitam-ment, à la mise en œuvre des plansd’actions par la direction ;

soit tenu informé, le cas échéant, deszones de risques non couvertes, que l’au-dit interne a lui-même identifiées ;

approuve les décisions relatives à lanomination, à la révocation et à la rému-nération du responsable de l’auditinterne ;

s’assure de l’adéquation des ressourcesde l’audit interne par rapport à son péri-mètre d’intervention ;

reçoive les résultats du programme d’as-surance et d’amélioration de la qualité del’audit interne concernant sa conformitéaux normes professionnelles, son effica-cité et son efficience.

Ces éléments rentrent dans le cadre de la rela-tion fonctionnelle que le responsable de l’au-dit interne entretient avec l’organe degouvernance (Conseil / comité d’audit).Conformément à la norme IIA 1100 , le res-ponsable de l’audit interne a un accès directet non restreint à la direction générale et àl’organe de gouvernance (Conseil / comitéd’audit). Il ne peut y avoir d’informations signi-ficatives « réservées » à la direction. Pourautant, chaque comité d’audit définira ledegré de détails qu’il estime nécessaire pourses diligences ; Celui-ci variera en fonction dela taille des sociétés et du nombre de rapportsproduits à chaque période.Le responsable de l’audit interne devrait avoirla possibilité d’initier, si nécessaire, unéchange avec le président du comité d’audit.

Concernant la relation entre l’audit externeet le comité d’audit :

la communication débute dès le démar-rage de la mission en précisant l’étenduedes travaux d’audit et le calendrierprévus ;

le comité d’audit soit informé des diffi-cultés susceptibles d’affecter le bondéroulement des travaux de l’auditexterne, des commentaires éventuels surles pratiques comptables de l’entité, desfaiblesses significatives du contrôleinterne lié à l’information comptable etfinancière, des déclarations écritesdemandées au représentant légal de l’en-tité ;

Page 16: Améliorer la coopération entre l'audit interne et l'audit externe

16 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

le comité d’audit examine les risquespesant sur l’indépendance de l’auditexterne et les mesures de sauvegardeprises pour atténuer ces risques.

A propos des relations entre l’audit interneet l’audit externe (cf. annexes 2 et 3.3) ; ilconvient de mettre en place et de favoriser :

le partage de la cartographie des risqueset des échanges sur les plans d’auditsrespectifs afin de s’assurer que les risquesmajeurs sont couverts ;

la coordination des travaux pour éviterles doublons ;

des échanges sur les méthodologies res-pectives notamment en ce qui concernela clarification des terminologies utiliséesdans les évaluations des risques ;

l’utilisation des travaux de l’audit internedans le cadre de l’orientation des travauxde l’audit externe ;

des réunions périodiques où chacunrend compte de ses investigations et deses conclusions ; Par exemple, l’auditinterne peut assister à la réunion de pré-sentation des recommandations de l’au-dit externe à l’issue de sa mission portantsur le contrôle interne (en général ennovembre de l’année N). Ensuite, uneréunion technique entre l’audit interne etl’audit externe permet de préciser leséventuels nouveaux risques identifiés parl’audit externe et les moyens de les cou-vrir. Il pourra également être questiondes éventuels écarts de constats. Ceséchanges peuvent aboutir à une mise àjour du plan d’audit de l’année suivante ;

le partage du suivi des recommanda-tions de l’audit externe et de l’auditinterne.

Seule une communication efficace et entemps opportun permettra d’assurer une col-laboration fructueuse. La formalisation desmodalités de communication y contribuera.

Par exemple, les éléments suivants peuventêtre pris en considération dans la formalisa-tion du processus de communication18 :

programmation de réunions régulièresen prenant en compte le rythme des tra-vaux du comité d’audit ;

modalités de partage des informations etde communication aux organes de gou-vernance ;

échanges sur les procédures d’évaluationdes risques (référentiel, terminologie, cri-tères d’évaluation…) ;

modalités d’échanges sur les constats etl’accès aux rapports ;

accords sur les procédures de documen-tation et de communication desconstats ;

communication sur le programme qua-lité de l’audit interne ;

discussion pour l’identification d’oppor-tunité de collaboration ;

maîtrise du risque d’atteinte à l’indépen-dance et l’objectivité.

L’audit interne et l’audit externe discutent ceprocessus avec le comité d’audit.

18 Adapté de « Co-operation between internal and external auditors:a good practice guide ». HM treasury, NAO

Page 17: Améliorer la coopération entre l'audit interne et l'audit externe

17© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

2. Cartographie des risques

� Eléments de contexte et enjeux

L’approche par les risques est au cœur desdémarches d’audit. De ce fait, la cartographie desrisques constitue un élément clé du dialogueentre l’audit interne et l’audit externe.

Les normes précisent les contributions des audi-teurs à l’évaluation des systèmes de managementdes risques et de contrôle interne des organisa-tions et la place de l’analyse des risques dans leurstravaux.Ainsi, selon les normes IIA/IFACI, afin de détermi-ner si les processus de management des risqueset de contrôle sont efficaces, l’audit interne s’as-sure notamment que : les objectifs de l’organisation sont cohérents

avec sa mission et y contribuent ; les risques significatifs sont identifiés et éva-

lués ; ce recensement est communiqué en temps

opportun au sein de l’organisation pour per-mettre aux collaborateurs, à leur hiérarchieet aux organes de gouvernances (Comitéd’audit / Conseil) d’exercer leurs responsabi-lités ;

les dispositifs de contrôle interne sontappropriés et efficients et s’inscrivent dansune dynamique d’amélioration continue.

Le spectre d’analyse de l’audit interne est largepuisqu’il évalue les risques afférents au gouverne-ment d’entreprise, aux opérations et aux systèmesd’information en s’intéressant aux risques liés à : l’atteinte des objectifs stratégiques de l’orga-

nisation ; la fiabilité et l'intégrité des informations

financières et opérationnelles ; l'efficacité et l'efficience des opérations et

des programmes ; la protection des actifs et la fraude ; la conformité aux lois, règlements, règles,

procédures et contrats.

En outre, dans le cadre de la gestion de son ser-vice, le responsable de l’audit interne établit unplan annuel ou pluriannuel d’audit fondé sur les

risques, afin de définir des priorités cohérentesavec les objectifs de l’organisation. Enfin, pourdéterminer les objectifs de sa mission l'auditeurinterne procède à une évaluation préliminaire desrisques liés à l'activité auditée.

De même, l’auditeur externe acquiert uneconnaissance suffisante de l'entité, de sonmarché, de ses risques opérationnels et ducontrôle interne mis en place, afin d'identifier etd'évaluer le risque d'anomalies significatives dansles états financiers. La prise de connaissance del'entité permet à l’auditeur externe de constituerun cadre de référence dans lequel il planifie sonaudit et exerce son jugement professionnel pourévaluer le risque d'anomalies significatives dansles comptes et répondre à ce risque tout au longde son audit. Plus le niveau de risque d'anomaliessignificatives évalué par l’auditeur externe estélevé, plus il mettra en œuvre des procéduresd'audit complémentaires. Ainsi, l’auditeur externe prend connaissance : du secteur d'activité de l'entité, de son envi-

ronnement réglementaire, notamment duréférentiel comptable applicable et d'autresfacteurs externes tels que les conditionséconomiques générales ;

des caractéristiques de l'entité permettantd'appréhender les catégories d'opérations,les soldes des comptes et les informationsattendues dans l'annexe des comptes ;

des objectifs de l'entité et des stratégiesmises en œuvre pour les atteindre dans lamesure où ces objectifs pourront avoir desconséquences financières et de ce fait uneincidence sur les comptes ;

de la mesure et de l'analyse des indicateursde performance financière traduisant le suivides enjeux majeurs identifiés par la directiongénérale.

L’auditeur externe prend également connais-sance des éléments du contrôle interne quicontribuent à prévenir le risque d'anomalies signi-ficatives dans les comptes, pris dans leur ensem-ble et au niveau des assertions. Il s’agitnotamment des éléments suivants : l'environnement de contrôle, qui se traduit

par le comportement des membres desorganes de gouvernance (comité d’audit /

Page 18: Améliorer la coopération entre l'audit interne et l'audit externe

18 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Conseil) et de la direction générale, leurdegré de sensibilité et les actions qu'ilsmènent en matière de contrôle interne ;

les moyens mis en place par l'entité pouridentifier les risques liés à son activité et leurincidence sur les comptes ainsi que lesactions mises en œuvre en réponse à cesrisques ;

les procédures de contrôle interne en place,et notamment la façon dont l'entité a pris encompte les risques résultant de l'utilisationde traitements informatisés ; ces procédurespermettent à la direction générale de s'as-surer que ses directives sont respectées ;

les principaux moyens mis en œuvre parl'entité pour s'assurer du bon fonctionne-ment du contrôle interne, ainsi que lamanière dont sont mises en œuvre lesactions correctives ;

le système d'information relatif à l'élabora-tion de l'information financière ;

la façon dont l'entité communique sur leséléments significatifs de l'information finan-cière et sur les rôles et les responsabilitésindividuelles au sein de l'entité en matièred'information financière.

Enfin, l’auditeur externe prend connaissance destravaux de l’audit interne qui peuvent lui fournirdes perspectives différentes pour l'identificationdes risques.

L’étendue des champs balayés par l’audit externedans le cadre de sa prise de connaissance de l’en-tité est très vaste. Ils se recoupent avec lesdomaines couverts par l’audit interne. En favori-sant le partage d’informations sur leur évaluationrespective des éléments cités ci-dessus, la colla-boration avec l’audit interne permettra à l’audi-teur externe d’être plus pertinent dans ladétermination de son approche. De même, l’au-diteur interne bénéficiera du prisme d’analyse del’auditeur externe qui est plus focalisé sur les étatsfinanciers. Il lui permettra de mieux cerner cer-tains enjeux, de limiter les redondances, et, aubesoin, de prioriser ses travaux.

Au final, ces échanges aboutissent donc à unemeilleure orientation des audits et à des recom-mandations utiles pour l’organisation.

Points d’attention

Le partage de la cartographie des risques del’organisation avec les auditeurs externes leurpermet de s’en servir pour définir leurapproche. En effet, la cartographie facilite l’ap-préhension des enjeux de l’organisation etcontribue à l’évaluation de son contrôleinterne. Néanmoins, les professionnels peu-vent avoir des difficultés à actionner cet effetde levier notamment parce que :

les cartographies des risques portent engénéral sur un large spectre de risques(liés à la stratégie, à la concurrence, à lastructure organisationnelle, aux activitésopérationnelles, aux lois et règlements)qui n’ont pas toujours une incidencedirecte sur les états financiers de l’annéeen cours. Les cartographies des risquessont prospectives par nature alors quel’auditeur externe mène essentiellementses diligences sur les comptes histo-riques et sur certaines informations àcaractère prospectif. L’auditeur externeest donc confronté à l’enjeu d’apprécierles risques identifiés dans la cartographiequi peuvent conduire à une erreur signi-ficative dans les comptes. Par ailleurs,l’analyse prospective dans le cadre de lacertification des comptes prend toute saplace, dès lors que l’auditeur externeeffectue des diligences sur la continuitéd’exploitation.

les cartographies des risques ne compor-tent pas toujours un volet lié au repor-ting comptable et financier alors que leséchanges avec l’audit externe se concen-treront sur l’incidence éventuelle desrisques sur les états financiers et sur lescontrôles mis en regard de ces constats.

la cartographie des risques comptableset financiers peut également impliquerd’autres fonctions (par exemple, lesdirections du contrôle interne ou demanagement des risques) qui n’inter-viennent pas toujours au même niveauet ont des rythmes différents.

Page 19: Améliorer la coopération entre l'audit interne et l'audit externe

19© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

Bonnes pratiques

Les dispositions suivantes faciliteront l’établis-sement d’un cadre favorable au dialogueentre l’audit interne et l’audit externe :

La cartographie des risques de l’organi-sation peut être réalisée par l’auditinterne en l’absence de risk manager.

L’existence d’une cartographie unique etpartagée par toutes les parties prenantes(Direction générale / audit interne /contrôle interne / management desrisques, …).

Cette cartographie est revue par la direc-tion générale et présentée aux organesde gouvernance (Comité d’Audit /Conseil). Elle comporte un volet ou unetranscription des risques pouvant avoirune incidence sur l’élaboration de l’infor-mation comptable et financière.

Cette cartographie est prise en comptepour l’établissement du plan annueld’audit interne. A l’issue de ses missions,l’audit interne informe les audités, ladirection générale et les organes de gou-vernance (Comité d’Audit / Conseil) deson appréciation du niveau de risquerésiduel et de son adéquation par rap-port au niveau de risque accepté par lesorganes de gouvernance. Les principauxconstats et recommandations sont éga-lement partagés avec l’audit externe.

La démarche de construction de la car-tographie et son résultat sont présentésà l’auditeur externe. Il sera ainsi mieux àmême d’utiliser cet outil de pilotagedans sa compréhension de l’entité et deson environnement de contrôle. Cesinformations, soumises à son jugementprofessionnel, alimenteront la planifica-tion de sa mission et son évaluation durisque d'anomalies significatives.

Dans le cadre de son mandat, l’auditeurexterne communique et échange avec ladirection générale et les organes de gou-vernance (Comité d’Audit / Conseil) sur

les risques significatifs identifiés dans lecadre de son audit des comptes annuels.Il convient qu’il communique égalementavec l’audit interne sur ces risques signi-ficatifs.

Dans le cadre de ses missions, l’auditinterne procède à des évaluations duprocessus de management des risques.Il en tire notamment des conclusions surl’efficacité de la démarche de cartogra-phie des risques.

Un processus de cartographie desrisques est initié au niveau des entitésopérationnelles et articulé avec le pro-cessus de cartographie au niveau duGroupe.

Les risques majeurs donnent lieu à desplans d’action visant notamment àréduire le risque résiduel à un niveaujugé comme acceptable par les organesde gouvernance (Comité d’Audit /Conseil). La mise en œuvre de ces plansd’action est suivie par la direction géné-rale et par les organes de gouvernance.L’audit interne et l’audit externe échan-gent toutes informations utiles au sujetde ce suivi.

La cartographie des risques est rappro-chée des facteurs de risque du docu-ment de référence. Cet exercice permetde fiabiliser la démarche et d’avoir unecommunication homogène en interne eten externe. Il fait aussi partie des dili-gences de concordance menée par l’au-diteur externe dans le cadre de sa revued’ensemble.

Page 20: Améliorer la coopération entre l'audit interne et l'audit externe

20 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

3. Exemples de bonnes pratiquespour une coopération efficace

La nature et l'étendue de la coopération varientd'une organisation à l'autre. Des élémentscomme le niveau de maturité du service d'auditinterne, son professionnalisme ou ses ressourcessont à prendre en considération.Les exemples ci-après illustrent bien le type decoopération envisageable :

3.1. Cartographie des fonctionsd’assurance

Selon la norme 2100 de l’IIA, l'audit interne doitévaluer les processus de gouvernement d'entreprise,

de management des risques et de contrôle, et contri-buer à leur amélioration sur la base d’une approchesystématique et méthodique.Cette ligne directrice est précisée par la norme2110 qui exige que l’audit interne détermine si leprocessus de gouvernement d’entreprise permetde fournir une information adéquate au Conseil,aux auditeurs internes et externes et au manage-ment, et d’assurer une coordination de leurs activi-tés.

Comme indiqué dans le modèle des trois lignesde maîtrise, différentes fonctions sont chargéesdes dispositifs de contrôle et de management desrisques au sein de l’organisation. Chacune de cesfonctions se concentre sur un aspect précis del'organisation, avec sa propre méthodologie. La

1ère LIGNE 2ème LIGNE 3ème LIGNE Audit externe Contrôle internerelatif auprocessus dereportingfinancier

Responsableopérationnel

Managementdes risques

Contrôle interneConformité

Audit interne

SEGMENT A

Processus 1

Processus 2 N/A

...

SEGMENT B

Processus 1

Processus 2 N/A

...

SEGMENT C

Processus 1 N/A

Processus 2 N/A

...

ÉVALUATIONS

Satisfaisant

Améliorations nécessaires

Non satisfaisant

Figure 4 : Cartographie des fonctions d'assurance

Page 21: Améliorer la coopération entre l'audit interne et l'audit externe

21© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

cartographie des fonctions d'assurance constituedonc un bon outil pour obtenir une vision globaledes différents types d'évaluation des risques. Ellepermet de visualiser sur la période de reportingl’efficacité des dispositifs de contrôle relatifs à desrisques clés. Elle aide les organes de gouvernanceà obtenir une vision globale de la manière dontsont gérés les risques. La figure 4 montre que dans certains domaines,les évaluations réalisées par la fonction de mana-gement des risques et de la conformité peuventêtre différentes en fonction de leurs activités etde leurs priorités spécifiques. L'audit interne

devrait effectuer une revue indépendante de cesévaluations et les auditeurs externes devraientdéterminer les processus pour lesquels ils ontbesoin d'obtenir une assurance afin de pouvoirexprimer leur opinion sur les états financiers.

3.2. Un exemple de coopération issu dusecteur bancaire

Comme illustré ci-après, il existe de nombreusesopportunités de coopération entre l'audit interneet l'audit externe au cours du cycle d'audit :

Figure 5 : Exemples d’opportunités de coopération

PHASE AUDIT INTERNE AUDIT EXTERNE COOPÉRATION

Planification(annuelle/stratégique)

Évaluation des risques Évaluation des risques Consensus sur les risquessignificatifs, consensus sur lepérimètre de l’audit interneet externe pour optimiser lesressources.

Réalisation Identification et évaluationde la conception du contrôleinterne et de son efficacitépour l'ensemble desprocessus (y compris leprocessus de reportingfinancier).

Évaluation des processus dereporting financier, del'efficacité du contrôleinterne et du degré defiabilité de ces processus

Recours à la mêmeclassification des processusfinanciers afin de faciliter lacommunication lors del'audit interne des contrôlesclés.

* Les fonctions managementdes risques et conformitépeuvent être impliquées dansl'identification des contrôles.

Communication1. régulière

2. annuelle

1. Communication à ladirection.

2a. Communication à l'auditexterne concernant lesdispositifs de contrôleévalués et leur efficacité.

2b. Communication auComité d'audit/Conseil surl'environnement de contrôlegénéral et sur les principauxrisques/principales mesures.

1. Communication à ladirection, au responsable del'audit interne et à l'auditinterne

2. Communication à ladirection, au responsable del'audit interne, au Conseil etaux actionnaires.

Utilisation des informationsprovenant de l’audit interne.Il est crucial de s’accorder surles échéances descommunications. De plus,l'audit interne devrait obtenirdes informations de la partde l'audit externe à proposdes risques identifiés dans leprocessus de reportingfinancier et dans d'autresdomaines, tels quel'informatique.

Page 22: Améliorer la coopération entre l'audit interne et l'audit externe

22 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

3. 3. Un exemple de coopération issu dusecteur de l’énergie

Le plan d'audit interne est présenté aux auditeursexternes en décembre. Il est approuvé par ladirection et le Comité d'audit avant fin mars enprésence des auditeurs externes. Le plan d’auditdéfinitif des auditeurs externes est revu avec ledirecteur financier en avril. Il est alors possible des'assurer que la coopération entre les deux typesd'audit a bien été prise en compte dans chacundes plans.

Les auditeurs externes sont conviés au Comitéd'audit deux fois par an. Des points relatifs à l'auditinterne sont inscrits à l’ordre du jour de ces réu-nions, notamment la planification de l'audit et lasynthèse des résultats et des recommandationsissus des missions d'audit.

Avant de publier leur rapport semestriel, les audi-teurs externes reçoivent les rapports d'auditinterne couvrant les six derniers mois.

Avant de lancer une mission d'audit interne surune grande entité, les auditeurs internes rencon-trent les auditeurs externes pour échanger leurspoints de vue sur des informations pertinentes.

Avant de procéder à la revue d'un processusfinancier, les auditeurs internes discutent ducadrage de leur mission et de leur programme detravail avec les auditeurs externes. Ils présententl'approche qu’ils ont choisie, et les auditeursexternes transmettent toutes les informationsqu'ils peuvent avoir recueillies au préalable sur lesprocessus examinés. De cette manière, la redon-dance sur les travaux effectués est maîtrisée.

Un guide d'audit interne relatif aux processusfinanciers a été élaboré pour présenter les objec-tifs communs et les objectifs spécifiques dechaque processus. Ce guide a été discuté avec lesauditeurs externes et validé par eux.

Les auditeurs internes sont présents à la réunionde présentation à la direction des lettres derecommandations de l’audit externe.

Page 23: Améliorer la coopération entre l'audit interne et l'audit externe

23© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

Législation Réforme de l’audit – Journal officiel de l’Union européenne 27 mai 2014 : DIRECTIVE 2014/56/UE DU

PARLEMENT EUROPÉEN ET DU CONSEIL du 16 avril 2014 modifiant la directive 2006/43/CE concer-nant les contrôles légaux des comptes annuels et des comptes consolidés. RÈGLEMENT (UE)N°537/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 16 avril 2014 relatif aux exigences spéci-fiques applicables au contrôle légal des comptes des entités d'intérêt public et abrogeant la décision2005/909/CE de la Commission.

Décret n° 2012-557 du 24 avril 2012 relatif aux obligations de transparence des entreprises en matièresociale et environnementale. – JORF n°0099 du 26 avril 2012.

Résolution du Parlement européen du 13 septembre 2011 sur la politique en matière d'audit – lesleçons de la crise (2011/2037(INI)).

Livre vert – Politique en matière d'audit : les leçons de la crise – Commission européenne 13 octobre2010

Ordonnance n° 2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE du 17 mai 2006et relative aux commissaires aux comptes. – Journal officiel du 9 décembre 2008.

8e directive – Directive 2006/43/CE du Parlement européen et du Conseil du 17 mai 2006 concernantles contrôles légaux des comptes annuels et des comptes consolidés. – Journal officiel n° L 157 du09/06/2006 Parlement européen.

Loi n° 2003-706 du 1er août 2003 de sécurité financière. – JORF n°177 du 2 août 2003.

Sarbanes-Oxley Act of 2002.

Référentiels COSO – Référentiel Intégré de Contrôle Interne / IFACI ; PwC – Eyrolles, 2014

Cadre de référence international des pratiques professionnelles de l’audit interne / IIA ; IFACI. – 2013.Notamment :

• les Modalités Pratiques d’Application (MPA) de la série 2050 : coordination- MPA 2050-1 : Coordination- MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle

et de management des risques- MPA 2050-3 : S’appuyer sur les travaux d’autres prestataires de services d’assurance

• Reliance by internal audit on other assurance providers: practice guide / Bradley C. Ames, et al. –IIA

• The Three lines of defense in effective risk management and control: IIA position paper. / IIA.

ISA 610 (Revised 2013), Using the Work of Internal Auditors and Related Conforming Amendments /IAASB. – 2013.

Code de gouvernement d’entreprise des sociétés cotées / AFEP MEDEF – Juin 2013.

Rapport de la Cour des comptes sur la qualité des comptes des administrations publiques certifiéspar des commissaires aux comptes – 28 octobre 2013.

Trois lignes de Maîtrise pour une meilleure performance. Fiabiliser la stratégie par une gestion orga-nisée des risques / IFACI - AMRAE – Septembre 2013.

BIBLIOGRAPHIE

Page 24: Améliorer la coopération entre l'audit interne et l'audit externe

24 © ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

AMÉLIORER LA COOPÉRATION ENTRE L’AUDIT INTERNE ET L’AUDIT EXTERNE

Internal audit’s relationship with external audit: IIA UK policy paper / Chartered Institute of internalauditors. – 2013.

Le suivi du processus d’élaboration de l’information financière, Guide méthodologique pour le comitéd’audit – IFA KPMG – 2013.

Corporate governance insights: Reinforcing audit committee oversight through global assurance. /ECIIA. – 2012.

NEP-260. Communications avec les organes mentionnés à l'article l. 823-16 du code de commerce.Homologuée par arrêté du 21 juin 2011 publié au J.O. n°0178 du 3 août 2011.

NEP-265. Communication des faiblesses du contrôle interne. Homologuée par arrêté du 21 juin 2011publié au J.O.

Code de déontologie de la profession de Commissaire aux comptes. Annexe 8-1 du Livre VIII du Codede commerce, Partie réglementaire. 10 février 2010.

Guidance on the 8th EU Company Law Directive: article 41: Guidance for boards and audit commit-tees / ECIIA; FERMA. – 2010.

Comité d’audit & auditeurs externes, Groupe de travail IFA – Novembre 2009.

Commentaires relatifs à la transposition des 4ème, 7ème et 8ème directives Européennes / Groupe pro-fessionnel « Contrôle interne » de l’IFACI – IFACI – 2009.

Le Rôle de l'audit interne dans le gouvernement d'entreprise : Actes du colloque / IFA / IFACI. – 15mai 2009.

Comités d'audit et auditeurs externes / IFA – 2009.

Prise de position IFA / IFACI sur le rôle de l'audit interne dans le gouvernement d'entreprise / IFA ;IFACI – 2008.

NEP 610. Prise de connaissance et utilisation des travaux de l'audit interne. Homologuée par arrêtédu 7 mai 2007 publié au J.O. n° 111 du 13 mai 2007.

NEP 330 relative aux procédures d’audit mises en œuvre par le commissaire aux comptes à l’issuede son évaluation des risques. Homologuée par arrêté du 19 juillet 2006 publié au J.O. n° 176 du 1er

août 2006.

Le Management des risques de l'entreprise : Cadre de référence – techniques d'application : COSO II report / IFACI ; Price Waterhouse Coopers ; Landwell & Associés. – Ed. d'organisation, 2005.

External versus internal assurance: How to create co-partnership? IIA Belgium.

Co-operation between internal and external auditors : a good practice guide / HM treasury ; NAO. – [s.n.]

Coordination and Cooperation between SAIs and Internal Auditors in the Public Sector / INTOSAIGOV 9150.

Pages web CNCC – Le commissaire aux comptes en 10 points clés http://www.cncc.fr/10-points-cles.html

ECIIA – Publications http://www.eciia.eu/our-current-views/publications/

IFAC – Normes ISA : http://www.ifac.org/auditing-assurance

IFACI – Documentation professionnelle : http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-interne-149.html

Page 25: Améliorer la coopération entre l'audit interne et l'audit externe

25© ECIIA - IFACI - CNCC - 2014

PRIS

E D

E PO

SITI

ON

NOS MISSIONS

L'Institut Français de l'Audit et du Contrôle Internes(IFACI) rassemble plus de 5 800 professionnels de l'auditet du contrôle internes et, plus largement, de toutes lesfonctions contribuant à la maîtrise des risques. L’Institutfavorise la diffusion des normes internationales de l'auditinterne et des meilleures pratiques des métiers de la maî-trise des risques. Lieu de partage et d'accompagnement,

il est l’organisme de référence en matière de formation professionnelle dans ces domaines. Ainsi,l’IFACI constitue le partenaire privilégié des organisations publiques et privées de toutes tailles sou-haitant améliorer l'efficacité de leurs dispositifs de gouvernance, de maîtrise des risques et decontrôle interne.L’IFACI est affilié à The Institute of Internal Auditors (The IIA) qui bénéficie d’un réseau de 180 000adhérents. Il est membre fondateur et participe activement aux initiatives de l’ECIIA (European Confe-deration of Institutes of Internal Auditing).

La Compagnie nationale des commissaires aux comptes(CNCC) est l'instance représentative de la profession enFrance. Structure dynamique, elle agit auprès des profession-nels, des pouvoirs publics, des régulateurs et anime l'ensem-ble du réseau régional. La CNCC rassemble et fédère les14 500 commissaires aux comptes (personnes physiques) ins-

crits en France. Elle a un triple rôle d'autorité technique, morale et institutionnelle et, à ce titre, anti-cipe et accompagne les évolutions de la profession. La CNCC regroupe les activités propres àl'institution : l'élaboration des normes professionnelles, le suivi des changements de la pratiqueprofessionnelle et la représentation ainsi que la défense des intérêts moraux et professionnels descommissaires aux comptes. La CNCC assure également la formation continue des auditeurs et, pardélégation d'exercice du Haut Conseil au Commissariat aux Comptes (H3C), une part importantedu contrôle d'activité des missions effectuées par les cabinets détenant des mandats d'entités d'in-térêt public. La profession, dans une démarche d'ouverture et de plus grande participation à la vieéconomique et politique, intensifie ses relations avec les représentations professionnelles des sec-teurs privé, associatif et public. Elle a lancé un plan d'actions pour améliorer la perception par lesentités contrôlées, de la valeur ajoutée des missions des commissaires aux comptes.La CNCC est membre de l'IFAC (International Federation of Accountants) et de la FEE (FédérationEuropéenne des Experts-comptables).

Page 26: Améliorer la coopération entre l'audit interne et l'audit externe

© ECIIA – IFACI – CNCC – Paris – novembre 2014 – ISBN : 978-2-915042-63-4

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.

Copyright © 2013 by The European Confederation of Institutes of Internal Auditing (ECIIA). Noparts of this material may be reproduced in any form without the written permision of The ECIIA.

Permission has been obtained from the copyright holder, European Confederation of Institutesof Internal Auditing (ECIIA), 109-111Bus 5, BE-1000, Brussels, Belgium, to publish this translation,which is the same in all material respects, as the original unless approved as changed. No parts ofthis document may be reproduced, stored in any retrieval system, or transmitted in any form, orby any means electronic, mechanical, photocopying, recording or otherwise, without prior writtenpermission of The ECIIA.This document was translated by IFACI on may 2014.

conc

eptio

n/ré

alisa

tion

:

ebzo

ne c

omm

unic

atio

n (w

ww

.ebz

one.

fr) -

Phot

o : ©

then

ikon

pro

- Fot

olia

.com

Page 27: Améliorer la coopération entre l'audit interne et l'audit externe
Page 28: Améliorer la coopération entre l'audit interne et l'audit externe

16, avenue de Messine75008 Paris

Tél. : 01 44 77 82 82Fax : 01 44 77 82 28

www.cncc.fr

98 bis, boulevard Haussmann75008 ParisTél. : 01 40 08 48 00Fax : 01 40 08 48 20www.ifaci.com