Cadre de Référence International des Pratiques ... · d’éléments constitutifs du Cadre de...

L’IFACI est affilié àThe Institute of Internal Auditors

Inclus : Définition de l’audit interne Code de déontologie Normes internationales Modalités Pratiques d’Application (MPA)

Cadre de RéférenceInternational

des Pratiques Professionnellesde l’Audit Interne

Edition

2014

Copyright © 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,

Florida 32701-4201. Tous droits de reproduction réservés.

Copyright © IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés.

Janvier 2015

ISBN : 978-2-915042-65-8

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits,

ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque

procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Réal

isatio

n :

e

bzon

e co

mm

unic

atio

n (w

ww

.ebz

one.

fr) -

Impr

essio

n : I

mpr

imer

ie C

ompé

dit B

eaur

egar

d

3© IFACI - janvier 2015

Sommaire

Avant-propos de l’IFACI ..................................................................................................................................... 5

Préface ..................................................................................................................................................................... 7

Dispositions obligatoires ................................................................................................................................ 13

Définition de l’audit interne .................................................................................................................................... 15

Code de déontologie .................................................................................................................................................. 17

Normes internationales .............................................................................................................................................. 23

Introduction .............................................................................................................................................................. 25

Normes de qualification .................................................................................................................................... 27

Normes de fonctionnement ........................................................................................................................... 43

Glossaire ...................................................................................................................................................................... 63

Modalités Pratiques d’Application .............................................................................................................. 73

MPA Série 1000 : Mission, pouvoirs et responsabilités ........................................................................ 75

MPA Série 1100 : Indépendance et objectivité ......................................................................................... 79

MPA Série 1200 : Compétence et conscience professionnelle ...................................................... 91

MPA Série 1300 : Programme d’assurance et d’amélioration qualité .................................... 103

MPA Série 2000 : Gestion de l’audit interne ............................................................................................. 127

MPA Série 2100 : Nature du travail .................................................................................................................. 155

MPA Série 2200 : Planification de la mission ............................................................................................ 187

MPA Série 2300 : Accomplissement de la mission ............................................................................... 199

MPA Série 2400 : Communication des résultats .................................................................................... 231

MPA Série 2500 : Surveillance des actions de progrès ..................................................................... 249

4 © IFACI - janvier 2015


Avant-propos de l’IFACI

Avant-propos de l’IFACI

NNous avons le plaisir de vous présenter en françaisla version actualisée du Cadre de Référence Inter-national des Pratiques Professionnelles (CRIPP) del’audit interne, applicable à partir du 1er janvier2013. Les modifications des normes (mise en évidenceen gras) ont essentiellement pour objet de clarifier : La responsabilité individuelle des auditeurs

internes en termes de conformité aux normeset celle du responsable de l’audit interne.

Les sujets pouvant alimenter la discussion avecle Conseil (Norme 1110 : Indépendance dansl’organisation et Norme 2210.A3 : Critèresadéquats d’évaluation du dispositif decontrôle).

La fréquence et le format des évaluationsexternes (Norme 1312).

La nécessité de mettre à jour, en tant que debesoin, le plan d’audit en cours d’année(Norme 2010)

La prise en compte des objectifs stratégiquesdans l’évaluation des processus de manage-ment des risques et de contrôle (Normes2120.A1 et 2130.A1).

Les responsabilités en matière de validation etde diffusion des conclusions de l’audit interne(Norme 2440).

Le suivi des risques acceptés par le manage-ment (Norme 2600 : Communication relative àl’acceptation des risques).

Par ailleurs, le glossaire est enrichi de nouvellesdéfinitions sur : L’opinion globale au niveau de la mission. L’opinion globale Le « Conseil ».

La publication contient la traduction des compo-santes essentielles du CRIPP ou International Profes-sional Practices Framework-IPPF de l’IIA, à savoir : la définition de l’audit interne le code de déontologie

les Normes internationales les modalités pratiques d’application (MPA)

Un dépliant recense ces éléments ainsi que lesguides pratiques et GTAG (Guides d’audit dessystèmes d’information) disponibles sur le siteInternet de l’IFACI.

Lorsque cela s’est avéré nécessaire, l’IFACI proposedes commentaires appropriés. Pour cela, l’IFACIremercie chaleureusement, pour leur forte impli-cation et la pertinence de leurs contributions, lesprofessionnels qui ont apporté leur contribution : Marie-Elisabeth Albert, La Poste Emeline Bredy, Agence Nationale pour la Réno-

vation Urbaine José Bouaniche, Caisse des dépôts et consigna-

tions Christophe Butikofer, SFR Julien Cornuche, SPB Pierre Drouard, Renault Benoît Harel, IFACI Certification Béatrice Ki-Zerbo, IFACI Jacques Renard, Consultant

Comme vous l’avez remarqué, ce cadre de réfé-rence n’est pas figé car la profession continue etcontinuera d’évoluer. Vous êtes donc invité àconsulter régulièrement notre site Internet pourprendre connaissance de mises à jour.

Ce cadre de référence actualisé témoigne duprofessionnalisme et de la vitalité de notre profes-sion. Il contient les méthodes et pratiques les plusà même de répondre à vos besoins et aux attentesde vos organisations. Reportez-y-vous souvent etappliquez-le toujours.

Philippe MocquardDélégué Général

N


Préface

Notre profession connaît des changementstrès rapides. C’est dans ce contexte que leConseil d’administration de l’Institute of Inter-nal Auditors (IIA) a mis en place un comité depilotage international et un groupe de travailpour réviser le Cadre de Référence desPratiques Professionnelles ainsi que l’organi-sation de l’IIA en ce qui concerne les lignesdirectrices et les processus associés. Legroupe de travail a mis l’accent sur la révisiondu périmètre du Cadre de Référence et surl’amélioration de la cohérence et de la trans-parence des processus d’élaboration, de révi-sion et de publication des lignes directrices.Les travaux se sont achevés avec l’élaborationd’un nouveau Cadre de Référence Internatio-nal des Pratiques Professionnelles (CRIPP) et laréorganisation du Conseil des PratiquesProfessionnelles (CPP). Le CPP coordonne l’ap-probation et la publication des lignes direc-trices du CRIPP comme mentionné dans lenouvel ordre de mission approuvé par leConseil en Juin 2007.

En général, un cadre de référence fournit unestructure schématique permettant decomprendre la relation entre un corpus deconnaissances et une ligne directrice. En tantque système cohérent, le cadre de référencepermet d’uniformiser l’élaboration, l’interpré-tation, l’application des concepts et desméthodologies ainsi que les techniques utili-sées dans un domaine ou une professiondonnée. Justement, l’objectif du CRIPP estd’organiser, d’une manière plus claire et plusopportune, les lignes directrices approuvées

par l’IIA. De ce fait, la position de l’IIA en tantqu’organe normalisateur de la profession d’au-dit interne est renforcée au niveau mondial.En prenant en compte la pratique actuelle del’audit interne ainsi que son développementfutur, le CRIPP aidera les professionnels et lesparties prenantes du monde entier à êtresensible à la demande croissante de servicesd’audit interne d’excellente qualité.

Puisque le CRIPP est la structure conceptuellequi organise les lignes directrices émises parl’IIA, son périmètre a été réduit pour ne pren-dre en compte que les lignes directrices déve-loppées par les comités techniquesinternationaux de l’IIA selon les procéduresappropriées. On distingue deux catégories delignes directrices approuvées par l’IIA : des dispositions obligatoires. Le respect

de ces éléments est exigé et la ligne direc-trice est élaborée selon le processus requisqui inclut une consultation publique. Laconformité aux principes mis en exerguedans les lignes directrices obligatoires estindispensable pour la pratique profession-nelle de l'audit interne et,

des dispositions fortement recomman-dées. La conformité à ces lignes direc-trices, approuvées par l’IIA, est fortementrecommandée. Elles proposent despratiques pour la mise en œuvre effectivede la définition de l’audit interne, du Codede Déontologie de l’IIA et des NormesInternationales pour la Pratique Profes-sionnelle de l’Audit Interne (Normes).

Préface


Le CRIPP comprend désormais les éléments suivants :

Eléments Définition

Définition La définition de l’audit interne établit l’objectif fondamental,la nature et le champ d'application de l’audit interne.

Code de déontologie Le Code de déontologie établit les principes et attentes régis-sant le comportement des individus et des organisations dansla conduite de l’audit interne.Il décrit les règles minimales de conduite ainsi que descomportements attendus plutôt que des activités spécifiques.

Normes internationalespour la pratique profes-sionnelle de l’auditinterne (Normes)

Les Normes sont des principes qui fournissent un cadre pourla réalisation des missions et la promotion de l’audit interne.Elles se composent de Normes de qualification, de Normesde fonctionnement et de Normes de mises en œuvre.

Les Normes sont des exigences obligatoires constituées : de déclarations sur les exigences fondamentales pour la

pratique professionnelle de l’audit interne et pour l’éva-luation de sa performance. Elles sont internationales etapplicables au niveau du service et au niveau individuel.

d’interprétations clarifiant les termes ou les concepts utili-sés dans les déclarations.

Il est nécessaire de considérer le texte dans sa totalité (c’est-à-dire les déclarations et les interprétations) afin de compren-dre et d’appliquer correctement les Normes. Les termesspécifiques utilisés dans les Normes sont explicités dans leGlossaire.

Dis

posi

tions

obl

igat

oire

s


Les changements les plus significatifs dunouveau Cadre de Référence sont : les améliorations de processus. Elles se

traduisent par une augmentation du typed’éléments constitutifs du Cadre de Réfé-rence, une plus grande transparence etdes cycles de révision définis pour toutesles lignes directrices. La périodicité de révi-sion du CRIPP a été fixée à trois ans. Mêmesi le contenu du CRIPP ne change pasforcément tous les trois ans, l’IIA s’engage

à le réviser selon cette périodicité et à yapporter les modifications nécessaires.

l’exclusion de l'accompagnement audéveloppement professionnel. Cetélément ne fait plus partie du Cadre deRéférence. Il était constitué de données(par exemple, des supports de formation,des publications ou des rapports derecherche) que les auditeurs internespouvaient utiliser pendant leurs travaux.Dans la mesure où le CRIPP ne prend en

Eléments Définition

Prises de position Les Prises de position aident l’ensemble des parties prenantes,y compris celles qui ne sont pas des professionnels de l’auditinterne, à comprendre les principaux enjeux en matière degouvernance, de risque ou de contrôle. Elles précisent égale-ment le rôle et les responsabilités de l’audit interne.

Modalités pratiquesd’application (MPA)

Les Modalités Pratiques d’Application fournissent uneapproche et une méthodologie mais ne précisent pas lesprocessus et les procédures détaillées.

Ce sont des lignes directrices qui aident les auditeurs internesdans l'application du Code de déontologie et des Normesainsi que la promotion des meilleures pratiques.

Ces pratiques concernent notamment : des problématiques internationales, nationales ou spéci-

fiques à certains secteurs d'activité ; des missions d'audit spécifiques ; des questions légales ou réglementaires.

Guides pratiques Les guides pratiques sont des lignes directrices détaillées pourla conduite des activités d’audit interne.

Ce sont des processus et des procédures détaillés tels que desoutils, des techniques, des programmes, des approchesséquentielles (par exemple, des modèles de livrables).

Préface

Dis

posi

tions

fort

emen

t rec

omm

andé

es


considération que les lignes directricesapprouvées par l'IIA, ces données necorrespondent plus au nouveau Cadre deRéférence tel que défini ci-dessus.

l’ajout des interprétations aux Normespour préciser certains termes. Elles ne sontpas systématiques mais lorsqu’elles sontnécessaires, elles suivent immédiatementla Norme concernée.

la réduction du périmètre des modalitéspratiques d’application. Elles ne concer-nent que la méthodologie et l’approchenécessaires à la mise en œuvre du Codede déontologie et des Normes. Lesdonnées actuelles sur les outils et les tech-niques ont été transférées dans les guidespratiques.

L’ajout des guides pratiques et des prisesde position. Les guides pratiques sont deslignes directrices correspondant à desoutils ou des techniques. Ils comprennentdes processus et des procédures détaillés,des programmes, des approches séquen-tielles (par exemple, des modèles de livra-bles). Les prises de position concernent lavision de l’IIA sur les rôles et responsabili-tés de l’audit interne vis-à-vis d’uneproblématique donnée.

Par définition, l’audit interne est une activitéobjective d’assurance et de conseil qui contri-bue à la création de valeur ajoutée et à l’amé-lioration des opérations d’une organisationdonnée. Il aide cette organisation à atteindreses objectifs en évaluant, par une approchesystématique et méthodique, ses processusde management des risques, de contrôle, etde gouvernement d’entreprise, et en faisantdes propositions pour renforcer leur efficacité.Au niveau mondial, l’audit interne est exercédans des environnements divers ainsi que

dans des organisations dont l'objet, la taille, lacomplexité et la structure diffèrent. De plus,les lois et les usages varient d’un pays à l’autre.Ces différences peuvent avoir une incidencesur la pratique de l’audit interne dans chaqueenvironnement. La mise en œuvre du CRIPPsera donc déterminée par l’environnementdans lequel l’audit interne assume les respon-sabilités qui lui sont assignées. Aucune infor-mation du CRIPP ne devrait être interprétéede manière contradictoire avec les lois etrèglements applicables. Si dans certainescirconstances l’information contenue dans leCRIPP est contradictoire avec la législation oula régulation, les auditeurs internes sontencouragés à prendre contact avec l’IIA ou unconseiller juridique pour avoir des lignesdirectrices complémentaires.

Comme indiqué précédemment, le CRIPP estconstitué de deux types de lignes directrices :

1. les lignes directrices obligatoirescomprennent :

• la Définition de l’audit interne ;• le Code de déontologie ;• les Normes.

Le caractère obligatoire des Normes estrenforcé par l’utilisation du terme « Must ».Ce mot est utilisé dans les Normes pourindiquer une exigence impérative. Danscertains cas exceptionnels, le vocable« Should » est utilisé dans les Normeslorsque le respect de la disposition estrecommandé sauf si, en faisant preuve dejugement professionnel, des adaptationssont justifiées par les circonstances.Le respect des principes énoncés dans leslignes directrices obligatoires est indispen-


sable pour que les auditeurs internes etl’audit interne assument leurs responsabi-lités. Comme précisé dans le Code deDéontologie, les auditeurs internesdoivent accomplir leurs missions confor-mément aux Normes. L’expression « audi-teurs internes » est utilisée pour désignerles membres de l’Institut, les lauréats descertifications professionnelles proposéespar l’IIA ou les candidats à ces certifica-tions, ainsi que les personnes qui réalisentdes missions d’audit interne conformé-ment à la Définition de l’IIA.

Les lignes directrices obligatoires sontapplicables aux individus et aux entitésqui réalisent des missions d’audit interne.

2. les lignes directrices recommandéescomprennent :

• les prises de position ;• les modalités pratiques d’application ;• les guides pratiques.

Bien qu’approuvées par l’IIA et élaboréespar un comité technique international del’IIA et/ou un institut, les lignes directricesfortement recommandées ne sont pas

obligatoires. Elles ont été développéespour donner un large panel de solutionsapplicables pour répondre aux exigencesobligatoires de l’IIA. Les dispositions forte-ment recommandées ne donnent pasune réponse définitive à chaque contexteparticulier. De ce fait, elles doivent êtreutilisées comme des guides. L’IIA recom-mande le recourt à l’avis d’autres profes-sionnels pour les questions relatives àcertains situations particulières. Ces lignesdirectrices sont sensées être utilisées pardes auditeurs internes compétents quifont preuve de jugement professionnel.

Dans les prochaines années, avec leur impli-cation dans le développement des lignesdirectrices, les auditeurs internes feront ensorte que le CRIPP continue à être plusrobuste. Toutes les parties prenantes concer-nées sont invitées à faire des commentaires etdes propositions à propos de l’IPPF. Pour lesavis professionnels, les commentaires et lessuggestions, envoyer un message à[email protected]. Pour trouver les futuresmises à jour du CRIPP, les auditeurs internessont invités à consulter les pages « ProfessionalGuidance » sur le site http://www.theiia.org.

Préface

DISPoSItIoNS oblIgAtoIrES


Dispositions obligatoires

Dis

posi

tions

oblig

atoi

res


Définition de l’audit interne

Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d’Administration de l’IFACI.

L’audit interne est une activité indépendante et objective qui donne à une organisation uneassurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,et contribue à créer de la valeur ajoutée.

Il aide cette organsiation à atteindre ses objectifs en évaluant, par une approche systématiqueet méthodique, ses processus de management des risques, de contrôle, et de gouvernementd’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Définition de l’audit interne

Dis

posi

tions

oblig

atoi

res


Code de Déontologie

Pourquoi un Code de Déontologie ?

Pourquoi donc les Normes n’aplaniraient-elles pas toutes les difficultés auxquelles l’auditeur interne peut se trouver

confronté, en indiquant de manière systématique, la bonne conduite à adopter ? Cette question est légitime et appelle

des réponses qui permettent de préciser la raison d’être du Code de Déontologie :

Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte parti-

culier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques,

les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l’audit

interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systé-

matiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profes-

sion identifie des valeurs essentielles qui ne nient par l’originalité de chaque situation. Il guide la réflexion de chaque

auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d’audit interne.

Expliciter et illustrer les notions d’indépendance et d’objectivité, ces préalables sont indispensables à la

qualité de l’évaluation effectuée par l’auditeur interne. Il est essentiel que ces deux notions, que l’auditeur doit

respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations

délicates. En effet, l’auditeur interne et notamment le responsable de l’audit interne, se trouvent fréquemment

confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l’épreuve de situations

personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux suscep-

tibles d’éviter ou de clarifier les situations impropres à l’exercice d’un jugement professionnel serein. Ils permettent

d’obtenir les conseils d’un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu’il

convient de suivre en cas de situation délicate.

Témoigner du niveau élevé d’intégrité de l’audit interne : Il est important et utile que chacun sache que

l’auditeur interne s’efforce de toujours agir avec honnêteté et rigueur. L’existence d’un Code de Déontologie de l’audit

interne, signé par les auditeurs internes et annexé à la charte d’audit interne constitue, à notre sens, le témoignage

d’un engagement favorisant un climat d’honnêteté et d’intégrité.

Contribuer à la qualité des résultats de l’audit en rappelant l’exigence de confidentialité et de compé-

tence. En effet, la confiance accrue des audités permet un meilleur travail.

Préambule


Dis

posi

tions

oblig

atoi

res


Introduction

Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au seinde la profession d’audit interne.

Définition de l’audit interneL’audit interne est une activité indépendante et objective qui donne à uneorganisation une assurance sur le degré de maîtrise de ses opérations, luiapporte ses conseils pour les améliorer, et contribue à créer de la valeurajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant,par une approche systématique et méthodique, ses processus de mana-gement des risques, de contrôle, et de gouvernement d’entreprise, et enfaisant des propositions pour renforcer leur efficacité.

Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective surles processus de gouvernement d’entreprise, de management des risques, et de contrôle, il étaitnécessaire que la profession se dote d’un tel code.

Le Code de Déontologie va au-delà de la définition de l’audit interne et inclut deux composantesessentielles :

1. Des principes fondamentaux pertinents pour la profession et pour la pratique de l’auditinterne ;

2. Des règles de conduite décrivant les normes de comportement attendues des auditeursinternes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentauxet ont pour but de guider la conduite éthique des auditeurs internes.

On désigne par « auditeurs internes » les membres de l’Institut, les titulaires de certification profes-sionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes proposant des servicesentrant dans le cadre de la définition de l’audit interne.

Champ d’application et caractère obligatoire

Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services d’au-dit interne.Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de certifica-tions professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet d’une évaluation et seratraitée en accord avec les statuts de l’Institut et ses directives administratives. Le fait qu’un compor-tement donné ne figure pas dans les règles de conduite ne l’empêche pas d’être inacceptable oudéshonorant et peut donc entraîner une action disciplinaire à l’encontre de la personne qui s’enest rendu coupable.


Principes fondamentaux

Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentauxsuivants :

1. Intégrité :L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées àleur jugement.

2. Objectivité :Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Lesauditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissentpas influencer dans leur jugement par leurs propres intérêts ou par autrui.

3. Confidentialité :Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ilsne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligationlégale ou professionnelle ne les oblige à le faire.

4. Compétence :Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériencesrequis pour la réalisation de leurs travaux.

Règles de conduite

1. Intégrité

Les auditeurs internes :

1.1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.

1.2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profes-sion.

Par exemple, dans le secteur public en France, selon l’article 40 du Code de procédure pénale : « toute autorité constituée,tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'undélit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous lesrenseignements, procès-verbaux et actes qui y sont relatifs ».

Commentaire IFACI


Dis

posi

tions

oblig

atoi

res

20

1.3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans desactes déshonorants pour la profession d’audit interne ou leur organisation.

1.4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

2. Objectivité


2.1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraientcompromettre ou risquer de compromettre le caractère impartial de leur jugement. Ceprincipe vaut également pour les activités ou relations d’affaires qui pourraient entreren conflit avec les intérêts de leur organisation.

2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leurjugement professionnel.

2.3 Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pasrévélés, auraient pour conséquence de fausser le rapport sur les activités examinées.

Il convient de préciser que la notion de déshonneur est culturelle, qu’elle dépend des époques, des individus, de l’éthique del’organisation et de nombreux autres facteurs.

Commentaire IFACI

Cette règle de conduite appelle la question suivante : qu’entend-on par objectif éthique et objectif légitime ? On peut définirlégitime comme conforme aux lois, aux règlements et à l’objet social tandis qu’éthique fait référence aux valeurs morales età divers principes. Il appartient à chaque auditeur interne de donner à ces deux mots un sens adapté à la situationparticulière dans laquelle il se trouve.Dans le cas où l’organisation aurait des objectifs non éthiques ou non légitimes ou jugés tels par l’auditeur, ce Code deDéontologie ne contraint pas l’auditeur interne à les respecter et encore moins à y contribuer, pas plus qu’il ne l’interdit.Cette situation, si elle se produisait, ne dispenserait pas l’auditeur interne de garder à leur égard un parfait esprit critique.

Commentaire IFACI

C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Ilconvient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ou aucomité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit internepeuvent être communiqués à la justice. Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que lesrapports d’audit interne sont tenus à la disposition des commissaires aux comptes et du secrétariat général de laCommission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avecdiscernement, prudence et circonspection.

Commentaire IFACI

© IFACI - janvier 2015


3. Confidentialité


3.1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre deleurs activités.

3.2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’unemanière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifséthiques et légitimes de leur organisation.

Il est important de préciser que la confidentialité et les règles de conduite y afférentes s’appliquent à toute personneproposant des services entrant dans la définition de l’audit interne. Le responsable de l’audit interne, dans le cas où ilsoustraite une mission, à l’extérieur du service d’audit interne ou de l’organisation, doit veiller à ce qu’une clause de cetordre soit intégrée dans le contrat de prestation.

Commentaire IFACI

L’IFACI préconise que le responsable de l’audit interne ait un devoir d’alerte vis-à-vis du comité d’audit pour des faitséminemment graves commis par la direction générale et pouvant mettre en danger la continuité d’exploitation, à conditionque ces faits soient avérés et que le rôle de l’audit interne en la matière soit dûment explicité dans une charte d’éthique.

Commentaire IFACI

En fonction des termes de l’arrêté portant application de l’article 156 de la Loi de Modernisation de l’Economie qui prévoit« au sein des établissements de crédit, les conditions d’information des organes de direction, d’administration et desurveillance concernant l’efficacité des systèmes de contrôle interne, d’audit interne et de gestion des risques, et le suivides incidents révélés notamment par ces systèmes, sont fixés par arrêté. » Cet arrêté prévoit les conditions dans lesquellesces informations sont transmises à la Commission bancaire, en outre, l’article 154 de la LME prévoit des sanctions(emprisonnement et amende financière) en cas d’absence de réponse aux demandes d’informations de la Commissionbancaire ou de communication de renseignements inexacts.

Commentaire IFACI

Est assimilable à « bénéfice personnel » non seulement le bénéfice procuré à un tiers apparenté ou ami, mais aussil'utilisation des informations recueillies dans le cadre de l'activité d'audit à des fins étrangères à cette activité, telles que lacommunication à des associations caritatives, humanitaires, et plus généralement à but louable, soutenues par l'auditeurinterne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils reçoivent.

Commentaire IFACI


Dis

posi

tions

oblig

atoi

res


4. Compétence


4.1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, lesavoir faire et l’expérience nécessaires.

4.2. Doivent réaliser leurs travaux d’audit interne dans le respect des Normes Internationalespour la Pratique Professionnelle de l’Audit Interne.

4.3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurstravaux.

NormES INtErNAtIoNAlES


Normes internationales

Dis

posi

tions

oblig

atoi

res


IntroductionL’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dansdes organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outreexercé par des professionnels de l'audit, internes ou externes à l'organisation.Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque environne-ment, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle del'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs internes et l’audit interne s'ac-quittent de leurs responsabilités.

Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne derespecter certaines dispositions des Normes, il est nécessaire d’en respecter les autres dispositionset de procéder à une communication appropriée.

Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence, lescommunications de l’audit interne peuvent le cas échéant, citer l’utilisation d’autres Normes. S’il ya des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et l’auditinterne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-cisont plus exigeantes.

Les Normes ont pour objet :1. de définir les principes fondamentaux de la pratique de l'audit interne ;2. de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d’in-

tervention d'audit interne à valeur ajoutée ;3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ;4. de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes sont des principes obligatoires constituées : de déclarations sur les conditions fondamentales pour la pratique professionnelle de l’audit

interne et pour l’évaluation de sa performance. Elles sont internationales et applicables tantau niveau du service qu’au niveau individuel ;

d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.

Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En parti-culier les Normes utilisent le mot « must » pour spécifier une exigence impérative et le mot« should » lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de juge-ment professionnel, des adaptations sont justifiées par les circonstances.

Il est indispensable de prendre en considération les déclarations et les interprétations ainsi queles significations spécifiques du Glossaire pour comprendre et appliquer correctement les Normes.Les Normes se composent des Normes de qualification et des Normes de fonctionnement. Les

Normes internationales

Dis

posi

tions

oblig

atoi

res


Normes de qualification énoncent les caractéristiques que doivent présenter les organisations etles personnes accomplissant des missions d'audit interne. Les Normes de fonctionnement décri-vent la nature des missions d'audit interne et définissent des critères de qualité permettant demesurer la performance des services fournis. Les Normes de qualification et les Normes de fonc-tionnement s’appliquent à tous les services d’audit.

Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de fonctionne-ment en indiquant les exigences applicables dans les activités d’assurance (A) ou de conseil (C).

Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective envue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opéra-tion, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne détermine lanature et l'étendue des missions d’assurance. Elles comportent généralement trois types d'inter-venants : (1) la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction,le processus, le système ou le sujet examiné – autrement dit le propriétaire du processus, (2) lapersonne ou le groupe réalisant l'évaluation – l'auditeur interne, et (3) la personne ou le groupequi utilise les résultats de l'évaluation – l'utilisateur.

Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature etleur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux inter-venants : (1) la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne,et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la réali-sation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et n'assumer aucunefonction de management.

Les Normes s’appliquent aux auditeurs internes et à l'activité d’audit interne. Tous les auditeursinternes ont la responsabilité de se conformer aux Normes relatives à l’objectivité, aux compé-tences et à la conscience professionnelle individuelles. De plus, ils doivent se conformer auxNormes relatives aux responsabilités associées à leur poste. Les responsables de l’audit interneont la responsabilité d’assurer la conformité globale de l'activité d’audit interne avec lesNormes et d’en rendre compte.

La revue et la mise à jour des Normes est un processus continu. « The International Internal AuditStandards Board » mène une large consultation et des discussions avant de publier les Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sontconsultables sur le site internet de l'IIA et sont distribués à tous les instituts affiliés.

Les suggestions et commentaires concernant les Normes peuvent être adressés à :The Institute of Internal Auditors

Standards and Guidance247, Maitland Avenue.

Altamonte Springs, Florida 32701-4201 USACourrier électronique : [email protected]

Site web : www.theiia.org

NormES DE

quAlIFICAtIoN


Normes de qualification

Dis

posi

tions

oblig

atoi

res

29




1000 – mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent êtreformellement définis dans une charte d’audit interne, être cohérents avec la définition de l’auditinterne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doitrevoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la directiongénérale et du Conseil.

Interprétation :La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y comprisla nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorisel'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définitle champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de laresponsabilité du Conseil.

Le terme « Conseil » est explicité dans le Glossaire des Normes.

Dans la pratique, le responsable de l’audit interne a, lorsqu’il existe, une relation fonctionnelle avec le comité spécialisé duConseil mandaté pour les questions liées à la gestion des risques, au contrôle interne et à l’audit interne. Il s’agit le plussouvent du comité d’audit ou du comité de contrôle interne et des risques.

La nature de cette relation fonctionnelle est précisée dans l’interprétation de la Norme 1110.

L’IFACI considère que la charte d’audit interne devra également définir le rattachement hiérarchique du responsable del'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le rôle de l’audit interne dansle gouvernement d’entreprise recommande que « l’audit interne soit clairement rattaché hiérarchiquement à la directiongénérale ».

Quel que soit son niveau de rattachement, le responsable de l’audit interne devra présenter le contenu de la charte à ladirection générale afin d’assurer la cohérence entre les responsabilités et les pouvoirs attribués à l’audit interne. La prise deposition IFA/IFACI préconise que le comité d’audit prenne connaissance des documents formalisant l’organisation généraledu service d’audit interne et en particulier la charte de l’audit interne. L’indépendance est confirmée par l’approbation deces documents par le Conseil.

Commentaire IFACI

MPA 1000-1 :Charte d’audit interne

Dis

posi

tions

oblig

atoi

res


La revue périodique de la charte garantit l’adéquation permanente de la capacité d’intervention de l’audit interne avec lesmissions qui lui sont assignées.

1000.A1 – La nature des missions d'assurance réalisées pour l'organisation doit êtredéfinie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assu-rance à l'extérieur de l'organisation, leur nature doit être également définie dans lacharte d'audit interne.

1000.C1 – La nature des missions de conseil doit être définie dans la charte d'auditinterne.

1010 – reconnaissance de la définition de l’audit interne, du Code de Déontologieainsi que des Normes dans la charte d'audit interne

Le caractère obligatoire de la définition de l’audit interne, du Code de Déontologie ainsique des Normes doit être reconnu dans la charte d'audit interne. Le responsable de l’audit interne présente la définition de l’audit interne, le Code de Déon-tologie ainsi que les Normes à la direction générale et au Conseil.

Lorsque le responsable de l’audit interne soumet la charte pour approbation à la direction générale et au Conseil (cf. Norme1000), il présente en particulier la définition de l’audit interne, le Code de Déontologie et les Normes. Ces dispositionsobligatoires ont fait leur preuve dans les différents contextes où l’audit interne est pratiqué. Elles constituent le niveauminimal de professionnalisme requis.

Commentaire IFACI

Une bonne connaissance du CRIPP est nécessaire pour donner du sens à la présentation qui est faite aux instancesdirigeantes. Elle permet d’illustrer, de façon pertinente, en quoi la réalisation des objectifs de l’organisation et sastructuration permettent l’application des principes du CRIPP.

Commentaire IFACI

31



1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avecobjectivité.

Interprétation :L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses responsa-bilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsa-bilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la directiongénérale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement. Les atteintes àl’indépendance doivent être appréhendées à différents niveaux :

au niveau de l’auditeur interne ; au niveau de la conduite de la mission ; au niveau de l’audit interne et de son positionnement dans l’organisation.

L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missionsde telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans le moindre compromis.L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celuid’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité doivent être appréhen-dées au niveau de :

l’auditeur interne ; la conduite de la mission ; l’audit interne et de son positionnement dans l’organisation.

L’indépendance de l’audit interne dépend également du rattachement hiérarchique de son responsable à la directiongénérale et de sa capacité à communiquer avec le Conseil. Au niveau individuel, l’absence de subordination au jugement d’autres personnes concerne en premier lieu les opinions quiseraient formulées en dehors du service d’audit interne.L’objectivité découle en partie de l’approche systématique et méthodique prévue dans la définition de l’audit interne.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res


1110 – Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérar-chique suffisant au sein de l’organisation pour permettre au serviced’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmerau Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organi-sation.

Interprétation :L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne rapportefonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil :

approuve la charte d’audit interne ; approuve le plan d’audit interne fondé sur l’approche par les risques ; approuve le budget et les ressources prévisionnels de l’audit interne ; soit destinataire des informations adressées par le responsable d’audit relatives à la réalisation

du plan d’audit ou de tout autre sujet afférent à l’audit interne ; approuve les décisions liées à la nomination et à la révocation du responsable de l’audit

interne ; approuve la rémunération du responsable de l’audit interne ; demande des informations pertinentes au management et au responsable de l’audit interne

pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.

Comme souligné à propos de la Norme 1000, c’est le double rattachement de l’audit interne qui permet d’asseoir sonindépendance au sein de l’organisation.Dans sa prise de position sur l’urbanisme du contrôle interne, l’IFACI recommande que l’audit interne soit rattaché au plushaut niveau de l’organisation afin de conforter l’objectivité de ses démarches et affirmer l’indépendance dont il a besoinpour exercer ses activités ; que ce rattachement soit situé idéalement au niveau de la direction générale, ultime responsabledu contrôle interne comme de la bonne marche des organisations.

Il est souhaitable que les responsabilités du Conseil à l’égard de l’audit soient formalisées. Les éléments de l’interprétationpourront être utilisés à cet effet et être complétés par d’autres bonnes pratiques professionnelles. Par exemple, le comitéd’audit est tenu informé, le cas échéant :

• des zones de risques non couvertes que l’audit interne a lui-même identifiées ;• de la réalisation des missions non planifiées, y compris les demandes de la direction générale ;• des changements de périmètre de certaines missions ou des reports ;• de la participation des auditeurs ou du responsable de l’audit interne à des projets ou à des travaux connexes ;• du suivi de la mise en œuvre des recommandations ;• des points significatifs de désaccord avec le management conformément au processus décrit dans la

norme 2600, etc.

Commentaire IFACI

MPA 1110-1 :Indépendance dansl’organisation


L’approbation du budget doit s’appuyer sur l’analyse d’un certain nombre de critères notamment au regarddu plan d’audit à réaliser.

Pour conforter l’indépendance de l’audit interne, le Conseil devrait contribuer à l’évaluation de laperformance du responsable de l’audit interne notamment sur la base de la qualité des informations reçues.

1110.A1 – L'audit interne ne doit subir aucune ingérence lors de la définition deson champ d'intervention, de la réalisation du travail et de la communication desrésultats.

1111 – relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir communiquer etdialoguer directement avec le Conseil.

1120 – objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale etdépourvue de préjugés, et éviter tout conflit d'intérêt.

Interprétation :Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouitd’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec sesdevoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilitésde façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique oumalhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer laconfiance en l’auditeur interne, vis-à-vis du service d’audit interne et en la profession. Un conflit d’in-térêt peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabi-lités de manière objective.

Le responsable de l’audit interne doit particulièrement instaurer des relations régulières avec le Conseil ou ses comitésspécialisés. Il organise une communication adaptée aux besoins de ces instances et aux exigences de sa mission. Ildémontre, notamment lors de réunions d’échanges directes, la contribution de l’audit interne à l’exercice de leurresponsabilité.

Commentaire IFACI

MPA 1111-1 : Relation avec le conseil

MPA 1120-1 :Objectivité individuelle


Dis

posi

tions

oblig

atoi

res

1130 – Atteinte à l'indépendance ou à l'objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sontcompromises dans les faits ou même en apparence, les partiesconcernées doivent en être informées de manière précise. La formede cette communication dépendra de la nature de l'atteinte à l'indépendance.

Interprétation :Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuventfigurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accèsaux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limita-tions financières.L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dansla charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’auditinterne, et d’autre part de la nature de cette atteinte.

1130.A1 – Les auditeurs internes doivent s'abstenir d'auditerdes opérations particulières dont ils étaient auparavantresponsables. L'objectivité d'un auditeur interne est présu-mée altérée lorsqu'il réalise une mission d'assurance pourune activité dont il a eu la responsabilité au cours de l'annéeprécédente.

1130.A2 – Les missions d'assurance concernant des fonc-tions dont le responsable de l'audit a la charge doivent êtresupervisées par une personne ne relevant pas de l'auditinterne.

1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions deconseil liées à des opérations dont ils ont été auparavant responsables.

1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont suscepti-bles d'être compromises lors des missions de conseil qui leur sont proposées, ilsdoivent en informer le client donneur d'ordre avant de les accepter.

La mise en œuvre de cette Norme doit s’appuyer sur la charte d’audit interne et le Code de Déontologie.

Commentaire IFACI

MPA 1130.A1-1 : Auditdes opérations dontles auditeurs internesont été auparavantresponsables

MPA 1130.A2-1 :Responsabilitésexercées par l’auditinterne au titred’autres fonctions


MPA 1130-1 : Atteintesà l’indépendance ou àl’objectivité

1200 – Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscienceprofessionnelle.

1210 – Compétence

Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles.L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, lesavoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.

Interprétation :Les connaissances, le savoir-faire et les autres compétences sont une expression générique utiliséepour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoirexercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragésà démontrer leurs compétences en obtenant des certifications et qualifications professionnellesappropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou pard’autres organisations professionnelles appropriées.

1210.A1 – Le responsable de l'audit interne doit obtenirl'avis et l'assistance de personnes qualifiées si les auditeursinternes ne possèdent pas les connaissances, le savoir-faireet les autres compétences nécessaires pour s'acquitter detout ou partie de leur mission.

35



La connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique. Pour une pratiqueprofessionnelle de l’audit interne il faut également mobiliser d’autres compétences en termes de savoir-être et de savoir-faire (connaissance des métiers de l’organisation, de sa culture…), ce qui permet de renforcer l’objectivité etl’indépendance des auditeurs internes.

Commentaire IFACI

MPA 1210-1 :Compétence

MPA 1200-1 :Compétence etconscienceprofessionnelle

Les auditeurs internes peuvent démontrer qu'ils détiennent les savoirs et savoir-faire indispensables àl'exercice de leur métier en obtenant les qualifications professionnelles également proposées par l'IFACI. Ces qualifications attestent que leurs titulaires ont les connaissances et les compétences qui leur permettrontde conduire une mission d’audit de manière autonome et professionnelle, en s’appuyant sur la démarchepréconisée par les Normes.

Commentaire IFACI

MPA 1210.A1-1 :Recours à desprestataires externes

Dis

posi

tions

oblig

atoi

res

1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantespour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation.Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la respon-sabilité première est la détection et l'investigation des fraudes.

1210.A3 – Les auditeurs internes doivent posséder une connaissance suffisante desprincipaux risques et contrôles relatifs aux technologies de l'information, et des tech-niques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre destravaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censésposséder l'expertise d'un auditeur dont la responsabilité première est l'audit infor-matique.

1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseilou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes nepossèdent pas les connaissances, le savoir-faire et les autres compétences néces-saires pour s'acquitter de tout ou partie de la mission.

1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence etle savoir-faire que l'on peut attendre d'un auditeur interne raison-nablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibi-lité.

1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leurpratique professionnelle en prenant en considération les éléments suivants :

l'étendue du travail nécessaire pour atteindre les objectifs de la mission ; la complexité relative, la matérialité ou le caractère significatif des domaines

auxquels sont appliquées les procédures propres aux missions d'assurance ; l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de

management des risques et de contrôle ; la probabilité d'erreurs significatives, de fraudes ou de non-conformité; le coût de la mise en place des contrôles par rapport aux avantages escomp-

tés.

Chaque auditeur pris individuellement n’a pas besoin d’avoir toutes les connaissances nécessaires à la conduite de lamission. Ces compétences doivent être disponibles collectivement. Qu’il s’agisse de mission d’assurance ou de conseil, c’estau responsable d’audit interne de veiller à ce que la constitution de l’équipe soit cohérente avec les objectifs de la mission.

Commentaire IFACI

MPA 1220-1 :Conscienceprofessionnelle


37



1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeurinterne doit envisager l'utilisation de techniques informatiques d’audit et d’analysedes données.

1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égarddes risques significatifs susceptibles d'affecter les objectifs, les opérations ou lesressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menéesavec la conscience professionnelle requise, ne garantissent pas que tous les risquessignificatifs seront détectés.

1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil touteleur conscience professionnelle, en prenant en considération les éléments suivants :

les besoins et attentes des clients, y compris sur la nature, le calendrier et lacommunication des résultats de la mission ;

la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre lesobjectifs fixés ;

son coût par rapport aux avantages escomptés.

1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnellecontinue.

MPA 1230-1 :Formationprofessionnellecontinue

La valeur créée par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes.Le développement et le maintien des compétences doivent être une priorité et faire l'objet de toute l'attention nécessaire.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

1300 – Programme d'assurance et d'améliorationqualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programmed'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne.

Interprétation : Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :

la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’auditinterne et d’identifier toutes opportunités d’amélioration.

1310 – Exigences du programme d'assurance et d'améliora-tion qualité

Le programme d'assurance et d'amélioration qualité doit comporterdes évaluations tant internes qu’externes.

1311 – Évaluations internes

Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des évaluations périodiques, effectuées par auto-évaluation ou par d'autres

personnes de l'organisation possédant une connaissance suffisante des pratiquesd'audit interne.

Interprétation :La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivide l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiquescourantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définitionde l’audit interne, au Code de Déontologie et aux Normes.

Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’au-dit interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.

Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension del’ensemble des éléments du cadre de référence international des pratiques professionnelles.

MPA 1311-1 :Evaluations internes


MPA 1300-1 :Programmed’assurance etd’amélioration qualité

MPA 1310-1 :Exigences duprogrammed’assurance etd’amélioration qualité

1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous lescinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés,indépendants et extérieurs à l'organisation. Le responsable de l'auditinterne doit s'entretenir avec le Conseil au sujet :

des modalités et de la fréquence de l’évaluation externe ;et

des qualifications de l'évaluateur ou de l'équipe d'évaluationexternes ainsi que de leur indépendance y compris au regardde tout conflit d'intérêt potentiel.

Interprétation :Les évaluations externes peuvent prendre la forme d’une évaluationentièrement externalisée ou d’une auto-évaluation avec validation indé-pendante externe.Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deuxdomaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Cescompétences peuvent être démontrées à travers une combinaison d’expériences professionnelles etde connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’indus-trie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipepossède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si unévaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir menerà bien la mission d’évaluation.La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisationdont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ouapparent.

39



MPA 1312-1 :Evaluations externes

MPA 1312-2 :Evaluations externes :auto-évaluation avecvalidationindépendante

MPA 1312-3 :Indépendance del’équipe d’évaluationexterne dans le secteurprivé

MPA 1312-4 :Indépendance del’équipe d’évaluationexterne dans le secteurpublic

Le principe d’une évaluation externe témoigne de la capacité de l’audit interne à ne pas s’exonérer de ses propres exigencesprofessionnelles.La direction générale devrait être préalablement informée des modalités d’implication du Conseil et plusparticulièrement des éléments qui lui seront communiqués. Une évaluation externe plus fréquente peut être envisagée en fonction de l’évolution de l’environnement, duprofil de risque de l’organisation, de la sensibilité des parties prenantes, de la nature des travaux de l’auditinterne et de son organisation. Des éléments complémentaires concernant la qualification des évaluateurs externes sont disponibles au §7 de la MPA1312-1 « Evaluations externes ».

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

1320 – rapports relatifs au programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit communiquer les résultats du programme d'assu-rance et d'amélioration qualité à la direction générale ainsi qu’au Conseil.

Interprétation : La forme, le contenu ainsi que la fréquence des communications relatives aux résultats duprogramme d'assurance et d'amélioration qualité sont définis lors de discussions avec la directiongénérale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de celles du respon-sable de l’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformitéà la définition de l’audit interne, au Code de Déontologie et aux Normes, les résultats des évaluationsinternes périodiques et des évaluations externes doivent être communiqués dès l’achèvement de cesévaluations. Les résultats de la surveillance continue sont quant à eux communiqués au moins unefois par an. Ces résultats incluent l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur ledegré de conformité de l’activité d’audit interne.

1321 – utilisation de la mention « conforme aux Normes inter-nationales pour la pratique professionnelle de l’audit interne »

Le responsable de l’audit interne peut indiquer que l’activité d’auditinterne est conduite conformément aux Normes internationales pourla pratique professionnelle de l'audit interne seulement si, les résultatsdu programme d'assurance et d'amélioration qualité l’ont démon-tré.

Interprétation : Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences dela Définition de l’audit interne, du Code de déontologie et des Normes.Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats desévaluations internes et des évaluations externes. Tout service d’audit interne disposera de résul-tats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’anciennetédisposeront également des résultats de leurs évaluations externes.

MPA 1321-1 :Utilisation de lamention « conformeaux Normesinternationales pour lapratiqueprofessionnelle del’audit interne »


La conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes nécessite une déclinaison concrète deces principes dans les procédures du service d’audit interne qui faciliteront leur appropriation par les auditeurs. L’utilisationdu Référentiel Professionnel de l’Audit Interne (RPAI) développé par IFACI Certification peut aider à mettre en œuvre leProgramme d’assurance et d’amélioration qualité.

Commentaire IFACI

1322 – Indication de non-conformité

Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne,le Code de Déontologie ou encore les Normes a une incidence sur le champ d'interventionou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informerla direction générale et le Conseil de cette non-conformité et de ses conséquences.

41



Quelle que soit l’ancienneté du service, les résultats d’une évaluation externe sont indispensables pour pouvoir utiliser cettemention. En effet, la Norme 1310 précise que « le programme d’assurance et d’amélioration qualité doit comporter desévaluations tant internes qu’externes ». Comme indiqué dans le §3 de la MPA 1321-1 « l’emploi de ces formules n’est pasapproprié tant qu’une évaluation externe n’a pas démontré que l’audit interne fonctionne en conformité avec la définitionde l’audit interne, le Code de déontologie et les Normes ». La mise en œuvre de cette Norme doit être cohérente avec laNorme 1322.Ces indications de conformité ou de non-conformité au niveau du service sont déclinées pour les missions avec les Normes2430 et 2431.

Commentaire IFACI

L’indication de non-conformité ne se limite pas au positionnement de l’audit interne ou à son pilotage, cette déclarationconcerne l’ensemble du processus d’audit :

• les activités transversales telles que l’élaboration de procédures, la gestion des ressources, la coordination avec lesautres acteurs du contrôle ou la communication ;

• le cœur du métier avec la planification, la réalisation des missions et le suivi des recommandations.La mise en œuvre de cette Norme doit être cohérente avec la Norme 2431. Plusieurs non-conformités lors des missionsdevraient poser la question de la conformité de l’activité d’audit interne.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

NormES DE FoNCtIoNNEmENt


Normes de fonctionnement

Dis

posi

tions

oblig

atoi

res

45


Normes de Fonctionnement

2000 – gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elleapporte une valeur ajoutée à l’organisation.

Interprétation : L’activité d’audit interne est gérée efficacement quand :

les résultats des travaux de l’audit interne répondent aux objectifs et responsabilités définisdans la charte d’audit interne ;

l’audit interne est exercé conformément à la définition de l’audit interne et aux Normes ; les membres de l’équipe d’audit agissent en respectant le Code de Déontologie et les Normes.

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses partiesprenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience ainsiqu’à l’efficacité des processus de gouvernement d’entreprise, de management des risques et decontrôle interne.

2010 – Planification

Le responsable de l'audit interne doit établir un plan d’audit fondésur les risques afin de définir des priorités cohérentes avec les objec-tifs de l'organisation.

Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’auditfondé sur les risques. Pour ce faire, le responsable de l’audit interne prend encompte le système de management des risques défini au sein de l’organisation, il tient notammentcompte de l’appétence pour le risque définie par le management pour les différentes activités oubranches de l’organisation. Si ce système de management des risques n’existe pas, le responsable del’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération lepoint de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le caséchéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, lesrisques, les opérations, les programmes, les systèmes et les contrôles de l’organisation.


Le système de management des risques est l’un des éléments à prendre en considération pour l’établissement de l’ordre depriorités des missions. Au préalable, le responsable de l’audit interne doit évaluer l’efficacité du processus de managementdes risques de l’organisation pour s’assurer que le périmètre de ce processus recouvre l’univers d’audit et que les

Commentaire IFACI

MPA 2010-1 : La prise en compte desrisques et des menacespour l’élaboration duplan d’audit

MPA 2010-2 : Prise en compte dumanagement desrisques dans laplanification de l’auditinterne

Dis

posi

tions

oblig

atoi

res


informations fournies sont fiables et utiles pour l’analyse des risques qu’il réalise.Par ailleurs, le responsable de l’audit interne prend en compte d’autres données :

• la date et les résultats des précédentes missions ;• les demandes de la direction générale, du comité d’audit et d’autres organes de direction ;• les changements importants intervenus (ou envisagés) dans les processus et les activités de l’organisation ;• la composition de l’équipe d’audit interne, ses compétences et les modifications envisagées au niveau des ressources,

etc.Le plan initial est un « contrat » (généralement annuel) avec les organes dirigeants. En ce qui concerne leséventuelles modifications, les organes dirigeants devront être sollicités à bon escient au regard des enjeux.

2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risquesdocumentée et réalisée au moins une fois par an. Les points de vue de la directiongénérale et du Conseil doivent être pris en compte dans ce processus.

2010.A2 – Le responsable de l’audit interne doit identifier et prendre en considé-ration les attentes de la direction générale, du Conseil et des autres parties prenantesconcernant les opinions et d’autres conclusions de l’audit interne.

2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'auditinterne, avant de l'accepter, devrait considérer dans quelle mesure elle est suscep-tible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonc-tionnement de l'organisation. Les missions de conseil qui ont été acceptées doiventêtre intégrées dans le plan d'audit.

2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la directiongénérale et au Conseil son plan d'audit et ses besoins, pour examenet approbation, ainsi que tout changement important susceptible d'intervenir en coursd'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limi-tation de ses ressources.

Le plan d’audit ne doit pas résulter d’un simple recensement des activités et des entités de l’organisation. Le responsable de l’audit interne doit avoir une approche méthodique fondée sur des informations factuelles pour définir lecontour des missions et hiérarchiser les différents sujets. Il veille à conserver la trace des éléments qui ont permis d’aboutiraux priorités qu’il définit.

Commentaire IFACI

MPA 2020-1 :Communication etapprobation

47



2030 – gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressourcesaffectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière effi-cace pour réaliser le plan d'audit approuvé.

Interprétation :On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantitéde ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.

2040 – règles et procédures

Le responsable de l'audit interne doit établir des règles et procé-dures fournissant un cadre à l'activité d'audit interne.

Interprétation :La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structurél’audit interne et de la complexité de ses travaux.

2050 – Coordination

Afin d’assurer une couverture adéquate et d’éviter les doublesemplois, le responsable de l'audit interne devrait partager des infor-mations et coordonner les activités avec les autres prestatairesinternes et externes d'assurance et de conseil.

La complexité des travaux dépend du contexte de la mission (environnement plus ou moins stable, activités récurrentes ounon, caractère transverse, novateur…). Elle peut également varier en fonction de la qualité du dispositif de contrôleinterne sous-jacent, du niveau de détail des tests envisagés, de la technicité des opérations auditées...

Commentaire IFACI

La coordination des acteurs permet une couverture efficiente des risques de l’organisation.En ayant un rôle actif dans cette concertation, le responsable d’audit interne se donne lesmoyens de mieux atteindre les objectifs qui lui sont assignés.

Commentaire IFACI

MPA 2040-1 :Règles et procédures

MPA 2050-2 :Cartographie desservices donnant uneassurance sur lesdispositifs de contrôleet de management desrisques

MPA 2050-3 :S’appuyer sur lestravaux d’autresprestataires de servicesd’assurance

MPA 2050-1 :Coordination

Dis

posi

tions

oblig

atoi

res

MPA 2030-1 :Gestion des ressources


2060 – rapports à la direction générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodique-ment à la direction générale et au Conseil des missions, des pouvoirset des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit.Il doit plus particulièrement rendre compte :

de l’exposition aux risques significatifs (y compris des risques de fraude) et descontrôles correspondants ;

des sujets relatifs au gouvernement d’entreprise et ; de tout autre problème répondant à un besoin ou à une demande de la direction

générale ou du Conseil.

Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction géné-rale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence desactions correctives devant être entreprises par la direction générale et le Conseil.

2070 – responsabilité de l’organisation en cas de recours à un prestataire externepour ses activités d’audit interne

Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce dernierdoit alerter l’organisation qu’elle reste responsable du maintien d’un audit interne efficace.

Interprétation : Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité, lequelévalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les Normes.

Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit interne est lapersonne, qui au sein de l’organisation a comme mission principale la surveillance de l'exécution du contrat de services etde la qualité de ces activités. Il rend compte à la direction générale et au Conseil des activités d'audit interne.

Si les activités d’audit interne sont totalement externalisées, il convient d’être particulièrement vigilant sur les risquesd’atteinte à l’indépendance ou à l’objectivité (cf. Normes 1110, 1120 et 1130).

Commentaire IFACI

MPA 2060-1 : Rapportsà la direction généraleet au conseil

49



2100 – Nature du travail

L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management desrisques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématiqueet méthodique.

2110 – gouvernement d'entreprise

L'audit interne doit évaluer le processus de gouvernement d'entre-prise et formuler des recommandations appropriées en vue de sonamélioration. À cet effet, il détermine si le processus répond auxobjectifs suivants :

promouvoir des règles d'éthique et des valeurs appropriéesau sein de l'organisation ;

garantir une gestion efficace des performances de l'organi-sation, assortie d'une obligation de rendre compte ;

communiquer aux services concernés de l'organisation lesinformations relatives aux risques et aux contrôles ;

fournir une information adéquate au Conseil, aux auditeurs internes et externes etau management, et assurer une coordination de leurs activités.

2110.A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacitédes objectifs, des programmes et des activités de l'organisation liés à l'éthique.

2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’informationde l’organisation soutient la stratégie et les objectifs de l’orga nisation.

Le service d’audit élabore sa propre méthode d’évaluation des processus de gouvernement d’entreprise, de managementdes risques et de contrôle en utilisant des bonnes pratiques identifiées dans le Cadre de Référence International desPratiques Professionnelles de l’audit interne (en particulier les Modalités Pratiques d’Application, les guides d’application etles prises de position), les publications de l’IFACI (cahiers de la recherche, actes de colloques, etc.), les échanges avec lespairs, la veille, etc.

Le processus de contrôle vise l’ensemble du dispositif de contrôle interne. Il ne faut pas le restreindre aux procédures ou auxactivités de contrôle, mais également prendre en compte l’organisation, le pilotage et la surveillance du processus qui sefondent sur une approche par les risques et une diffusion fiable de l’information.

Commentaire IFACI

Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Norme.

Commentaire IFACI

MPA 2110-1 :Gouvernementd’entreprise :Définition

MPA 2110-2 :Gouvernementd’entreprise : Relationsavec les risques et lecontrôle interne

MPA 2110-3 :Gouvernementd’entreprise :Evaluations

Dis

posi

tions

oblig

atoi

res

2120 – management des risques

L'audit interne doit évaluer l’efficacité des processus de manage-ment des risques et contribuer à leur amélioration.

Interprétation :Afin de déterminer si les processus de management des risques sont effi-caces, les auditeurs internes doivent s’assurer que :

les objectifs de l’organisation sont cohérents avec sa mission et ycontribuent ;

les risques significatifs sont identifiés et évalués ; les modalités de traitement des risques retenues sont appropriées et

en adéquation avec l’appétence pour le risque de l’organisation ; les informations relatives aux risques sont recensées et communiquées

en temps opportun au sein de l’organisation pour permettre aux colla-borateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentesmissions.Une vision consolidée des résultats de ces missions permet une compréhension du processus demanagement des risques de l’organisation et de son efficacité.Les processus de management des risques sont surveillés par des activités de gestion permanente,par des évaluations spécifiques ou par ces deux moyens.

MPA 2120-1 :Evaluer la pertinencedes processus demanagement desrisques

MPA 2120-2 :Gestion du risque lié àl’activité d’auditinterne

MPA 2120-3 :Prise en compte, parl’audit interne, desrisques associés àl’atteinte des objectifsstratégiques


Afin d’évaluer l’efficacité des processus de management des risques de son organisation, l’audit interne s’appuie utilementsur des référentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework ou l’ISO 31000, et tient compte dela Recommandation de l'Autorité des Marchés Financiers (AMF) sur « Les dispositifs de gestion des risques et de contrôleinterne : Cadre de Référence » (juillet 2010).

Commentaire IFACI

Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En effet, les systèmesd’information doivent supporter les objectifs actuels et futurs de l’organisation et contribuer à la qualité du contrôle interne(gestion du portefeuille des investissements IT, maîtrise de la fiabilité et de la disponibilité des informations, etc.). L’audit interne s’appuiera sur des référentiels professionnels pour évaluer la gouvernance des systèmes d’information (voirGouvernance du système d’information / IFACI, AFAI, CIGREF (2011)).

Commentaire IFACI

51



2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'en-treprise, aux opérations et aux systèmes d'information de l'organisation au regardde :

l’atteinte des objectifs stratégiques de l’organisation ; la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.

2120.A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont cerisque est géré par l’organisation.

2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrirles risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de l’existencede tout autre risque susceptible d’être significatif.

2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risquesacquises lors de missions de conseil pour évaluer les processus de managementdes risques de l'organisation.

2120.C3 – Lorsque les auditeurs internes aident le management dans la conceptionet l’amélioration des processus de management des risques, ils doivent s’abstenird’assumer une responsabilité opérationnelle en la matière.

L’évaluation de la possibilité d’occurrence de fraude nécessite la vérification de la qualité de l’environnement de contrôle, dela bonne gestion des aspects éthiques et de l’existence d’une culture d’exemplarité. Néanmoins, il ne faut pas oublier qu’une situation à faible probabilité d’occurrence peut avoir des conséquencesdramatiques si elle ne se réalise pas. Même si cela n’est pas toujours évident, l’auditeur interne doit également essayer derépondre à la question du caractère significatif (cf. glossaire) du risque de fraude.

Commentaire IFACI

Sans forcément attendre la planification d’une mission spécifique sur le risque de fraude, les auditeurs internes doivent, lorsde leurs missions habituelles, avoir une forte sensibilité sur les problèmes de fraude.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

2130 – Contrôle

L’audit interne doit aider l’organisation à maintenir un dispositif decontrôle approprié en évaluant son efficacité et son efficience et enencourageant son amélioration continue.

2130.A1 – L'audit interne doit évaluer la pertinence et l'effi-cacité du dispositif de contrôle choisi pour faire face auxrisques relatifs au gouvernement d'entreprise, aux opérationset systèmes d'information de l'organisation. Cette évaluationdoit porter sur les aspects suivants :

l’atteinte des objectifs stratégiques de l’organisa-tion ;

la fiabilité et l'intégrité des informations financières etopérationnelles ;

l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.

2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifsde contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus decontrôle de l’organisation.

2200 – Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pourchaque mission. Ce plan de mission précise les objectifs, le champ d'inter-vention, la date et la durée de la mission, ainsi que les ressources allouées.

2201 – Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et

MPA 2200-1 :Planification de lamission

MPA 2200-2 :Utilisation d’uneapproche « Top-Down », fondée sur lesrisques, pour identifierles contrôles à évaluerdans le cadre d’unemission d’audit interne

MPA 2130.A1-1 :Fiabilité et intégrité del’information

MPA 2130.A1-2 :L’évaluation dudispositif mis en placepar l’organisation pourprotéger la vie privée


MPA 2130-1 :Evaluer la pertinencedes processus contrôle

Le dispositif de contrôle s’entend au sens large de contrôle interne. Il ne se limite pas aux activités de contrôle (cf.commentaire de la Norme 2100).

Commentaire IFACI

53



ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel durisque est maintenu à un niveau acceptable ;

la pertinence et l'efficacité des processus de gouvernement d’entreprise, de mana-gement des risques et de contrôle de l'activité, en référence à un cadre ou modèlede contrôle approprié ;

les opportunités d'améliorer de manière significative les processus de gouverne-ment d’entreprise, de management des risques et de contrôle de l'activité.

2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation,les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs etle champ de la mission, les responsabilités et les attentes respectives, et préciser lesrestrictions à observer en matière de diffusion des résultats de la mission et d'accèsaux dossiers.

2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre unaccord sur les objectifs et le champ de la mission de conseil, les responsabilités dechacun et plus généralement sur les attentes du client donneur d'ordre. Pour lesmissions importantes, cet accord doit être formalisé.

2210 – objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.

2210.A1 – Les auditeurs internes doivent procéder à uneévaluation préliminaire des risques liés à l'activité soumise àl'audit. Les objectifs de la mission doivent être déterminésen fonction des résultats de cette évaluation.

2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doiventtenir compte de la probabilité qu'il existe des erreurs significatives, des cas defraudes ou de non-conformité et d’autres risques importants.

2210.A3 – Des critères adéquats sont nécessaires pour évaluer le gouvernementd’entreprise, le management des risques et le dispositif de contrôle. Les auditeursinternes doivent déterminer dans quelle mesure le management et/ou le Conseila défini des critères adéquats pour apprécier si les objectifs et les buts ont étéatteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser dansleur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler avecle management et/ou le Conseil pour élaborer des critères d'évaluation appropriés.

MPA 2210-1 :Objectifs de la mission

MPA 2210.A1-1 :Evaluation des risquesdans la planificationde la mission

Dis

posi

tions

oblig

atoi

res

2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processusde gouvernement d'entreprise, de management des risques et de contrôle dans lalimite convenue avec le client.

2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec lesvaleurs, la stratégie et les objectifs de l'organisation.

2220 – Champ de la mission

Le champ doit être suffisant pour atteindre les objectifs de la mission.

2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, lepersonnel et les biens concernés, y compris ceux qui se trouvent sous le contrôlede tiers.

2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantesopportunités en termes de conseil, un accord écrit devrait être conclu pour préciserles objectifs et le champ de la mission de conseil, les responsabilités et les attentesrespectives. Les résultats de la mission de conseil sont communiqués conformémentaux Normes applicables à ces missions.

2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internesdoivent s'assurer que le champ d'intervention permet de répondre aux objectifsconvenus. Si, en cours de mission, les auditeurs internes émettent des réserves surce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de déciders'il y a lieu de poursuivre la mission.

2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examinerles dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'exis-tence de tout problème de contrôle significatif.


Dans la pratique, le Conseil délègue à la direction générale la responsabilité de définir les critères adéquatsd’évaluation et d’en rendre compte.

Dans l’esprit de la norme 2600, lorsque les critères d’évaluation sont inadéquats, il y a un risque de nonmaîtrise des processus qu’il convient de discuter avec les managers concernés puis avec la direction généraleet enfin avec le Conseil, qui intervient en dernier ressort pour les écarts significatifs.

Commentaire IFACI

55



2230 – ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appro-priées et suffisantes pour atteindre les objectifs de la mission. Ils s'ap-puient sur une évaluation de la nature et de la complexité de chaque mission, descontraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter unprogramme de travail permettant d'atteindre les objectifs de lamission.

2240.A1 – Les programmes de travail doivent faire référence aux procédures à appli-quer pour identifier, analyser, évaluer et documenter les informations lors de lamission. Le programme de travail doit être approuvé avant sa mise en œuvre. Lesajustements éventuels doivent être approuvés rapidement.

2240.C1 – Les programmes de travail des missions de conseil peuvent varier, dansleur forme et leur contenu, selon la nature de la mission.

2300 – Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenterles informations nécessaires pour atteindre les objectifs de la mission.

2310 – Identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes etutiles pour atteindre les objectifs de la mission.

Interprétation :Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudenteet informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est uneinformation concluante et facilement accessible par l’utilisation de techniques d’audit appropriées.Une information pertinente conforte les constatations et recommandations de l’audit, et répondaux objectifs de la mission. Une information utile aide l’organisation à atteindre ses objectifs.

MPA 2300-1 :Utilisationd’informations àcaractère personneldans la conduite d’unemission

Dis

posi

tions

oblig

atoi

res

MPA 2230-1 :Ressources affectées àla mission

MPA 2240-1 :Programme de travailde la mission

2320 – Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et lesrésultats de leur mission sur des analyses et évaluationsappropriées.

2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations perti-nentes pour étayer les conclusions et les résultats de la mission.

2330.A1 – Le responsable de l'audit interne doit contrôlerl'accès aux dossiers de la mission. Il doit, si nécessaire, obtenirl'accord de la direction générale et/ou l'avis d'un juriste avantde communiquer ces dossiers à des parties extérieures.

2330.A2 – Le responsable de l'audit interne doit arrêter desrègles en matière de conservation des dossiers de la missionet ce, quelque soit le support d’archivage utilisé. Ces règlesdoivent être cohérentes avec les orientations définies par l'or-ganisation et avec toute exigence réglementaire ou autre.

2330.C1 – Le responsable de l'audit interne doit définir des procédures concernantla protection et la conservation des dossiers de la mission de conseil ainsi que leurdiffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent êtrecohérentes avec les orientations définies par l'organisation et avec toute exigenceréglementaire ou autre appropriée.

MPA 2330.A2-1 :Conservation desdossiers


Pour définir la fiabilité d’une information, l'interprétation met l’accent sur son accessibilité. En effet, une informationdifficilement accessible est une information qu'il va falloir reconstituer à partir de calculs, d'algorithmes ou d’autresraisonnements reposant souvent sur des hypothèses, d'où une grande difficulté à évaluer une information de ce type surdes critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches.

Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilitéen s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité de la source d’information.

Commentaire IFACI

MPA 2330-1 :Documentation desinformations

MPA 2320-1 :Procédures analytiques

MPA 2320-2 :L’analyse causale

MPA 2320-3 :L'échantillonnage enaudit

MPA 2320-4 :L'assurance en continue

MPA 2330.A1-1 :Contrôle des dossiersd’audit

MPA 2330.A1-2 :Autorisation d’accèsaux dossiers de lamission

2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afinde garantir que les objectifs sont atteints, la qualité assurée et ledéveloppement professionnel du personnel effectué.

Interprétation :L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilitéde la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compé-tence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentéeet conservée dans les papiers de travail.

2400 – Communication des résultats

Les auditeurs internes doivent communiquer les résultats des missions.

2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de lamission, ainsi que les conclusions, recommandations et plans d'ac-tions.

2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu,contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu’uneopinion ou une conclusion sont émises, elles doivent prendre en compte lesattentes de la direction générale, du Conseil et des autres parties prenantes. Ellesdoivent également s’appuyer sur une information suffisante, fiable, pertinente etutile.

Interprétation : Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation, deconclusions ou de toute autre description des résultats.Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opérationnellespécifique. La formulation de ces opinions exige de prendre en compte les résultats de la mission etleur caractère significatif.

57



MPA 2340-1 :Supervision de lamission

MPA 2410-1 :Contenu de lacommunication

MPA 2400-1 :Aspects légaux de lacommunication desrésultats

Dis

posi

tions

oblig

atoi

res

2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,lors de la communication des résultats de la mission.

2410.A3 – Lorsque les résultats de la mission sont communiqués à des destinatairesne faisant pas partie de l'organisation, les documents communiqués doivent préci-ser les restrictions à observer en matière de diffusion et d'exploitation des résultats.

2410.C1 – La communication sur l'avancement et les résultats d'une mission deconseil variera dans sa forme et son contenu en fonction de la nature de la missionet des besoins du client donneur d'ordre.

2420 – qualité de la communication

La communication doit être exacte, objective, claire, concise,constructive, complète et émise en temps utile.

Interprétation : Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluationéquitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est faci-lement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique etfournit toute l’information significative et pertinente. Une communication concise va droit à l’essentielet évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Unecommunication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’ellessont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles.Elle intègre toute l’information significative et pertinente, ainsi que les observations permettantd’étayer les recommandations et conclusions. Une communication émise en temps utile est oppor-tune et à propos, elle permet au management de prendre les actions correctives appropriées en fonc-tion du caractère significatif de la problématique.


L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».

Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion d’audit. L’organisationdevrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir son référentiel de contrôle interne. Ilrecense notamment les activités de contrôle prioritaires qui permettent de maîtriser les risques significatifs du domaineaudité. L’opinion de l’audit interne portera notamment sur la conception et le fonctionnement de ces activités de contrôle.

Commentaire IFACI

MPA 2420-1 :Qualité de lacommunication

2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le respon-sable de l'audit interne doit faire parvenir les informations corrigées à tous les destinatairesde la version initiale.

2430 – utilisation de la mention « conduit conformément aux Normes internatio-nales pour la pratique professionnelle de l’audit interne »

Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont« conduites conformément aux Normes internationales pour la pratique professionnellede l’audit interne » seulement si les résultats du programme d’assurance et d’améliorationqualité le démontrent.

2431 – Indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément à la Définition de l'auditinterne, au Code de Déontologie ou aux Normes, la communication des résultats doit indi-quer :

les principes ou les règles de conduite du Code de Déontologie, ou les Normes aveclesquelles la mission n’a pas été en conformité ;

la ou les raisons de la non-conformité ; l'incidence de la non-conformité sur la mission et sur les résultats communiqués.

59



Même si la mention de la conformité concerne une mission, les auditeurs internes devront au préalable s’assurer de laconformité de l’ensemble de l’activité d’audit interne.

Commentaire IFACI

Cette Norme met l’accent sur le respect du Code de Déontologie. Le responsable d’audit interne doit encouragerl’instauration d’échanges réguliers avec les auditeurs internes pour qu’ils puissent exprimer les risques de non-conformitépendant le déroulement de la mission.

Commentaire IFACID

ispo

sitio

nsob

ligat

oire

s

2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux desti-nataires appropriés.

Interprétation :Le responsable de l'audit interne a la responsabilité de la revue et de l’ap-probation du rapport définitif avant qu’il ne soit émis, et décide à qui et dequelle manière il sera diffusé.Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière respon-sabilité.

2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résul-tats définitifs aux destinataires à même de garantir que ces résultats recevront l'at-tention nécessaire.

2440-A2 – Sauf indication contraire de la loi, de la réglemen-tation ou des statuts, le responsable de l'audit doit accomplirles tâches suivantes avant de diffuser les résultats à des desti-nataires ne faisant pas partie de l'organisation :

évaluer les risques potentiels pour l'organisation ; consulter la direction générale et/ou, selon les cas, un conseil juridique ; maîtriser la diffusion en imposant des restrictions quant à l'utilisation des

résultats.

2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résul-tats définitifs des missions de conseil à son client donneur d'ordre.

2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes rela-tifs aux processus de gouvernement d'entreprise, de management des risques etde contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pourl'organisation, ils doivent être communiqués à la direction générale et au Conseil.


Le responsable de l'audit interne doit définir, a priori, des règles homogènes de diffusion et les modalitésd’accès aux rapports d’audit.

Ces règles préétablies pourront tenir compte de la complexité et de la sensibilité de la mission. Pour chaquecatégorie de mission des destinataires habituels pourront être identifiés de même que les modalités degestion des diffusions ou des demandes d’accès exceptionnelles.

Commentaire IFACI

MPA 2440-1 : Diffusiondes résultats de lamission

MPA 2440-2 :Communicationd’informationssensibles dans ou endehors de la lignehiérarchique

MPA 2440.A2-1 :Diffusion des résultatsd’audit en dehors del’organisation

61



2450 – les opinions globales

Lorsqu’une opinion globale est émise, elle doit prendre en compte les attentes de la direc-tion générale, du Conseil et des autres parties prenantes. Elle doit également s’appuyer surune information suffisante, fiable, pertinente et utile.

Interprétation :La communication précisera :

le périmètre, y compris la période concernée par l’opinion ; les limitations de périmètre ; le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services

donnant une assurance sur la maîtrise des activités ; le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler l’opi-

nion globale ; l’opinion globale, l’avis ou la conclusion donnée.

Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.

2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour unsystème permettant de surveiller la suite donnée aux résultats communi-qués au management.

2500-A1 – Le responsable de l'audit interne doit mettre enplace un processus de suivi permettant de surveiller et degarantir que des mesures ont été effectivement mises enœuvre par le management ou que la direction générale aaccepté de prendre le risque de ne rien faire.

Dis

posi

tions

oblig

atoi

res

L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».

Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion d’audit. L’organisationdevrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir son référentiel de contrôle interne. Ilrecense notamment les activités de contrôle prioritaires qui permettent de maîtriser les risques significatifs du domaineaudité. L’opinion de l’audit interne portera notamment sur la conception et le fonctionnement de ces activités de contrôle.

Commentaire IFACI

MPA 2500-1 :Surveillance desactions de progrès

MPA 2500.A1-1 :Processus de suivi dela mission


2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missionsde conseil conformément à l'accord passé avec le client donneur d'ordre.

2600 – Communication relative à l’acceptation des risques

Lorsque le responsable de l'audit interne conclut que le management a accepté un niveau derisque qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec ladirection générale. Si le responsable de l’audit interne estime que le problème n’a pas étérésolu, il doit soumettre la question au Conseil.

Interprétation :L’identification du niveau de risque accepté par le management peut résulter d’une missiond’assurance, d’une mission de conseil, du suivi des plans d’actions du management à la suitede missions d’audit interne antérieures, ou d’autres moyens. La réponse au risque ne relève pasdu responsable de l’audit interne.

Cette Norme devra être appliquée avec sagesse et prudence. Sa mise en œuvre devrait être facilitée si le responsable del’audit interne entretient une relation forte et suivie avec le comité d’audit interne et son Président. Mais les règles du jeudevront être très claires pour tous les acteurs et être explicitées tant dans la charte d’audit interne que dans celle du comitéd’audit.

Le responsable de l'audit interne doit notamment agir en fonction de l’appétence au risque et des seuils detolérance définis par l’organisation ou de son opinion sur la qualité des dispositifs de traitement des risquesen place.

Commentaire IFACI

gloSSAIrE


glossaire

Dis

posi

tions

oblig

atoi

res

65

glossaire

glossaire

Activités d'assurance

II s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à l'organisation uneévaluation indépendante des processus de gouvernement d'entreprise, de management desrisques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécu-rité des systèmes et de due diligence.

Activité d'audit interne

Assurée par un service, une division, une équipe de consultants ou tout autre praticien, c'est uneactivité indépendante et objective qui donne à une organisation une assurance sur le degré demaîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de lavaleur ajoutée. L'activité d'audit interne aide cette organisation à atteindre ses objectifs en évaluant,par une approche systématique et méthodique, ses processus de gouvernement d'entreprise, demanagement des risques et de contrôle, en faisant des propositions pour renforcer leur efficacité.

Activités de conseil

Conseils et services y afférents rendus au client donneur d'ordre, dont la nature et le champ sontconvenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeur ajoutée etd'améliorer les processus de gouvernement d'entreprise, de management des risques et decontrôle d'une organisation sans que l'auditeur interne n'assume aucune responsabilité de mana-gement. Quelques exemples : avis, conseil, assistance et formation.

Appétence pour le risque

Niveau de risque qu’une organisation est prête à accepter.

Atteinte

Parmi les atteintes à l’indépendance du service d’audit interne et à l'objectivité individuelle peuventfigurer le conflit d'intérêts personnel, les limitations du champ d'un audit, les restrictions d'accèsaux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limi-tations financières.


Dis

posi

tions

oblig

atoi

res

66

Cadre de référence international des pratiques professionnelles (CrIPP)

Cadre de référence qui structure les lignes directrices édictées par l’IIA. Ces lignes directrices sontsoient (1) obligatoires soient (2) approuvées et fortement recommandées.

Caractère significatif

Niveau d’importance relative d’un évènement, dans un contexte donné et selon des facteurs d’ap-préciation qualitatifs et quantitatifs tels que l’ampleur, la nature, l’effet, la pertinence et l’impact decet évènement. Les auditeurs internes font preuve de jugement professionnel lorsqu’ils apprécientle caractère significatif des événements selon des objectifs pertinents.

Charte

La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation; autorisel'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définitle champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève dela responsabilité du Conseil.


Le Code de Déontologie de l'Institut comprend les principes applicables à la profession et à lapratique de l'audit interne, ainsi que les règles de conduite décrivant le comportement attendudes auditeurs internes. Le Code de Déontologie s'applique à la fois aux personnes et aux orga-nismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture del'éthique au sein de la profession d'audit interne.

Conflit d'intérêts

Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'in-térêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et respon-sabilités.

Conformité

L'adhésion aux règles, plans, procédures, lois, règlements, contrats ou autres exigences.


67

glossaire

Conseil

Le niveau le plus élevé des organes de gouvernance, responsable du pilotage, et/ou de lasurveillance des activités et de la gestion de l'organisation. Habituellement, le Conseil (parexemple, un conseil d’administration, un conseil de surveillance ou un organe délibérant)comprend des administrateurs indépendants. Si une telle instance n’existe pas, le terme« Conseil », utilisé dans les Normes, peut désigner le dirigeant de l’organisation. Le terme « Conseil » peut renvoyer au comité d’audit auquel l’organe de gouvernance a délé-gué certaines fonctions.

Contrôle (dispositifs de contrôle)

Toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les risques etd'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers planifient,organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance raison-nable que les buts et objectifs seront atteints.

Contrôle des technologies de l’information

Contrôles qui viennent en appui de la gestion et de la gouvernance de l’organisation et quicomportent des contrôles généraux et des contrôles techniques sur les infrastructures des tech-nologies de l’information dans lesquelles on retrouve les applications, les informations, les instal-lations et les personnes.

Contrôle satisfaisant

C'est le cas lorsque le management s'est organisé de manière à apporter une assurance raisonna-ble que les risques que court l'organisation, ont été gérés efficacement et que les buts et objectifsde l'organisation seront atteints d'une manière efficace et économique.


Cette définition montre que le terme « contrôle » ne doit pas être restreint à la notion d’activités de contrôle. Il concernel’ensemble du dispositif de contrôle interne qui « comprend un ensemble de moyens, de comportements, de procédureset d’actions adaptés aux caractéristiques propres de chaque société qui :

• contribue à la maîtrise des activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels,

financiers ou de conformité. ».Cette définition du cadre de référence de l’AMF précise également que le « contrôle interne ne se limite donc pas àl’ensemble des procédures ni aux seuls processus comptables et financiers ».

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

68

Devrait

Traduction de “Should”, utilisée dans les normes lorsque le respect de la disposition est recom-mandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées parles circonstances.

Doit

Traduction de “must”, utilisée dans les Normes pour indiquer une exigence impérative.

Environnement de contrôle

L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de)contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et la structure néces-saires à la réalisation des objectifs primordiaux du système de contrôle interne. L'environnementde contrôle englobe les éléments suivants :

intégrité et valeurs éthiques ; philosophie et style de direction ; structure organisationnelle ; attribution des pouvoirs et responsabilités ; politiques et pratiques relatives aux ressources humaines ; compétence du personnel.

Fraude

Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sansqu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes etdes organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantagepersonnel ou commercial.

gouvernance des technologies de l’information

La gouvernance des technologies de l’information comprend la direction, les structures organisa-tionnelles et les processus qui garantissent que les technologies de l’information soutiennent lastratégie et les objectifs de l’organisation.


69

glossaire

gouvernement d'entreprise

Le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer,de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs.

Indépendance

L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses respon-sabilités.

management des risques

Processus visant à identifier, évaluer, gérer et piloter les événements éventuels et les situationspour fournir une assurance raisonnable quant à la réalisation des objectifs de l'organisation.

mission

Une mission, tâche ou activité de révision particulières telles qu'un audit interne, une revue d’auto-évaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober demultiples tâches ou activités menées pour atteindre un ensemble déterminé d'objectifs qui s'yrapportent.


Cette définition est différente d’autres approches communément admises. Par exemple, selon les principes de l’OCDE, legouvernement d’entreprise :

• concerne l’ensemble des relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires etautres parties prenantes ;

• fournit le cadre au sein duquel les objectifs de l’entreprise sont fixés ;• définit les moyens de les atteindre et de surveiller les performances.

Ces principes proposent une vision plus large des différents acteurs et parties prenantes concernées (direction générale,conseil, actionnaires, régulateurs, associations…).

Par ailleurs, le rôle conféré au Conseil n’est pas universel. Par exemple, en France, le Conseil n’a pas la responsabilité directede mettre en place les processus et les structures ; il a un rôle de surveillance des dispositifs dont la mise en œuvre est duressort de la direction générale.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res

70

Norme

Document d'ordre professionnel promulgué par « the International Internal Auditing StandardsBoard » (Comité interne à l'IIA chargé d'élaborer les Normes) afin de définir les règles applicables àun large éventail d'activités d'audit interne et utilisables pour l'évaluation de ses performances.

objectifs de la mission

Enoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliserpendant la mission.

objectivité

L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leursmissions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compromis.L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement àcelui d’autres personnes.

Opinion au niveau d’une mission

L’échelle de notation, la conclusion et/ou toute autre description des résultats d’une missiond’audit interne donnée, relative aux éléments rentrant dans le cadre des objectifs et du péri-mètre de la mission.

Opinion globale

Les échelles de notation, les conclusions et/ou toute autre description des résultats délivréspar le responsable de l’audit interne, à un niveau global, et concernant les processus degouvernement d’entreprise, de management des risques et/ou de contrôle de l’organisation.Une opinion globale est le jugement professionnel du responsable de l’audit interne, fondéesur les résultats d'un certain nombre de missions individuelles et sur d'autres activités dansun laps de temps précis.

Prestataire externe

Une personne ou une entreprise, extérieure à l’organisation, qui possède des connaissances, unsavoir-faire et une expérience spécifiques dans une discipline donnée.


71

glossaire

Processus de contrôle

Les règles, procédures et activités (aussi bien manuelles qu’automatisées) faisant partie d'uncadre de contrôle interne, conçues et mises en œuvre pour s’assurer que les risques sont contenusdans les limites que l’organisation est disposée à accepter.

Programme de travail de la mission

Un document énumérant les procédures à mettre en œuvre, conçu pour réaliser le plan de mission.

responsable de l'audit interne

« Responsable de l’audit interne » désigne une personne, occupant un poste hiérarchique de hautniveau, qui a la responsabilité de diriger efficacement l’activité d’audit interne conformément à lacharte d’audit interne, à la définition de l’audit interne, au Code de Déontologie et aux Normes.Le responsable de l’audit interne ou des membres de l’équipe d’encadrement de l’audit internedevront disposer des certifications et des qualifications professionnelles appropriées. L’intituléexact du poste de responsable de l’audit interne varie selon les organisations.

risque

Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Lerisque se mesure en termes de conséquences et de probabilité.

techniques d’audit informatisées

Tout outil d’audit automatisé tel que les logiciels d’audit généralisés, les générateurs de donnéesde test, les programmes d’audit informatisés et les utilitaires d’audit spécialisés et les techniquesd’audit assistées par ordinateur (CAATs).


Le responsable de l’audit interne est un salarié de l’organisation. Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit interne est lapersonne, qui au sein de l’organisation, a comme mission principale la surveillance de l'exécution du contrat de services etde la qualité de ces activités. Il rend compte à la direction générale et au Conseil des activités d'audit interne.

Commentaire IFACI

Dis

posi

tions

oblig

atoi

res


Valeur ajoutée

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (et à ses parties prenantes)lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience et à l’efficacitédes processus de gouvernement d’entreprise, de management des risques et de contrôle.

moDAlItÉS PrAtIquES

D’APPlICAtIoN


modalités Pratiques d’Application

mPA SÉrIE 1000mISSIoN, PouVoIrS Et rESPoNSAbIlItÉS



MPA

100

0

77


MPA 1000-1Charte d’audit interne

1. L’existence d’une charte d’audit interne formalisée est essentielle pour la gestion du serviced’audit interne. La charte est un document officiel soumis pour avis et acceptation à la direc-tion générale, et approuvée par le comité d’audit ou le Conseil. Il précise le rôle du respon-sable d’audit interne et facilite ainsi l’évaluation périodique de la pertinence de sa mission,de ses pouvoirs et de ses responsabilités. Son approbation est consignée dans les procès-verbaux du Conseil. Il facilite en outre l’évaluation périodique de la pertinence de la mission,des pouvoirs et des responsabilités de l’audit interne, précisant ainsi le rôle de l’audit interne.En cas d’interrogation, la charte est la référence écrite officielle de l'accord passé avec la direc-tion générale et le Conseil sur le rôle et les responsabilités du service d’audit interne de l’or-ganisation.

2. Le responsable de l'audit interne évalue périodiquement si la mission, les pouvoirs, et lesresponsabilités définis dans la charte permettent toujours au service d’audit interne d’attein-dre ses objectifs. Il est également chargé de communiquer le résultat de cette évaluationpériodique à la direction générale et au Conseil.


1000 – mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définisdans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code deDéontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodique-ment la charte d’audit interne et la soumettre à l’approbation de la direction générale et duConseil.

Interprétation :La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y comprisla nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorisel'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions; définitle champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de laresponsabilité du Conseil.

Principale Norme de référence

MPA

100

0

mPA SÉrIE 1100INDÉPENDANCE Et objECtIVItÉ



MPA

110

0

81



MPA 1110-1Indépendance dans l’organisation

1. Le soutien de la direction générale et du Conseil aide l’audit interne à obtenir la coopérationdes audités et à exercer son activité sans entrave.

2. Pour que le service d’audit interne puisse être indépendant, le responsable de l'audit interneest fonctionnellement rattaché au Conseil et dépend administrativement ou hiérarchique-ment du Directeur Général. Il est nécessaire que le responsable de l’audit interne dépendeau moins d’une personne de l’organisation ayant une autorité suffisante pour promouvoirson indépendance, et pour lui garantir un large champ d’intervention, une attention adéquateaux communications faites dans le cadre des missions, ainsi que des actions appropriées parrapport aux recommandations émises.

1110 – Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’or-ganisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsablede l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’auditinterne au sein de l’organisation.

Interprétation :L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit internerapporte fonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil :

approuve la charte d’audit interne ; approuve le plan d’audit interne fondé sur l’approche par les risques ; approuve le budget et les ressources prévisionnels de l’audit interne ; soit destinataire des informations adressées par le responsable d’audit relatives à la réalisa-

tion du plan d’audit ou de tout autre sujet afférent à l’audit interne ; approuve les décisions liées à la nomination et à la révocation du responsable de l’audit

interne ; approuve la rémunération du responsable de l’audit interne ; demande des informations pertinentes au management et au responsable de l’audit interne

pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.


MPA

110

0

82

3. Le rattachement fonctionnel au Conseil implique qu’il : approuve la charte de l’audit interne ; approuve l’évaluation des risques effectuée par l’audit interne et le plan d’audit corres-

pondant ; reçoive des informations de la part du responsable de l’audit interne à propos des résul-

tats des travaux d’audit interne ou de tout autre point qu’il estime nécessaire decommuniquer, y compris lors de réunions privées sans la présence des dirigeants, ycompris la confirmation annuelle de l’indépendance de l’audit interne ;

approuve toutes les décisions relatives à l’évaluation de la performance, à la nominationou au remplacement du responsable de l’audit interne ;

approuve la rémunération annuelle et les augmentations de salaire du responsable del’audit interne ;

s’enquiert, auprès de la direction et du responsable de l’audit interne, d’éventuelles limi-tations du champ d’intervention ou du budget, susceptibles d’empêcher l’audit internede mener à bien ses missions.

4. Le rattachement hiérarchique permet de faciliter les activités courantes de l’audit interne. Enrègle générale, il porte sur : l’établissement des budgets et la comptabilité de gestion ; la gestion des ressources humaines, notamment l’évaluation des performances et les

rémunérations du personnel ; les communications internes et les flux d’information ; la gestion des règles et procédures de l’audit interne.


En ce qui concerne le rattachement du responsable de l’audit interne, l’IFACI et l’IFA recommande, dans leur prise deposition :

• que les relations étroites et régulière avec le comité d’audit soient définies et• que l’audit interne soit claiement rattaché hiérarchiquement à la direction générale.

Dans le contexte français, ce lien hiérarchique est primordial. Le responsable de l’audit interne pourra notamment s’y référerpour la mise en œuvre du plan d’audit et le règlement de conflits avec les audités. Outre les activités cités au §4 de la MPA,la direction générale est directement concernée par les sujets abordés dans le cadre du rattachement fonctionnel,mentionnés au §3. De plus, l’IFA préconise que « le comité d’audit soit impliqué en amont dans l’examen du plan d’audit interne afind’apprécier le niveau de couverture des risques majeurs par les activités d’audit et de prendre connaissance desdomaines pas ou insuffisamment couverts, en vue de recommander d’éventuels compléments de travaux ou deressources de l’audit interne.Il est également essentiel que le comité d’audit prenne connaissance de l’évaluation des processus de gouvernementd’entreprise, de management des risques et de contrôle interne fondée sur la synthèse des rapports de l’audit interneet s’assure du suivi adéquat par la direction générale des recommandations formulées par l’audit interne. Enfin, le comité d’audit prend part à la désignation et à l’évaluation du directeur de l’audit interne » (cf. « Comitésd’audit : 100 Bonnes pratiques »).

Commentaire IFACI

83


MPA 1111-1Relation avec le Conseil

1. Il y a communication directe lorsque le responsable de l’audit interne assiste et participerégulièrement aux réunions du Conseil portant sur les responsabilités de supervision duConseil en matière d'audit, de communication financière, de gouvernance et de contrôle. Laprésence et la participation du responsable de l’audit interne à ces réunions lui permettentde se tenir informé de la stratégie et projets opérationnels, et de relever, en amont, les problé-matiques liées aux risques majeurs, aux systèmes, aux procédures, ou au contrôle. La présenceà ces réunions constitue également une opportunité pour échanger des informations rela-tives aux activités et aux plans d’audit et pour aborder tout autre sujet d’intérêt commun.

2. Il y a également communication et relation directe lorsque le responsable de l’audit internerencontre, au moins une fois par an, le Conseil en tête à tête.


Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette ModalitéPratique d’Application.

Commentaire IFACI

1111 – relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec leConseil.


MPA

110

0

84

MPA 1120-1Objectivité individuelle

1. L’objectivité individuelle nécessite que les auditeurs internes réalisent leurs missions de tellemanière qu’ils aient sincèrement confiance dans le résultat de leur travail et dans le fait qu’au-cune concession significative n’ait été faite en matière de qualité. Les auditeurs internes nedoivent pas se trouver placés dans des situations qui porteraient atteinte à leur capacité àporter des jugements professionnels objectifs.

2. L’objectivité individuelle nécessite que le responsable de l'audit interne organise une affec-tation des auditeurs de manière à prévenir les conflits d’intérêt potentiels ou réels ainsi queles partis pris. Il s’informe périodiquement auprès des auditeurs à propos des conflits d’intérêtou des partis pris et le cas échéant, instaure une rotation régulière des auditeurs internes ausein de l’équipe.

3. La revue des résultats de l’audit avant leur diffusion permet de fournir une assurance raison-nable que le travail a été réalisé avec objectivité.

4. L’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommanderla mise en place de normes de contrôle pour les systèmes d’information ou à examiner desprocédures avant leur mise en application. Par contre, son objectivité est présumée altérées’il conçoit, met en place, rédige les procédures y relatives ou exploite de tels systèmes.


1120 – objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et évitertout conflit d'intérêt.

Interprétation :Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouitd’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avecses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsa-bilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthiqueou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamerla confiance en l’auditeur interne, vis-à-vis du service d’audit interne et en la profession. Un conflitd’intérêt peut compromettre la capacité d’un individu à conduire ses activités et exercer ses respon-sabilités de manière objective.


85


5. L’exécution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux d’au-dit, ne compromet pas nécessairement leur indépendance dans la mesure où ils sont claire-ment mentionnés dans le rapport d’audit. Toutefois, le management et les auditeurs internesdoivent veiller attentivement à ce que ces travaux n’altèrent pas leur objectivité.


Dans le cadre de l’exécution ponctuelle de travaux qui ne sont pas des travaux d’audit, les auditeurs internes doivent veillerà :

• délimiter formellement leur responsabilité ;• mentionner dans le rapport d’audit en quoi cette exécution n’affecte pas leur indépendance et leur objectivité ;• prendre en compte les travaux d’audit futur sur ces thèmes, processus ou fonctions.

Commentaire IFACI

MPA

110

0

86

MPA 1130-1Atteintes à l’indépendance ou à l’objectivité

1. Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelleou potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulters’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit interneconstate l’existence d’une atteinte réelle ou supposée, il réaffecte alors les auditeurs concer-nés.

2. Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empê-chant de réaliser ses objectifs et son planning. Des limitations de ce type peuvent, entreautres, restreindre : le domaine d’intervention défini dans la charte d’audit interne ; l’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réali-

sation des missions ; le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ; les ressources humaines et le budget financier qui ont été approuvés.


1130 – Atteinte à l’indépendance ou à l’objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits oumême en apparence, les parties concernées doivent en être informées de manière précise. Laforme de cette communication dépendra de la nature de l'atteinte à l'indépendance.

Interprétation :Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuventfigurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accèsaux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limi-tations financières.L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dansla charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’auditinterne, et d’autre part de la nature de cette atteinte.


87


3. Il est nécessaire de communiquer au Conseil, de préférence par écrit, l’existence d’une limi-tation du champ d’intervention et ses répercussions possible. Le responsable de l'audit internejuge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cetteinstance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il ya des changements, notamment au sein de l’organisation, du Conseil ou de la direction géné-rale.

4. Les auditeurs internes ne doivent pas accepter une rémunération, des cadeaux ou des invi-tations de la part d’un salarié, d’un client, d’un fournisseur ou d’un partenaire qui pourraitlaisser supposer que l’objectivité de l’auditeur interne a été altérée. Cette supposition pourraconcerner des missions en cours ou des missions futures de l’auditeur. Le statut des missionsne saurait en aucun cas justifier l’acceptation de rémunérations, de cadeaux ou d’invitations.L’acceptation d’articles publicitaires (tels que stylos, calendriers ou échantillons) mis à la dispo-sition des salariés et du public et d’une valeur minime ne devrait pas fausser les jugementsprofessionnels des auditeurs internes. Ces derniers doivent rendre compte sans délai à leursupérieur hiérarchique de toute offre de rémunérations ou de cadeaux importants.


La question de la limitation des ressources de l’audit interne est une véritable problématique surtout en période de criseéconomique. La référence explicite à la limitation du budget du service d’audit interne donne, au responsable de l’auditinterne, la possibilité de mettre en évidence les enjeux d’une telle limitation même si elle est dictée par des facteurséconomiques de court terme. La direction générale et le Conseil peuvent alors prendre leur décision en connaissance decause (cf. Norme 2600 : Acceptation des risques par la direction générale).

Commentaire IFACI

La liste limitative d’objets indiquée dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cités peuventêtre acceptés sans affecter l’objectivité individuelle.Il convient d’étendre le risque d’atteinte à l’objectivité à tous les cas de conflit d’intérêt direct et indirect.Ci-après, un extrait d’un Code de Déontologie qui précise que l’auditeur interne « … ne sollicitera ni n’acceptera et ne ferani accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau d’une valeur excédant lesusages courants dans le Groupe, aucune somme d’argent, […]. En cas de doute sur les usages courants dans le Groupe,il consultera sa hiérarchie. Dans tous les cas, il informera sa hiérarchie de toutes sollicitations ou offres d’avantagesparticuliers dont il a fait l’objet, directement ou indirectement. »

Commentaire IFACI

MPA

110

0

88

MPA 1130.A1-1Audit des opérations dont les auditeurs internes

ont été auparavant responsables

1. Les membres du personnel mutés ou temporairement affectés au service d’audit interne nedevraient pas participer, avant un délai d’au moins un an à l’audit des activités précédemmentexercées ou pour lesquelles ils ont eu des responsabilités.De telles participations sont, en effet, susceptibles d’altérer leur objectivité et, le cas échéant,il faut en tenir compte lors de la supervision des travaux d’audit et dans la diffusion de leursrésultats.


1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dontils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altéréelorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au coursde l'année précédente.


89


MPA 1130.A2-1Responsabilités exercées par l’audit interne

au titre d’autres fonctions

1. Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activités qui fontl’objet d’évaluations périodiques de la part de l’audit interne. S’ils ont de telles responsabilités,ils ne peuvent pas être considérés comme des auditeurs internes.

2. L’indépendance et l’objectivité de l’auditeur interne risquent d’être altérées lorsque l’auditinterne, son responsable ou un auditeur interne assume une fonction susceptible d’êtreaudité, ou que la direction envisage de leur attribuer. A minima, il faut que le responsable del’audit interne prenne en considération les éléments suivants dans l'évaluation de l'impactsur l'indépendance et l'objectivité : les principes énoncés par le Code de Déontologie et les Normes internationales pour la

pratique professionnelle de l’audit interne (Normes) ; les attentes des parties prenantes de l’organisation, notamment les actionnaires, le

Conseil, le comité d’audit, la direction, le législateur, les instances publiques, les régula-teurs et les groupes d’influence ;

les obligations ou les restrictions prévues dans la charte d’audit interne ; les informations dont la communication est obligatoire en vertu des Normes ; le niveau de couverture de l’audit, des fonctions ou responsabilités occupées par l’au-

diteur interne ; l’importance de la fonction opérationnelle pour l'organisation (en termes de chiffre

d’affai res, de dépenses, de réputation, et d’influence) ; la longueur ou la durée de la mission et l’étendue des responsabilités ; l’adéquation de la séparation des tâches ; l’existence d’antécédents ou de signes montrant que l'objectivité de l'auditeur interne

peut être atteinte.

3. Si la charte de l’audit interne contient des restrictions ou des clauses limitatives concernantl’attribution aux auditeurs internes de fonctions autres que l’audit, il convient de mentionnerces restrictions et d’en discuter avec la direction. Si cette dernière insiste pour confier cesfonctions à un auditeur, une information et une discussion seront nécessaire avec le Conseil.


1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit ala charge doivent être supervisées par une personne ne relevant pas de l'audit interne.


MPA

110

0

90

A défaut de disposition expresse de la charte, il convient de se référer aux lignes directricesfigurant ci-dessous, qui sont subordonnées aux clauses de la charte.

4. Dès lors que l'audit interne accepte des responsabilités opérationnelles et que ces domainessont intégrés dans le plan d’audit, le responsable de l’audit interne devra : minimiser les risques liés au manque d’objectivité en ayant recours à un prestataire

extérieur ou à des auditeurs externes pour réaliser les audits de ces secteurs ; confirmer que les individus ayant des responsabilités opérationnelles dans des secteurs

dépendant du responsable de l’audit interne, ne participent pas aux audits de cesdomaines ;

s’assurer que les auditeurs, qui conduisent une mission d’assurance dans des secteursrattachés au responsable de l’audit interne, sont supervisés par la direction générale etle Conseil, à qui ils communiquent les résultats de leur évaluation ;

indiquer les responsabilités opérationnelles exercées par l’auditeur dans le cadre de lafonction en cause, l’importance de ces opérations pour l’organisation (en termes dechiffre d’affaires, de dépenses ou en fonction de tout autre critère pertinent), ainsi quele lien existant entre les personnes qui ont procédé à l’audit de la fonction et l’auditeurconcerné.

5. Il convient de préciser les responsabilités opérationnelles de l'auditeur interne dans le rapportd'audit des secteurs rattachés au responsable de l’audit interne, et dans la communicationtransmise au Conseil. Les résultats de l'audit peuvent aussi être discutés avec la directiongénérale et/ou d'autres parties prenantes appropriées. L’indication d’une atteinte à l’objecti-vité exige néanmoins d’avoir recours à la supervision d’un tiers pour les missions d'assurancerelatives à des fonctions qui dépendent du responsable de l’audit interne.


mPA SÉrIE 1200ComPÉtENCE Et CoNSCIENCE ProFESSIoNNEllE



MPA

120

0

93


MPA 1200-1Compétence et conscience professionnelle

1. La compétence et la conscience professionnelle sont de la responsabilité du responsable del'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assureque, pour chaque mission, l’équipe d’auditeurs désignés possède collectivement les connais-sances, le savoir-faire et les compétences nécessaires pour mener la mission de façon appro-priée.

2. La conscience professionnelle inclut le respect du Code de Déontologie de l’IIA et, le caséchéant, le respect du code de conduite de l’organisation ainsi que des codes de conduited’autres professions auxquelles les auditeurs internes peuvent appartenir. Le Code de Déon-tologie dépasse la définition de l’audit interne en incluant deux composantes essentielles : des principes applicables à la pratique de l’audit interne et à l’exercice de la profession

– en particulier les principes d’intégrité, d’objectivité, de confidentialité et de compé-tence ;

des règles de conduite décrivant le type de comportement attendu des auditeursinternes. Ces règles, qui facilitent l’interprétation des principes et leur applicationpratique, sont destinées à guider les auditeurs internes sur le plan de l’éthique.


1200 – Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscience professionnelle.


MPA

120

0

94

MPA 1210-1Compétence

1. Les connaissances, savoir-faire et les autres compétences mentionnées dans la normecomportent : la compétence en matière d’application des Normes, procédures et techniques d’audit

nécessaire à la réalisation des missions. La compétence est la capacité à utiliser sesconnaissances judicieusement, dans les diverses situations susceptibles de se présenter,et d’y faire face sans recourir de façon excessive à des recherches techniques ou à uneassistance ;

la compétence en matière de principes et de techniques comptables indispensableaux auditeurs internes qui travaillent fréquemment sur des documents et rapportsfinanciers ;

la connaissance permettant d’identifier les risques de fraude ; la connaissance des principaux risques et contrôles afférents aux technologies de l’in-

formation, et des techniques d’audit informatisées existantes ; la compréhension des principes de management pour reconnaître et évaluer la maté-

rialité et le caractère significatif des écarts par rapport aux bonnes pratiques des affaires.Cette compréhension implique une capacité à appliquer des connaissances généralesaux situations susceptibles d’être rencontrées au cours des audits, de détecter les écartssignificatifs et d’être capable de procéder aux recherches nécessaires pour aboutir àdes solutions raisonnables ;


1210 – Compétence

Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compé-tences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doitcollectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétencesnécessaires à l'exercice de ses responsabilités.

Interprétation :Les connaissances, le savoir-faire et les autres compétences sont une expression générique utiliséepour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoirexercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragésà démontrer leurs compétences en obtenant des certifications et qualifications professionnellesappropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA oupar d’autres organisations professionnelles appropriées.


95


la compréhension des notions fondamentales de la conduite des affaires telles que lacomptabilité, l’économie, le droit commercial, la fiscalité, la finance, les méthodes quan-titatives, les technologies de l’information, le management des risques et la fraude. Cettecompréhension permet de reconnaître l’existence ou l’éventualité de problèmes etd’identifier les recherches supplémentaires à entreprendre ou l’assistance à obtenir.

les bonnes qualités relationnelles, de compréhension, de communication, le sens desrelations humaines et le maintien de bonnes relations avec les clients de la mission.

la capacité de communiquer oralement et par écrit, de manière à pouvoir exposer clai-rement et efficacement les objectifs, les appréciations, les conclusions et les recom-mandations de la mission.

2. Le responsable de l'audit interne définit des critères appropriés de formation générale et d’ex-périence pour pourvoir les postes d’auditeurs internes, en considérant la nature des travauxet le niveau de responsabilité. Il obtient une assurance raisonnable sur les qualifications et lacompétence des candidats.

3. Il faut que l'audit interne possède collectivement les connaissances, le savoir-faire et les autrescompétences indispensables à la pratique de la profession dans l'organisation. Une analyseannuelle des connaissances, savoir-faire et autres compétences de l’audit interne permetd’identifier plus facilement les points à améliorer grâce à des programmes de formation conti-nue, à des recrutements ou par la mise en œuvre de ressources externes partagées.

4. La formation continue est essentielle pour s’assurer que le personnel du service d’auditinterne demeure compétent.

5. Le responsable de l’audit interne peut faire appel à des experts extérieurs à son service afinde soutenir ou de compléter les domaines dans lesquels l’audit interne ne dispose pas decompétences suffisantes.


Les responsables de l'audit interne doivent disposer à la fois d'une bonne connaissance de l'organisation à tous les niveauxet/ou d'une solide expérience en audit interne.

Commentaire IFACI

Les compétences et le savoir-faire du management opérationnel (chef de mission et/ou superviseur) conditionnent dans lesfaits en grande partie à la fois la qualité, la pertinence des missions et l'apprentissage des auditeurs internes. L’évaluation du personnel d’encadrement vise notamment à s’assurer qu’il est en mesure d’apporter un support adéquataux auditeurs internes, d’effectuer les arbitrages nécessaires au bon moment et de communiquer de manière appropriéeavec les audités.

Commentaire IFACI

MPA

120

0

96

MPA 1210.A1-1Recours à des prestataires externes

1. Chaque auditeur interne n’est pas nécessairement qualifié dans toutes les disciplines. L’auditinterne peut recourir à des prestataires externes ou à des ressources internes qualifiées dansdes disciplines telles que la comptabilité, l’audit, l’économie, la finance, les statistiques, lestechnologies de l’information, l’ingénierie, la fiscalité, le droit, l’environnement et tout autredomaine nécessaire pour pouvoir exercer ses responsabilités d’audit interne.

2. Un prestataire externe est une personne ou une entité indépendante de l’organisation quipossède des connaissances, un savoir-faire et une expérience particuliers dans une disciplinedonnée. Les prestataires externes incluent notamment les actuaires, les experts-comptables,les conseils en évaluation, les personnes qui ont une expertise à propos de certaines culturesou langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, lesavocats, les ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistesdes technologies de l’information, les auditeurs externes de l’organisation et les autres cabi-nets d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le responsablede l'audit interne.

3. L’audit interne peut faire appel à des prestataires externes notamment dans les cas suivants : réalisation des objectifs de la mission selon les échéances prévues ; missions d’audit nécessitant un savoir-faire et des connaissances particuliers dans des

domaines tels que les technologies de l’information, les statistiques, la fiscalité ou leslangues étrangères ;

évaluation d’actifs tels que terrains et immeubles, œuvres d’art, pierres précieuses, inves-tissements et instruments financiers complexes ;


L’évaluation des compétences individuelles des auditeurs internes permet d’identifier les éventuelles insuffisances auniveau de l’équipe d’audit interne. Ces lacunes collectives peuvent être comblées par des formations, des recrutements ou lerecours à des prestataires externes.

Commentaire IFACI

1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes quali-fiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autrescompétences nécessaires pour s'acquitter de tout ou partie de leur mission.


97


détermination des quantités ou caractéristiques physiques de certains biens tels queminerais et réserves de pétrole ;

évaluation des travaux achevés et restant à achever dans le cadre de contrats en cours ; enquêtes sur la fraude et la sécurité ; évaluations réalisées selon des méthodes particulières telles que les calculs actuariels

concernant les engagements liés aux avantages sociaux ; interprétation de la législation, de la réglementation et des normes techniques ; évaluation du programme d’assurance et d’amélioration qualité de l’activité d'audit

interne conformément aux Normes Internationales pour la Pratique Professionnelle de l’au-dit (Normes) ;

fusions et acquisitions ; conseil en matière de management des risques ou d’autres sujets.

4. Lorsqu’il prévoit de recourir à un prestataire externe et de s’appuyer sur ses travaux, le respon-sable de l'audit interne devra évaluer sa compétence, son indépendance et son objectivitéau vu des particularités de la mission à accomplir. Il convient de procéder également à cetteévaluation si le prestataire externe est choisi par la direction générale ou par le Conseil, et sile responsable de l'audit interne prévoit de s’appuyer sur ses travaux. Lorsque le responsablede l'audit interne ne choisit pas lui-même le prestataire externe et si son évaluation montrequ’il ne devrait pas s’appuyer sur les travaux de ce dernier, les résultats de cette évaluationdevront être communiqués à la direction générale ou au Conseil, selon le cas.

5. Le responsable de l'audit interne doit s’assurer que le prestataire externe possède les connais-sances, le savoir-faire et les compétences nécessaires pour accomplir sa mission. Pour évaluerces compétences, le responsable de l'audit interne tiendra compte des éléments suivants : diplôme, agrément ou autre titre attestant de la compétence du prestataire externe

dans la discipline en question ; adhésion du prestataire externe à un organisme professionnel compétent et adhésion

au Code de Déontologie de cet organisme ; réputation du prestataire externe. La prise en compte de cet élément peut impliquer

la consultation de tiers faisant habituellement appel aux travaux du prestataire ; expérience du prestataire externe dans le type de travaux qu’on envisage de lui confier ; niveau d’études et formation du prestataire externe dans les disciplines liées à la mission

en question ; connaissances et expérience du prestataire externe dans le secteur d’activité de l’orga-

nisation.


Le responsable de l’audit interne s’assure que les compétences requises existent au sein de l’équipe de prestations externes.Cette évaluation ne se limite pas à l’analyse des qualifications du signataire du contrat de prestation, mais concerne aussiles membres de l’équipe qui réalisent ou qui supervisent la prestation concernée.

Commentaire IFACI

MPA

120

0

98

6. Le responsable de l'audit interne devrait examiner les liens existant entre le prestataireexterne, l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’ob-jectivité du prestataire externe seront garanties tout au long de la mission. Pour procéder àcet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnelou personnel n’empêchera le prestataire externe de formuler un jugement et une opinionobjectifs et impartiaux lors de la réalisation de sa mission et de l’émission de ses rapports.

7. Pour apprécier l’indépendance et l’objectivité du prestataire externe, le responsable de l'auditinterne tient compte des éléments suivants : intérêt financier éventuel détenu par le prestataire externe dans l’organisation ; lien personnel ou professionnel entre le prestataire externe et le Conseil, la direction

générale ou les autres membres de l’organisation ; liens établis par le passé entre le prestataire externe et l’organisation ou les activités

examinées ; étendue des autres services récurrents exécutés par le prestataire externe pour l’orga-

nisation ; rémunération ou autres avantages perçus, le cas échéant, par le prestataire externe.

8. Si le prestataire externe est également auditeur externe de l’organisation et si sa missionconsiste en des travaux d’audit approfondis, le responsable de l'audit interne devrait s’assurerque les travaux ainsi réalisés ne remettent pas en cause l’indépendance de l’auditeur externe.L’expression « travaux d’audit approfondis » vise les services qui dépassent le cadre des normesd’audit généralement admises par la profession d’auditeur externe. Si la mission qui leur est confiée les amenait à agir ou à donner l’apparence d’agir commedes membres de la direction générale, du management ou des employés de l’organisation,alors leur indépendance serait compromise. En outre, il peut arriver que les auditeurs externesfournissent à l’organisation d’autres services, en matière de fiscalité ou de conseil notamment.L’indépendance devrait être appréciée eu égard à la gamme complète des services rendus àl’organisation.

9. Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue dela mission du prestataire externe, de façon à pouvoir vérifier que ses travaux répondent auxobjectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la mission et diversautres points dans une lettre de mission ou dans un contrat. Pour ce faire, le responsable del'audit interne examine les points suivants avec le prestataire externe : objectifs et étendue de la mission, y compris les livrables et les échéances ; points particuliers sensés être couverts dans les rapports remis au titre de la mission ; accès aux documents, aux personnes et aux biens corporels concernés ; informations concernant les hypothèses et les procédures à utiliser ; propriété et conservation des documents de travail établis dans le cadre de la mission,

le cas échéant ;


99


confidentialité des informations obtenues au cours de la mission et restrictions lesconcernant ;

le cas échéant, le respect des Normes et des règles de travail du service d’audit interne.

10. Lorsqu’il évalue la revue des travaux d’un prestataire externe, le responsable de l'audit interneveille à ce que ceux-ci soient réalisés conformément aux Normes internationales pour lapratique professionnelle de l’audit interne (Normes). Cette évaluation consiste notamment às’assurer que les informations obtenues sont suffisantes pour justifier les conclusions formu-lées et les solutions proposées et statuer sur les exceptions significatives ou les autres pointsinhabituels.

11. En cas de recours à un prestataire externe, le responsable de l'audit interne peut, si nécessaire,mentionner les services ainsi fournis dans les documents ou rapports émis au titre de lamission. Le prestataire externe est informé et, le cas échéant, son accord devrait être obtenuavant toute mention de ses services dans ces documents.


MPA

120

0

100

MPA 1220-1Conscience professionnelle

1. La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendred’un auditeur interne raisonnablement prudent et compétent. La conscience professionnelletient compte de la complexité de la mission réalisée. En agissant avec la conscience profes-sionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautesintentionnelles, d’erreurs ou d’omissions, de manque d’efficacité, de gaspillage et de conflitsd’intérêts ainsi qu’aux situations et activités où des irrégularités ont le plus de chance de seproduire. Les auditeurs internes sont également concernés par la détection de contrôles inef-ficaces et font des recommandations visant à promouvoir le respect des procédures etpratiques acceptables.

2. La conscience professionnelle implique la diligence et le savoir-faire raisonnables que l’onapporte à l’exécution de ses missions et non l’infaillibilité ou des performances exception-nelles. Cela signifie que l’auditeur interne procède à des vérifications et des contrôles raison-nablement approfondis. En conséquence, l’auditeur interne ne peut donner une assuranceabsolue qu’il n’existe aucune anomalie ou irrégularité. Néanmoins, la possibilité d’irrégularitésou de non conformités importantes devra toujours être envisagée lorsque l’auditeur interneentreprend une mission.


1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peutattendre d'un auditeur interne raisonnablement averti et compétent. La conscience profession-nelle n'implique pas l'infaillibilité.


101


MPA 1230-1Formation Professionnelle Continue

1. Les auditeurs internes ont la responsabilité de se former de manière continue, afin de renfor-cer et de maintenir leurs compétences. Ils devront se tenir informés des progrès accompliset des développements en cours dans le domaine des normes, procédures et techniquesd’audit, telles qu’elles sont explicitées dans le CRIPP (Cadre de référence international pour lapratique professionnelle de l’audit interne). La formation continue peut s’acquérir par l’adhé-sion, la participation et le volontariat à des associations professionnelles telles que l’IFACI ; enassistant à des conférences, à des séminaires ; en participant aux actions internes de forma-tion ; par l’achèvement de cycle d’études supérieures et d’auto-formation ainsi que par laparticipation à des programmes de recherche.

2. Il est conseillé aux auditeurs internes d’obtenir une certification attestant de leur compétence,telle que le titre d’auditeur interne Certifié (CIA, Certified Internal Auditor), d’autres titres déli-vrés par l'IIA ou liés à l’audit interne.

3. Il est conseillé aux auditeurs internes de suivre une formation professionnelle continue (liéeaux activités de leur organisation et au secteur) pour entretenir leurs compétences sur lesprocessus de gouvernement d’entreprise, de risque et de contrôle existant dans leur organi-sation.


L’IFACI recommande aux auditeurs internes d’obtenir le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur lescompétences fondamentales (les bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils ettechniques d’audit, la communication orale, communication écrite, système d’information, finance et comptabilité,…) del’auditeur interne et atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome etprofessionnelle, en s’appuyant sur la démarche préconisée par les Normes.

Commentaire IFACI

1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétencespar une formation professionnelle continue.


MPA

120

0

102

4. Les auditeurs internes qui réalisent des travaux spécialisés d’audit et de conseil sur des sujetstels que la technologie de l'information, l'impôt, l’actuariat, ou la conception de systèmes,peuvent suivre une formation professionnelle continue spécialisée qui leur permettra de réali-ser leurs missions d’audit interne avec les compétences nécessaires.

5. Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnellecontinue appropriée de façon à remplir les conditions requises par la certification qui leur aété délivrée.

6. Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programmede formation et/ou à étudier individuellement en vue d’obtenir la certification profession-nelle.


mPA SÉrIE 1300ProgrAmmE D’ASSurANCE

Et D’AmÉlIorAtIoN quAlItÉ



MPA

130

0

105


MPA 1300-1Programme d'assurance et d'amélioration qualité

1. Il appartient au responsable de l'audit interne de mettre en place un service d’audit internedont le champ d’action couvre l’ensemble des activités mentionnées dans les Normes etdans la définition de l’audit interne. À cette fin, la norme 1300 prévoit que le responsable del’audit interne élabore et tient à jour un programme d'assurance et d'amélioration qualité.

2. Le responsable de l'audit interne s’assure de la mise en œuvre de processus permettant dedonner aux diverses parties prenantes de l’audit interne l’assurance raisonnable que ceservice : respecte la charte d’audit interne et, en conformité avec la définition de l’audit interne,

le Code de Déontologie et les Normes ; fonctionne d’une façon efficace et efficiente ; contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à améliorer le

fonctionnement de l’organisation. Ces processus comportent une supervision appropriée, des évaluations internes périodiqueset une surveillance permanente de l’assurance qualité, ainsi que des évaluations externespériodiques.

3. Le programme d’assurance et d’amélioration qualité se doit d’être suffisamment détaillé pourcouvrir tous les aspects du fonctionnement et de la gestion d’un service d’audit interne, telsqu’ils ressortent de la définition de l’audit interne, du Code de Déontologie, des Normes etdes meilleures pratiques de la profession. Le processus d’assurance et d’amélioration qualitéest mis en œuvre ou supervisé par le responsable de l’audit interne. Exception faite des


1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance etd'amélioration qualité portant sur tous les aspects de l'audit interne.

Interprétation : Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :

la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’auditinterne et d’identifier toutes opportunités d’amélioration.


MPA

130

0

106

services d’audit interne de dimension modeste, le responsable de l’audit interne délèguegénéralement à ses collaborateurs la plupart des tâches afférentes au programme d’assuranceet d’amélioration qualité. Dans le cadre de structures importantes ou complexes (grandnombre d’unités et/ou de sites, par exemple), le responsable de l’audit interne met en placeune fonction « Assurance et amélioration qualité » formelle, dirigée par un manager du serviced’audit interne. Ce manager, assisté d’un certain nombre de collaborateurs, assure la gestionet le suivi des activités nécessaires au succès du programme d’assurance et d’améliorationqualité.


La qualité des activités de l’audit interne est une responsabilité collective. Cependant, le pilotage direct du programmed’assurance et d’amélioration qualité requiert dans certains cas une structure transversale permettant un déploiement etun suivi centralisé. Cette structure peut être nécessaire en raison de la taille ou de la complexité des activités dudépartement d’audit interne. Le manager en charge du programme d’assurance et d’amélioration qualité peut, selon notrepoint de vue, continuer à exercer des responsabilités de conduite de missions.

Commentaire IFACI

107


MPA 1310-1Exigences du programme d'assurance

et d'amélioration qualité

1. Un programme d’assurance et d’amélioration qualité consiste en des évaluations perma-nentes ou périodiques de l’ensemble des prestations d’audit et de conseil effectuées par l’au-dit interne. Ces évaluations permanentes ou périodiques reposent sur des processusrigoureux et détaillés, une supervision continue et la vérification des prestations d’audit etde conseil, ainsi que des validations périodiques du respect de la définition de l’audit interne,du Code de déontologie et des Normes. Ce suivi comporte une évaluation et une analysecontinues d’indicateurs de performances (réalisation du plan d’audit interne, durée desmissions, recommandations acceptées et satisfaction des clients, par exemple). Si suite à cesévaluations, il apparaît que des améliorations sont à apporter par l’audit interne le responsablede l’audit interne les mettra en œuvre dans le cadre du programme d’assurance et d’amélio-ration qualité.


La Certification IFACI est fondée sur les exigences suivantes :• un référentiel de certification, formellement validé par un comité indépendant ;• un comité de certification composé de directeurs opérationnels, de cadres de départements d’audit interne et d’experts

en audit interne, assurant l’équité et l’homogénéité des décisions ;• un processus de certification normé et décliné en procédures ;• des auditeurs certificateurs expérimentés et formés ;• une appréciation de la qualité de l’organisation et du fonctionnement de l’audit interne fondée sur chaque exigence

générale, et non sur une appréciation d’ensemble du respect des Normes ;• un label reconnu, pouvant faire l’objet d’une communication vers les parties prenantes de l’audit interne.

Commentaire IFACI

1310 – Exigences du programme d'assurance et d'amélioration qualité

Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internesqu’externes.


MPA

130

0

108

2. Les évaluations donnent une opinion sur la qualité des travaux d’audit interne et aboutissentà des recommandations en vue de leur amélioration. Les programmes qualité comportentnotamment une évaluation des points suivants : respect de la définition de l’audit interne, du Code de Déontologie et des Normes, et

notamment mise en œuvre, dans des délais appropriés, d’actions correctrices visant àremédier à toute non-conformité significative ;

caractère adéquat de la charte d’audit interne, des objectifs, des règles et des procé-dures de l’audit interne ;

contribution aux processus de gouvernement d’entreprise, de management des risqueset de contrôle de l’organisation ;

respect des lois, réglementations, normes administratives ou sectorielles en vigueur ; efficacité des processus d’amélioration continue et adoption des meilleures pratiques ; contribution de l’audit interne à la création de valeur et à l’amélioration du fonctionne-

ment de l’organisation.

3. Le programme d’assurance et d’amélioration qualité inclut également le suivi des recom-mandations relatives à la modification appropriée et opportune des ressources, des techno-logies, des processus et des procédures.

4. Par souci de transparence, le responsable de l'audit interne communique les résultats desévaluations externes et, si nécessaire, des évaluations internes du programme qualité, auxdiverses parties prenantes de l’audit interne, telles que la direction générale, le Conseil et lesauditeurs externes. Au moins une fois par an, le responsable de l’audit interne rend compteà la direction générale et au Conseil de l’état d’avancement et des résultats du programmequalité.


109


MPA 1311-1Évaluations internes

1. Les processus et outils utilisés dans les évaluations internes permanentes sont notammentles suivants : supervision des missions; utilisation de listes de contrôle et de procédures (par exemple dans un manuel d’audit

et de procédures); informations fournies, en retour, par les clients et les parties prenantes de l’audit interne ; revues de dossiers de mission effectuées par des auditeurs qui n’ont pas participé aux

missions concernées ; budgets par projet, systèmes de suivi des temps passés, réalisation du plan d’audit,

recouvrement des coûts ; analyse d’autres indicateurs de performance (par ex. durée des missions et taux de

recommandations acceptées).


1311 – Évaluations internes

Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des évaluations périodiques, effectuées par auto-évaluation ou par d'autres personnes

de l'organisation possédant une connaissance suffisante des pratiques d'audit interne.

Interprétation : La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivide l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiquescourantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définitionde l’audit interne, au Code de Déontologie et aux Normes.Les évaluations périodiques sont conduites pour apprécier également la conformité du serviced’audit interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhensionde l’ensemble des éléments du cadre de référence international des pratiques professionnelles.


MPA

130

0

110

2. Il convient de conclure sur la qualité des prestations et d’en effectuer un suivi afin de s’assurerque les améliorations appropriées sont mises en œuvre.

3. Le manuel de l’IIA relatif à l’évaluation de la qualité (Quality Assessment Manual), ou unensemble comparable de lignes directrices et d’outils, pourront servir de base aux évaluationsinternes périodiques.

4. Les évaluations internes périodiques peuvent : comporter des enquêtes et des entretiens plus approfondis avec les parties prenantes

de l’audit interne ; être réalisées par les membres de l’audit interne (auto-évaluation) ; être réalisées par des auditeurs internes certifiés CIA ou par d’autres professionnels de

l’audit, intervenant dans d’autres départements de l’organisation ; combiner auto-évaluation et préparation de documents revues ultérieurement par des

auditeurs internes certifiés CIA ou par d’autres professionnels de l’audit ; inclure une étude comparative des pratiques et des indicateurs de performance de

l’audit interne et des meilleures pratiques de la profession.

5. Une évaluation interne périodique, réalisée peu de temps avant une évaluation externe, peutfaciliter cette dernière et en réduire le coût. Même si l’évaluation périodique interne est effec-tuée par des évaluateurs externes qualifiés et indépendants, les résultats de l’évaluation nedevraient pas présumer les résultats de la revue qualité externe à venir. Le rapport peut conte-nir des suggestions et des recommandations d’amélioration des pratiques d’audit. Si l’éva-luation externe prend la forme d’une auto-évaluation suivie d’une validation indépendante,l’évaluation interne périodique peut tenir lieu d’auto-évaluation dans le cadre de ce processus.

6. Il convient de conclure sur la qualité des prestations et prendre toute mesure appropriéepour, en tant que de besoin, mettre en œuvre les améliorations et assurer la conformité auxNormes.


IFACI Certification a élaboré un Référentiel Professionnel de l’Audit Interne s’appuyant sur les Normes qu’il répartit en : • exigences de prestations ; • exigences de moyens ; • exigences de pilotage et de contrôle.

Ce Référentiel, conçu aux fins de certification d’une direction d’audit interne peut aussi être utilisé pour les évaluationsinternes. Il est disponible auprès de l’IFACI.

Commentaire IFACI

111


7. Le responsable de l'audit interne met en place un système de diffusion des résultats desévaluations internes permettant de préserver la crédibilité du service et de garantir son objec-tivité. En règle générale, les personnes chargées des évaluations continues et périodiquesrendent compte au responsable de l'audit interne au cours de leurs revues et lui adressentdirectement leurs résultats.

8. Le responsable de l'audit interne rend compte, au moins annuellement, à la direction généraleet au Conseil des résultats des évaluations internes, des plans d’action à mettre en œuvre etde leur mise en œuvre effective.


Le responsable de l’audit interne appréciera l’opportunité et adaptera la nature de la communication des résultats pourchaque partie prenante. La communication des résultats des revues internes aux auditeurs externes peut permettre defavoriser un climat de confiance propice à la coopération entre audit interne et audit externe.

Commentaire IFACI

MPA

130

0

112

MPA 1312-1Évaluations externes

1. Les évaluations externes couvrent l’ensemble des prestations d’assurance et de conseil four-nies par l’audit interne et ne sont pas limitées à l’évaluation de son programme d’assuranceet d’amélioration qualité. Pour obtenir tout le bénéfice d’une revue externe, l’étendue destravaux inclut le benchmarking, l’identification et le compte-rendu des meilleures pratiquesqui pourrait rendre l’audit interne plus efficient. Cela peut être obtenu soit par une revueentièrement externalisée, soit par une autoévaluation détaillée suivie d’une validation indé-pendante. Ces deux approches sont réalisées par un évaluateur ou une équipe d’évaluateur



Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ouune équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsablede l'audit interne doit s'entretenir avec le Conseil au sujet :

des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur

indépendance y compris au regard de tout conflit d'intérêt potentiel.

Interprétation : Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externaliséeou d’une auto-évaluation avec validation indépendante externe.Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deuxdomaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Cescompétences peuvent être démontrées à travers une combinaison d’expériences professionnelleset de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’in-dustrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipepossède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si unévaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir menerà bien la mission d’évaluation.La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisationdont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ouapparent.


113


qualifiés et indépendants. Néanmoins, dans les deux cas, le responsable de l’audit internes’assure que le plan d’intervention spécifie clairement les livrables de la revue externe.

2. L’évaluation externe comprend une opinion sur l’ensemble des prestations d’assurance et deconseil délivrées par l’audit interne (ou qui aurait pu être fournies sur la base de la charted’audit interne), notamment sur le respect de la définition de l’audit interne, du Code deDéontologie et des Normes et, si nécessaire, des recommandations en vue d’une améliora-tion. Hormis le respect de la définition de l’audit interne, du Code de Déontologie et desNormes, le périmètre de l’évaluation est ajusté à la demande du responsable de l’audit interne,de la direction générale ou du Conseil. Ces évaluations peuvent présenter un grand intérêtpour le responsable de l'audit interne et les autres membres de l’équipe, plus particulièrementlorsqu’il y a échange sur le benchmark et les meilleures pratiques.

3. Dès l’achèvement de la revue, un compte-rendu formel doit être adressé à la direction géné-rale et au Conseil.

4. Il existe deux démarches d’évaluations externes. La première est une évaluation entièrementexternalisée, conduite par un évaluateur ou une équipe qualifiés, indépendants, extérieurs àl’organisation. Cette approche implique une équipe extérieure de professionnels compétentssous la direction d'un chef de projet expérimenté et professionnel. La seconde approcheimplique le recours à un évaluateur ou à une équipe externe qualifiés et indépendants pourconduire une validation indépendante de l'auto-évaluation interne et du rapport établi parle service d’audit interne. Les évaluateurs externes indépendants maîtrisent les meilleurespratiques de l’audit interne.

5. Les personnes qui entreprennent l’évaluation externe, ne doivent avoir aucun intérêt dansl’organisation dont le service d’audit interne fait l’objet de l’évaluation externe, ni aucune obli-gation envers cette dernière ou son personnel. Lors de la sélection de l’évaluateur ou del’équipe d’évaluateurs externe(s) qualifié(s) et lorsqu’il consulte le Conseil à ce propos, leresponsable de l’audit interne examine des points particuliers concernant leur indépendance.Notamment : Aucun cas de conflit d’intérêt réel ou supposé avec des cabinets réalisant :

- l’audit externe des états financiers ;- des activités de conseil significatives dans les domaines du gouvernement d’entre-

prise, du management des risques, du reporting financier, du contrôle interne et dansdes domaines connexes ;

- une assistance au service d’audit interne. L’importance et le volume de travail effectuédevront être considérés lors de la sélection.

Aucun cas de conflit d’intérêt réel ou supposé avec d’anciens employés de l’organisationqui feraient l’évaluation. La durée pendant laquelle les personnes ont été indépendantesde l’organisation devra être prise en considération.


MPA

130

0

114

Les personnes qui procèdent à l’évaluation sont indépendantes de l’organisation dontle service d’audit interne fait l’objet de l’évaluation et ne se trouvent pas dans un casde conflit d’intérêt réel ou apparent. L’expression « indépendantes de l’organisation »signifie que ces personnes ne font pas partie de l’organisation à laquelle est rattaché leservice d’audit interne et ne sont pas placées sous son contrôle. Le choix d’un évalua-teur externe est effectué en tenant compte de tout éventuel conflit d’intérêt, réel ouapparent, résultant de ses relations présentes ou passées avec l’organisation ou sonservice d’audit interne.

Le personnel des autres départements de l’organisation concernée ou d’une organisa-tion liée, bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré commeétant indépendant pour la réalisation d’une évaluation externe. L’expression « organi-sation liée » désigne les organisations mères, les sociétés apparentées d’un mêmegroupe, ou les entités exerçant régulièrement des fonctions de contrôle, de supervisionou d’assurance qualité dans l’organisation dont le service d’audit interne fait l’objet del’évaluation externe.

Un conflit d’intérêt réel ou supposé au cours de revues réciproques. Des revues réci-proques peuvent être effectuées par des pairs provenant d’au moins trois organisationsdifférentes (au sein d’un secteur ou d’un autre groupe similaire, d’une association régio-nale ou d’un autre groupe d’organisations, excepté les « organisations liées » telles quedéfinies ci-dessus) de façon à atténuer les problèmes d’indépendance, mais il faut alorsveiller à ce que la question de l’indépendance ne se pose pas. Les revues réciproquesde pairs organisées entre deux organisations ne répondent pas au critère d’indépen-dance.

Pour surmonter les craintes liées à l’altération apparente ou réelle de l’indépendancedans les cas examinés au présent paragraphe, une ou plusieurs personnes indépen-dantes peuvent faire partie de l’équipe d’évaluateurs externes, afin de valider en touteindépendance les travaux de cette équipe.

6. L’intégrité implique que les personnes chargées de l’évaluation soient honnêtes et sincères,dans les limites imposées par l’obligation de confidentialité. Les prestations et la confiancene doivent pas être subordonnées à des intérêts et gains personnels. L’objectivité est un étatd’esprit et une qualité qui renforcent la valeur d’une évaluation. Le concept d’objectivitéimplique l’impartialité, l’honnêteté intellectuelle et l’absence de conflit d’intérêt.

7. La réalisation d’une évaluation externe et la communication de ses résultats nécessitent laformulation d’un jugement professionnel. La personne chargée de l’évaluation externepossède, par conséquent, les qualités suivantes : être un professionnel de l’audit interne compétent et agréé et posséder une connais-

sance approfondie des Normes ; avoir une bonne appréhension des meilleures pratiques de la profession ;


115


avoir une expérience récente de trois ans au minimum de la pratique de l’audit interneà un poste d’encadrement.

Les responsables de l’équipe d’évaluateurs externes et les personnes chargées de la validationindépendante de l’auto-évaluation doivent posséder des compétences et une expérienceplus poussées : par exemple, avoir été membre d’une équipe d’évaluateurs externes de laqualité, avoir suivi avec succès la formation de l’IIA sur l’évaluation de la qualité ou une forma-tion similaire, et avoir acquis une expérience en tant que responsable d’un service d’auditinterne ou une expérience comparable à un poste d’encadrement dans l’audit interne.

8. Le ou les évaluateurs ont l’expertise technique requise et une expérience du secteur d’activitéconcerné. Des personnes compétentes dans d’autres disciplines peuvent les assister. C'estainsi que des experts en matière de management des risques d’entreprise, d’audit dessystèmes d’information, d’échantillonnages statistiques, de systèmes de suivi des opérationsou d’auto-évaluation du contrôle interne peuvent participer à certains aspects de l’évalua-tion.

9. Le responsable de l’audit interne implique la direction générale et le Conseil dans le choixde la démarche et dans la sélection du prestataire d’une revue qualité externe.

10. L’évaluation externe consiste en un examen étendu portant notamment sur les paramètressuivants : respect de la définition de l’audit interne, du Code de Déontologie, des Normes, de la

charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’auditinterne, ainsi que de la législation et réglementation en vigueur ;

attentes du Conseil, de la direction générale et des directeurs opérationnels vis-à-visdes prestations de l’audit interne ;

intégration de l’audit interne dans le dispositif de gouvernement d’entreprise, y comprisau niveau des relations entre les principaux groupes impliqués dans ce dispositif ;

outils et techniques utilisés par l’audit interne ; éventail des connaissances, de l’expérience et des compétences de l'équipe de l’audit

interne, y compris en ce qui concerne l’amélioration des processus ; valeur ajoutée apportée par l’audit interne et contribution à l’amélioration des opéra-

tions de l’organisation.

11. Les résultats préliminaires de l’évaluation sont examinés avec le responsable de l'audit interneau cours du processus d’évaluation et à l’issue de ce dernier. Les résultats définitifs sontcommuniqués au responsable d’audit interne ou au responsable qui a autorisé l’évaluation,de préférence en adressant directement un exemplaire aux membres de la direction généraleconcernés et aux membres du Conseil.


MPA

130

0

116

12. Les informations communiquées comportent : une opinion sur le respect de la définition de l’audit interne, du Code de Déontologie

et des Normes par le service d’audit interne, fondée sur un système de notation struc-turé. Le terme « respect » signifie que les pratiques de l’audit interne, prises globalement,satisfont aux conditions posées par la définition de l’audit interne, le Code de Déonto-logie et les Normes. Parallèlement, le terme « non-respect » signifie que l’impact et lagravité des anomalies constatées dans les pratiques de l’audit interne sont suffisam-ment importants pour altérer la capacité de ce service à remplir ses responsabilités. Ledegré de respect partiel de la définition de l’audit interne, du Code de Déontologie oude chaque norme devrait également être mentionné, s’il influe sur l’opinion d’ensemble,dans le rapport de l’évaluation indépendante. La formulation d’une opinion sur les résul-tats de l’évaluation externe requiert un jugement sûr ainsi que des qualités d’intégritéet de conscience professionnelle ;

une évaluation de la mise en œuvre des meilleures pratiques telles qu'elles sont appa-rues au cours de la revue ou qui pourraient s'appliquer dans l'environnement consi-déré ;

les recommandations, le cas échéant ; les réponses du responsable de l’audit interne comprenant un plan d’action et les dates

de mise en œuvre.

13. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne commu-nique aux différentes parties prenantes de l’audit interne, telles que la direction générale, leConseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctricesprévues sur les points significatifs, puis des informations concernant leur mise en œuvre.


117


MPA 1312-2Évaluations externes :

auto-évaluation avec validation indépendante

1. Une évaluation externe périodique, réalisée par un évaluateur ou une équipe d’évaluateurscompétents et indépendants peut être problématique pour les services d’audit interne detaille modeste ou considérée comme n’étant pas vraiment appropriée ou nécessaire dansd’autres organisations. Par exemple, le service d’audit interne peut (a) appartenir à un secteurextrêmement régulé, (b) faire par ailleurs l’objet d’une supervision externe importante enmatière de gouvernance et de contrôle interne, (c) avoir récemment fait l’objet d’évaluations


MPA

130

0







118

externes et/ou de services de conseil aux cours desquels il y a eu un benchmark approfondiavec les meilleures pratiques, ou (d) du point de vue du responsable d’audit interne, l’intérêtpour le développement des auditeurs et le renforcement du programme d’assurance etd’amélioration qualité surpasse actuellement l’intérêt d’une revue qualité par une équipeexterne.

2. Une auto-évaluation avec validation (externe) indépendante comporte les éléments suivants : un processus détaillé et parfaitement documenté d’auto-évaluation, comparable au

processus d’évaluation externe, du moins en ce qui concerne l’évaluation du respectde la définition de l’audit interne, du Code de Déontologie et des Normes ;

une validation sur site indépendante réalisée par un évaluateur qualifié ; des modalités économiques en termes de temps et de ressources, l’accent étant mis,

par exemple, sur le respect des Normes. les autres points, tels que l’analyse comparative, l’examen et les consultations relatifs à

l’emploi des meilleures pratiques, les entretiens avec la direction générale et les cadresopérationnels peuvent faire l’objet d’une attention réduite. Cependant, les informationsobtenues par ces points sont parmi les plus bénéfiques lors d’une évaluation externe.

3. Les conditions et critères décrits dans la MPA 1312-1 s’appliquent en ce qui concerne : les considérations d’ordre général ; les qualifications de l’évaluateur ou de l’équipe d’évaluateurs externes ; l’indépendance, l’intégrité et l’objectivité, la compétence, l’approbation du choix de l’in-

tervenant par la direction générale et le Conseil, l’étendue de la mission (sauf pour desdomaines comme les outils et techniques utilisés, les autres meilleures pratiques, l’évo-lution de carrière et les activités à valeur ajoutée) ;

la communication des résultats (y compris des actions correctrices et de leur mise enœuvre).

4. Le processus d’auto-évaluation est mis en œuvre et parfaitement documenté par une équipedirigée par le responsable de l’audit interne. Un projet de rapport similaire à celui concernantl’évaluation externe est établi avec l’opinion du responsable du service d’audit concernant lerespect des Normes.

5. L’évaluateur ou l’équipe d’évaluateurs compétent(s) et indépendant(s) chargé(s) de la valida-tion procèdent à des tests sur l’auto-évaluation, de façon à en valider les résultats et à formulerune opinion sur le respect de la définition de l’audit interne, du Code de Déontologie et desNormes. La validation indépendante suit le processus décrit dans le Manuel d’évaluationqualité (Quality Assesment Manual) de l’IIA ou un processus comparable détaillé.


119


6. Au cours de la validation indépendante, qui inclut un examen rigoureux de l’évaluation durespect de la définition de l’audit interne, du Code de Déontologie et des Normes, l’évaluateurexterne indépendant : examine le projet de rapport et s’efforce, le cas échéant, de résoudre les points en

suspens ; en cas d’accord avec l’opinion concernant le respect de la définition de l’audit interne,

du Code de Déontologie et des Normes, il complète le rapport (s’il y a lieu), afin d’ap-prouver le processus d’auto-évaluation et l’opinion exprimée par le responsable de l’au-dit, ainsi que les constatations, conclusions et recommandations (s’il le juge opportun) ;

en cas de désaccord avec cette évaluation, il fait part de son désaccord dans le rapporten précisant les points de divergence avec ce dernier et, s’il le juge opportun, avec lesconstatations, conclusions et recommandations significatives qu’il contient ;

peut également établir un rapport de validation indépendante séparé, mentionnantson accord ou son désaccord comme indiqué ci-dessus, à joindre au rapport d’auto-évaluation.

7. Le (s) rapport(s) final(s) de l’auto-évaluation avec validation indépendante sont ensuitesigné(s) par l’équipe chargée de l’auto-évaluation et la personne compétente responsablede la validation indépendante, puis diffusé(s) à la direction générale et au Conseil par leresponsable de l’audit interne.

8. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne commu-nique aux différentes parties prenantes de l’audit interne, telles que la direction générale, leConseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctricesprévues sur les points significatifs, puis des informations concernant leur mise en œuvre.


MPA

130

0


MPA 1312-3Indépendance de l’équipe d’évaluation externe

dans le secteur privé

1. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’organisa-tion évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflitd’intérêt réel ou supposé entre les membres de l’équipe d’évaluation et l’organisation et/ouson personnel. Les éléments devant être pris en compte pour évaluer l’indépendance del’équipe d’évaluation comprennent ce qui suit :







121



MPA

130

0

Indépendant de l’organisation signifie ne pas être sous l’influence de l’organisation dontle service d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposésdoivent être pris en compte dans le cadre du processus de sélection d’un évaluateurexterne. Un conflit d’intérêts peut découler de relations passées, présentes ou poten-tielles avec l’organisation ou son service d’audit interne. Les relations personnelles et/oud’ordre commercial doivent être prises en compte.

Dans le secteur privé (c’est-à-dire indépendant de l’État), le personnel d’une mêmeorganisation mais rattaché à des départements différents, ou à une organisation liée,bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme indépendantpour la réalisation d’une évaluation externe. L’expression « organisation liée » désignel’entité ou la société mère, les sociétés affiliées d’un même groupe ou une entité exer-çant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualitévis-à-vis de l’organisation dont le service d’audit interne fait l’objet d’une évaluationexterne.

Des évaluations externes réciproques peuvent être effectuées par des équipes prove-nant d’au moins trois organisations différentes de façon à satisfaire l’objectif d’indépen-dance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas età ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonc-tions sans contrainte de confidentialité, etc. La réalisation d’évaluations externes réci-proques entre deux organisations ne peut pas être prise en considération en tantqu’évaluation externe indépendante.

2. L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doitêtre discutée avec le Conseil.


MPA 1312-4Indépendance de l’équipe d’évaluation externe

dans le secteur public

1. Le terme « secteur public », qui englobe tous les niveaux d’intervention de l’État, comprendles établissements ou les entreprises (« l’entité ») détenus ou contrôlés par l’État. Dans lesecteur public, les services d’audit interne des différents niveaux d’intervention de l’Étatpeuvent être considérés comme indépendants pour la réalisation d’une évaluation externe.







123



MPA

130

0

2. Les entités parapubliques englobent des entreprises qui sont détenues ou contrôlées parplusieurs États, des institutions ou des organisations, telles que les Nations Unies ou laCommission européenne. En raison de leur caractère multilatéral, les organisations interna-tionales devraient appliquer les lignes directrices destinées au secteur privé.

3. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’entitéévaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit d’in-térêt réel ou supposé entre les membres de l’équipe d’évaluation et l’entité et/ou son person-nel. Les éléments devant être pris en compte pour évaluer l’indépendance de l’équiped’évaluation comprennent ce qui suit : Indépendant de l’entité signifie ne pas être sous l’influence de l’entité dont le service

d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés doiventêtre pris en compte dans le cadre du processus de sélection d’un évaluateur externe.Un conflit d’intérêts peut découler de relations passées, présentes ou potentielles avecl’entité ou son service d’audit interne. Les relations personnelles et/ou d’ordre commer-cial doivent être prises en compte.

Dans le secteur public, le personnel rattaché à des services d’audit interne distinctsdans des entités différentes mais correspondant à un niveau d’intervention donné del’État (administration nationale, régionale, départementale, ou locale) peut être consi-déré comme indépendant pour la réalisation d’une évaluation externe.

Lorsqu’une ou plusieurs activités d’audit interne sont réalisées au même niveau d’in-tervention de l’État et sous l’autorité du même responsable de l’audit interne, le person-nel concerné par ces activités n’est pas considéré comme indépendant pour laréalisation d’une évaluation externe, même s’il est rattaché à des entités différentes.Seuls des évaluateurs indépendants de chacune de ces entités peuvent réaliser uneévaluation externe.

Des évaluations externes réciproques peuvent être effectuées par des équipes prove-nant d’au moins trois entités différentes de façon à satisfaire l’objectif d’indépendance.Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce quetous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sanscontrainte de confidentialité, etc. La réalisation d’évaluations externes réciproques entredeux entités ne peut pas être prise en considération en tant qu’évaluation externe indé-pendante.

Les lignes directrices du secteur public sont généralement plus appropriées pour les organisations intergouvernementalesqui prolongent et se substituent à l’action publique étatique. Néanmoins, la notion d’organisation liée, développée dans le §1 de la MPA 1312-3 relative au secteur privé, devra être priseen considération pour apprécier l’indépendance du personnel d’une institution donnée en fonction du niveau decontrôle/supervision de l’organisation dont le service d’audit interne fait l’objet d’une évaluation externe.

Commentaire IFACI


4. L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doitêtre discutée avec le Conseil.

5. Lorsqu’il sélectionne l’équipe en vue de réaliser une évaluation, le responsable de l’auditinterne doit prendre en compte le niveau d’expérience de ses membres dans le secteurpublic.

125



MPA

130

0

MPA 1321-1Utilisation de la mention « conforme aux Normes

internationales pour la pratique professionnelle del’audit interne »

1. La surveillance permanente ainsi que les évaluations externe et interne de l’audit interne ontpour objet d’évaluer et formuler une opinion sur la conformité de cette activité par rapportà la définition de l’audit interne, au Code de Déontologie et aux Normes. Ils incluent si néces-saire des recommandations en vue d’une amélioration.

2. Des évaluations externes doivent être réalisées tous les cinq ans.

L’IFACI considère qu’une période de cinq ans est inadaptée dans la plupart des cas pour la réalisation d’évaluations externes. En effet, l’audit interne est une fonction clé du dispositif de contrôle interne qui fait l’objet tous les ans d’un rapportapprouvé par le conseil d’administration. Dans ce rapport, rendu public, le Président du Conseil rend notamment comptedes procédures de contrôle interne et de gestion des risques. En tant que partie prenante directement concernée par cesprocessus, l’audit interne se doit de justifier d’un professionnalisme.Par ailleurs, l’audit interne est généralement une fonction à rotation de personnel élevée.Pour ces raisons, la Certification IFACI prend la forme d’un audit de certification et d’audits de suivi annuel, afin de répondre

Commentaire IFACI

1321 – utilisation de la mention « conforme aux Normes internationalespour la pratique professionnelle de l’audit interne »

Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite confor-mément aux Normes internationales pour la pratique professionnelle de l'audit interne seulementsi les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.

Interprétation : Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de laDéfinition de l’audit interne, du Code de déontologie et des Normes.Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des évalua-tions internes et des évaluations externes. Tout service d’audit interne disposera de résultats d’éva-luations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté disposerontégalement des résultats de leurs évaluations externes.


3. On peut utiliser la formule « Conforme avec les Normes » ou « En conformité avec les Normes ».L’emploi d’une de ces expressions exige qu’une évaluation externe soit réalisée au moins unefois tous les cinq ans, et qu’elle soit accompagnée d’une surveillance permanente et d’éva-luations internes périodiques. Il faut également que ces activités débouchent sur la conclu-sion que l’audit interne respecte la définition de l’audit interne, le Code de Déontologie etles Normes. L'emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’apas démontré que l’audit interne fonctionne en conformité avec la définition de l’auditinterne, le Code de Déontologie et les Normes.

4. Le responsable de l’audit interne indique à la direction générale et au Conseil, les cas de non-conformité qui ont une incidence sur le champ d’intervention ou le fonctionnement de l’auditinterne, y compris l’incapacité à obtenir une évaluation externe dans le délai de cinq ans.

5. Avant toute utilisation des formules ci-dessus par l’audit interne, tout cas de non-conformitémis en évidence par une évaluation (interne ou externe) de la qualité, et de nature à altérerla capacité de ce service à s’acquitter de ses responsabilités : doit être résolu de façon adéquate ; les actions correctrices sont documentées et notifiées à l’évaluateur (aux évaluateurs)

concerné(s), de façon à obtenir son approbation quant au caractère adéquat de la solu-tion apportée à la non-conformité ;

les actions correctrices ainsi que l’approbation du (des) évaluateur(s) concerné(s) sontportées à la connaissance de la direction générale et du Conseil.


à l’engagement de progrès continu des départements d’audit interne.Ce modèle encourage ainsi la mise en œuvre rapide et optimale des plans d’action de l’audit interne et permet d’acter lesaméliorations qui y sont déployées.Il assure également le maintien de la vigilance des auditeurs et prévient toute dérive éventuelle.Il permet d’intégrer pro activement les évolutions des meilleures pratiques d’audit.Il oblige à rester en alerte sur les changements de l’environnement interne et externe de l’organisation.Il conduit à tenir compte de la vision et des besoins évolutifs des parties prenantes.

mPA SÉrIE 2000gEStIoN DE l’AuDIt INtErNE



MPA

200

0

129


MPA 2010-1La prise en compte des risques et des menaces

pour l’élaboration du plan d’audit

1. En élaborant le plan d'audit, la plupart des responsables de l’audit interne choisissent d'abordde développer ou d’actualiser l’univers d'audit. L’univers d’audit recense tous les auditspouvant être réalisés. Le responsable de l’audit interne peut recueillir la contribution de ladirection générale et du Conseil pour constituer l’univers d’audit.

2. L’univers d’audit peut intégrer certaines composantes du plan stratégique de l’organisation,de façon à tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, lesplans stratégiques reflètent l’attitude de l’organisation face aux risques et le degré de difficulté


Pour mener à bien cette mission, il est important que l’audit interne ait une bonne compréhension du processus demanagement des risques. Pour cela, il doit bien appréhender les rôles respectifs de l’audit interne, des risk managers, ducomité d’audit et du comité des risques s’ils existent. S’il apparaît que ceux-ci sont insuffisamment précis ou noncoordonnés, l’audit interne doit en informer la direction générale et lui faire part de ses recommandations en vued’améliorer la gestion des risques de l’organisation. Nous renvoyons à la MPA 2120-1 qui traite précisément du rôle del’auditeur interne dans le processus de management de risque et en l’absence d’un tel processus.

Commentaire IFACI


Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définirdes priorités cohérentes avec les objectifs de l'organisation.

Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.Pour se faire, le responsable de l’audit interne prend en compte le système de management desrisques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risquedéfinie par le management pour les différentes activités ou branches de l’organisation. Si ce systèmede management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propreanalyse des risques après avoir pris en considération le point de vue de la direction générale etdu Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afinde répondre aux changements dans les activités, les risques, les opérations, les programmes,les systèmes et les contrôles de l’organisation.


MPA

200

0

130

que comporte la réalisation des objectifs fixés. L’univers d’audit prend généralement encompte les résultats du processus de management des risques. En principe, le plan straté-gique de l’organisation tient compte de l’environnement dans lequel elle opère. Les facteursliés à cet environnement influeront vraisemblablement l’univers d’audit et l’évaluation desrisques.

3. Le responsable de l’audit interne prépare le plan d'audit à partir de l’univers d'audit, des contri-butions de la direction générale et du Conseil, d’une évaluation des risques et des menacespouvant affecter l'organisation. Les principaux objectifs d’audit visent à fournir une assuranceet des informations, notamment en ce qui concerne l’évaluation de l’efficacité de la gestiondes risques par le management, à la direction générale et au Conseil afin de les aider à attein-dre les objectifs de l'organisation.

4. L’univers et la planification d’audit sont actualisés afin d’intégrer les changements d’orienta-tion, d’objectifs et de priorité décidés par la direction générale. Il est conseillé d’examiner l’ap-proche d’audit, au minimum une fois par an, afin de l’adapter aux stratégies et auxorientations les plus récentes de l’organisation. Il peut s’avérer nécessaire, dans certains cas,de procéder à une mise à jour plus régulière (trimestrielle, par exemple) des plans d’audit enfonction des évolutions intervenues dans les activités commerciales, le fonctionnement, lesprogrammes, les systèmes et les contrôles de l’organisation.

5. Le plan des missions d’audit est établi, entre autres, sur la base d’une évaluation des princi-paux risques et menaces. Il convient de définir des priorités de façon à affecter les ressourcesen fonction du caractère significatif des risques. Le responsable de l'audit interne a, à sa dispo-sition, divers modèles de risques pour l’aider à définir les zones d’audit prioritaires. La plupartde ces modèles utilisent des facteurs de risque tels que l’impact, la probabilité d’occurrence,la matérialité, la liquidité des actifs, la compétence du management, la qualité et le respectdes contrôles internes, le niveau de changement ou de stabilité, la date et les résultats de ladernière mission d’audit, la complexité, les relations avec le personnel et l’administration, etc.Les méthodes et les techniques utilisées dans le cadre des missions d’audit, pour effectuerdes tests et valider l’exposition aux risques, doivent tenir compte de la matérialité des risqueset de leur probabilité d’occurrence.


Parmi les divers modèles de risques existants, citons par exemple : • le management des risques de l’entreprise – COSO Report II, dont la traduction a été publiée par l’IFACI ;• les modèles présentés dans les cahiers de la recherche « Management des risques », publiés par l’IFACI ; • le cadre de référence de la gestion des risques du Ferma (Federation of European Risk Management Association) ;• les modèles proposés dans les séminaires de l’IFACI sur l’évaluation et la maîtrise des risques et sur la cartographie des

risques. Bien entendu, il appartient à chaque service d’audit interne de les analyser et de se les approprier.

Commentaire IFACI

131


MPA 2010-2Prise en compte du management des risques

dans la planification de l’audit interne

1. Le management des risques est une composante primordiale de la bonne gouvernance. Ilconcerne toutes les activités d’une organisation. Nombre d’organisations sont en train d’adop-ter une approche de management des risques homogène et holistique, qui, dans l’idéal, doitêtre pleinement intégrée à leur management global. Le management des risques s’appliqueà tous les niveaux : entreprise, fonctions et unités opérationnelles. Les managers recourentgénéralement à un cadre de référence du management des risques pour réaliser l’évaluationnécessaire et en documenter les résultats.

2. S’il est efficace, le processus de management des risques peut faciliter l’identification descontrôles clés liés aux risques inhérents les plus importants. Le management des risques del’entreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee ofSponsoring Organizations of the Treadway Commission (COSO) le définit comme « un proces-sus mis en œuvre par le Conseil d’administration, la direction générale, le management etl’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de lastratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier lesévénements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dansles limites de la tolérance au risque. Il vise à fournir une assurance raisonnable quant à l’at-


MPA

200

0


Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définirdes priorités cohérentes avec les objectifs de l'organisation.

Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.Pour se faire, le responsable de l’audit interne prend en compte le système de management desrisques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risquedéfinie par le management pour les différentes activités ou branches de l’organisation. Si ce systèmede management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propreanalyse des risques après avoir pris en considération le point de vue de la direction générale etdu Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afinde répondre aux changements dans les activités, les risques, les opérations, les programmes,les systèmes et les contrôles de l’organisation.


132

teinte des objectifs de l’organisation ». L’exécution des contrôles est l’une des méthodes utili-sée par le management pour gérer les risques dans les limites de son appétence pour lerisque. Les auditeurs internes vérifient les contrôles clés et donnent une assurance sur lemanagement des risques significatifs.

3. Les Normes pour la pratique professionnelle de l’audit interne (les Normes) élaborées par l’IIAdéfinissent le contrôle comme « toute mesure prise par le management, le Conseil et d'autresparties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés serontatteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffi-santes pour donner une assurance raisonnable que les buts et objectifs seront atteints ».

4. Il convient de distinguer deux concepts fondamentaux : le risque inhérent et le risque résiduel(ou risque actuel). Les auditeurs financiers/externes utilisent depuis longtemps le conceptde risque inhérent, que l’on peut considérer comme étant le fait que des informations ou desdonnées puissent être significativement erronées en l’absence de contrôles d’atténuationcorrespondants.D’après les Normes, les risques résiduels sont « les risques qui subsistent après les mesuresprises par le management pour réduire l'impact et la probabilité d'occurrence d'un événe-ment défavorable et, notamment, après les dispositifs de contrôle mis en place en réponseà un risque ». Le risque actuel est souvent défini comme le risque géré dans le cadre des acti-vités de contrôles ou du dispositif de contrôle en place.

5. Les contrôles clés sont les contrôles ou les ensembles de contrôles qui aident à réduire lerisque à un niveau acceptable. On peut les considérer comme des processus organisationnelsvisant à traiter les risques. Si le management des risques est efficace (et accompagné d’unedocumentation adéquate), il est facile d’identifier les contrôles clés en examinant l’écart entrerisque inhérent et risque résiduel dans tous les dispositifs sur lesquels l’organisation s’appuiepour réduire le niveau des risques importants. Si le risque inhérent n’a pas été identifié, l’au-diteur interne l’estime. Lorsqu’il identifie les contrôles clés (et dans l’hypothèse où il a concluà la maturité et à la fiabilité du management des risques), l’auditeur interne examine : chaque facteur de risque correspondant à un écart significatif entre le risque inhérent

et le risque résiduel (surtout si le risque inhérent était particulièrement élevé). Cetteanalyse met en lumière les contrôles importants pour l’organisation ;

les contrôles qui servent à réduire un grand nombre de risques.

6. La planification de l’audit interne doit s’appuyer sur le processus de management des risquesde l’organisation, lorsque celui-ci a été déployé. Quand il planifie une mission, l’auditeurinterne prend en compte les risques importants liés à l’activité et les moyens par lesquels lemanagement ramène le risque à un niveau acceptable. Il recourt à des techniques d’évalua-tion des risques pour établir le plan de la mission et pour définir les priorités afin d’allouer enconséquence les ressources dédiées à la mission. L’évaluation des risques sert à fixer les prio-


133


rités parmi les entités pouvant être auditées et à sélectionner les domaines devant faire l’objetd’une revue. Les entités et les domaines qui présentent la plus forte exposition aux risquesdevront être intégrés dans les plans de la mission.

7. Les auditeurs internes ne sont pas toujours qualifiés pour examiner toutes les catégories derisques et le processus de management des risques au sein de l’organisation (audits internesportant sur l’hygiène et la sécurité au travail, audits environnementaux ou instruments finan-ciers complexes, par exemple). Le responsable de l’audit interne veille, par conséquent, à faireappel aux auditeurs internes qui disposent de compétences spécialisées, ou à des prestatairesextérieurs.

8. La configuration des processus et des systèmes de management des risques varie d’un paysà l’autre et leur maturité d’une organisation à l’autre. Dans les organisations où le service demanagement des risques est centralisé, celui-ci coordonne ses activités avec celles des mana-gers, de façon à surveiller en permanence le dispositif de contrôle interne et à l’adapter enfonction de l’évolution de l’appétence pour le risque. Les processus de management desrisques qui sont mis en œuvre dans différentes parties du monde peuvent différer par leurphilosophie, leurs structures et leur terminologie. C’est pourquoi les auditeurs internesévaluent le processus propre à l’organisation considérée et déterminent quels élémentspeuvent servir à élaborer le plan d’audit interne ou le plan d’une mission donnée.

9. Lorsque l’auditeur interne établit son plan, il doit prendre en compte un certain nombre d’élé-ments : les risques inhérents – Sont-ils identifiés et évalués ? les risques résiduels – Sont-ils identifiés et évalués ? les contrôles d’atténuation, les plans de secours et le pilotage des activités– Sont-ils

associés à des événements et/ou à des risques spécifiques ? l’inventaire ou le registre des risques – Est-il systématique, alimenté et précis ? la documentation – Les risques et activités sont-ils documentés ?

De plus, l’auditeur interne coordonne ses activités avec celles des autres prestataires deservices d’assurance et planifie l’utilisation éventuelle de leurs travaux.

[Voir la Modalité pratique d’application 2050-2 : Cartographie des services donnant une assu-rance sur les dispositifs de contrôle et de management des risques.]

10. La charte d’audit interne requiert que le service d’audit interne se concentre sur les domainesà haut risque, qu’il s’agisse des risques inhérents ou des risques résiduels. L’audit interne doitidentifier les domaines dans lesquels il existe un risque inhérent élevé, des risques résiduelsélevés et les contrôles clés pour lesquels l’organisation a le plus d’assurance. Si l’audit internerepère des domaines présentant un risque résiduel inacceptable, il doit en aviser le manage-


MPA

200

0

134

ment, afin que ce risque puisse être géré. En appliquant un processus de planification stra-tégique, l’auditeur interne sera à même d’identifier différents types d’activités à inclure dansle plan d’audit, tels que : les activités de contrôle/revues d’assurance – L’auditeur interne examine l’adéquation

et l’efficience des dispositifs de contrôle et apporte l’assurance que les contrôles fonc-tionnent et que les risques sont gérés efficacement ;

les demandes d’information – Le management de l’organisation estime le degré d’in-certitude inacceptable en ce qui concerne les contrôles portant sur une activité ou undomaine de risque identifié, et l’auditeur interne met en œuvre des procédures desti-nées à mieux appréhender le risque résiduel ;

les activités de conseil – L’auditeur interne conseille le management de l’organisationsur la conception des dispositifs de contrôle destinés à ramener les risques existants àun niveau acceptable.

Les auditeurs internes cherchent également à identifier les contrôles superflus, redondants,excessifs ou complexes qui ne contribuent pas à la réduction efficiente du risque. Il arriveque le contrôle ait un coût supérieur à ses bénéfices. Ce contrôle pourra être redéfini avecdavantage d’efficience.

11. L’identification des risques pertinents doit être systématique et bien documentée. Il existedifférentes formes de documentation, qui vont d’un tableur, dans les petites organisations,au logiciel acheté à l’extérieur, dans les organisations plus sophistiquées. L’essentiel, c’est quele processus de management des risques soit intégralement documenté.

12. La documentation du management des risques, dans une organisation, peut être effectuéeà différents niveaux inférieurs et en deça du niveau stratégique. Pour les risques non straté-giques, nombre d’organisations ont constitué un inventaire des risques qui informe sur lesrisques importants dans un domaine, ainsi que le niveau des risques inhérents et résiduelscorrespondants, sur les contrôles clés et sur les mesures d’atténuation. Il est ensuite possiblede recourir à un rapprochement permettant d’établir des liens plus directs entre les « caté-gories » de risques et les « niveaux d’exposition » décrits dans les registres des risques et, lecas échéant, les éléments déjà inclus dans l’univers d’audit.

13. Il arrive que certaines organisations identifient plusieurs domaines dans lesquels le risqueinhérent est élevé (ou plus élevé). Bien que ces risques puissent justifier l’attention de l’auditinterne, il n’est pas toujours possible de tous les examiner. Si, d’après le registre des risques,le risque inhérent est jugé élevé ou en augmentation dans un domaine particulier et si lerisque résiduel reste, pour une large part, inchangé et qu’aucune action n’est prévue par lemanagement ou par l’audit interne, le responsable de l’audit interne en rend compte auConseil, en détaillant l’analyse des risques et les raisons pour lesquelles certains contrôlesn’ont pas été mis en place ou sont inefficaces.


135


14. Une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquels leniveau de risque est faible doit être périodiquement incluse dans le plan d’audit interne afinde viser la couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ontpas évolué. L’audit interne définit également une méthode de hiérarchisation des risques quin’ont pas encore fait l’objet d’un audit interne.

15. Un plan d’audit interne est habituellement axé sur : les risques actuels inacceptables, qui nécessitent une action du management. Ils

concernent des domaines dans lesquels les contrôles clés ou les mesures d’atténuationsont limités au minimum, et que la direction générale souhaite faire auditer sans délai ;

les dispositifs de contrôle sur lesquels l’organisation s’appuie le plus ; les domaines dans lesquels il existe un écart considérable entre risque inhérent et risque

résiduel ; les domaines dans lesquels le risque inhérent est très élevé.

16. Lorsque l’auditeur interne planifie une mission donnée, il identifie et évalue les risques liésau domaine examiné.


MPA

200

0


MPA 2020-1Communication et approbation

1. Le responsable de l'audit interne soumet, annuellement, pour examen et approbation, à ladirection générale et au Conseil, une synthèse du plan annuel d’audit interne, du planningdes travaux, des prévisions d’effectifs et le budget financier. Cette synthèse signalera à la direc-tion générale et au Conseil l’étendue des missions d’audit et, le cas échéant, les limitationsqui y sont apportées. Le responsable de l'audit interne signalera également, pour informationet approbation, tout changement ultérieur significatif.

2. Le planning des travaux, les prévisions d’effectifs et le budget financier approuvés, ainsi quetous les changements importants survenus en cours d’exercice, doivent contenir suffisam-ment d’informations pour permettre à la direction générale et au Conseil de déterminer siles objectifs et les plans de l’audit interne correspondent à ceux de l’organisation et du Conseilet sont cohérents avec la charte d’audit interne.

2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil sonplan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement importantsusceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit égalementsignaler l'impact de toute limitation de ses ressources.


137



MPA 2030-1Gestion des ressources

1. Le responsable de l’audit interne s’assure de l’adéquation et de la gestion des ressourcesnécessaires à l’exercice des responsabilités de l’audit interne, telles que définies dans la charte.Cela suppose l’existence d’une réelle communication avec la direction générale et le Conseilsur les besoins et le profil des ressources de l’audit interne. Les ressources de l’audit internepeuvent comprendre des salariés, des prestataires externes, des contributions financières etdes techniques d’audit informatisées. Le responsable de l’audit interne devrait assister la direc-tion générale et le Conseil qui ont la responsabilité ultime de garantir l’adéquation desressources avec les besoins de l’audit interne.

2. Les compétences, le potentiel, ainsi que les connaissances techniques de l’équipe d’auditinterne doivent être appropriées par rapport aux activités programmées. Le responsable del’audit interne réalisera une évaluation ou un recensement périodique des compétencesspécifiques requises pour accomplir les activités de l’audit interne. L’évaluation des compé-tences est fondée sur les besoins identifiés lors de l’évaluation des risques et dans le pland’audit. Cette évaluation porte sur les compétences techniques, linguistiques, de gestion, deprévention et de détection des fraudes, ainsi que les expertises en comptabilité et en audit.

3. Il faut que les ressources de l’audit interne soient suffisantes pour permettre l’accomplisse-ment de ses activités avec toute la justesse, la précision et la ponctualité attendues par ladirection générale et le Conseil, comme prévu dans la charte d’audit interne. Les éléments àprendre en considération lors de la planification des ressources incluent l'univers d'audit, lesniveaux de risques appropriés, le plan annuel d'audit, les attentes en matière de couverture,et une estimation des activités imprévues.

2030 – gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activitésoient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'auditapprouvé.

Interprétation : On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantitéde ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.


MPA

200

0

4. Le responsable de l’audit interne devra s’assurer que les ressources sont efficacementdéployées. Les auditeurs compétents et qualifiés sont ainsi affectés à des missions spécifiques.Cela implique également le développement d’une démarche d’analyse des ressources, d’unestructure adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographiquede l’organisation.

5. Plus généralement, le responsable de l’audit interne prend aussi en considération le plan desuccession, l’évaluation du personnel, les programmes de développement des compétences,ainsi que d’autres sujets de ressources humaines. Le responsable de l’audit interne s’assureque les besoins de ressources de l’audit interne sont correctement pris en compte, et ce,quelles que soient les compétences présentes ou non dans la fonction d’audit interne propre-ment dite. Le responsable de l’audit interne envisage d’autres approches pour combler lesbesoins de ressources, notamment le recours à des prestataires externes de service, à desemployés d’autres départements de l’organisation ou à des consultants spécialisés.

6. En raison du caractère critique des ressources, le responsable de l’audit interne communiquerégulièrement avec la direction générale et le Conseil, sur l’adéquation des ressources néces-saires au fonctionnement de l’audit interne. Le responsable de l’audit interne présente pério-diquement à la direction générale et au Conseil une synthèse précisant le profil etl’adéquation des ressources. A cette fin, le responsable de l’audit interne développe des indi-cateurs appropriés, fixe des buts et objectifs pour contrôler l’adéquation générale des

Il convient de rappeler que le budget d’un service d’audit interne, réalisé en collaboration avec la direction des ressourceshumaines et la direction du contrôle de gestion, se compose de trois éléments :

• un budget d’effectifs, avec un plan de recrutement (pluriannuel) et une prévision de mobilités externes ;• un budget financier, avec des crédits de formation, d’études, d’honoraires, de sous-traitance, de moyens coordonnés

avec les auditeurs externes, des frais de déplacement…;• un budget logistique (outils informatiques, locaux, véhicules…).

Ce budget doit permettre d’optimiser la structure et l’organisation du service d’audit interne en fonction de la couvertured’audit et des contraintes financières.

Commentaire IFACI

Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines del’organisation. Un bon degré de liberté du responsable de l’audit interne lui permet de sélectionner les collaborateurs lesmieux adaptés tout en prenant en considération les exigences de l’organisation telles que les redéploiements decompétences, la grille de rémunérations…

Commentaire IFACI


139



ressources. Il peut s’agir de la comparaison des ressources avec le plan annuel d’audit, de l’im-pact d’une absence temporaire de ressources ou d’une vacance de poste, des formations etapprentissages, de nouveaux besoins ou exigences spécifiques résultant des changementsintervenus dans les activités commerciales, le fonctionnement, les programmes, les systèmeset les contrôles de l’organisation.

MPA

200

0

MPA 2040-1Règles et procédures

1. Le responsable de l’audit interne établit des règles et des procédures. Des manuels adminis-tratifs et techniques peuvent ne pas être nécessaires pour toutes les entités d’audit interne.Un petit service d’audit interne peut être dirigé d’une manière informelle. Son personnel peutêtre dirigé et contrôlé au jour le jour par une supervision étroite et des notes de service quidéfinissent les règles et les procédures à suivre. Par contre, dans un service d’audit interneimportant, il est essentiel de disposer de règles et procédures plus formalisées et complètespour guider les auditeurs dans la réalisation du plan annuel d’audit.

Il est important d’avoir des protocoles ou procédures propres à l’audit interne qui s’inscrivent dans le cadre de conventionsrégissant les rapports entre les sociétés d’un même groupe : par exemple, existence d’un audit groupe et de services d’auditdécentralisés dans les filiales.

Commentaire IFACI

2040 – règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'ac-tivité d'audit interne.

Interprétation : La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est struc-turé l’audit interne et de la complexité de ses travaux.



141



MPA 2050-1Coordination

1. La surveillance des travaux de commissariat aux comptes, y compris la coordination avecl’audit interne, est du ressort du Conseil. La coordination des travaux d’audit interne et externe relève du responsable de l'audit interne.Celui-ci obtient l’appui du Conseil pour coordonner efficacement les travaux d’audit.


Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'auditinterne devrait partager des informations et coordonner les activités avec les autres prestatairesinternes et externes d'assurance et de conseil.


Voici les recommandations du Comité de Bâle dans son document publié en août 2001 sur « L’audit interne dans lesbanques et les relations des autorités de tutelle avec les auditeurs » : « Relations entre les auditeurs internes et les auditeurs externes Principe n° 16 Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de façon à rendre leurcollaboration aussi réelle et efficace que possible. 64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison de leurs activitésd'audit et notamment, de leurs entretiens avec la direction générale et le Conseil d'Administration ou le Comité d'Audit,s’il existe, ainsi que par leurs recommandations pour l'amélioration du contrôle interne. 65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et l'étendue desprocédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes en France) est seul responsablede son opinion sur les états financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès auxrapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention de l'auditeur interne etqui pourrait avoir une incidence sur son travail. De même, l’auditeur externe doit informer l'auditeur interne de toutproblème important qui pourrait le concerner.

Commentaire IFACI

Sur le plan opérationnel, la coordination audit interne/audit externe dans un certain nombre de sociétés cotées reste encoredu ressort du directeur financier. Il est souhaitable que le responsable de l’audit interne, dans le cadre de ses responsabilitéset si son rattachement lui en donne la possibilité, prenne en charge ce processus.

Commentaire IFACI

MPA

200

0

2. Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurancesur des activités comprises dans le périmètre de l’audit interne. Dans ce cas, le responsablede l’audit interne prend les mesures nécessaires pour comprendre le travail réalisé par lesauditeurs externes, notamment : l’étendue, la nature du travail et l’échéancier prévus par les auditeurs externes et s’assurer

que le travail des auditeurs internes et externes répond aux exigences de la Norme2100 ;

l’évaluation des risques et le seuil de matérialité utilisés par les auditeurs externes ; les techniques, les méthodes et la terminologie employées par les auditeurs externes,

afin de permettre au responsable de l’audit interne de (1) coordonner le travail des audi-teurs internes et externes, (2) évaluer le travail des auditeurs externes pour s’y appuyer,(3) communiquer efficacement avec les auditeurs externes.

l’accès aux programmes et aux documents de travail des auditeurs externes pour s’as-surer que leur travail peut être utilisé pour atteindre les objectifs de l’audit interne. Lesauditeurs internes respectent la confidentialité de ces programmes et documents detravail.

Il est donc souhaitable que le responsable de l’audit interne assiste aux réunions d’arbitrage du planning des commissairesaux comptes et aux réunions de restitution des résultats.

Commentaire IFACI

66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi aveccelui des auditeurs externes. La coordination entre les services d'audit nécessite des rencontres périodiques pours'entretenir de questions d'intérêt commun, procéder à l'échange des rapports d'audit et des notes de la direction etconvenir de techniques, méthodes et terminologies communes. »

En France, le comité d’audit peut assumer la surveillance de cette coordination, selon l’IFA « Les Comités d’Audit : 100bonnes pratiques » : « il appartient également au comité d’audit de veiller à ce que l’audit interne et l’audit externecoordonnent leurs efforts et que leur communication soit efficace. ».

Commentaire IFACI


143



3. L’auditeur externe peut se référer aux travaux de l’audit interne. Dans ce cas, il convient quele responsable de l’audit interne fournisse suffisamment d’informations pour permettre à l’au-diteur externe de comprendre les techniques, méthodes et terminologie employées par l’au-dit interne et faciliter la référence à ses travaux. Les auditeurs externes ont accès auxprogrammes et aux documents de travail des auditeurs internes pour s’assurer que leur travailpeut être utilisé pour atteindre les objectifs de l’audit externe.

4. L’utilisation de techniques, méthodes et terminologie similaires par les auditeurs internes etexternes, la coordination effective de leurs travaux et la référence mutuelle aux travauxpeuvent constituer une approche efficiente.

5. Les missions planifiées des auditeurs internes et externes devront être examinées pour s’as-surer que la couverture de l’audit est coordonnée et que la duplication des travaux est mini-misée lorsque cela est possible. Un nombre suffisant de rencontres sont programméespendant le processus d’audit pour assurer la coordination des travaux, l’efficacité et l'achè-vement dans un délai raisonnable des missions, et déterminer si les observations et recom-mandations issues des travaux déjà réalisés nécessitent de modifier le programmed’intervention.

La Compagnie Nationale des Commissaires aux Comptes préconise également cette coordination avec l’audit interne. Selonla norme d’exercice professionnel 610 le commissaire peut utiliser des travaux réalisés par l’audit interne après avoirapprécié des éléments comme :

• la place qu’occupe l’audit interne dans l’organisation de l’entité. Le commissaire aux comptes examine les règles et lesprocédures mises en place dans l’entité pour assurer l’objectivité des auditeurs internes dans la réalisation de leurstravaux et l’émission de leurs conclusions ;

• la nature et l’étendue des travaux confiés à l’audit interne ;• les qualifications professionnelles des auditeurs internes et leur expérience acquise dans ces fonctions ;• l’organisation de l’audit interne en termes de planification, mise en œuvre et supervision des travaux ;• la documentation existante, y compris les programmes de travail et autres procédures écrites ;• la prise en compte par la direction des recommandations formulées par l’audit interne et si elle met en œuvre des

actions pour répondre à ces recommandations.

Commentaire IFACI

Le fait qu’un service d’audit interne dispose d’auditeur interne CIA et/ou DPAI et soit certifié, est un commencement depreuve très fort de professionnalisme. Ce sont des préalables qui permettent ensuite aux commissaires aux comptes de seréférer aux travaux réalisés par l’audit interne.

Commentaire IFACI

MPA

200

0

6. Les rapports définitifs de l'audit interne, les commentaires du management à propos de cesrapports, et les analyses complémentaires qui en découlent sont mis à disposition des audi-teurs externes. Ces rapports aident les auditeurs externes à déterminer et à ajuster l’étendueet la durée de leur travail. De plus, les auditeurs internes ont besoin d’accéder aux supportsde présentation des auditeurs externes et aux documents adressés à la direction. Les pointsabordés dans ces documents sont pris en considération par le responsable de l’audit interneet utilisés comme une donnée permettant d’identifier des domaines sur lesquels il convientde mettre l’accent dans les travaux futurs de l’audit interne. Une fois la lettre de recomman-dation étudiée et la décision d’engager des mesures correctives prise par les personnes appro-priées au niveau de la direction générale et du Conseil, le responsable de l’audit internes’assure de l’existence d’un suivi approprié et de la mise en oeuvre des actions correctives.

7. Le responsable de l’audit interne doit procéder à des évaluations régulières de la coordinationentre les auditeurs internes et externes. De telles évaluations peuvent aussi inclure des appré-ciations sur l’efficacité et l’efficience globale des activités d’audit interne et externe y comprissur leur coût global. Le responsable de l’audit interne communique les résultats de ces évalua-tions, y compris les commentaires pertinents à propos de la performance des auditeursexternes, à la direction générale et au Conseil.

Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu : • de l’article 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : « (…) les commissaires

aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes etrenseignements dont ils ont pu avoir connaissance à raison de leurs fonctions » ;

• des normes d’exercice professionnel ; • du Code de déontologie de la profession de commissaire aux comptes.

Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialité de certaines informationsauxquelles ont accès les auditeurs internes sont susceptibles de constituer des limites à cette coordination.

Commentaire IFACI


145



MPA 2050-2Cartographie des services donnant une assurancesur les dispositifs de contrôle et de management

des risques




L’IFACI a publié en octobre 2008 une Prise de Position sur l’urbanisme du contrôle interne (www.ifaci.com). L’urbanisme ducontrôle interne tel qu’il se pratique en France se caractérise notamment par :

• des activités de contrôle clairement identifiées dans une charte de contrôle interne ; • un rôle de support au contrôle interne exercé de plus en plus par les services fonctionnels ; • le rôle accru des animateurs du contrôle interne des entités ; • une fonction d’audit interne chargée d’évaluer l’ensemble des systèmes de contrôle interne et qui sait se doter d’experts

pour aborder les activités de contrôle les plus techniques.

L’IFACI recommande, entre autres propositions : • « que les administrateurs membres du comité d’audit ou tout autre comité équivalent disposent du temps nécessaire

pour se faire décrire en détail le dispositif de contrôle interne et de maîtrise des risques, faire les observations quis’imposent et en effectuer une surveillance attentive et régulière ; […]

• que la direction générale adopte un discours et une attitude dénués d’ambiguïté sur l’importance qu’elle accorde audispositif du contrôle interne et sur sa volonté d’exiger une attitude semblable de la part de tout le personnel ; […]

• que les rôles respectifs des différents acteurs soient clairement exposés et connus de tous ; […]• que les entités opérationnelles et fonctionnelles désignent un coordinateur ou animateur de contrôle interne, dédié ou

non, assisté d’une équipe ou non en fonction de leur taille, et que cet agent adopte un mode de fonctionnement enréseau pour procéder à tous échanges d’information ou d’expériences utiles ;

• que un ou plusieurs comités de coordination soient créés et animés aux niveaux pertinents à chaque organisation,incluant non seulement les responsables opérationnels et fonctionnels mais également les responsables des activitésde contrôle permanent ou périodique ;

• qu’autant que de besoin, et au moins une fois par an, le directeur de l’audit interne présente de manière formelle, au

Commentaire IFACI

MPA

200

0

146

1. L’une des principales responsabilités du Conseil consiste à s’assurer que les processus fonc-tionnent dans le respect des instructions qu’il a émises pour la réalisation des objectifs préa-lablement définis. Il est nécessaire de déterminer si les processus de management des risquessont efficaces et si les principaux risques ou les risques critiques pour l’entreprise sont ramenésà un niveau acceptable.

2. L’attention croissante portée sur les rôles et les responsabilités de la direction générale et duConseil pousse de nombreuses organisations à mettre davantage l’accent sur les activitésd’assurance. Le glossaire des Normes définit l’assurance comme un « examen objectif d’élé-ments probants, effectué en vue de fournir à l’organisation une évaluation indépendante desprocessus de gouvernement d’entreprise, de management des risques et de contrôle ». LeConseil peut s’appuyer sur de multiples sources pour obtenir une assurance raisonnable. L’as-surance donnée par le management est fondamentale et doit être complétée par une assu-rance objective provenant de l’audit interne et de tiers. Les risk managers, les auditeursinternes et le personnel chargé de la conformité se demandent : « qui fait quoi et pourquoi ? ».Le Conseil, en particulier, commence à se demander qui donne une assurance, quelle est ladélimitation des fonctions et s’il y a des chevauchements.

3. On distingue globalement trois types de prestataires de services d’assurance. Ils se différen-cient par les parties prenantes auxquelles ils s’adressent, par leur degré d’indépendance parrapport aux activités pour lesquelles ils apportent une assurance et par la solidité de cetteassurance : prestataires rendant compte au management et/ou qui en font partie (assurance

donnée par le management), notamment ceux qui effectuent les auto-évaluations descontrôles, les auditeurs qualité, les auditeurs environnementaux et les autres membresdu personnel d’assurance désignés par le management ;

prestataires rendant compte au Conseil, y compris l’audit interne ;


comité exécutif, ses observations sur le fonctionnement du contrôle interne et fasse toute préconisation pour permettreà ce dernier de prendre les décisions aptes à optimiser son efficacité et à assurer ainsi une bonne maîtrise desopérations ;

• qu’une présentation similaire soit faite au comité d’audit afin qu’il soit notamment tenu informé des principauxrésultats des contrôles exercés et des décisions prises pour renforcer les sécurités ;

• que l’audit interne conseille la direction générale sur l’urbanisation du contrôle interne, anime et coordonne sondéploiement et son amélioration permanente ; qu’en revanche il ne soit pas partie prenante de la définition, de la miseen place et du fonctionnement des dispositifs opérationnels de contrôle qu’il sera appelé à auditer. »

Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrôleinterne efficient, est disponible sur le site internet de l’IFACI (www.ifaci.com).

147


prestataires rendant compte à des parties prenantes extérieures (assurance émanantde l’audit externe), rôle traditionnellement dévolu au commissaire aux comptes.

Le niveau d’assurance souhaité et le type de prestataire dépendent du risque.

4. Il existe plusieurs prestataires de services d’assurance : cadres opérationnels et employés (c’est la première ligne de défense vis-à-vis des risques

et des contrôles dont ils sont chargés) ; direction générale ; auditeurs internes ; auditeurs externes ; responsable de la conformité ; responsable qualité ; risk managers ; auditeurs environnementaux ; auditeurs de l’hygiène et de la sécurité au travail ; auditeurs de la performance dans le secteur public ; équipes d’évaluateurs de la communication financière ; sous-comités du Conseil (audit, actuariat, crédit, gouvernance, etc.) ; prestataires externes de services d’assurance, qui effectuent notamment des enquêtes

ou des analyses spécialisées (portant, par exemple, sur l’hygiène et la sécurité).

5. L’audit interne donne habituellement une assurance à l’échelle de toute l’organisation, ycompris sur les processus de management des risques (conception et efficacité opération-nelle), la gestion des risques « majeurs » (en particulier, l’efficacité des contrôles et des autresmodes de gestion de ces risques), la vérification de la fiabilité et de l’adéquation de l’évalua-tion des risques, ainsi que sur le reporting de l’état des risques et des contrôles.

6. La responsabilité des activités d’assurance étant traditionnellement répartie entre le mana-gement, l’audit interne, le risk management et les responsables de la conformité, une coor-dination est essentielle afin de maximiser l’efficience et l’efficacité de l’utilisation desressources. De nombreuses organisations ont mis en place des fonctions classiques (et sépa-rées) d’audit interne, de risk management et de conformité. On trouve souvent plusieurs enti-tés distinctes qui réalisent des activités de management des risques, de conformité oud’assurance et qui opèrent indépendamment les unes des autres. Si la coordination et lacommunication ne sont pas efficaces, des doubles emplois peuvent se produire ou les prin-cipaux risques sont susceptibles d’être négligés ou mal évalués.

7. Si nombre d’organisations exercent un pilotage de l’audit interne, du risque et de la confor-mité, toutes n’ont pas une approche holistique de ces activités. La cartographie des presta-taires de service d’assurance consiste à mettre l’étendue des travaux d’assurance en regard


MPA

200

0

148

des principaux risques qui existent dans une organisation. Grâce à ce processus, une organi-sation peut identifier toute lacune dans le management des risques et y remédier, et lesparties prenantes peuvent raisonnablement penser que les risques sont gérés et signalés, etque les obligations réglementaires et légales sont respectées. Les organisations tireront profitd’une approche rationnalisée, par laquelle le management dispose d’informations sur lesrisques auxquels il est confronté, et sur la façon dont ces risques sont traités. La cartographiedes prestataires de service d’assurance est établie au niveau de toute l’organisation, ce quipermet de comprendre où se situent les fonctions et les responsabilités en termes de risqueet d’assurance. Il s’agit de mettre en place un processus détaillé relatif au risque et à sa gestion,sans doubles emplois ni lacunes potentielles.

8. Bien souvent, l’organisation a défini les catégories de risques majeurs qui constituent soncadre de référence de management des risques. Dans ce cas, la cartographie des prestatairesde service d’assurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple,comporter les informations suivantes : catégorie de risque majeur ; manager responsable de ce risque (propriétaire du risque) ; niveau du risque inhérent ; niveau du risque résiduel ; travaux d’audit externe ; travaux d’audit interne ; travaux des autres prestataires de services d’assurance.

Par exemple, le responsable de l’audit interne pourra préciser l’étendue des travaux récentsau niveau du volet « Travaux d’audit interne ». Il est fréquent que chaque risque majeur soitaffecté à un « propriétaire » ou à une personne ayant pour tâche de coordonner les activitésd’assurance pour ce risque. C’est cette personne qui fournira les éléments pour le volet «Travaux des autres prestataires de services d’assurance ». Dans d’autres cas, la coordination est effectuée par l’audit interne, qui conçoit et établit pourl’organisation la cartographie des services donnant une assurance.Chaque unité importante au sein d’une organisation peut disposer de sa propre cartographiedes prestataires d’assurance.

9. Dès lors que cette cartographie a été réalisée, il est possible d’identifier les risques majeursqui ne sont pas correctement couverts par les services d’assurance ou les domaines danslesquels ces services sont délivrés en double. La direction générale et le Conseil doivent alorsréfléchir aux changements à apporter à l’étendue des travaux d’assurance relatifs à ces risques.De son côté, lors de l’élaboration de son plan, l’audit interne doit prendre en compte lesdomaines ayant une couverture inadéquate.


149


10. Il appartient au responsable de l’audit interne de comprendre les besoins du Conseil et del’organisation en ce qui concerne une assurance indépendante, afin de définir clairement lerôle de l’audit interne et le degré d’assurance que ce dernier apporte. Le Conseil doit êtrecertain que le processus d’assurance global est adéquat et suffisamment robuste pour confir-mer que les risques de l’organisation sont bien gérés et signalés.

11. Pour chaque catégorie de risque, le Conseil doit recevoir des informations à la fois sur les acti-vités d’assurance mises en œuvre et sur celles qui sont planifiées. L’audit interne et les autresprestataires de service d’assurance donnent au Conseil, pour chaque catégorie concernée,le degré d’assurance approprié à la nature et aux niveaux de risque présents dans l’organisa-tion.

12. Dans les organisations où le responsable de l’audit interne est tenu de formuler une opinionglobale, il lui faut bien comprendre la nature, le périmètre et l’étendue de la cartographieintégrée des services d’assurance, afin de tenir compte des travaux des autres prestataires deservice d’assurance (et de les utiliser, le cas échéant) avant de présenter un avis d’ensemblesur les processus de gouvernement d’entreprise, de management des risques et de contrôlede l’organisation. Le guide pratique de l’IIA intitulé « Formuler et exprimer une opinion d’auditinterne » contient des recommandations supplémentaires à ce sujet.

13. Dans les cas où l’organisation n’attend pas de lui une opinion globale, le responsable de l’auditinterne peut coordonner les activités des prestataires de service d’assurance, afin qu’il n’y aitpas de lacunes dans ces activités ou que les éventuelles lacunes soient connues et acceptées.Le responsable de l’audit interne signale toute absence de contribution/participation/super-vision/d’assurance à l’égard des travaux des autres prestataires de service d’assurance. S’ilestime que l’étendue des activités d’assurance est inadéquate ou inefficace, il doit en aviserla direction générale et le Conseil.

14. Conformément à la Norme 2050, le responsable de l’audit interne doit coordonner les acti-vités avec les autres prestataires d’assurance ; l’utilisation d’une cartographie des servicesd’assurance contribue à la réalisation de cet objectif. Ces cartographies se révèlent, de plusen plus, comme un moyen efficace de rendre compte de cette coordination.


MPA

200

0


MPA 2050-3S’appuyer sur les travaux d’autres prestataires

de services d’assurance

1. Pour fournir au Conseil une assurance concernant la gouvernance, le management desrisques et le contrôle interne, l’auditeur interne peut s’appuyer sur les travaux d’autres pres-tataires internes ou externes de services d’assurance ou utiliser leurs travaux. Les prestationsinternes d’assurance peuvent, par exemple, être réalisées par les services chargés de la confor-mité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, oupar la surveillance permanente des activités exercée par le management. Les prestatairesexternes d’assurance sont, par exemple, les auditeurs externes, les experts, les cabinets d’auditou de conseil, notamment ceux qui établissent les rapports conformément à la norme Inter-nationale ISAE 3402 (Assurance Reports on Controls at a Service Organization).

2. Diverses raisons peuvent conduire à s’appuyer sur les travaux d’autres prestataires d’assurance.Il peut s’agir, notamment, de traiter les domaines qui sortent du champ de compétence duservice d’audit interne, de bénéficier d’un transfert de connaissances ou d’étendre de façonefficiente la couverture des risques au-delà du plan d’audit interne.

3. La charte d’audit interne et/ou la lettre de mission devraient préciser que l’audit interne aaccès aux travaux des autres prestataires internes et externes d’assurance.

4. Lorsque l’auditeur interne fait appel à des prestataires d’assurance, il devrait détailler dans uncontrat ou un accord écrit ses attentes. Il convient au minimum de préciser : la nature et la propriété des livrables ; les méthodes et techniques ;




Dans cette MPA, le rôle dévolu à « l’auditeur interne » relève du « responsable de l’audit interne ».

Commentaire IFACI

151


la nature des procédures et des données ou des informations à utiliser ; les rapports d’étape et les modalités de supervision qui permettent de s’assurer que les

travaux sont adéquats ; les exigences de reporting.

5. Si le management conclut et pilote un contrat avec un prestataire d’assurance tiers, l’auditeurinterne devra s’assurer que les éléments de cadrage de la mission sont appropriés, compriset appliqués.

6. L’auditeur interne devra prendre en compte le degré d’indépendance et d’objectivité de toutautre prestataire d’assurance lorsqu’il envisage de s’appuyer sur ses travaux ou de les utiliser.Dans le cas où c’est le management, plutôt que le service d’audit interne, qui engage et/ousupervise directement un prestataire d’assurance, il convient d’évaluer l’impact de cette situa-tion sur l’indépendance et l’objectivité dudit prestataire.

7. L’auditeur interne évalue les compétences et les qualifications du prestataire d’assurance. Ilpourra, par exemple, vérifier que ce dernier possède les qualifications et l’expérience profes-sionnelle requises, qu’il est bien inscrit à des instituts ou à des organismes professionnelsappropriés et qu’il est réputé pour sa compétence et son intégrité dans le secteur.

8. L’auditeur interne examine les pratiques du prestataire d’assurance afin d’obtenir une assu-rance raisonnable que les constats de ce dernier reposent sur des informations suffisantes,fiables, pertinentes et utiles, comme l’exige la Norme 2310 : Identification des informations.Le responsable de l’audit interne doit respecter la Norme 2310, indépendamment du niveaud’utilisation des travaux d’autres prestataires d’assurance.

9. L’auditeur interne s’assure que la planification, la supervision, la documentation et la révisiondes travaux de tout autre prestataire d’assurance sont correctement effectués. Il examine lecaractère adéquat et suffisant des preuves d’audit pour déterminer s’il peut utiliser ces travauxet s’y fier. En fonction des résultats de cette évaluation, il se peut que des travaux supplé-mentaires ou des tests soient nécessaires pour obtenir des preuves d’audit adéquates et suffi-santes. Sur la base de sa connaissance de l’organisation, de l’environnement, des techniqueset des informations utilisées par le prestataire, l’auditeur interne jugera si, en définitive, lesconstats de ce dernier paraissent crédibles.

10. Le niveau de confiance accordé à un autre prestataire d’assurance dépendra des facteursmentionnés ci-dessus : indépendance, objectivité, compétences, pratiques, pertinence destravaux d’audit et caractère suffisant des preuves d’audit à l’appui du niveau d’assuranceapporté. Plus le risque ou l’importance de l’activité examinée par un autre prestataire d’assu-rance augmente, plus l’auditeur interne devrait rassembler des informations sur ces facteurs.Il peut alors avoir besoin de constituer des preuves d’audit supplémentaires pour compléter


MPA

200

0

152

les travaux effectués. L’audit interne peut tester les résultats des autres prestataires d’assuranceafin de renforcer le niveau de confiance accordé à ces résultats.

11. L’auditeur interne devrait intégrer les résultats du prestataire de services d’assurance dans lerapport global d’audit que l’auditeur interne doit communiquer au Conseil et aux autres prin-cipales parties prenantes. Les problèmes significatifs soulevés par les autres prestataires d’as-surance peuvent être intégrés in extenso ou de manière résumée dans les rapports d’auditinterne. Lorsque ses rapports s’appuient sur les informations données par d’autres prestatairesd’assurance, l’auditeur interne le précise.

12. Le suivi des actions de progrès est un processus par lequel les auditeurs internes évaluentl’adéquation, l’efficacité et la réalisation, en temps opportun, des mesures prises par le mana-gement pour faire suite aux observations et aux recommandations, y compris à celles formu-lées par les autres prestataires d’assurance. Lors de l’examen des mesures prises pour fairesuite aux recommandations, l’auditeur interne devra déterminer si le management les a misen œuvre ou s’il a accepté de prendre le risque de ne pas les suivre.

13. Les constats significatifs des autres prestataires d’assurance devront être pris en compte dansles missions et les communications de l’audit interne. En outre, les résultats des travaux desautres prestataires peuvent avoir une incidence sur l’évaluation des risques effectuée par l’au-dit interne et, le cas échéant, modifier l’appréciation du risque et la nature des travaux d’auditnécessaires en réponse à ce risque.

14. Pour évaluer l’efficacité des processus de management des risques et contribuer à leuramélioration (Norme 2120 : Management des risques), l’audit interne peut examiner lesprocessus des prestataires internes d’assurance, notamment au niveau de la conformité, dela sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou encoreau niveau de la surveillance permanente des activités exercée par le management. Il convientque l’audit interne couvre les domaines à risque, mais lorsqu’une assurance est fournie parun autre service, l’audit interne peut se limiter à vérifier les résultats de ce processus au lieude refaire le travail déjà effectué.

15. Concernant les risques significatifs, les évaluations des autres prestataires d’assurance doiventêtre communiquées aux services concernés, pour être prises en compte dans le managementdes risques de l’organisation et dans la cartographie des services donnant une assurance surles dispositifs de contrôle interne et de management des risques (cf. MPA 2050-2 : Cartogra-phie des services donnant une assurance sur les dispositifs de contrôle et de managementdes risques).


153



MPA 2060-1Rapports à la direction générale et au Conseil

1. Les rapports ont pour finalité d’apporter une assurance à la direction générale et au Conseilen ce qui concerne les processus de gouvernement d’entreprise (Norme 2110), de manage-ment des risques (Norme 2120) et de contrôle (Norme 2130). La Norme 1111 indique : « Leresponsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil ».

2. Le responsable de l’audit interne devra s’accorder avec le Conseil sur la fréquence et la naturedes rapports concernant l’application de la charte d’audit interne (missions, pouvoirs etresponsabilités, notamment) et le degré de réalisation du plan d’audit. Les rapports portantsur le degré de réalisation du plan d’audit devraient se référer à la dernière version du planapprouvé, afin d’informer la direction générale et le Conseil sur : les écarts significatifs par rapport au plan d’audit, aux prévisions de dotation en person-

nel et aux budgets financiers approuvés ; les raisons de ces écarts ; et les mesures prises ou à prendre.

La Norme 1320 indique : « Le responsable de l’audit interne doit communiquer les résultatsdu programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’auConseil ».

2060 – rapports à la direction générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale etau Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degréde réalisation du plan d’audit. Il doit plus particulièrement rendre compte :

de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôlescorrespondants ;

des sujets relatifs au gouvernement d’entreprise et ; de tout autre problème répondant à un besoin ou à une demande de la direction géné-

rale ou du Conseil.

Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la directiongénérale et le Conseil et dépendent de l’importance des informations à communiquer et de l’ur-gence des actions correctives devant être entreprises par la direction générale et le Conseil.


MPA

200

0

3. L’exposition aux risques significatifs et les problématiques de contrôle interne sont les situa-tions qui, selon le jugement du responsable de l’audit interne, pourraient affecter de façondéfavorable l’organisation et sa capacité à atteindre ses objectifs (stratégiques, relatifs à l’in-formation financière, opérationnels et de conformité). Des enjeux importants peuvent induireune exposition inacceptable à des risques internes et externes, notamment les situationsliées à des faiblesses de contrôle, à une fraude, à des irrégularités, à des actes illégaux, à deserreurs, à l’inefficience, au gaspillage, à l’inefficacité, à des conflits d’intérêts ou à la viabilitéfinancière.

4. C’est à la direction générale et au Conseil qu’il revient de décider des mesures appropriées àprendre face à des problèmes importants. Ils peuvent décider, pour des raisons de coût oupour d’autres raisons, de prendre le risque de ne pas remédier à la situation dont il leur a étérendu compte. La direction générale devrait informer le Conseil des décisions portant surtous les enjeux importants soulevés par l’audit interne.

5. Lorsque le responsable de l’audit interne estime que la direction générale a accepté un niveaude risque considéré inacceptable par l’organisation, il doit en discuter avec la direction géné-rale, conformément à la Norme 2600. Le responsable de l’audit interne doit comprendre cequi motive la décision de la direction générale, identifier la cause de tout désaccord et déter-miner si la direction générale a été mandatée pour accepter ce risque. Les désaccordspeuvent concerner la probabilité du risque et l’exposition potentielle, la compréhension del’appétence pour le risque, le coût ou le niveau de contrôle. Le responsable de l’audit internerèglera de préférence le désaccord avec la direction générale.

6. Si le responsable de l’audit interne et la direction générale ne parviennent pas à s’entendre,la Norme 2600 impose au responsable de l’audit interne d‘en informer le Conseil. Dans lamesure du possible, le responsable de l’audit interne et la direction générale présenterontconjointement leurs divergences. S’il s’agit de problèmes d’information financière, les respon-sables de l’audit interne envisageront d’en discuter en temps opportun avec les auditeursexternes.


mPA SÉrIE 2100NAturE Du trAVAIl



MPA

210

0

157


MPA 2110-1Gouvernement d’entreprise : Définition

1. Le rôle de l’audit interne tel qu’énoncé dans la Définition de l’audit interne inclut, dans lecadre de sa fonction d’assurance, la responsabilité d'évaluer et d’améliorer les processus degouvernement d’entreprise.

2. Le terme gouvernement d’entreprise correspond à un large éventail de définitions selon lescontextes structurels et culturels, ainsi que les cadres légaux. Les Normes internationales pourla pratique professionnelle de l’audit interne (Normes) définissent le gouvernement d’entreprisecomme : « le dispositif comprenant les processus et les structures mis en place par le Conseil afind'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objec-tifs. » Le responsable de l’audit interne peut utiliser une définition différente aux fins de l'auditlorsque l'organisation a adopté un référentiel ou un modèle de gouvernement d’entreprisedifférent.

3. A travers le monde, divers modèles de gouvernement d'entreprise existent et ont été publiéspar d'autres organisations, des législateurs et des régulateurs. Par exemple, l’Organisation deCoopération et de Développement Economiques (OCDE) définit le gouvernement d’entre-prise comme « […] un ensemble de relations entre la direction d’une entreprise, son conseil d’ad-ministration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure parlaquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurerune surveillance des résultats obtenus ». L’Australian Securities Exchange Corporate Governance


2110 – gouvernement d’entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recom-mandations appropriées en vue de son amélioration. À cet effet, il détermine si le processusrépond aux objectifs suivants :

promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation

de rendre compte ; communiquer aux services concernés de l'organisation les informations relatives aux

risques et aux contrôles ; fournir une information adéquate au Conseil, aux auditeurs internes et externes et au

management, et assurer une coordination de leurs activités.


MPA

210

0

158

Council (le Conseil sur le gouvernement d’entreprise de la Bourse australienne) le définitcomme « […] le système par lequel les entreprises sont dirigées et contrôlées. Il influence la manièredont les objectifs de l’entreprise sont déterminés et atteints, le risque est suivi et évalué et la perfor-mance est optimisée ». Dans la plupart des cas, le gouvernement d’entreprise est désignécomme un processus ou un système et non pas un concept statique. L'approche présentéedans les Normes se distingue par l'accent spécifique mis sur le conseil et ses activités degouvernement d’entreprise.

4. Les référentiels et les exigences pour le gouvernement d’entreprise varient selon les juridic-tions réglementaires et le type d’organisation : entreprises cotées, organisations à but nonlucratif, associations, entités publiques ou parapubliques, organismes d’enseignement, entre-prises privées, sociétés de courtage et bourses.

5. La manière, dont une organisation conçoit et met en pratique les principes d’un gouverne-ment d’entreprise efficace, varie également selon la taille, la complexité, la maturité de l’or-ganisation, la structure de ses parties prenantes, les exigences légales et culturelles etc.

6. Les différences de conception et de structure de gouvernement d’entreprise impliquent quele responsable de l’audit interne détermine avec le Conseil et la direction générale la définitiondu processus de gouvernement d’entreprise à retenir dans le cadre de l’audit interne.


Pour aller plus loin, l’IFACI et l’IFA ont pris une position1 commune sur le rôle de l’audit dans le gouvernement d’entrepriseet ont relevé les points communs entre les différentes définitions du gouvernement d’entreprise : « Ces cadres conceptuelsont en commun :

• de proposer une définition de la gouvernance qui s’applique tant à la relation entre actionnaires, conseil etdirection générale qu’aux relations de l’entreprise avec d’autres « parties prenantes » ;

• d’être d’application volontaire : ce sont des recommandations que l‘entreprise choisit d’appliquer volontairementou, dans le cas des auditeurs externes, qui relèvent d’une adhésion volontaire à un code professionnel ;

• d’être internationaux, sans référence précise à un cadre légal national ; ils sont donc très généraux dans laformulation de leurs recommandations ;

• mais ils lient clairement les objectifs stratégiques de l’entreprise, la conduite des affaires au jour le jour, le contrôleinterne, la gestion des risques et la conformité aux lois et règlements en vigueur. »

Commentaire IFACI

Le responsable de l’audit interne devra valider avec les organes de gouvernance le périmètre du gouvernement d’entrepriseque l’audit interne devra couvrir et les responsabilités du service d’audit interne à cet égard.

Commentaire IFACI

1 Le rôle de l’audit interne dans le gouvernement d’entreprise, IFA/IFACI, mai 2009

159


7. L’audit interne fait partie intégrante du cadre de gouvernement d'entreprise de l'organisation.Leur position unique au sein de l'organisation permet aux auditeurs internes d'observer etd'évaluer de façon formelle la structure de gouvernement d'entreprise, sa conception et sonefficacité opérationnelle tout en restant indépendants.

8. La relation entre gouvernement d’entreprise, risques et contrôle interne est un sujet à prendreen compte et il est traité par la MPA 2110-2. La MPA 2110-3 aborde l’évaluation du processusde gouvernement d’entreprise.


MPA

210

0


MPA 2110-2Gouvernement d’entreprise :

Relations avec les risques et le contrôle interne

1. Les Normes internationales pour la pratique professionnelle de l’audit interne définissent legouvernement d’entreprise comme « le dispositif comprenant les processus et les structures misen place par le Conseil afin d'informer, de diriger, de gérer et de piloter les activités de l'organisationen vue de réaliser ses objectifs ».

2. Le processus de gouvernement d’entreprise n’existe pas comme un ensemble de processuset de structures distincts et séparés. Au contraire, il y a des relations entre gouvernementd’entreprise, risques et contrôle interne.

3. Un gouvernement d’entreprise efficace tient compte du risque lors de la détermination dela stratégie. A l’inverse, le management des risques s’appuie sur un gouvernement d’entrepriseefficace (comme le principe d’exemplarité de la direction « tone at the top », l'appétence pourle risque et la tolérance face au risque, la culture du risque et la surveillance de la gestion desrisques).

4. Un gouvernement d'entreprise efficace s’appuie sur le contrôle interne et sur la communi-cation de l’efficacité des dispositifs de contrôle interne au Conseil.








161


5. Contrôle et risque sont également reliés puisque le contrôle se définit comme « toute mesureprise par la direction générale, le conseil et d'autres parties afin de gérer les risques et d'accroître laprobabilité que les buts fixés seront atteints ».

6. Le responsable de l’audit interne tient compte de ces relations dans la planification desévaluations des processus de gouvernement d’entreprise : une mission d’audit portera sur les contrôles conçus dans les processus de gouverne-

ment d’entreprise pour prévenir ou détecter les événements qui pourraient avoir unimpact négatif sur la réalisation des stratégies, les buts et objectifs de l’organisation,l’efficacité et l’efficience opérationnelles, les informations financières ou la conformitéavec les lois et réglementations en vigueur (cf. MPA 2110-3) ;

les contrôles au sein des processus de gouvernement d’entreprise sont souvent impor-tants pour le management de différents risques à travers l’organisation. Par exemple,on peut s’appuyer sur les contrôles concernant le code de conduite pour gérer lesrisques de conformité et de fraude etc. Cet effet cumulatif devrait être pris en considé-ration lors de la définition du périmètre d'un audit des processus de gouvernementd'entreprise ;

si d’autres missions d’audit évaluent les contrôles dans les processus de gouvernementd’entreprise (par exemple, les contrôles relatifs à l’information financière, les processusde management des risques ou la conformité), l’auditeur interne devrait s’appuyer surles résultats de ces audits.


En France, l’AMF a publié un nouveau cadre de référence (juillet 2010) relatifs aux dispositifs de gestion des risques et decontrôle interne.

Commentaire IFACI

MPA

210

0


MPA 2110-3Gouvernement d’entreprise : Evaluations

1. Les auditeurs internes peuvent agir à divers titres pour évaluer et contribuer à l’améliorationdes pratiques de gouvernement d'entreprise. En règle générale, les auditeurs internes four-nissent des évaluations indépendantes et objectives de la conception et de l’efficacité opéra-tionnelle des processus de gouvernement d’entreprise de l’organisation. Ils peuventégalement fournir des services de conseil et des avis sur les pistes d’amélioration de cesprocessus. Dans certains cas, les auditeurs internes peuvent être appelés pour aider le Conseilà auto-évaluer ses pratiques de gouvernement d'entreprise.








Dans la prise de position IFA/IFACI (publiée en mai 2009), Le périmètre étendu du champ d’intervention de l’audit interneest abordé dans le paragraphe 5 et « L’IFA et l’IFACI recommandent :

• que l’audit interne évalue l’ensemble des processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ;• que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des compétences du conseil des

filiales et de leurs différents comités ; • que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement et la performance du

conseil de la maison mère et de ses comités du fait de l’existence d’une situation de conflit d’intérêt. »

Commentaire IFACI

163


2. Comme indiqué dans la MPA 2110-1 « Gouvernement d’entreprise : Définition », la définitiondu processus de gouvernement d’entreprise dans le cadre de l'audit devrait faire l'objet d'unaccord avec le Conseil et la direction générale. De plus, l’auditeur interne comprend lesprocessus de gouvernement d’entreprise de l’organisation et les relations entre gouverne-ment d’entreprise, les risques et le contrôle interne1.

3. Le plan d’audit est élaboré sur la base d’une évaluation des risques de l’organisation. Tous lesprocessus de gouvernement d’entreprise sont à prendre en compte dans cette évaluationdes risques. Le plan d’audit devrait comprendre les processus de gouvernement d’entrepriseà risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil oula direction générale a requis un travail. Le plan définit la nature du travail à réaliser, les proces-sus de gouvernement d’entreprise à traiter et la nature des évaluations qui seront à mener.Les évaluations peuvent être menées au niveau : macro, en considérant l’ensemble du cadre de gouvernement d’entreprise de l’organi-

sation, ou micro, en focalisant sur des risques, processus ou activités spécifiques, ou une combinaison des deux.

4. Lorsqu’il existe des problèmes de contrôle connus ou lorsque le processus de gouvernementd’entreprise n’est pas mature, le responsable de l’audit interne peut améliorer les processusde gouvernement d’entreprise ou de contrôle interne en envisageant différentes méthodes.Il peut intervenir à travers des activités de conseil réalisées en lieu et place d’évaluationsformelles ou en complément de celles-ci.

5. Les évaluations d’audit interne concernant les processus de gouvernement d’entreprise sefondent sur des informations obtenues à partir des nombreuses missions d’audit réalisées aufil du temps. L’auditeur interne tient compte : des résultats des audits de processus de gouvernement d’entreprise spécifiques (par

exemple, le dispositif d'alerte professionnelle ou « whistleblowing », le processus degestion stratégique) ;

des problèmes de gouvernement d’entreprise issus des audits qui ne sont pas spécifi-quement centrés sur le gouvernement d’entreprise (par exemple, les audits du proces-sus de gestion des risques, du contrôle interne sur les informations financières, desrisques de fraude) ;

des résultats des travaux d'autres prestataires internes et externes de services d'assu-rance (par exemple, un cabinet engagé par le directeur juridique pour examiner leprocessus d’investigation)2 ;


1 MPA 2110-2, Gouvernement d’entreprise : Relations avec les risques et le contrôle interne2 Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrôle et de management

des risques

MPA

210

0

164

d’autres informations sur les questions de gouvernement d’entreprise comme les inci-dents indiquant une opportunité d’améliorer les processus de gouvernement d’entre-prise.

6. Pendant les phases de planification, d’évaluation et de rapport, l’auditeur interne devra êtresensible à la nature et aux ramifications potentielles des résultats et s'assurer que les commu-nications avec le Conseil et la direction générale sont appropriées. L’auditeur interne pourraenvisager de consulter un conseil juridique avant le démarrage de l’audit et avant la finalisa-tion du rapport.

7. L’activité d’audit interne est une partie essentielle du processus de gouvernement d'entre-prise. Pour s’assurer de son efficacité, le Conseil et la direction générale devront être en mesurede s’appuyer sur le programme d'assurance et d'amélioration qualité de l'activité d'auditinterne y compris les évaluations externes réalisées conformément aux Normes internatio-nales pour la pratique professionnelle de l’audit interne.


En France, les auditeurs internes sont invités à consulter avec intérêt le site de la CNIL (www.cnil.fr) et notamment ledocument d’orientation adopté le 10 novembre 2005 pour la mise en œuvre de dispositifs d’alerte professionnelleconformes à la loi du 6 janvier 1978 modifié en août 2004, relative à l’informatique, aux fichiers et aux libertés.

Commentaire IFACI

165


MPA 2120-1Évaluer la pertinence des processus

de management des risques



L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuerà leur amélioration.

Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internesdoivent s’assurer que :

• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ;• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-

pétence pour le risque de l’organisation ;• les informations relatives aux risques sont recensées et communiquées en temps opportun

au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseild’exercer leurs responsabilités.



La MPA souligne avec raison la nécessité impérieuse de tests d'audit pour apprécier l'efficacité du management des risques.Le Global Technology Audit Guide n°3 relatif à l'audit continu fournit des méthodes pour concevoir ces tests d'audit.

Pour apprécier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutôt que de faireconfiance à des théories, surtout si elles sont basées sur des hypothèses simplificatrices. De même, il faut bien envisager lamaîtrise des risques au-delà de la simple conformité.

Commentaire IFACI

MPA

210

0

166

1. La gestion des risques est une responsabilité majeure de la direction générale et du Conseil.Pour atteindre ses objectifs, le management s’assure de la mise en place et du bon fonction-nement de processus rigoureux de management des risques. Il incombe aux Conseils de veil-ler à ce que des processus de management des risques appropriés, suffisants et efficacessoient en œuvre. A cet effet, ils peuvent demander à l’audit interne de les assister en exami-nant et évaluant les processus de management des risques mis en œuvre, en vérifiant qu’ilssont suffisants et efficaces, puis en émettant des rapports et des recommandations en vuede leur amélioration.

2. Le management et le Conseil sont responsables des processus de management des risqueset de contrôle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadred’une mission de conseil, aider l’organisation à identifier, à évaluer et à mettre en place desméthodes de management des risques et des contrôles permettant de maîtriser ces risques.

3. Dans l’hypothèse où l’organisation n’a pas mis en place de processus de management desrisques, le responsable de l’audit interne examine formellement avec la direction générale etle comité d’audit : leurs responsabilités en matière de compréhension, de gestion et de surveillance des

risques dans l'organisation ; leur besoin d’informations sur le caractère opérationnel des processus (y compris les

processus informels) qui donnent une visibilité appropriée des risques majeurs, de leurgestion et de leur surveillance.

4. Le responsable de l'audit interne recueille les attentes de la direction générale et du Conseilen ce qui concerne le rôle de l’audit interne dans le processus de management des risquesde l’organisation. Ce rôle est précisé dans la charte d’audit interne ainsi que dans la chartedu Conseil. Les responsabilités de l’audit interne doivent être coordonnées avec tous lesgroupes ou les personnes qui interviennent dans le processus de management des risquesde l’organisation. Le rôle de l’audit interne dans le processus de management des risquesd’une organisation peut évoluer dans le temps et revêtir les formes suivantes : aucune intervention ; audit du processus de management des risques dans le cadre du programme d’audit

interne ; soutien actif et continu, et participation au processus de management des risques,

notamment dans le cadre de comités de surveillance, d’activités de suivi et de rapportsofficiels ;

gestion et coordination du processus de management des risques.

5. En définitive, il incombe à la direction générale et au Conseil de déterminer le rôle de l’auditinterne dans le processus de management des risques. Leur vision dans ce domaine dépen-dra de facteurs tels que la culture de l’organisation, la compétence de l’équipe d’audit interne,


167


les us et coutumes du pays. Cependant, la responsabilité dans le processus de gestion desrisques, son impact potentiel sur l'indépendance de l'audit interne nécessitent une discussionapprofondie et une approbation de la part du Conseil.

6. Les techniques utilisées par les organisations en matière de management des risques peuventêtre très différentes. Selon l’importance et la complexité des activités, les processus de mana-gement des risques peuvent être : formalisés ou informels ; fondés sur une approche quantitative ou subjective ; intégrés dans les différentes unités de l’organisation ou centralisés au niveau du siège.

7. Chaque organisation conçoit des processus adaptés à sa culture, à son style de managementet à ses objectifs. A titre d’exemple, le recours à des instruments dérivés ou à d’autres instru-ments financiers sophistiqués, pourra nécessiter la mise en œuvre d’outils quantitatifs demanagement des risques. Les organisations moins complexes et de taille plus modeste pour-ront, en revanche, analyser le profil de risque de l’organisation et prendre périodiquementdes mesures dans le cadre d’un comité des risques informel. L’auditeur interne s’assure quela méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités del’organisation.

8. Afin de se forger une opinion sur l’adéquation des processus de management des risques,les auditeurs internes devront disposer d’éléments suffisamment probants et appropriés pouravoir l’assurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillirces éléments, l’auditeur interne peut recourir aux procédures d’audit décrites ci-après : rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évo-

lution récente et les tendances, ainsi que toute autre source d’information appropriée,afin de déterminer les risques susceptibles d’affecter l’organisation et les procéduresde contrôle utilisées pour gérer, suivre et réévaluer ces risques ;

examiner les règles de l’entreprise ainsi que les procès-verbaux des délibérations duConseil et du comité d’audit afin de déterminer les stratégies de l’organisation, sonapproche du management des risques, son appétence pour le risque et son accepta-tion des risques ;

examiner les rapports d’évaluation des risques précédemment établis par le manage-ment, les auditeurs internes ou externes et par tout autre intervenant ;

organiser des entretiens avec l’encadrement opérationnel et leur direction afin de déter-miner les objectifs de chaque branche d’activité, les risques correspondants, et lesmesures de suivi, de contrôle et d’atténuation des risques prises par le management ;

recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du proces-sus de suivi, de communication et d’atténuation des risques, et des activités de contrôlecorrespondantes ;


MPA

210

0

168

déterminer si les informations ou rapports relatifs au suivi des risques sont adressés auniveau hiérarchique approprié ;

vérifier si les rapports concernant les résultats du management des risques sont diffusésselon des modalités et dans des délais appropriés ;

s’assurer du caractère exhaustif de l’analyse des risques effectuée par le managementet des mesures prises pour résoudre les points soulevés dans le cadre du processus demanagement des risques, et proposer des améliorations ;

apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management,au moyen d’observations et de tests sur les procédures de suivi et de contrôle testantl’exactitude des informations utilisées dans le cadre des opérations de suivi, et par d’au-tres techniques appropriées ;

examiner les signes de faiblesse éventuels du dispositif de management des risqueset, le cas échéant, les analyser avec la direction générale et le Conseil. S’il estime que lemanagement a accepté un niveau de risques non compatible avec la stratégie et lesprocédures de l’organisation en matière de management des risques, ou jugé inaccep-table pour l’organisation, l’auditeur se réfèrera à la Norme 2600 relative à l’acceptationdes risques par le management et aux lignes directives correspondantes pour des orien-tations complémentaires.


169



MPA 2120-2Gestion du risque lié à l’activité d’audit interne

1. Le rôle et l’importance de l’audit interne augmentent considérablement et les attentes desprincipales parties prenantes (Conseil et direction générale, notamment) ne cessent, ellesaussi, de croître. L’audit interne dispose d’un large mandat qui couvre les aspects financierset opérationnels, les technologies de l’information, la conformité/la réglementation ainsi queles risques stratégiques. Dans le même temps, nombre de services d’audit interne sontconfrontés au manque de personnel qualifié sur le marché international du travail, à la haussedes rémunérations et à une forte demande de ressources spécialisées (dans les systèmes d’in-formation, sur les problèmes de fraude, les instruments financiers dérivés ou la fiscalité, parexemple). La conjonction de ces facteurs engendre un niveau élevé de risque pour l’auditinterne. C’est pourquoi les responsables de cette fonction doivent évaluer les risques liés àleurs activités et qui sont susceptibles de compromettre la réalisation de leurs objectifs.


L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuerà leur amélioration.

Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internesdoivent s’assurer que :

• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ;• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-

pétence pour le risque de l’organisation ;• les informations relatives aux risques sont recensées et communiquées en temps opportun

au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseild’exercer leurs responsabilités.



MPA

210

0

170

2. L’audit interne lui-même n’est pas à l’abri ; il doit prendre les mesures nécessaires pour gérerses propres risques.

3. On peut classer ces risques dans trois grandes catégories : risque d’échec de l’audit, risquede donner une fausse assurance et risque d’atteinte à la réputation. L’analyse ci-aprèsmet en lumière leurs principales caractéristiques et présente quelques-unes des dispositionsqu’un service d’audit interne peut envisager de mettre en œuvre pour mieux gérer cesrisques.

4. Toute organisation peut être victime de défaillances. Lorsque les contrôles sont déficients ouqu’une fraude est commise, la question : « Mais où étaient les auditeurs internes ? », estsouvent posée. L’audit interne peut être impliqué dans ces défaillances pour les raisonssuivantes : les Normes internationales pour la pratique professionnelle de l’audit interne ne sont pas

respectées ; le programme d’assurance et d’amélioration qualité (Norme 1300) est inadéquat, en

particulier les procédures de supervision de l’indépendance et de l’objectivité des audi-teurs ;

il n’y a pas de processus efficace pour la définition des domaines clés de l’audit lors del’évaluation des risques stratégiques, ainsi que des domaines à haut risque lors dechaque mission, ce qui empêche les auditeurs internes de réaliser les audits nécessaireset/ou leur fait perdre du temps sur des audits inappropriés ;

il n’y a pas de procédures d’audit interne efficaces pour l’évaluation des risques « réels» et des contrôles appropriés ;

il n’y a pas d’évaluation de l’adéquation et de l’efficacité des contrôles dans le cadre desprocédures d’audit interne ;

l’équipe d’audit interne ne dispose pas des compétences appropriées, fondées sur l’ex-périence ou la connaissance des zones à haut risque ;

l’exercice d’un scepticisme professionnel insuffisant et l’absence de renforcement desprocédures d’audit interne à la suite de constats ou de déficiences de contrôles ;

la supervision de l’audit interne n’est pas adéquate ; une mauvaise gestion des preuves de fraude : « Ce n’est probablement pas important »

ou « Nous n’avons pas le temps ni les ressources nécessaires pour nous pencher sur cepoint. » ;

les auditeurs internes ne communiquent pas leurs soupçons aux personnes appro-priées ;

une communication défaillante.

5. Les défaillances de l’audit interne peuvent non seulement être embarrassantes pour cettefonction, mais elles peuvent également exposer l’organisation à un risque significatif. Mêmes’il est impossible de garantir de manière absolue l’absence d’échec de l’audit, les mesures


171


suivantes peuvent permettre de réduire ce risque : un programme d’assurance et d’amélioration qualité : toute activité d’audit interne doit

impérativement appliquer un programme efficace d’assurance et d’améliorationqualité ;

un examen périodique de l’univers d’audit : examiner périodiquement la méthodologieutilisée pour vérifier l’exhaustivité de l’univers d’audit. Cette analyse doit, notamment,s’appuyer sur une évaluation régulière du profil dynamique des risques de l’organisa-tion ;

un examen périodique du plan d’audit : il faut examiner le plan d’audit en cours afind’identifier les missions qui peuvent être les plus risquées. La direction de l’audit internedispose ainsi d’une meilleure visibilité sur ces missions et peut consacrer davantage detemps à comprendre la façon dont les missions critiques sont abordées ;

une planification efficace de l’audit : rien ne remplace une planification efficace. Unprocessus de planification approfondi, qui inclut l’actualisation des informations perti-nentes relatives au client, ainsi qu’une évaluation efficace des risques, permet de réduiresignificativement le risque d’échec de l’audit. De plus, bien cerner le périmètre de lamission et les procédures d’audit interne à mettre en œuvre constitue une étape essen-tielle de la planification, qui réduira les risques d’échec de l’audit. Il est également fonda-mental d’inclure dans ce processus les points de supervision qui relèvent dumanagement de l’audit interne et d’obtenir l’autorisation de s’écarter éventuellementdu plan convenu ;

une conception efficace de l’audit : dans la plupart des cas, avant de commencer à véri-fier l’efficacité d’un système de contrôle interne, l’auditeur interne consacre un certaintemps à comprendre et à analyser la conception de ce système afin de déterminer s’ilpermet des contrôles adéquats. Il dispose ainsi d’informations solides pour commenterles causes des défaillances du système, lesquelles résultent parfois d’une mauvaiseconception des contrôles. Il peut ainsi remédier à ces défaillances plutôt que d’en traiterseulement les symptômes. Ce type d’approche réduit le risque d’échec de l’audit parcequ’il permet une identification des contrôles manquants ;

une revue/un suivi efficace par le management et des procédures d’escalade : la parti-cipation de l’équipe de management de l’audit interne au processus (c’est-à-dire avantla rédaction du projet de rapport) contribue largement à atténuer le risque d’échec del’audit. La direction peut réviser les papiers de travail, participer à des discussions « entemps réel » sur les constats ou à une réunion de clôture. Cette implication peut permet-tre d’identifier et d’évaluer plus rapidement d’éventuels problèmes. De plus, le serviced’audit interne peut avoir des procédures indicatives, qui spécifient à quel moment etquels types de problèmes faire remonter, et à quel niveau de la direction de l’auditinterne ;

une allocation appropriée des ressources : il est essentiel de bien choisir l’équipe pourchaque mission d’audit interne, et tout particulièrement lors de la planification d’unemission à haut risque ou très technique. En veillant à disposer des compétences appro-


MPA

210

0

172

priées, on peut nettement réduire le risque d’échec d’une mission d’audit. En outre, lesmembres de l’équipe doivent disposer d’un niveau d’expérience adéquat : les personnesqui conduisent une mission d’audit interne doivent, notamment, posséder de solidescompétences en gestion de projets.

6. Une activité d’audit interne donne parfois, sans le savoir, une « fausse assurance », c’est-à-direun niveau de confiance ou d’assurance qui se fonde sur des perceptions ou des hypothèsesplutôt que sur des faits. Dans de nombreux cas, la simple implication de l’audit interne surun domaine peut aboutir à donner une fausse assurance.

7. Lorsque l’audit interne assiste l’organisation dans l’identification et l’évaluation de risquessignificatifs, il doit être clairement précisé qu’il ne s’agit pas d’audit interne. Par exemple, uneunité opérationnelle demande à l’audit interne de fournir des « ressources » nécessaires à l’in-troduction d’un nouveau système informatique dans toute l’organisation. Ces ressources sontutilisées pour une partie des tests portant sur le nouveau système, mais, ultérieurement, uneerreur de conception de ce système a nécessité le retraitement des états financiers. Interrogéesur ce qui s’était passé, cette unité opérationnelle affirme que l’audit interne avait participéau processus sans déceler le problème. La participation des auditeurs internes a donc donnéici une fausse assurance, qui n’a aucun rapport avec la nature de leur contribution réelle auprojet.

8. Même s’il n’existe aucun moyen d’atténuer l’ensemble des risques de fausse assurance, l’auditinterne peut, néanmoins, prendre les devants pour gérer ce risque, notamment grâce à unecommunication claire et fréquente. C’est l’une des principales stratégies de gestion de cerisque. Il existe également d’autres bonnes pratiques de premier plan : communication proactive sur le rôle et le mandat de l’audit interne au comité d’audit,

à la direction générale et aux autres parties prenantes ; présentation claire de ce qui est inclus dans l’évaluation des risques, le plan d’audit

interne et la mission de l’audit interne. Il convient également de préciser, de façon expli-cite, ce qui ne fait pas partie de l’évaluation des risques et du plan d’audit interne ;

mise en place d’un processus de « validation des projets » afin d’analyser, pour chaqueprojet, le niveau de risque et la contribution de l’audit interne. Cette analyse peutnotamment porter sur le périmètre du projet, le rôle de l’audit interne, les attentes entermes de reporting, les compétences requises et l’indépendance des auditeursinternes ;

si les auditeurs internes font partie d’une équipe projet, il faut définir par écrit leur rôleet le champ de leur intervention, ainsi que les aspects relatifs à leur objectivité et à leurindépendance, plutôt que de considérer ces auditeurs internes comme des ressources« prêtées », ce qui risque de donner une fausse assurance.


173


9. L’efficacité de l’audit interne repose essentiellement sur sa crédibilité. Les services d’auditinterne qui bénéficient d’une haute estime sont susceptibles d’attirer des professionnelstalentueux et sont considérés comme créateur de valeur pour l’organisation. Leur capacité àpréserver la solidité de leur image et à contribuer au bon fonctionnement de l’organisationest donc cruciale pour un véritable succès. Dans la plupart des cas, il faut plusieurs annéespour construire cette « marque », par un travail constant et de très grande qualité. Malheu-reusement, un événement négatif majeur peut anéantir instantanément tous ces efforts.

10. Par exemple, un service d’audit interne peut être tenu en haute estime car plusieurs respon-sables financiers de l’organisation sont passés dans ce service, considéré comme une excel-lente formation pour de futurs cadres. Or, la réputation de ce service d’audit interne estentachée à la suite d’une succession de corrections de grande ampleur des états financierset des enquêtes menées par les autorités de réglementation. Le comité d’audit et le Conseilpeuvent alors se demander si ce service dispose des compétences ainsi que du programmed’assurance et d’amélioration qualité appropriés pour aider l’orga nisation.

11. Un autre exemple : au cours d’un audit de la fonction ressources humaines, les auditeursinternes constatent que les vérifications des antécédents des salariés n’ont pas été correcte-ment menées. La crédibilité du service d’audit interne peut être fortement entamée si l’ondécouvre que des auditeurs internes récemment embauchés n’ont pas suivi un cursus d’étudeapproprié ou que d’autres sont impliqués dans des opérations délictueuses.

12. De telles situations sont non seulement embarrassantes, mais elles portent égalementatteinte à l’efficacité de l’audit interne. Protéger la réputation et l’image de ce dernier estessentiel pour les activités d’audit interne et aussi pour l’ensemble de l’organisation. Il importe,par conséquent, que l’audit interne envisage les types de risques susceptibles d’entacher saréputation, ceux auxquels il est confronté et qu’il élabore des stratégies permettant d’en atté-nuer l’impact.

13. Quelques exemples de mesures envisageables : mise en œuvre d’un solide programme d’assurance et d’amélioration qualité, pour tous

les processus liés à l’audit interne, notamment ceux qui concernent les ressourceshumaines et l’embauche ;

évaluation périodique des risques, afin que le service d’audit interne puisse identifierles risques qui sont susceptibles de porter atteinte à son image ;

renforcement du code de conduite et des règles de déontologie, en se fondant, notam-ment, sur le Code de déontologie de l’IIA ;

contrôle de la conformité de l’audit interne à toutes les politiques et pratiques de l’en-treprise.


MPA

210

0

174

14. Si l’un des événements décrits plus haut affecte l’activité d’audit interne, le responsable del’audit interne doit examiner la nature de cet événement et en comprendre les causes. Cetteanalyse le renseigne sur les changements qu’il faut envisager au niveau du processus d’auditinterne ou de l’environnement de contrôle, afin d’éviter qu’un tel événement ne se reproduiseà l’avenir.


Un autre exemple de mesures envisageables : • faire certifier le service d’audit interne par un organisme qualifié.

Commentaire IFACI

175



MPA 2120-3Prise en compte, par l’audit interne, des risquesassociés à l’atteinte des objectifs stratégiques

1. Il incombe à la direction générale d’identifier et de gérer les risques dans le cadre de l’atteintedes objectifs stratégiques de l’organisation. Il est de la responsabilité du Conseil de s’assurerque tous les risques stratégiques sont identifiés, compris, et gérés à un niveau acceptabledans les limites des seuils de tolérance. L’audit interne devrait avoir connaissance de la stra-tégie de l’organisation, de la manière dont elle est mise en œuvre, des risques qui lui sontassociés et de la manière dont ils sont gérés.

2. Pour que l’audit interne puisse mettre l’accent sur les risques majeurs, la stratégie de l’orga-nisation devrait être un élément essentiel et déterminant du plan d’audit fondé sur l’approchepar les risques. L’audit interne pourra alors être en adéquation avec les priorités stratégiquesde l’organisation. De plus, cela permettra de s’assurer que les ressources de l’audit internesont allouées aux domaines significatifs.

3. Lors de l’élaboration du plan d’audit, l’audit interne devrait mettre à profit les travaux dumanagement et des autres fonctions prestataires d’assurance afin d’identifier les risques quireprésentent les principales menaces et les opportunités dans la réalisation des objectifs stra-tégiques de l'organisation.

2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, auxopérations et aux systèmes d'information de l'organisation au regard de :



Les activités d’assurance (« assurance ») permettent d’attester que les opérations et les processus de l’organisation sontconçus, réalisés et maîtrisés conformément aux instructions de ses organes dirigeants et de ses parties prenantes.

Commentaire IFACI1

1 Commentaire IFACI, Guide Pratique « Évaluer l’adéquation du management des risques en utilisant la norme ISO 31000 », IIA/IFACI, décembre 2010

MPA

210

0

176

4. Les opportunités et les menaces stratégiques guideront la définition et la hiérarchisation desinitiatives stratégiques à court et long terme par le management ou les investissementsmajeurs susceptibles de créer de la valeur pour les parties prenantes.

5. Lors de l'élaboration du plan d’audit, l’audit interne devrait envisager des missions d'assuranceconcernant ces initiatives stratégiques. L’audit interne sera ainsi en mesure de s’assurer queles risques stratégiques sont gérés à un niveau acceptable en évaluant tout ou partie desdispositifs de maîtrise correspondants. L’audit interne pourra également envisager desmissions de conseil qui auront un impact sur l’évolution de l’organisation.


Comme indiqué dans la MPA 2050-2, différents prestataires internes ou externes (commissaires aux comptes, auditeursqualité, auditeurs HSE, animateurs des auto-évaluations, services fonctionnels – DRH, DSI, directions juridiques,responsables de la conformité, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformité etl’efficacité des dispositifs d’une organisation. Ces prestataires se distinguent en fonction :

• de leur positionnement et donc de leur degré d’indépendance ;• des destinataires de leurs opinions (management opérationnel, direction générale, Conseil, parties prenantes

extérieures) ;• de la méthode utilisée pour garantir l’objectivité de leurs opinions ;• de leur périmètre d’intervention (métier, zone géographique, entité juridique, groupe, etc.).

Parmi ces prestataires, l’audit interne se distingue par son indépendance par rapport aux activités contrôlées. En effet, lepositionnement au plus haut niveau de l’organisation donne à l’audit interne une vue d’ensemble des processus et desrisques tout en étant un interlocuteur privilégié des instances dirigeantes. Ainsi, selon le glossaire des Normesinternationales, les activités d’assurance de l’audit interne se traduisent par un examen objectif d’éléments probants,effectué en vue de fournir une évaluation indépendante des processus de gouvernement d’entreprise, demanagement des risques et de contrôle. La prise de position de l’IFACI sur l’urbanisme du contrôle interne illustre les différents niveaux de prestation d’assurance.Dans leurs préconisations pour l’application de l’article 41 de la 8ème directive européenne (Directive 2006/43/CE), l’ECIIAet le Ferma propose l’adoption d’un modèle comportant 3 lignes de défense :

• En tant que première ligne de défense, le management est propriétaire des risques. Il a donc laresponsabilité de les évaluer et de les gérer. Il doit rendre compte de ces activités à la direction générale.

• En tant que seconde ligne de défense, le risk management (ainsi que les autres fonctions support tellesque la conformité ou la qualité) facilite et surveille la mise en œuvre de la gestion des risques par lemanagement. Il assiste ces propriétaires des risques dans la remontée d’informations adéquates sur lesrisques à tous les niveaux de l’organisation.

• En tant que troisième ligne de défense, l’audit interne fournit, à partir d’une approche fondée sur lesrisques, une assurance au Conseil et à la direction générale sur l’efficacité de l’évaluation des risques etsur leur gestion, y compris le fonctionnement de la première et de la seconde ligne de défense. Cetteactivité d’assurance recouvre tous les éléments du cadre organisationnel de management des risques(identification des risques, évaluation des risques et suites données à ces informations).

177


6. Après avoir identifié les risques stratégiques à intégrer dans le plan d'audit, l’audit internedevrait s’assurer que les compétences et les connaissances requises pour réaliser les missionsd’assurance et de conseil portant sur ces problématiques existent dans le service d'auditinterne. Cette expertise pourra être recherchée en dehors du service d’audit interne (presta-tions internes ou externalisées).


MPA

210

0


MPA 2130-1Évaluer la pertinence des processus de contrôle

1. L’organisation met en place et maintient des processus de management des risques et decontrôle efficaces. Les processus de contrôle ont pour but d’aider l’organisation à gérer lesrisques et à atteindre les objectifs fixés et diffusés. Les processus de contrôle devraient notam-ment permettre de s’assurer que les conditions suivantes sont remplies : les informations financières et opérationnelles sont fiables et intègres ; les opérations sont réalisées de manière efficiente et permettent d’atteindre les objectifs

fixés ; les actifs sont sauvegardés ; les actes et les décisions prises par l’organisation sont conformes aux lois, aux règle-

ments et aux contrats.

2. Il incombe à la direction générale de superviser la mise en place, l’administration et l’évalua-tion des processus de management des risques et de contrôle. Les managers ont entre autresresponsabilités celle d’évaluer les processus de contrôle dans leurs domaines respectifs. Lesauditeurs internes fournissent des niveaux divers d’assurance quant au degré d’efficacité desprocessus de management des risques et de contrôle dans des activités et fonctions choisiesde l’organisation.

3. Le responsable de l’audit interne émet une opinion globale sur l'adéquation et l'efficacitédes processus de contrôle. Pour ce faire, il se fondera sur des constats avérés lors de la réali-sation d’audits, et quand cela est approprié, sur des travaux d’autres prestataires d’audit d'as-surance. Le responsable de l’audit interne communique son opinion à la direction généraleet au Conseil.

4. Le responsable de l'audit interne élabore un projet de plan d’audit pour recueillir des élémentsprobants et suffisants qui permettront d’apprécier l’efficacité des processus de contrôle. Ceplan comporte des missions d’audit et/ou d’autres procédures nécessaires pour obtenir despreuves suffisantes et pertinentes à propos des unités opérationnelles et fonctions impor-

2130 – Contrôle

L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluantson efficacité et son efficience et en encourageant son amélioration continue.


179



tantes à évaluer. De même, il comporte une revue des principaux processus de contrôle enplace dans l’organisation. Le plan proposé devrait être suffisamment souple pour permettreune actualisation en cours d’année, en cas d’évolution des stratégies du management, del’environnement extérieur, des principaux risques, ou en cas de réajustement des prévisionsrelatives à la réalisation des objectifs de l’organisation.

5. Le plan d'audit met un accent particulier sur les opérations les plus affectées par les change-ments récents ou inattendus. Ces changements peuvent résulter, par exemple, des conditionsdu marché ou d’investissements, d’acquisitions et de cessions, de restructurations, et denouveaux systèmes ou enjeux.

6. Afin de déterminer le périmètre d’audit par rapport au projet de plan d’audit, le responsablede l’audit interne tient compte des travaux qui seront effectués par des tiers pour donnerune assurance à la direction générale (par exemple, le responsable de l’audit interne peut seréférer au travail des responsables de la conformité). Le plan d'audit du responsable de l’auditinterne tient compte également du travail réalisé par l'auditeur externe et des propres évalua-tions du management concernant les processus de management des risques, les dispositifsde contrôle et les processus d’amélioration qualité.

7. Le responsable de l'audit interne devrait évaluer l’envergure du périmètre du plan proposépour vérifier que le champ d’intervention est suffisant pour permettre de formuler une assu-rance sur les processus de management des risques et de contrôle de l’organisation. Leresponsable de l'audit interne devrait informer la direction générale et le Conseil de toutelacune du périmètre d’audit qui l’empêcherait de formuler une opinion sur les différentsaspects de ces processus.

8. L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de contrôle del’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations provien-nent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuéespar le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesurede l’avancement des missions, les auditeurs internes communiquent leurs observations auxresponsables appropriés, de telle sorte que des mesures puissent être prises rapidement afinde remédier aux faiblesses ou anomalies constatées ou d’en atténuer les conséquences.

9. Lors de l’évaluation de l’efficacité des processus de contrôle d’une organisation, le responsablede l’audit interne tient compte : du caractère significatif des anomalies ou des faiblesses mises en évidence ; des corrections ou améliorations apportées après les constatations ; du fait que les constatations et leurs conséquences potentielles induisent à conclure à

un état entraînant un niveau de risques inacceptable.

MPA

210

0


10. L’existence d’une anomalie ou d’une faiblesse significative ne signifie pas nécessairementque cette anomalie ou faiblesse est généralisée et qu’elle entraîne un risque inacceptable.L‘auditeur interne devra prendre en compte la nature et la portée de l’exposition aux risquesainsi que le niveau des conséquences potentielles pour déterminer si l’efficacité des processusde contrôle est remise en cause et s’il existe des risques inacceptables.

11. Le rapport du responsable de l’audit interne sur les processus de contrôle de l'organisationest normalement présenté une fois par an à la direction générale et au Conseil. Ce rapportsouligne l’importance du rôle joué par les processus de contrôle dans la réalisation des objec-tifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé par l’audit interneainsi que la nature et la confiance accordée à d’autres prestataires d’audit d’assurance pourformuler cette opinion.

181



MPA 2130.A1-1Fiabilité et intégrité de l’information

1. Les auditeurs internes s’assurent que la direction générale et le Conseil sont conscients de laresponsabilité du management en matière de fiabilité et d’intégrité de l’information. Cetteresponsabilité porte sur toutes les informations essentielles pour l’organisation, quel que soitleur mode de conservation. La fiabilité et l’intégrité de l’information incluent l’exactitude,l’exhaustivité et la sécurité.

2. Le responsable de l'audit interne s’assure que l’audit interne dispose ou a accès à desressources appropriées pour évaluer la fiabilité et l’intégrité de l’information et les risquescorrespondants. Ces derniers incluent tant les risques internes que les risques externes et,ceux afférents aux relations établies par l’organisation avec d’autres entités externes.

3. Le responsable d’audit interne s’assure que la direction générale, le Conseil et l’audit interneseront rapidement informés de toute atteinte à la fiabilité et à l’intégrité de l’information etde toute situation susceptible de constituer une menace pour l’organisation.

4. Les auditeurs internes évaluent, le cas échéant, l’efficacité des mesures prises, en vue deprévenir, détecter et atténuer les attaques survenues par le passé, ainsi que tout incident outentative d'attaque susceptible de se produire à l'avenir. Les auditeurs internes s’assurent que

2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisipour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmesd'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :



L’accessibilité est une condition nécessaire mais non suffisante pour qu’une information soit fiable.La cour des comptes américaine (US Governement Accountability Office) fournit à ce sujet une démarche intéressante(cf. « assessing the reliability of computer-processed data » GAO-03-273G October 1, 2002).

Commentaire IFACI

MPA

210

0


le Conseil a bien été informé des menaces ou incidents survenus, des faiblesses exploitéeset des mesures correctives.

5. Les auditeurs internes évaluent périodiquement le dispositif de fiabilité et d’intégrité de l’in-formation de l’organisation et recommandent, le cas échéant, des améliorations ou la miseen place de nouveaux contrôles et de nouvelles mesures de protection. Ces évaluationspeuvent faire l’objet de missions distinctes et isolées ou être intégrées dans d’autres missionsréalisées dans le cadre du plan d’audit annuel. Le processus de communication approprié àla direction générale et au Conseil dépendra de la nature de la mission.

183



MPA 2130.A1-2L’évaluation du dispositif mis en place parl’organisation pour protéger la vie privée

1. L’incapacité à protéger des informations à caractère personnel par des contrôles appropriés,peut avoir d’importantes conséquences pour une organisation. Une telle lacune peut nuireà la réputation de certaines personnes et/ou de l’organisation, et exposer l’organisation à desrisques tels que la mise en jeu de sa responsabilité légale et la baisse de confiance desconsommateurs et/ou des salariés.

2. Les définitions de la vie privée varient amplement selon la culture, l’environnement politiqueet le cadre juridique des pays où est implantée l’organisation. Les risques liés au caractèrepersonnel des informations comprennent l’intimité des personnes (sur le plan physique etpsychologique), le respect de l’espace privé (absence de surveillance), ainsi que le caractèreconfidentiel de la communication (absence de contrôle) et des informations (collecte, exploi-tation et diffusion par autrui d’informations à caractère personnel). Les informations à carac-tère personnel correspondent généralement à des informations que l’on peut associer à unindividu donné, soit en tant que telles soit en les regroupant avec d’autres informations. Ilpeut s’agir d’informations de nature objective ou subjective, enregistrées ou non, et ce quelsqu’en soient la forme ou le support. À titre d’exemple, les informations à caractère personnelincluent notamment : le nom, l’adresse, les numéros d’identification, les relations familiales ; les dossiers des salariés, les évaluations, les commentaires, le statut social ou les mesures

disciplinaires ; les informations relatives aux crédits, au revenu et à la situation financière ; la situation médicale.

2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisipour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmesd'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :



MPA

210

0


3. Les bonnes pratiques en matière de protection de la vie privée constituent un élément essen-tiel des processus de gouvernement d’entreprise, de management des risques et de contrôle.Il incombe, en dernier ressort, au Conseil d’assurer l’identification des principaux risquesencourus par l’organisation et la mise en œuvre des processus appropriés destinés à les atté-nuer. À ce titre, il lui appartient de doter l’organisation d’un dispositif garantissant le respectde la vie privée et d’en piloter la mise en place.

4. L’audit interne peut contribuer à un bon gouvernement d’entreprise et au management desrisques en évaluant l’adéquation de l’identification des risques réalisée par le managementen ce qui concerne la protection de la vie privée et des contrôles mis en place pour atténuerces risques à un niveau acceptable. L’auditeur interne est bien placé pour évaluer le dispositifen place dans l’organisation, identifier les risques significatifs et formuler les recommandationsappropriées en vue de leur atténuation.

5. L’audit interne examine la nature et le bien-fondé des informations à caractère personnel ouprivé recueillies par l’organisation et la méthode utilisée pour les collecter. Il vérifie égalementque l’organisation utilise ces informations conformément à l’usage qui en est attendu et à lalégislation applicable.

6. Étant donné la nature juridique et technique très marquée que revêt cette question, l’auditinterne devra disposer des connaissances et des compétences pour procéder à l’évaluationdes risques et des contrôles du dispositif mis en place par l’organisation en matière de protec-tion de la vie privée.

7. Pour procéder à l’évaluation du dispositif mis en place par l’organisation pour protéger la vieprivée, l’auditeur interne : prend en considération les lois, réglementations et règles relatives au respect de la vie

privée en vigueur dans tous les pays dans lesquels l’organisation exerce une activité ; se rapproche du juriste de l’organisation afin de déterminer le contenu exact des lois,

réglementations, normes ou pratiques applicables à l’organisation et au(x) pays dansle(s)quel(s) elle exerce une activité ;

se rapproche des spécialistes des technologies de l’information afin de s’assurer quedes contrôles concernant la sécurité des informations et la protection des données sonten place, et que leur efficacité est régulièrement examinée et évaluée ;

En France, selon l’article 8 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés « il estinterdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, lesorigines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale despersonnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »

Commentaire IFACI

185



prend en considération le niveau de maturité des pratiques de l’organisation en matièrede protection de la vie privée. Le rôle de l’auditeur interne peut varier en fonction decette maturité. L’auditeur peut faciliter l’élaboration et la mise en œuvre d’unprogramme spécifique, réaliser une évaluation des risques afin de déterminer lesbesoins et l’exposition aux risques de l’organisation, ou bien il peut donner une assu-rance sur l’efficacité des règles, des pratiques et des contrôles en place dans l’organisa-tion. L’indépendance de l’auditeur interne peut être altérée s’il assume uneresponsabilité dans le développement et la mise en place d’un programme de protec-tion de la vie privée.

La protection de la vie privée et des données à caractère personnel est devenue une problématique incontournable, du faitde la collecte incessante d'informations électroniques de ce type et de la capacité sans limite de relier ces informations entreelles.On consultera avec intérêt le site de la CNIL (www.cnil.fr) qui, outre des informations précises et utiles sur la conformité àla loi, offre un espace de réflexions sur ce thème.Par ailleurs, le GTAG n°5 « Auditer et gérer les risques relatifs à la protection de la vie privée » y est entièrement consacré.

Commentaire IFACI

MPA

210

0

mPA SÉrIE 2200PlANIFICAtIoN DE lA mISSIoN



MPA

220

0

189


MPA 2200-1Planification de la mission

1. L’auditeur interne planifie et conduit la mission qui est supervisée et approuvée. Avant ledébut de la mission, l’auditeur interne prépare un programme qui : définit les objectifs de la mission ; identifie les exigences techniques, les objectifs, les risques, les processus et les transac-

tions qui doivent être examinés ; établit la nature et l'étendue nécessaire des tests ; documente les procédures utilisées par l'auditeur interne pour collecter, analyser, inter-

préter et documenter les informations pendant la mission ; est modifié, le cas échéant, au cours de la mission avec l’approbation du responsable

de l’audit interne ou de son représentant.

2. Le responsable de l’audit interne devrait exiger un niveau de formalisme et de documentationadapté à l'organisation (par exemple concernant les résultats des réunions de planification,les procédures d'évaluation des risques, le niveau de détail du programme de travail, etc.).Cette exigence devrait s’appliquer : lorsque le travail réalisé ou les résultats de la mission reposent sur des travaux de tiers

(par exemple, des auditeurs externes, des régulateurs, ou le management) ; lorsque le travail vise des aspects pouvant être associés à un litige existant ou poten-

tiel ; en fonction de l'expérience de l’équipe d’audit interne et du niveau de supervision

directe exigée ; lorsque la mission fait recours à des auditeurs associés, sélectionnés en interne ou à

des prestataires externes de services ; en fonction de la complexité et l’étendue de la mission ; en fonction de la taille du service d’audit interne ; en fonction de la valeur des documents (par exemple, s'ils sont susceptibles d’être utili-

sés dans les années suivantes).



Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plande mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsique les ressources allouées.


MPA

220

0

190

3. L’auditeur interne détermine les autres exigences de la mission telles que la durée et les datesestimées d’achèvement. L’auditeur interne considère aussi le format de la communicationfinale de la mission. Une planification correcte à ce stade facilite le processus de communi-cation à l’issue de la mission.

4. L’auditeur interne informe le management concerné. Il tient des réunions avec le manage-ment responsable de l'activité auditée. Il résume les discussions et diffusent les comptesrendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans lespapiers de travail de la mission.

Les sujets de discussion peuvent être les suivants : les objectifs et le champ d'intervention de la mission d'audit planifiée ; les ressources et le calendrier de la mission ; les facteurs clés affectant les conditions de gestion et les opérations des zones auditées,

y compris les changements récents au niveau de l’environnement interne et externe ; les préoccupations et les demandes du management ; les sujets particuliers ou les préoccupations de l'auditeur interne ; la description des procédures de l'audit interne pour rendre compte et assurer le suivi

de la mission.

5. Le responsable de l'audit interne détermine comment, quand et à qui les résultats de l'auditseront communiqués. L’auditeur interne documente ces éléments et les communique aumanagement autant que possible, pendant la phase de planification de la mission. L‘auditeurinterne communique au management les changements ultérieurs qui affectent les délais oula diffusion des résultats de la mission.


Rapport d’audit final : le terme anglais est plus général “final engagement communication“, ceci indique que le produit finid’une mission ne se matérialise pas nécessairement sous forme de rapport au sens traditionnel du terme. La présentationdes résultats d’une mission peut se faire sur différents supports et suivant différents formats (présentation de type powerpoint, rapport “classique“ …). Par contre, si le format a été défini au moment de la lettre de mission, il est impératif de s’yconformer. La forme et le média sont laissés à l’appréciation du département d’audit interne.

Commentaire IFACI

Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succès de la mission et la fiabilité desrésultats attendus, la communication préalable à la mission peut être restreinte ou soumise à un niveau de confidentialitéplus important. Dans certains cas même, le responsable de l’entité auditée peut ne pas être averti de la mission, avecl’accord de la direction générale.

Commentaire IFACI

191



MPA 2200-2Utilisation d’une approche « Top-Down »,

fondée sur les risques, pour identifier les contrôlesà évaluer dans le cadre d’une mission d’audit interne

1. La présente modalité est complémentaire des Modalités Pratiques d’Application (MPA) 2010-2 : Prise en compte du management des risques dans la planification de l’audit interne, 2210-1 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planification dela mission ainsi que du « Guide to the Assessment of IT Risk (GAIT) – for business and IT risk(GAIT-R)1 ».

2. Cette MPA suppose que les objectifs de la mission d’audit interne aient été déterminés et lesrisques identifiés dans le cadre du processus de planification. Elle fournit une ligne directricequant à l'utilisation d'une approche « Top-down », fondée sur les risques, qui identifie et inclutdans le périmètre de l’audit interne (selon la Norme 2220) les contrôles clés sur lesquels lagestion des risques s’appuie.

3. L’approche « Top-down » implique de définir le périmètre d'audit sur les risques les plus signi-ficatifs de l'organisation et non sur des risques spécifiques qui ne seraient pas significatifs àl’échelle de l'organisation. Une approche « Top-down » garantit que l'audit interne est orientévers la « prise en compte du management des risques dans la planification de l’audit interne »,conformément à la MPA 2010-2.

4. En général, un système de contrôle interne comprend à la fois des contrôles manuels et descontrôles automatisés2. Ces deux types de contrôles doivent être évalués afin de déterminersi les risques sont efficacement gérés. L’auditeur interne doit en particulier évaluer s'il existe


Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plande mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsique les ressources allouées.


1 Ce document (guide d’évaluation relatif aux risques métiers et aux risques des systèmes d’information) n’est pas traduit en français. Il a été conçu pourrépondre aux obligations des entreprises vis-à-vis de la section 404 du Sarbanes-Oxley Act.

2 Il est à noter que ceci s’applique aux contrôles à tous les niveaux – entité, processus métier et contrôles généraux informatiques – et à tous les échelonsdu cadre de contrôle ; à titre d’exemple les activités relevant de l’environnement de contrôle, du suivi ou de l’évaluation des risques peuvent être égalementautomatisés.

MPA

220

0

192

une combinaison appropriée de contrôles, y compris ceux relatifs aux technologies de l'in-formation, afin de réduire les risques dans les limites acceptées par l'organisation. L’auditeurinterne doit envisager d'inclure ou non des procédures visant à évaluer et confirmer que lesniveaux d’acceptation des risques sont à jour et adéquats.

5. Le périmètre d’audit interne doit comprendre tous les contrôles requis pour donner l’assu-rance raisonnable que les risques sont efficacement gérés1. Ces contrôles sont dits contrôlesclés au sens où ils sont nécessaires à la gestion des risques associés à un objectif particuliè-rement critique pour l’organisation. Seuls les contrôles clés doivent être évalués. Toutefois,l’auditeur interne peut choisir d’inclure une évaluation d'autres contrôles (contrôles redon-dants ou dupliqués par exemple) s'il l’estime utile pour l'activité. Il peut également discuteravec le management de la nécessité de ces contrôles secondaires.

6. Lorsqu’une organisation dispose d’un programme de gestion des risques efficace et mature,les contrôles clés sur lesquels elle s’appuie pour gérer chaque risque devront être identifiés.Dans de tels cas, l’auditeur interne doit examiner si l'identification et l'évaluation des contrôlesclés par le management sont adéquates.

7. Les contrôles clés peuvent prendre les formes suivantes : Les contrôles transversaux à l’entité2 peuvent être manuels, entièrement ou partielle-

ment automatisés. Les contrôles manuels d’un processus métier3. Les contrôles entièrement automatisés d’un processus métier4. Les contrôles partiellement automatisés d’un processus métier5, lorsqu’un contrôle

manuel s’appuie sur une fonctionnalité informatique telle qu’un état d’anomalies. Sicette fonctionnalité est erronée, l’ensemble du contrôle peut être inefficace. Par exem-ple, un contrôle clé visant à détecter les règlements dupliqués peut inclure l’examend'un état informatique. La partie manuelle du contrôle ne peut assurer que l’état estcomplet. De ce fait, le périmètre d’audit doit inclure la fonctionnalité informatique quigénère l’état.

L’auditeur interne peut utiliser d’autres méthodes ou référentiels dès lors que tous lescontrôles clés mis en place pour gérer les risques sont identifiés et évalués, y compris lescontrôles manuels, automatisés et les contrôles généraux informatiques.

8. Les contrôles entièrement ou partiellement automatisés – qu’ils soient au niveau de l'entitéou d'un processus métier – s’appuient généralement sur la conception adéquate et l’efficacité


1 Voir les commentaires figurant ci-après au paragraphe 9.2 Par exemple, concernant le code de conduite, les salariés sont formés puis leur bonne compréhension est vérifiée.3 Par exemple, la réalisation d’un inventaire physique.4 Par exemple, le rapprochement et la mise à jour des comptes dans la balance générale.5 Egalement désignés comme des contrôles « hybrides » ou contrôles dépendants des technologies de l’information.

193


des contrôles généraux informatiques. Le GAIT-R explicite le processus d’identification descontrôles généraux informatiques clés.

9. L’évaluation des contrôles clés peut être réalisée soit lors d'une seule mission d'audit interneselon une approche intégrée, soit au cours d'une série de missions. Par exemple, une premièremission d'audit interne peut traiter des contrôles clés réalisés par les opérationnels tandisqu'une deuxième abordera les contrôles généraux informatiques et qu’une troisième évaluerales contrôles associés mis en place au niveau de l’entité. Cette pratique est courante lorsqueles mêmes contrôles1 sont mis en place pour plus d’un domaine de risque.

10. Comme énoncé au paragraphe 5, avant d’émettre une opinion sur la gestion efficace desrisques couverts par le périmètre d’audit interne, il est nécessaire d’évaluer la combinaisondes différents contrôles clés. Même lorsqu’une série de missions d’audit interne est réalisée,chacune traitant de certains contrôles clés, l'auditeur interne doit inclure dans le périmètred'au moins une des missions d'audit interne une évaluation de la conception des contrôlesclés dans son ensemble2 et déterminer si cela est suffisant pour gérer les risques dans leslimites acceptées par l'organisation.

11. Si le périmètre d'audit interne3 n’inclut que certains contrôles clés requis pour gérer les risquescibles, il faudra le considérer comme une limitation du périmètre et le préciser clairementdans le rapport.


1 En particulier ceux transversaux à l'entité ou encore les contrôles généraux informatiques.2 C'est-à-dire pour toute la série de missions d'audit interne.3 Compte tenu des autres missions d'audit interne comme mentionné au paragraphe 9.

MPA

220

0


MPA 2210-1Objectifs de la mission

1. Les auditeurs internes établissent les objectifs de la mission en fonction des risques liés à l'ac-tivité à auditer. Concernant les missions planifiées, les objectifs découlent et sont conformesà ceux qui ont été initialement identifiés lors du processus d’évaluation des risques qui apermis d’établir le plan annuel d'audit. Pour les missions non planifiées, les objectifs sontétablis avant le début de la mission en fonction de la problématique spécifique qui a motivéla mission.

2. L’évaluation des risques réalisée pendant la planification de la mission est utilisée pour mieuxpréciser les objectifs initiaux et identifier d’autres zones d’intérêt significatives.

3. Après avoir identifié les risques, l'auditeur interne détermine les procédures à mettre en œuvreet leur périmètre (nature, durée, et étendue). Les procédures mises en œuvre sur le périmètreapproprié constituent les moyens de tirer des conclusions liées aux objectifs de la mission.

2210 – objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.


195



MPA 2210.A1-1Évaluation des risques dans la planification

de la mission

1. Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le manage-ment pour l’activité examinée. L’auditeur interne prend aussi en compte les élémentssuivants : la fiabilité de cette évaluation des risques ; le processus établi par le management pour la surveillance, la diffusion d’informations

et la résolution des risques et des contrôles ; les comptes-rendus du management sur les événements qui ont dépassé les limites

de l’appétence pour le risque de l’organisation ainsi que les réponses du managementà ces rapports ;

les risques des activités connexes et pertinentes par rapport à l’activité examinée.

2. Les auditeurs internes obtiennent et mettent à jour des informations de base sur l’activité àauditer. Ces informations sont révisées pour déterminer leur impact sur les objectifs et le péri-mètre de la mission.

3. Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avecles activités, les risques et les contrôles, pour identifier les domaines où la mission sera appro-fondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions.

4. Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée parle management, des éléments de contexte et de toute revue préliminaire. Ce résumécomprend : les problèmes importants et les raisons pour poursuivre une étude plus approfondie ; les objectifs et les procédures de la mission; les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillon-

nage ; les points de contrôles potentiellement délicats, les manques et/ou les excès de

contrôle apparents ; si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significati-

vement les objectifs de la mission.

2210.A1 – Les auditeurs internes doivent procéder à une évaluation préliminaire des risques liésà l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction desrésultats de cette évaluation.


MPA

220

0

MPA 2230-1Ressources affectées à la mission

1. Pour déterminer le caractère approprié et suffisant des ressources, les auditeurs internes consi-dèrent les éléments suivants : le nombre d'auditeurs internes et le niveau d'expérience de l'équipe d'audit ; les connaissances, le savoir-faire et autres compétences des auditeurs internes pour

leur affectation à chaque mission d'audit ; la disponibilité de ressources externes dans les cas où des connaissances ou des compé-

tences supplémentaires sont requises ; les besoins de formation des auditeurs internes pour chaque mission constituent un

point de départ pour satisfaire le développement des connaissances nécessaires auniveau de l’audit interne.

2230 – ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindreles objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité dechaque mission, des contraintes de temps et des ressources disponibles.



197



MPA 2240-1Programme de travail de la mission

1. Les auditeurs internes élaborent les programmes de travail et en obtiennent la validationformelle avant de commencer la mission. Le programme de travail comprend les méthodesutilisées telles que les audits informatisés et les techniques d’échantillonnage.

2. Le processus de collecte, d’analyse, d’interprétation et de documentation de l’informationest supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteintset que l’objectivité de l’auditeur est maintenue.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter un programme de travail permettantd'atteindre les objectifs de la mission.


Le programme de travail peut éventuellement être revu au cours de la phase de réalisation. En cas de modificationimportante, il doit de nouveau être validé.

Commentaire IFACI

MPA

220

0

mPA SÉrIE 2300ACComPlISSEmENt DE lA mISSIoN



MPA

230

0

201



MPA 2300-1Utilisation d’informations à caractère personnel

dans la conduite d’une mission

1. Les auditeurs internes doivent se préoccuper de la protection des informations à caractèrepersonnel qui sont recueillies au cours des missions d’audit, car les progrès des technologiesde l’information et des communications continuent d’induire des risques et des menacespour la vie privée. De nombreux pays imposent aux organisations de se doter d’un dispositifde contrôle visant à protéger la vie privée.

2. Les informations à caractère personnel sont généralement des données associées à un indi-vidu en particulier ou des données d’identification qui peuvent être associées à d’autres infor-mations. Il peut s’agir d’informations factuelles ou subjectives, enregistrées ou non, sous touteforme ou tout type de support. Les informations à caractère personnel sont notamment : le nom, l’adresse, les numéros d’identification, le revenu, le groupe sanguin ; les évaluations, le statut social, les mesures disciplinaires ; les fichiers du personnel et les dossiers de crédit et de prêt ; les données relatives à la santé et les données médicales du personnel.

3. Dans de nombreux pays, la législation impose aux organisations d’identifier, lors de la collectedes données ou avant cette collecte, la finalité pour laquelle des informations à caractèrepersonnel sont recueillies. Elle interdit l’utilisation et la divulgation d’informations à caractèrepersonnel pour une finalité autre que celle pour laquelle ces données ont été recueillies, saufsi l’individu concerné a donné son accord ou si la législation l’impose.

4. Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives àl’utilisation d’informations à caractère personnel dans leur pays et dans les pays où leur orga-nisation opère.

5. Il peut être inopportun, voire illégal, d’accéder à, de rechercher, de passer en revue, de mani-puler ou d’utiliser des informations à caractère personnel dans le cadre de certaines missions

2300 – Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations néces-saires pour atteindre les objectifs de la mission.


MPA

230

0

202

d’audit interne. Si l’audit interne accède à de telles informations, il peut être nécessaire d’éla-borer des procédures pour les protéger. Ainsi, dans certaines situations, l’auditeur internepeut décider de ne pas faire figurer d’informations à caractère personnel dans les dossiers dela mission.

6. En cas d’interrogations ou de doutes concernant l’accès à des informations à caractèrepersonnel, l’auditeur interne peut demander l’avis d’un juriste avant le lancement de l’audit.


203



MPA 2320-1Procédures analytiques

1. Les auditeurs internes peuvent recourir à des procédures analytiques pour obtenir despreuves d’audit. Les procédures analytiques consistent à étudier et comparer les relationsentre des informations financières et des informations non financières. Leur mise en œuvrese base sur l’hypothèse qu’en conditions normales, on peut raisonnablement s’attendre àl’existence et à la persistance de relations entre certaines informations. Parmi les exemplesde conditions hors normes, on peut citer : les transactions ou événements inhabituels ounon récurrents, les modifications des principes comptables, organisationnels, opérationnels,environnementaux ou technologiques, les inefficiences, les inefficacités, les erreurs, la fraudeou les actes illégaux.

2. Pour l’auditeur interne, les procédures analytiques constituent souvent un moyen efficientet efficace d’obtenir des éléments probants. L’évaluation résulte de la comparaison d’uneinformation avec des résultats attendus ou définis par l’auditeur interne. Les procédures analy-tiques sont utiles pour repérer : les écarts inattendus ; l’absence d’écarts attendus ; les erreurs potentielles ; une fraude ou des actes illégaux potentiels ; d’autres transactions ou événements inhabituels ou non récurrents.

3. Les procédures analytiques consistent notamment à : comparer les informations relatives à la période en cours et les informations analogues

des périodes précédentes, ainsi que les budgets ou les prévisions ; étudier les relations entre des informations financières et des informations non finan-

cières appropriées (par exemple, les frais de personnel comptabilisés et l’évolution del’effectif moyen) ;

étudier les relations entre des éléments d’information (par exemple, la fluctuation dumontant des intérêts débiteurs comptabilisés et l’évolution des dettes correspon-dantes) ;


Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur desanalyses et évaluations appropriées.


MPA

230

0

204

comparer les informations collectées avec les prévisions fondées sur des informationsanalogues d’autres unités organisationnelles et aux informations sectorielles de mêmenature.

4. Les auditeurs internes peuvent mettre en œuvre les procédures analytiques en utilisant desvaleurs monétaires, des quantités physiques, des ratios ou des pourcentages. Certaines procé-dures analytiques font intervenir des analyses de ratios, de tendances ou de régression, destests de vraisemblance, des comparaisons entre périodes, des comparaisons avec les budgets,des prévisions ou des informations économiques extérieures. Les procédures analytiquesaident les auditeurs internes à identifier les conditions qui peuvent nécessiter des procéduresd’audit supplémentaires. Un auditeur interne applique des procédures analytiques lorsqu’ilplanifie sa mission conformément aux lignes directrices énoncées dans la Norme 2200.

5. Les auditeurs internes peuvent recourir à des procédures analytiques pour produire despreuves au cours de leur mission. Lorsqu’il détermine dans quelle mesure des procéduresanalytiques doivent être utilisées, l’auditeur interne prend en compte : l’importance du secteur audité ; l’évaluation du management des risques dans le domaine audité ; l’adéquation du système de contrôle interne ; la disponibilité et la fiabilité des informations financières et non financières ; la précision attendue des résultats des procédures analytiques ; la disponibilité et la comparabilité d’informations ; la validité d’autres procédures d’audit pour l’obtention de preuves.

6. Lorsque les procédures analytiques font apparaître des résultats ou des relations inattendus,l’auditeur interne évalue ces résultats ou ces relations. Cette évaluation consiste à déterminersi la différence par rapport aux attentes pourrait résulter d’une fraude, d’une erreur ou denouvelles conditions. L’auditeur interne peut interroger le management sur les raisons decette différence et corroborer, ou non, l’explication du management, par exemple en modi-fiant les objectifs et en recalculant l’écart, ou en appliquant d’autres procédures d’audit. L’au-diteur interne se doit en particulier de vérifier que l’explication tient compte à la fois du sensdu changement (baisse des ventes, par exemple) et de l’ampleur de l’écart (baisse des ventesde 10 %, par exemple). Les résultats ou les relations inexpliqués, qui sont obtenus au moyende procédures analytiques, peuvent indiquer un éventuel problème important (tel qu’uneerreur, une fraude ou un acte illégal). Les résultats ou les relations qui ne sont pas expliquésde façon adéquate peuvent indiquer une situation dont il faudra informer la direction géné-rale et le Conseil conformément à la Norme 2060. En fonction des circonstances, l’auditeurinterne peut recommander une action appropriée.


205



MPA 2320-2Analyse causale

1. L’analyse causale consiste à rechercher l’origine d’un problème, au lieu de simplement leconstater ou en rendre compte. Dans cette MPA, « problème » renvoie à une difficulté, uneerreur, une non-conformité, ou une occasion manquée.

2. Les auditeurs internes dont les rapports se contentent de recommander au management decorriger une situation problématique – sans résoudre les causes sous-jacentes – manquentune opportunité de contribuer à l’amélioration de l’efficience et l’efficacité des processusmétiers à long terme et, par conséquent, à l’amélioration de l’environnement global degouvernement d’entreprise, de gestion des risques et de contrôle. La capacité à identifier lanécessité d’une analyse causale et, le cas échéant, à la faciliter, la réviser et/ou la réaliser estune compétence clé, indispensable à cette contribution.

3. L’audit interne, du fait de son indépendance et de son objectivité, peut être la fonction idéalepour analyser les problèmes et identifier leurs causes sous-jacentes. Cette approche contribueà la réduction des écarts, à la remise en cause des hypothèses, et à l’évaluation complète deséléments probants. En outre, les auditeurs internes – par leurs interventions dans différentesentités et lignes hiérarchiques de l’organisation – peuvent avoir développé une connaissanceétendue et approfondie du (des) problème(s) sous-jacent(s). Cette connaissance est parfoisplus importante que celle d’un manager, ce qui leur permet d’être mieux à même d’analyserle problème en question. Dans les cas où la cause sous-jacente d’un problème résulte d’ac-tions ou d’inactions du management, il est essentiel de faire appel à l’objectivité d’un tiers,tel l’audit interne, pour étudier la situation et en rendre compte à la direction générale.

4. L’analyse causale est bénéfique pour l’organisation parce qu’elle identifie la (les) cause(s) sous-jacente(s) d’un problème. Cette approche offre une perspective d’amélioration à long termedes processus métiers. En l’absence d’une analyse efficace et de solutions de traitementappropriées, il y a une plus forte probabilité que le problème se produise à nouveau. L’analysecausale permet d’éviter de multiples remaniements et traite de façon proactive le risque de




MPA

230

0

206

récurrence du (des) problème(s). L’analyse causale peut s’appliquer à n’importe quel type desituation, tel qu’un événement risqué inattendu, une défaillance dans un processus, desdommages ou pertes matériels, un arrêt de la production, un incident de sécurité, une dégra-dation de la qualité ou l’insatisfaction d’un client. Il est important de souligner le fait qu’unproblème s’explique souvent par plusieurs causes corrélées ou non.

5. Les ressources consacrées à l’analyse causale doivent correspondre à l’impact du problèmeou des problèmes potentiels et risques futurs. Dans certaines circonstances, l’analyse causalepeut tout simplement utiliser la méthode des « cinq pourquoi ». Par exemple : L’employé esttombé. Pourquoi ? Parce qu’il y avait de l’huile sur le sol. Pourquoi ? Parce qu’une pièce s’estcassée. Pourquoi ? Parce que la pièce tombe toujours en panne. Pourquoi ? Parce que lesméthodes d’appprovisionnement ont été modifiées. À l’issue du cinquième « pourquoi », l’auditeur interne devrait être en mesure de pouvoiridentifier ou d’approcher la cause sous-jacente. Toutefois, des problèmes plus complexespeuvent nécessiter un investissement plus important en ressources et une analyse plus rigou-reuse. Avant de débuter l’analyse causale de problèmes plus complexes, il convient que lesauditeurs internes considèrent que :

a. L’analyse causale peut nécessiter énormément de temps pour étudier le processus, lepersonnel, la technologie ainsi que les données nécessaires à l’identification et à l’éva-luation d’une cause sous-jacente. Ainsi, un projet qui pourrait a priori être réalisé rapi-dement peut finalement nécessiter d’énormes travaux pour la validation des diversscénarios, l’analyse approfondie des données et l’évaluation des nombreux facteursinternes et externes qui ont un effet sur les processus métiers.

b. Les auditeurs internes peuvent ne pas avoir toutes les compétences nécessaires à laconduite de l’analyse spécifique de certaines causes sous-jacentes. C’est pourquoi, ilsdevront définir avec précision les travaux à entrependre pour mener à bien l’analysecausale ainsi que leur degré d’implication. Pour ce faire, ils devront considérer l’ensembledes compétences requises ainsi que le niveau d’évaluation et d’analyse nécessaires pourétablir une conclusion. Les responsables de l’audit interne (RAI) s’assureront que l’ex-périence et l’expertise de leurs équipes sont suffisantes pour accomplir ces travaux etpourront éventuellement faire appel à une aide extérieure (par exemple, dirigeantsd’entreprise, experts techniques, et/ou consultants externes).

c. Lorsque l’audit interne ne dispose pas du temps ou des compétences nécessaires, leRAI devra formuler des recommandations afin de traiter l’origine de la déficience et, lecas échéant, recommander que le management conduise une analyse causale.

6. Avant de réaliser l’analyse causale, il convient que les auditeurs internes anticipent les obsta-cles potentiels qui pourraient entraver leurs efforts, et développent une approche proactivepour traiter ces situations.


207


a. Le management peut être réticent à l’idée que l’audit interne puisse avoir un rôle dansles analyses causales. Le RAI et les auditeurs internes peuvent être amenés à expliqueret à démontrer au management le rôle et les capacités de l’audit interne.

b. Le management peut s’opposer à la conduite d’une analyse causale en raison des délaiset des efforts supplémentaires qu’elle impose à leur équipe. Le management peut privi-légier les solutions à court terme pour rétablir immédiatement la conformité ou rame-ner le processus ou la transaction à son état normal.Il arrive toutefois que des solutions à long terme soient envisagées mais uniquementlorsque les délais et les ressources le permettent. Mais le management sera d’autantmoins enclin à adopter les solutions proposées qu’elles ne génèrent pas d’effets immé-diats, sont de nature préventive, et nécessitent des investissements significatifs. De fait,l’impact à long terme des défaillances non corrigées en termes de coût, de délais et deressources n’est pas toujours mesuré. De même, en l’absence de solution à long terme,les ajustements permanents ne sont pas appréhendés. Les RAI pourront utiliser ce typed’argument s’ils sont amenés à documenter le bien-fondé d’une analyse causale pourobtenir le soutien du management. Pour les questions nécessitant des corrections àlong terme, ayant un impact important sur les ressources, les délais ou les coûts, lesauditeurs internes pourront suggérer, en plus de la solution à long terme plus coûteuse,des mesures d’atténuation immédiates ou à court terme. Cette approche permettrad’atteindre rapidement les objectifs métiers fixés par le management tout en luidonnant le temps de planifier et de budgétiser une solution à long terme plus robuste,qui puisse traiter les causes sous-jacentes du problème.

c. Déterminer la véritable cause sous-jacente peut se révéler difficile et subjectif – mêmelorsque l’on dispose de suffisamment de données quantitatives et qualitatives. Les audi-teurs internes devront rendre compte de la contribution des différentes partiesprenantes du processus métier dans l’élaboration, l’analyse et l’évaluation des informa-tions. Une multiplicité d’erreurs avec divers degrés d’impact peut être à l’origine d’unproblème. L’auditeur interne peut, dans certains cas, élaborer plusieurs conclusions,assorties de différents scénarios à considérer par le management comme pouvant êtrela cause sous-jacente d’un problème. Dans ce cas, la valeur apportée par l’audit interneest l’évaluation indépendante et objective ainsi que la présentation des diversesdonnées et analyses à partir desquelles le management pourra formuler une conclusionsur la cause la plus probable.

d. Lorsqu’elle est réalisée par l’audit interne, une analyse causale qui conduirait à des obser-vations et à des recommandations spécifiques et concrètes pour l’amélioration desprocessus et des contrôles, pourra être perçue comme plaçant l’auditeur interne dansun rôle de management. Les auditeurs doivent gérer ce risque de perception en :

i. fournissant une analyse spécifique, objective et étayée de la cause sous-jacente ;ii. distinguant la détermination de la cause sous-jacente, des recommandations liées

à son traitement ;


MPA

230

0

208

iii. s’assurant que la charte de l’audit interne ou le rapport de mission définissentclairement le rôle du management, à savoir évaluer les recommandations faitespar l’audit interne et assumer la mise en œuvre de toute modification du proces-sus métier ;

iv. dissociant clairement les missions d’assurance ou les évaluations à l’initiative del’audit interne, des missions de conseil commanditées par un responsable opéra-tionnel.

7. De façon générale, la plupart des causes sous-jacentes peuvent être ramenées à des déci-sions, des actions ou des inactions d’une ou de plusieurs personne(s). Toutefois, les auditeursinternes devront considérer le contexte, qui peut avoir une incidence sur le problème et quipeut également représenter un risque plus important pour l’organisation :

a. compétence du personnel.b. embauche du personnel qualifié.c. absence de formation ou formation insuffisante. d. adéquation de la technologie ou des outils.e. pertinence de la culture de l’organisation ou du département.f. santé au travail et risques psychosociaux.g. niveau ou volume de ressources (par exemple, budget ou effectif ). h. circonstances du processus et autres facteurs ayant conduit la personne ou les

personnes à prendre les décisions.i. pouvoir de décision de la ou des personne(s) impliquée(s).

Une analyse causale qui s’arrête à l’identification des composantes et des activités du proces-sus (par exemple, la technologie, les règles, la formation) peut se révéler incomplète. Unevéritable analyse causale cherchera à comprendre pourquoi des personnes qualifiées pren-nent de mauvaises décisions ou des décisions inappropriées (pourquoi la personne ayantpris la décision a-t-elle pensé qu’elle avait fait le bon choix à ce moment ?). Dans ces cas, lesauditeurs internes devront caractériser la situation en essayant de comprendre toutes lescirconstances qui ont amené les acteurs du processus à prendre une décision spécifique.

8. Pour la plupart des problèmes qu’ils auront à traiter, les auditeurs internes pourront recourirà des techniques simples. Les techniques les plus élaborées de collecte de données, d’analysestatistique, et l’utilisation d’autres concepts seront réservées aux situations dans lesquelles letemps et l’effort (c’est-à-dire les coûts) nécessaires pour corriger les causes sous-jacentes sontsusceptibles d’être justifiés par le niveau de risque et d’optimisation des processus pouvantêtre atteints. Il existe plusieurs techniques d’analyse causale. Parmi les outils d’analyse utilisés – que l’ontrouve facilement sur lnternet – figurent :

a. la méthode des « Cinq pourquoi ». b. l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC).


209


c. le diagramme SIPOC (fournisseurs (Suppliers), entrées (Input), Processus, sorties(Output), Clients).

d. l’organigramme de flux (flowchart) d’un processsus, d’un système de données. e. le diagramme cause-effet (en arête de poisson / Diagramme d’Ishikawa). f. l’analyse critique de mesure de la qualité. g. le diagramme de Pareto.h. la corrélation statistique.


MPA

230

0


MPA 2320-3L’échantillonnage en audit

1. Les sondages sont utilisés en audit afin de fournir des preuves factuelles et une base raison-nable permettant de formuler des conclusions relatives à une population à partir de laquelleun échantillon a été sélectionné. L'auditeur interne conçoit un échantillon d'audit, réalise le




MPA 2240-1Programme de travail de la mission

1. Les auditeurs internes élaborent les programmes de travail et en obtiennent la validationformelle avant de commencer la mission. Le programme de travail comprend les méthodesutilisées telles que les audits informatisés et les techniques d’échantillonnage.

2. Le processus de collecte, d’analyse, d’interprétation et de documentation de l’informationest supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteintset que l’objectivité de l’auditeur est maintenue.

MPA liée

La présente MPA n’a pas pour but de décrire toutes les procédures à mettre en œuvre dans le cadre d’une vérification parsondage. Elle introduit la prise en compte des techniques de sondage lors de la planification détaillée des travaux d’audit.A ce titre, elle est complémentaire d’autres lignes directrices de l’IIA (notamment celles qui sont relatives à la gestion durisque d’audit (MPA 2120-2), aux objectifs de la mission (cf. Normes et MPA de la série 2210) ; au programme de travail(Norme 2240), à l’identification des informations (Normes 2300 et 2310), à la documentation des informations (Norme2330) ou le GTAG sur les techniques informatisées d’analyse de données. Pour la mise en œuvre des principes recommandésci-dessous, des connaissances plus précises en méthodes statistiques sont nécessaires.

Nous utiliserons indifféremment « échantillonnage » ou « sondage » pour traduire « sampling ».

Commentaire IFACI

211


tirage, exécute des procédures d'audit et évalue les résultats issus de cet échantillon afind'obtenir des preuves d'audit suffisantes, fiables, pertinentes et utiles pour atteindre les objec-tifs de la mission. Une information suffisante est factuelle, adéquate et probante, de sortequ’une personne prudente et informée pourrait parvenir aux mêmes conclusions que l’au-diteur. Une information fiable est une information concluante et facilement accessible parl’utilisation de techniques d’audit appropriées. Une information pertinente conforte lesconstatations et recommandations de l’audit, et répond aux objectifs de la mission. Une infor-mation utile contribue à s’assurer que l'organisation atteindra ses objectifs.

2. En audit, les sondages consistent à appliquer des procédures d'audit sur moins de 100 % deséléments d'une catégorie de transactions ou d'un solde de compte, de telle manière quechaque unité d'échantillonnage ait la même chance d'être sélectionnée. La populationdésigne l'ensemble des données à partir desquelles un échantillon est construit et à proposde laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'échantillonnage sedéfinit comme le risque que la conclusion tirée par l'auditeur interne à partir d'un échantillonsoit différente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la mêmeprocédure d'audit.


Le sondage comporte toujours une marge d’incertitude que l’auditeur interne détermine a priori. (cf. §11)

Commentaire IFACI

La définition de la fiabilité de l’information met l’accent sur son accessibilité. En effet, une information difficilementaccessible est une information qu’il va falloir reconstituer à partir de calculs, d’algorithmes ou d’autres raisonnementsreposant souvent sur des hypothèses, d’où une grande difficulté à évaluer une information de ce type sur des critèrescomme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches.Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilitéen s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité des sources d’information.

Commentaire IFACI

La population est définie en fonction du périmètre et des objectifs de la mission.

Le développement des outils d’analyse de données permet d’envisager l’application de procédures d’audit sur l’ensembled’une population. Néanmoins, l’auditeur peut être confronté au fait que tous les éléments à auditer ne sont pas embarquésdans les systèmes d’informations (par exemple pour l’examen d’éléments physiques), que la base de données estincomplète (empêchant par exemple l’accès à des données antérieures ou d’autres entités) ou que l’auditeur a l’obligationde faire un contrôle sur pièces.

Commentaire IFACI

MPA

230

0

212

Échantillonnages statistique et non statistique

3. L'échantillonnage statistique (aléatoire ou systématique) consiste à réaliser un tirage à partirduquel la vraisemblance des conclusions pourra être mathématiquement évaluée pour uneextrapolation à la population considérée. Avec ce type de sondage, l'auditeur pourra formulerdes conclusions en tenant compte de l’intervalle de confiance (pour éviter en particulier lerisque de conclusion erronée). Il est essentiel que l'échantillon de transactions construit soitreprésentatif de la population évaluée, faute de quoi la possibilité de tirer des conclusionsfondées sur la revue de l’échantillon sera limitée voire inexistante. L'auditeur interne devraitvérifier le caractère exhaustif de la population afin de s'assurer que l'échantillon est construità partir d’un ensemble approprié de données.

4. L'échantillonnage non statistique est utilisé par l'auditeur qui souhaite se fonder sur sa propreexpérience et sur ses connaissances pour déterminer les critères de construction d'un échan-tillon. Ces sondages non statistiques (raisonnés, essentiellement fondés sur le jugement), nepermettent pas de justifier, d'un point de vue mathématique, l’extrapolation des résultats àl’ensemble de la population. Autrement dit, l'échantillon peut être biaisé et non représentatifde la population. L'objectif du test, son efficience, les caractéristiques opérationnelles, lesrisques inhérents et l'impact des résultats sont des éléments communément pris en comptepar l'auditeur pour orienter la méthode de sondage. L'échantillonnage non statistique peutêtre utilisé lorsqu'il est nécessaire d'obtenir rapidement des résultats et pour tester une hypo-thèse plutôt que pour projeter la vraisemblance mathématique des conclusions à l’ensemblede la population.


En outre, malgré l’opportunité offerte par les systèmes d’information, la réalisation de procédures d’audit sur l’ensemble dela population peut avoir un coût (en temps ou en ressources d’investigation) justifiant une approche par échantillonnage.

Pour déterminer son approche, l’auditeur devra prendre en compte le risque d’échantillonnage et le risque d’audit.

Le lecteur pourra se référer à GAO « Assessing the reliability of computer-processed data ».

Le caractère exhaustif est apprécié au regard de l’objectif du test d’audit et des caractéristiques à évaluer.En pratique, ces objectifs se traduisent notamment par la définition de bornes temporelles ou d’une série de transactions-clés du processus à auditer.

Commentaire IFACI

Selon le paragraphe 5.g de la norme ISA 530 : « le sondage statistique est une méthode de sélection d’échantillons

Commentaire IFACI

http://www.gao.gov/new.items/d09680g.pdf

213


5. Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'im-possibilité, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'échan-tillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des méthodesde sondage (statistique ou non) devrait construire et sélectionner un échantillon, exécuterdes procédures d'audit et évaluer les résultats de cet échantillon afin d'obtenir des preuvesd'audit suffisantes, fiables, pertinentes et utiles.

6. Il existe différentes techniques d'échantillonnage et objectifs associés en audit dont voiciquelques exemples : Échantillonnage aléatoire simple - la sélection n'est pas régie par des facteurs prédé-


possédant les caractéristiques suivantes : • Sélection aléatoire des éléments formant l’échantillon ;• Utilisation de la théorie des probabilités pour évaluer les résultats du sondage, y compris la mesure du risque

d’échantillonnage.

Une méthode de sondage qui ne réunit pas ces caractéristiques est considérée comme une méthode de sondage nonstatistique. »

Les tirages non statistiques peuvent par exemple être justifiés dans le cadre de l’analyse d’un indice de fraude, enconstituant l’échantillon à partir d'éléments connus comme étant les plus à risques. La technique de sondage de dépistagepeut également être utilisée dans le cas où la proportion est considérée comme proche de 0.

L’auditeur interne détermine sa stratégie d’échantillonnage à partir des objectifs d’audit et en fonction du niveau desrisques d’échantillonnage et d’audit qu’il s’est fixé. Il conviendra également de prendre en compte les caractéristiques de lapopulation évaluée notamment en termes d’homogénéité. Tous ces éléments lui permettront de définir la méthoded’échantillonnage et la taille de l’échantillon.

Commentaire IFACI

Les conclusions peuvent être de 2 ordres :1) Estimer une valeur (un montant, une moyenne. Par exemple, le montant des créances échues non renouvelées de plus

de 3 mois), ou un attribut (nombre ou proportion d’unités, possédant ou non une caractéristique donnée : taux dedemande d’achat non signée)

2) Tester une hypothèse (e.g., la satisfaction client est en moyenne plus élevée dans la région A / région B).

Extrait de l’ouvrage Les outils de l’audit / IFACI. – Eyrolles, 2013

Commentaire IFACI

MPA

230

0

214

terminés ; chaque unité de la population a une chance égale d'être sélectionnée. Sondages basé sur des unités monétaires - utilisé pour identifier les anomalies moné-

taires éventuelles dans le solde d’un compte. Échantillonnage stratifié - utilisé pour répartir la population en sous-groupes ; en géné-

ral, un échantillon aléatoire est sélectionné à partir de chacun des sous-groupes pourêtre revu.

Échantillonnage pour estimation d’attributs - utilisé pour déterminer le nombre ou laproportion d’unités, possédant ou non une caractéristique donnée, dans la populationévaluée.

Échantillonnage pour estimation de valeurs - utilisé pour déterminer les paramètresd'une population.

Échantillonnage fondé sur le jugement professionnel de l'auditeur, il est censé être axésur une hypothèse à tester.

Échantillonnage de dépistage - utilisé lorsque la preuve de l’existence d'une erreur oud'une occurrence implique ensuite une investigation approfondie.


Selon la nature des preuves d’audit recherchées, d’autres typologies peuvent être proposées.Pour la sélection sur les enregistrements, les méthodes d’échantillonnage les plus courantes sont :

• Le tirage aléatoire• Le tirage à l’aveuglette, sans démarche structurée et en évitant de fausser consciemment la sélection ou de lui donner

un caractère prévisible• Le tirage raisonné et fondé sur le jugement de l’auditeur. L’échantillon est construit sur la base d’un ou plusieurs critères

choisis par l’auditeur en fonction de leur pertinence et non pas de leur représentativité statistique. Par exemple, ilchoisit toutes les unités de sondages supérieures à un certain montant, tous les éléments sauf un type précisd’exceptions, toutes les valeurs négatives, tous les nouveaux utilisateurs, etc. Les résultats ne peuvent pas êtregénéralisés à la population entière.

Pour la sélection sur des champs de données, les méthodes les plus courantes sont les suivantes :• Le tirage aléatoire à partir de générateurs de nombres aléatoires• Le tirage par intervalles fixes. Les unités de sondage sont sélectionnés en respectant un intervalle fixe entre les tirages,

le point de départ étant déterminé au hasard. A titre d’exemple, il peut s’agir de factures dotées d’un numéro uniqueincrémenté unitairement, ce qui permet de procéder à ce tirage systématique qui s’apparente à un tirage aléatoire.

• Par cellule (sélection aléatoire dans un intervalle)

L’annexe 4 de l’ISA 530 propose également des exemples de méthodes d’échantillonnage.

Commentaire IFACI

215


7. Lorsqu'ils déterminent la taille et la structure d'un échantillon, les auditeurs devraient tenircompte des objectifs d'audit de la mission, de la nature de la population et des méthodesd'échantillonnage et de sélection. L'auditeur devrait envisager de faire appel à des spécialistescompétents en matière de conception et d'analyse de la méthodologie d'échantillonnage.

8. La méthode d'échantillonnage dépendra de l'objectif visé. Pour des tests de conformité,l'échantillonnage pour estimation d’attributs qui consiste à observer un événement ou unetransaction (par exemple le contrôle d’une autorisation liée à une facture) est généralementutilisé. Pour les tests de corroboration, l'échantillonnage pour estimation de valeurs estsouvent utilisé.

9. Dans la mesure où la population désigne l'ensemble des données à partir desquelles unéchantillon est construit et à propos de laquelle l'auditeur interne souhaite tirer des conclu-sions ; cette population devra être appropriée et son caractère exhaustif, au regard de l'objectifspécifique de la mission, devra être vérifié.

10. La stratification peut contribuer à l'efficacité de la conception de l'échantillon. Elle consiste àrépartir une population en sous-groupes homogènes explicitement définis de manière à ceque chaque unité d'échantillonnage ne puisse appartenir qu’à une seule strate.


Déterminer la structure d’un échantillon consiste à définir sa composition au regard des objectifs d’audit (par exemple pourdes factures, l’échantillon peut être constitué des factures récapitulatives ou des factures à l’acte) et son éventuellestratification.Le recours à des spécialistes devra se faire conformément à la norme 1210.A1. Le service d’audit interne est à même dedisposer collectivement de ces compétences grâce notamment à des formations, à la diversité de parcours des auditeursinternes et au recours à des outils appropriés.

Commentaire IFACI

La stratification est recommandée pour réduire la dispersion de l’échantillon. Plusieurs sondages sont alors réalisés. Parexemple : si la population de clients est diversifiée, elle peut être stratifiée selon leur zone de résidence (ville / campagne)si l’hypothèse sous-jacente est que ces clients n’ont pas le même profil. Cela peut permettre aussi de réduire la taille totalede l’échantillon.

Commentaire IFACIM

PA 2

300


Erreur acceptable et erreur escomptée

11. L'auditeur qui utilise un échantillon statistique devrait tenir compte de concepts tels que lerisque d'échantillonnage ainsi que les notions d’erreurs acceptables ou escomptées. Le risqued'échantillonnage provient de la possibilité que la conclusion de l'auditeur puisse être diffé-rente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la même procé-dure d'audit. Il existe deux types de risques d'échantillonnage : Le risque « d’acceptation » incorrecte - le risque que la caractéristique ou l'hypothèse

testée soit validée alors qu'en réalité, elle est fausse, Le risque de rejet incorrect - le risque que la caractéristique ou l'hypothèse testée soit

rejetée alors qu'en réalité, elle est vraie.

Les erreurs acceptables représentent le nombre maximum d'erreurs que l'auditeur est prêt à accep-ter sans pour autant que la validité de l'hypothèse ne soit remise en cause. L'auditeur n’est pastoujours maître de la fixation de ce nombre maximum, car elle peut être déterminée par la naturede l'activité, les avis du management ou les meilleures pratiques. Dans certains cas, une seuleerreur ne sera pas acceptable.

Le risque « d’acceptation » incorrecte est dénommé par les statisticiens risque de première espèce ou seuil de signification(α). α désigne la probabilité de se tromper, c'est-à-dire de rejeter l’hypothèse nulle (la population est homogène) alorsqu’elle est vraie.Le risque de rejet incorrect est dénommé par les statisticiens risque de deuxième espèce ou d’erreur de deuxième espèce (β).β désigne la probabilité de se tromper (ne pas rejeter l’hypothèse nulle d’homogénéité de la population alors qu’elle estfausse). Il s‘agit de la puissance du test.En pratique, c’est surtout l’erreur de première espèce qui est utilisée.

Le §5 de la norme ISA 530 donne des exemples de risque d’échantillonnage en audit :• conclure que les contrôles sont plus efficaces qu’ils ne le sont en réalité, ou qu’il n’y a pas d’anomalies significatives

alors qu’il en existe en réalité,• conclure que les contrôles sont moins efficaces qu’ils ne le sont en réalité, ou qu’il existe une anomalie significative alors

qu’il n’en existe pas en réalité.

Commentaire IFACI

L’auditeur interne devra s’assurer qu’un écart, même minime, ne générera pas de graves désordres.

Commentaire IFACI

217



Les erreurs escomptées sont celles que l'auditeur s’attend à trouver dans la population sur la basede précédents résultats d'audit, de modifications des processus et de preuves/conclusions prove-nant d'autres sources.

12. Le niveau de risque d'échantillonnage que l'auditeur est prêt à accepter, l'erreur acceptableet l'erreur escomptée sont autant de facteurs qui influent sur la taille de l'échantillon. Le risqued'échantillonnage devrait être cohérent avec les éléments pris en compte pour définir lerisque d’audit. Ce risque d'audit comprend le risque inhérent, le risque associé aux contrôleset le risque de non-détection.

13. Des procédures d'échantillonnage efficaces augmentent la couverture, la précision et l'effi-cience des missions. Elles permettent à l'auditeur de donner une assurance sur les processusopérationnels qui affectent la réalisation des buts et objectifs de l'organisation. Lorsqu'ilrecherche la technique d'échantillonnage appropriée, il est important que l'auditeurcomprenne les directives et les normes communément admises en matière d'échantillon-nage, au même titre que les processus opérationnels et les données sur lesquelles il travaille.

14. L'audit en continu permet à l'auditeur interne de tester l'ensemble de la population en tempsvoulu, tandis que l'échantillonnage d'audit facilite l’analyse de moins de 100 % de la popula-tion.

15. L'auditeur interne devrait analyser les erreurs potentielles détectées dans l'échantillon afinde vérifier qu'il s'agit réellement d'erreurs et, le cas échéant, en déterminer la nature et lacause. En fonction des erreurs avérées, il sera nécessaire de déterminer si des tests supplé-mentaires devraient être envisagés.

16. L'auditeur interne dispose de différentes méthodes statistiques (le paragraphe 6 ci-dessusprésente des exemples de procédures) pour obtenir des preuves d'audit suffisantes. S'il nepeut appliquer les procédures d'audit prévues ou les procédures alternatives à un élémentdonné, l'auditeur interne devrait identifier cet écart par rapport au programme de contrôle.

Pour les tests de confirmation, l’erreur acceptable est fonction du seuil de signification fixé par l’auditeur. Pour les tests deconformité, c’est le taux maximum d’écart que l’auditeur peut tolérer par rapport à une procédure de contrôle prescrite.

Les erreurs escomptées peuvent se fonder sur les résultats des travaux de la seconde ligne de défense, de la mise en œuvrede procédures et des résultats de revues analytiques.

Commentaire IFACI

En pratique, cette décision dépendra des objectifs d’audit.

Commentaire IFACI

MPA

230

0

218

17. L'auditeur interne devrait extrapoler les résultats de l’échantillon à la population, en utilisantune méthode d’extrapolation cohérente avec celle utilisée pour sélectionner l'échantillon.L’extrapolation des résultats de l’échantillon peut nécessiter d'estimer les erreurs ou les écartsprobables dans la population, les erreurs qui pourraient ne pas avoir été détectées du fait del'imprécision de la technique utilisée, ainsi que les aspects qualitatifs des erreurs détectées.La question de savoir si l'échantillonnage a permis de conforter raisonnablement les conclu-sions relatives à la population évaluée devrait être posée.

18. L'auditeur devrait comparer l'erreur escomptée dans la population à l'erreur acceptable. Enfonction du risque d’échantillonnage, il pourra alors envisager de réviser la taille de l’échan-tillon ou d'exécuter des procédures d'audit alternatives.

19. Les papiers de travail devraient être suffisamment détaillés afin de décrire clairement l'objectifde l'échantillonnage et le processus d'échantillonnage utilisés. Les papiers de travail devraientindiquer la source de la population, la méthode d'échantillonnage utilisée, les paramètresd'échantillonnage (par exemple, la valeur de départ utilisée pour générer un tirage aléatoireou la méthode de détermination de la valeur de départ et l'intervalle d'échantillonnage), leséléments sélectionnés, les détails des tests d'audit réalisés et les conclusions obtenues.

20. Lors de la communication, par l’auditeur interne, des résultats des tests et de la conclusion,des informations suffisantes devront être transmises au lecteur pour lui permettre decomprendre le fondement de la conclusion.

Note : Cette MPA porte sur l'échantillonnage d'audit et n'est pas destinée à donner des informa-tions sur l'analyse de données. Pour obtenir des informations sur l'analyse de données, veuillez-vous référer au Guide Pratique d’Audit des Technologies de l’Information (GTAG) 16, de l'IIA, DataAnalysis Technologies.


La réponse à cette question dépendra notamment du seuil de confiance retenu.

Commentaire IFACI

219



MPA 2320-4Assurance en continue

1. Les contrôles sont traditionnellement testés sur une base rétrospective et cyclique, souventplusieurs mois après la réalisation des activités. Ces tests utilisent généralement des tech-niques d’échantillonnage de données historiques. Les missions d’audit, fondées sur de tellesapproches d’échantillonnage, peuvent ne pas correspondre aux besoins de l’organisation, enparticulier lorsque l’évaluation du profil de risque de cette organisation nécessite de prendreen compte des informations récentes. De surcroît, la rapidité avec laquelle les activités et lesorganisations évoluent exige d'identifier de manière plus proactive les enjeux. Pour ce faire,les systèmes d’information peuvent servir de levier pour identifier en temps opportun lesproblèmes éventuels. Lorsque le profil de risques le justifie, l'audit interne devrait envisagerd'évaluer en continu l'efficacité des contrôles au lieu d‘utiliser des tests plus classiques réalisésde manière périodique sur des données historiques relatives à une sélection de dispositifsde contrôle interne ou de risques.

2. Le glossaire du CRIPP définit l’assurance comme un « examen objectif d’éléments probants,effectué en vue de fournir à l’organisation une évaluation indépendante des processus degouvernement d’entreprise, de management des risques et de contrôle ». Le meilleur moyende fournir une assurance en continu consiste à conjuguer la surveillance en continu incom-bant au management et les activités d'audit en continu.

3. La surveillance en continu est un processus managérial qui permet de s'assurer en perma-nence que les dispositifs de contrôle interne fonctionnent de manière efficace. Les événe-ments associés aux risques les plus importants (par exemple, des transactions inhabituellesou non récurrentes) peuvent être identifiés et faire l'objet d'une attention particulière ou detests supplémentaires. En plus des processus de surveillance en continu, des procédures d'au-dit en continu développées par les auditeurs internes peuvent, le cas échéant, être transféréesau management. Elles deviennent alors des procédures de surveillance en continu mises enœuvre par le management.




MPA

230

0

220

4. La plupart des techniques de surveillance en continu utilisées par le management sontsemblables aux techniques d'audit en continu que l'auditeur interne peut employer. La clédu succès en matière de surveillance en continu passe par l’appropriation et la réalisation decette démarche par le management dans le cadre de ses responsabilités de mise en œuvreet de maintien d’un environnement de contrôle efficace. Étant donné que le managementest responsable des dispositifs de contrôle interne, il devrait être en mesure de déterminer,en permanence, s'ils fonctionnent comme prévu. Ainsi, en se mettant en capacité d’identifieret de corriger en temps opportun les problématiques de contrôle il est possible d’améliorerl’ensemble du système de contrôle interne.

5. Les domaines susceptibles de faire l'objet d'un audit en continu devraient être identifiés dansle plan d'audit annuel. L'audit interne devrait utiliser le référentiel de gestion des risques del'organisation (s'il en existe un), ainsi que sa propre évaluation des risques, pour identifier cesdomaines. La fréquence de couverture devrait être déterminée en fonction des facteurs derisque du domaine ou du processus concerné. L'audit en continu permet aux auditeursinternes d'identifier et d'évaluer les risques, et de réagir de manière judicieuse et dynamiqueaux changements au sein de l'organisation. Il contribue également à identifier et évaluer lerisque.

6. Le soutien des principales parties prenantes est indispensable pour le succès de l'audit encontinu. Les étapes suivantes devraient être envisagées pour développer et maintenir lesactivités d'audit en continu : Hiérarchiser les domaines à couvrir et sélectionner une approche d'audit en continu. Définir les exigences en termes de livrables. Sélectionner les outils d'analyse, qui peuvent être développés en interne ou être fournis

par un éditeur de logiciel. Définir le périmètre des procédures d'audit en continu. Évaluer l'intégrité des données et préparer les données. Prendre connaissance de l'approche de surveillance en continu du management. Concevoir et mettre en œuvre des procédures d'audit en continu pour évaluer les

contrôles et identifier les défaillances.

7. Une fois les objectifs d'audit en continu définis, il convient d’obtenir le soutien de la directiongénérale sur le périmètre retenu.

8. Les fichiers de données, tels que les fichiers de transactions détaillées, sont souvent conservéssur une courte durée. Par conséquent, l'auditeur interne devrait prendre les mesures néces-saires pour la conservation des données appropriées. Une bonne organisation, en amont, del’accès aux programmes/systèmes et aux données permet de limiter les interférences avecl'environnement de production. L'auditeur interne devrait évaluer l'impact potentiel sur l'uti-lisation des procédures d'audit en continu des modifications apportées aux


221


programmes/systèmes de production, y compris à la sécurité des accès. L'auditeur internedevrait obtenir une assurance raisonnable quant à l'intégrité, la fiabilité, l'efficacité et la sécu-rité des procédures d'audit en continu, grâce à une planification, une conception, des tests,un traitement et une revue appropriés de la documentation.

9. L'auditeur interne devrait examiner l’adéquation des activités de surveillance en continu dumanagement. Cela permettra de déterminer dans quelle mesure l'audit interne peut se fierà l'environnement de contrôle de l'organisation, ce qui influera sur la nature et la fréquencedes travaux d'audit.

10. Lorsqu'il définit le calendrier, le périmètre et le niveau de couverture des tests d'audit encontinu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'ap-pétence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance encontinu par le management.

11. Les activités d'audit en continu vont de l’analyse en temps réel à une analyse périodique detransactions détaillées, d’états sélectionnés automatiquement à des intervalles de tempspréalablement définis ou de données consolidées. La fréquence de ces analyses dépendradu niveau de risque associé au système ou au processus examiné, ainsi que de la pertinencede la surveillance en continu réalisée par le management et des ressources disponibles. Lessystèmes critiques dotés de contrôles clés peuvent être soumis à une analyse en temps réeldes données relatives aux transactions. L'auditeur interne devrait prendre en considérationles exigences réglementaires et les mesures prises par le management pour gérer les expo-sitions aux risques et leur impact potentiel. Une fois que le management a mis en œuvre lesprocessus de surveillance en continu des contrôles, les auditeurs internes et les auditeursexternes devraient déterminer dans quelle mesure ils peuvent s'appuyer sur ces processuspour réduire l’ampleur de leur programme de tests détaillés.

12. Lorsque les procédures d'audit en continu sont modifiées, l'auditeur interne devrait effectuerune revue des modifications en termes d'intégrité, de fiabilité, d’efficacité et de sécurité. L'au-diteur interne devrait documenter les résultats de cette revue avant de s'appuyer sur lesprocédures d'audit en continu modifiées.

13. Une fois les procédures d'audit en continu mises en œuvre, l'auditeur interne devrait analyserles résultats afin d'identifier les transactions non conformes. Il est possible d'identifier l’ac-croissement des niveaux de risque par une analyse comparative (entre processus, entre enti-tés, des résultats du même test dans le temps). L'un des enjeux de la mise en œuvre d'unsystème d'audit en continu ou de surveillance en continu réside dans le traitement efficacedes risques et des écarts identifiés. Lorsqu'un système d'audit en continu ou de surveillanceen continu est mis en œuvre, il s'avère souvent, après investigation, qu'un grand nombred’écarts ne sont pas des sujets de préoccupation. Le système d'audit en continu devrait


MPA

230

0

222

permettre l'ajustement des paramètres de test, afin que ces écarts n'engendrent ni alerte ninotification. Une fois le processus d'identification des faux positifs exécuté, il sera d’autantplus possible de s’appuyer sur le système pour identifier uniquement les défaillances decontrôle ou les risques significatifs.

14. Tout contrôle défaillant et/ou risque potentiel identifié grâce à l'audit en continu devrait êtrecommuniqué au management. In fine, l'auditeur interne devrait, le cas échéant, demanderau management de spécifier le plan d'action et le calendrier de résolution. Une fois lesmesures appropriées prises, l'auditeur interne peut envisager d'utiliser à nouveau leprogramme d'audit en continu pour vérifier si la solution adoptée a permis de remédier à lafaiblesse de contrôle et de réduire le niveau de risque.

15. L'auditeur interne devrait revoir périodiquement l'efficience et l'efficacité des programmesd'audit en continu. Il peut s'avérer nécessaire d'ajouter des points de contrôle ou des mesuresd’expositions aux risques, et d'en supprimer d'autres, en fonction de la mise à jour de l’éva-luation des risques. Il peut également s'avérer nécessaire de renforcer ou d'assouplir les seuils,les tests de contrôle et les paramètres de diverses analyses.

16. Le processus d'audit en continu devrait être suffisamment documenté afin d'apporter despreuves d'audit adéquates. La MPA 2330-1, « Documentation des informations », contientdes recommandations supplémentaires à ce sujet.


223



MPA 2330-1Documentation des informations

1. Les auditeurs internes préparent les papiers de travail qui servent à documenter les informa-tions obtenues, les analyses faites, et qui confortent les conclusions et les résultats de lamission. Le management du service d’audit interne révise les papiers de travail.

2. Les papiers de travail servent généralement à : aider à la planification, à l’exécution et à la révision des missions ; fournir le principal document d’appui pour les résultats de la mission ; documenter la réalisation des objectifs d’audit ; démontrer l’exactitude et l’exhaustivité du travail effectué ; fournir une base pour le programme d’assurance et d’amélioration qualité de l’audit

interne ; faciliter la revue par des tiers.

3. L’organisation, la conception et le contenu des dossiers de travail de l’audit sont fonction dela nature de la mission ainsi que des objectifs et des besoins de l’organisation. Les dossiersde travail comprennent tous les éléments du processus, de la planification à la communica-tion des résultats.

4. Le responsable de l'audit interne définit les règles, adaptées à chaque type de mission, àsuivre en matière de papiers de travail. La normalisation des papiers de travail tels que lesquestionnaires et les programmes d’audit peut améliorer l’efficacité d’une mission et faciliterla délégation du travail. Certains papiers de travail peuvent être considérés comme perma-nents ou être intégrés dans des dossiers qui contiennent des informations importantes àcaractère permanent.

2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclu-sions et les résultats de la mission.


MPA

230

0


MPA 2330.A1-1Contrôle des dossiers d’audit

1. Les dossiers d’audit comportent, quel que soit le moyen de stockage, des rapports, despreuves, des notes de révision et des correspondances. Les dossiers et les papiers de travailde la mission sont la propriété de l’organisation. L’audit interne contrôle les papiers de travailet ne les rend accessibles qu’au personnel autorisé.

2. Les auditeurs internes peuvent sensibiliser la direction générale et le Conseil au sujet de l'ac-cès des personnes externes aux dossiers de la mission. Les règles concernant le droit d’accèsaux dossiers, les modalités de traitement des demandes d'accès, et les procédures à suivrelorsqu’une mission d’audit est utilisée en tant que preuve pendant une enquête, devront êtrerevues par le Conseil.

3. Les procédures d’audit interne précise le responsable du contrôle et de la sécurité des dossiersdu service, les équipes internes ou externes qui peuvent avoir accès aux dossiers d’audit, ainsique les modalités de traitement des demandes d’accès à ces dossiers. Ces procédures varie-ront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et desprérogatives d’accès définies par la loi.

4. Le management et les autres membres de l’organisation peuvent demander l’accès au dossierd’audit ou à des papiers de travail spécifiques. Un tel accès peut être nécessaire pour corro-borer ou expliquer les constatations et recommandations de la mission ou à d’autres finsprofessionnelles. Le responsable de l'audit interne approuve ces demandes.

5. Le responsable de l'audit interne approuve l’accès des auditeurs externes aux papiers detravail.

2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Ildoit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant decommuniquer ces dossiers à des parties extérieures.


En France, compte tenu des responsabilités respectives du Conseil et de la direction générale, cette revue ne peut être faiteque par la direction générale.

Commentaire IFACI

225



6. Il y a des cas où les demandes d’accès aux papiers de travail et aux rapports sont faites pardes personnes extérieures à l’organisation, autres que les auditeurs externes. Avant de fournirla documentation demandée, le responsable de l'audit interne obtient l’approbation de ladirection générale et/ou, le cas échéant, du conseiller juridique.

7. Potentiellement, les dossiers d’audit interne qui ne sont pas spécifiquement protégés,peuvent être consultés dans le cadre de poursuites judiciaires. Les conditions légales varientde façon significative selon les juridictions. Lorsqu’il y a une demande spécifique de dossiersd’audit liée à une procédure judiciaire, le responsable de l’audit interne travaille en étroitecollaboration avec le conseiller juridique pour déterminer ce qui peut être mis à disposition.

En France, les rapports d’audit interne sont, en tant que de besoin, à la disposition de la justice. Pour le secteur bancaire, l’article 41 du règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenusà la disposition des Commissaires aux comptes et du secrétariat général de la Commission Bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence etcirconspection. Nous renvoyons ici aux commentaires formulés à propos du Code de Déontologie.

Commentaire IFACI

MPA

230

0


MPA 2330.A1-2Autorisation d’accès aux dossiers de la mission

1. Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, lesnotes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé.On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposerà la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connais-sance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal inter-préter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par destiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuitespénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchéspublics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer.La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret profes-sionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales.Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonc-tion du pays de l’organisation.

2. Des procédures explicites de l’audit interne peuvent permettre de renforcer le contrôle del’accès aux dossiers de la mission.

3. L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soitle support d’archivage utilisé.

2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Ildoit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant decommuniquer ces dossiers à des parties extérieures.


Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étantsusceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente ModalitéPratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travauxeffectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme lesystème juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnelliant l’avocat à son client.

Commentaire IFACI

227



4. Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers dela mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeursinternes traiteront les notes de revue validées. Ces règles devraient également spécifier ladurée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit internespécifie la durée de conservation des dossiers de la mission, il devrait tenir compte desbesoins de l’organisation et de la législation.

5. Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsabledu contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accèsaux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être trai-tées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dansle pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courantde l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définitces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéderaux dossiers de l’audit interne.

6. La procédure qui accorde un accès aux dossiers de la mission peut également définir desprocessus permettant de : résoudre les problèmes d’accès ; sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant

l’accès à leurs travaux ; déterminer qui pourra demander à accéder à ces travaux.

7. Le responsable de l’audit interne peut également sensibiliser la direction générale et leConseil aux risques d’accès aux dossiers de la mission. Le Conseil peut examiner les règlesindiquant qui peut être autorisé à accéder aux dossiers et comment ces demandes doiventêtre traitées. Certaines règles dépendront de la nature de l’organisation et des droits d’accèsprévus par la législation.

8. En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne : ne produit que certains documents spécifiques, conformément aux indications du

juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documentscouverts par le secret professionnel liant l’avocat à son client. Les documents qui révè-lent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par lesecret professionnel et leur communication n’est pas obligatoire ;

présente les documents sous une forme qui empêche leur modification (par exemple,un scan de préférence à un fichier de traitement de texte). Concernant les documentssur papier, le responsable de l’audit interne en diffuse des copies et conserve les origi-naux ;

appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indi-quant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.

MPA

230

0


MPA 2330.A2-1Conservation des dossiers

1. Les modalités de conservation des dossiers d’audit varient en fonction des juridictions et del’environnement légal.

2. Le responsable de l’audit interne rédige une politique de conservation qui répond auxbesoins de l’organisation et aux obligations légales des juridictions dans lesquelles elle opère.

3. La procédure de conservation des dossiers devra inclure des dispositions spécifiques pour laconservation des dossiers liés aux missions réalisées par des prestataires extérieurs.

2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservationdes dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doiventêtre cohérentes avec les orientations définies par l'organisation et avec toute exigence régle-mentaire ou autre.


229



MPA 2340-1Supervision de la mission

1. Le responsable de l'audit interne ou son représentant assurent une supervision adéquate dela mission. La supervision est un processus qui débute avec la planification de la mission etse poursuit sur l’ensemble de la mission. Ce processus consiste à : s’assurer que les auditeurs désignés possèdent collectivement les connaissances, le

savoir-faire et les autres compétences requises pour réaliser la mission ; donner des instructions appropriées durant la planification de la mission et approuver

le programme de travail de la mission ; vérifier que le programme de travail approuvé est correctement réalisé sous réserve

que les changements soient justifiés et autorisés ; contrôler que les papiers de travail contiennent les éléments probants justifiant les

constats, conclusions et recommandations de la mission ; s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans les

délais fixés ; s’assurer que les objectifs d’audit ont été atteints ; saisir toutes les occasions pour développer les connaissances, le savoir-faire et les autres

compétences des auditeurs internes.

2. Le responsable de l'audit interne a la responsabilité de toutes les missions d’audit qu’ellessoient effectuées par ou pour le compte de l’audit interne. Il est aussi responsable de toutesles opinions professionnelles significatives formulées lors de la mission. Le responsable de

2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifssont atteints, la qualité assurée et le développement professionnel du personnel effectué.

Interprétation : L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilitéde la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et lacompétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être docu-mentée et conservée dans les papiers de travail.


MPA

230

0


l'audit interne met également en place les moyens appropriés pour assumer cette respon-sabilité. Les moyens appropriés incluent les règles et procédures destinées à : minimiser le risque que des auditeurs internes ou d’autres personnes réalisant des

travaux pour l’audit interne aient des opinions professionnelles ou entreprennent desactions qui soient en désaccord avec l’opinion professionnelle du responsable de l'auditinterne ce qui aurait un impact défavorable sur la mission ;

régler les conflits d’opinion professionnelle entre le responsable de l'audit interne et lesauditeurs internes sur les points importants de la mission. Les moyens à utiliser peuventêtre :- le débat sur les constats pertinents ; - des enquêtes et recherches complémentaires ; - la mention dans les papiers de travail de la mission, des différents points de vue, avec

documents à l’appui. En cas de divergence de jugements professionnels sur une question d’éthique, il peut êtrefait appel aux personnes qui, dans l’organisation, ont des responsabilités dans ce domaine.

3. Tous les papiers de travail sont revus afin de s’assurer qu’ils supportent le rapport d’audit etque les procédures d’audit nécessaires ont été mises en œuvre. Cette revue est matérialiséepar l’apposition, sur chaque papier de travail revu, des initiales du superviseur et de la date.D’autres techniques de révision qui fournissent une preuve de la revue incluent : une check-list de révision des papiers de travail de la mission ; un mémorandum précisant la nature, l’étendue et les résultats de la revue ; des revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail.

4. Les superviseurs peuvent préparer une liste écrite des questions (notes de revue) soulevéesau cours de la revue. Au moment de la levée des points de revue, il convient de prendre soinde vérifier que le dossier de travail contient les éléments démontrant que les questions soule-vées lors de la revue sont résolues. Les alternatives en ce qui concerne la conservation desfeuilles de notes, sont les suivantes : garder les notes de revue en tant qu'enregistrement des questions soulevées par le

superviseur et des actions entreprises pour les résoudre ainsi que les résultats de cesactions ;

éliminer les notes de revue après que les problèmes soulevés aient été résolus et queles documents de travail nécessaires aient été modifiés pour fournir les informationsexigées.

5. La supervision de la mission est aussi l’occasion de former et de développer les compétencesde l’équipe et d’évaluer les performances.

mPA SÉrIE 2400CommuNICAtIoN DES rÉSultAtS



MPA

240

0

233



MPA 2400-1Aspects légaux de la communication des résultats

1. L’auditeur interne doit prendre toutes les précautions nécessaires avant de communiquerune non-conformité vis-à-vis de la législation, de la réglementation ou tout autre problèmed’ordre juridique. Il est vivement recommandé de mettre en place des règles et des procé-dures à cet égard et de travailler en étroite collaboration avec d’autres intervenants compé-tents (conseiller juridique, déontologue / Compliance Officer, etc.).

2. Les auditeurs internes rassemblent des preuves, émettent des jugements fondés sur desanalyses, rendent compte des résultats de leurs travaux et s’assurent que le management amis en place des actions correctives appropriées. Les impératifs de l’auditeur interne, qui esttenu de constituer les dossiers d’audit, peuvent être difficiles à concilier avec ceux du conseil-ler juridique, qui est lui soucieux de ne pas mentionner d’éléments susceptibles de compro-mettre l’organisation sur le plan juridique. Par exemple, même si l’auditeur interne collecteet évalue correctement les informations, les faits et les analyses divulgués peuvent avoir, d’unpoint de vue juridique, une incidence négative sur l’organisation. Une planification et desprocédures appropriées (notamment la définition du rôle de chacun et des modalités decommunication) sont essentielles pour éviter qu’une révélation soudaine des faits neprovoque un désaccord entre le conseiller juridique et l’auditeur interne. Par ailleurs, l’auditeurinterne et le conseiller juridique doivent favoriser, au sein de l’organisation, une cultureéthique et une approche préventive en sensibilisant le management aux procédures établies.

2400 - Communication des résultats

Les auditeurs internes doivent communiquer les résultats des missions.


Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étantsusceptible de différer de façon significative selon les pays. Les directives contenues dans la présente Modalité Pratiqued’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectuéspour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le systèmejuridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liantl’avocat à son client.

Commentaire IFACI

MPA

240

0

234

3. Une communication privilégiée (relation de confiance visant à rechercher, obtenir ou appor-ter une assistance juridique au client) est nécessaire pour protéger le secret professionnelliant l’avocat à son client. Le secret professionnel, dont le principal objet est de protéger lesinformations communiquées aux avocats, peut également s’appliquer aux informationscommuniquées à des tiers travaillant avec un avocat.

4. Certains tribunaux reconnaissent un « droit d’auto-analyse critique » qui permet de préserverla confidentialité de documents d’autocritique tels que les travaux d’audit. En règle générale,la reconnaissance de ce droit repose sur le postulat selon lequel la confidentialité des analyseseffectuées, dans ces cas, prime sur l’intérêt général.

5. En règle générale, la protection par le secret professionnel s’applique lorsque : les informations protégées par le secret proviennent d’une analyse autocritique effec-

tuée par la partie qui invoque le secret ; la protection des informations contenues dans l’analyse critique est dictée par l’intérêt

général ; il s’agit d’informations dont la divulgation éventuelle aurait pour effet de restreindre le

flux d’autres informations.

6. Lorsque la demande de transmission des documents émane d’une administration publique,il est plus difficile de faire admettre l’existence d’un droit au secret fondé sur l’auto-évaluation.Cette attitude est vraisemblablement liée au fait que le respect du droit revêt un plus grandintérêt pour l’État.

7. Les documents susceptibles de bénéficier de la protection par le secret professionnel devrontgénéralement avoir été établis : dans le cadre de travaux (mémos, programmes informatiques, par exemple) ; en prévision d’un litige ; par une personne travaillant selon les instructions de l’avocat.

8. Les documents établis et remis à l’avocat avant l’établissement de la relation privilégiée avecson client ne sont généralement pas protégés par le secret professionnel.


235


MPA 2410-1Contenu de la communication

1. Le format et le contenu des rapports définitifs d’audit varient selon l’organisation et le typede mission. Cependant, ils contiennent, au minimum, les objectifs, le périmètre et les résultatsde l’audit.

2. Les rapports définitifs d’audit peuvent comporter des informations sur le contexte et dessynthèses. Les informations sur le contexte peuvent présenter les entités et activités exami-nées et fournir des explications. Le statut des observations, conclusions et recommandationsdes rapports précédents peut aussi être repris ; on peut aussi indiquer si cet audit est unemission inscrite au plan d’audit ou répondant à une demande particulière. Les synthèsesconstituent un exposé proportionné du contenu du rapport.

3. L'exposé de l'objet de la mission décrit les objectifs de la mission et informe le lecteur desmotifs de la mission et des résultats escomptés.

4. L’exposé du périmètre de la mission précise les activités auditées et peut comporter des infor-mations complémentaires telles que la période couverte et les activités connexes non exami-nées afin de délimiter l’intervention. Il peut préciser la nature et l’étendue des travaux réalisés.

5. Les résultats comprennent les observations, les conclusions, les opinions, les recommanda-tions et les plans d'actions.

6. Les observations sont des exposés pertinents des faits. L’auditeur interne communique lesobservations nécessaires pour soutenir ses conclusions et recommandations, et éviter lesmalentendus. L’auditeur interne peut communiquer de manière informelle les informationsou observations moins importantes.


2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,recommandations et plans d'actions.


MPA

240

0

236

7. Les observations et recommandations sont le résultat d’un processus de comparaison d’unréférentiel (la situation normale) et d’un fait (la situation actuelle). Qu’il y ait ou non constatd’un écart, l’auditeur interne dispose d’éléments sur lesquels fonder son rapport. Lorsque lessituations sont conformes au référentiel, il peut être approprié de faire état dans le rapportd’audit d’un fonctionnement satisfaisant. Les observations et recommandations sont fondéessur les caractéristiques suivantes : des référentiels : les normes, mesures ou exigences requises, utilisés pour évaluer ou

vérifier (la situation normale) ; des faits : les preuves factuelles identifiées par l’auditeur interne au cours de son examen

(la situation actuelle) ; des causes : la raison de la différence entre les situations attendues et existantes; des conséquences : le risque ou le danger encouru par l’organisation ou d'autres, du

fait que les situations diffèrent du référentiel (l’impact de la différence). Pour déterminerl'importance du risque ou de l'enjeu, les auditeurs internes prennent en considérationles conséquences de leurs observations et recommandations sur le fonctionnement etles états financiers de l'organisation ;

les observations et recommandations peuvent inclure les réalisations de l’entité auditée,des questions connexes et des informations destinées à étayer les conclusions.

8. Les conclusions et les opinions sont les évaluations de l’auditeur interne sur les conséquencesdes observations et recommandations sur les activités auditées. Habituellement, elles situentles observations et recommandations dans la perspective de leurs implications globales. Lesconclusions de la mission sont clairement exposées dans le rapport d’audit. Elles peuventporter sur l'ensemble du champ audité ou sur des aspects particuliers. Elles peuvent exposer,entre autres, dans quelle mesure les objectifs opérationnels et les programmes sontconformes à ceux de l’organisation, si les buts et objectifs de l'organisation sont atteints, et sil’activité examinée fonctionne comme prévu. L’opinion peut consister en une évaluationglobale des contrôles ou être limitée à des contrôles spécifiques ou certains aspects de lamission.

9. L’auditeur interne peut communiquer des recommandations sur les améliorations et faireétat des fonctionnements satisfaisants et des mesures correctives. Les recommandations sontfondées sur les observations et conclusions de l’auditeur interne. Elles appellent des actionsdestinées à corriger les situations existantes ou à améliorer le fonctionnement et peuventsuggérer des approches visant à corriger ou à améliorer le fonctionnement, approches quele management peut utiliser comme guide pour l’atteinte des résultats fixés. Les recomman-dations peuvent être de nature générale ou spécifique. Par exemple, l’auditeur interne peutrecommander une ligne de conduite générale et des propositions spécifiques de mise enœuvre. Dans d’autres cas, l’auditeur interne peut suggérer un examen ou une étude complé-mentaire.


237


10. L’auditeur interne peut communiquer sur les réalisations de l’audité, qu'il s'agisse d'amélio-rations apportées depuis le dernier audit, ou de la mise en place d’activités bien maîtrisées.Cette information peut être nécessaire pour représenter fidèlement les conditions actuellesd’exercice, offrir une perspective et assurer un équilibre dans le rapport d’audit.

11. L’auditeur interne peut communiquer les points de vue de l’audité sur les conclusions ourecommandations de l’audit.

12. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtientl’accord de l'audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélio-ration des activités. Si l’auditeur interne et l’audité ne s’entendent pas sur les résultats de l’au-dit, le rapport d'audit mentionne les deux positions ainsi que les raisons du désaccord. Lescommentaires écrits de l’audité peuvent être inclus en annexe au rapport, dans le corps durapport ou dans une lettre introductive.

13. Il peut ne pas être opportun de communiquer certaines informations à tous les destinatairesdu rapport, notamment lorsqu’il s’agit de renseignements couverts par le secret professionnel,protégés ou relatifs à des actes irréguliers ou illégaux. Ces informations sont alors inclusesdans un rapport distinct. Si les faits rapportés impliquent la direction générale, le rapport estadressé au Conseil.

14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière offi-cielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des infor-mations nécessitant une attention immédiate, pour signaler un changement dans le champde la mission ou pour informer le management de l’avancement des travaux lorsque lamission est de longue durée. L’emploi de rapports intermédiaires ne réduit ni n’élimine lanécessité d'un rapport définitif.

15. Un rapport signé est émis à la fin des travaux. Des notes de synthèse mettant en évidenceles résultats de la mission sont recommandées pour les supérieurs hiérarchiques de l’audité ;elles peuvent être émises séparément ou conjointement avec le rapport définitif. Le terme «signé » signifie que l'auditeur autorisé signe manuellement ou électroniquement le rapportou la lettre de couverture. Le responsable de l’audit interne détermine l’auditeur interne auto-risé à signer le rapport. Si les rapports d'audit sont diffusés par des moyens électroniques, unexemplaire signé manuellement est archivé à l'audit interne.


MPA

240

0

238

MPA 2420-1Qualité de la communication

1. Collecter, évaluer et synthétiser les données et les preuves avec soin et précision.

2. Développer et énoncer les constats, conclusions et recommandations sans préjugé, parti pris,intérêt personnel ni influence inappropriée.

3. Améliorer la clarté en évitant l’utilisation d’un langage excessivement technique et en four-nissant toute l’information significative et pertinente dans ce contexte.


2420 – qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émiseen temps utile.

Interprétation : Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluationéquitable et mesurée de tous les faits et circonstances pertinents. Une communication claire estfacilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement techniqueet fournit toute l’information significative et pertinente. Une communication concise va droit à l’es-sentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ouverbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des amélio-rations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit essentielaux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi que lesobservations permettant d’étayer les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos, elle permet au managementde prendre les actions correctives appropriées en fonction du caractère significatif de la probléma-tique.


239


4. Préparer des communications dont chaque élément est porteur de sens tout en étantconcises.

5. Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifsde l’organisation.

6. S’assurer que la communication est cohérente avec le style et la culture de l’organisation.

7. Prévoir le délai de présentation des résultats de la mission afin d’éviter des contretemps exces-sifs.


Les besoins et donc les critères de concision diffèrent selon les publics cibles.Les audités et leur hiérarchie immédiate veulent un document complet, intégrant une argumentation détaillée etéventuellement technique du raisonnement de l'auditeur. Ceci conditionne l’adhésion aux constats et auxrecommandations des auditeurs.La direction générale veut être informée mais n'est pas en charge de la conduite opérationnelle de la résolution desproblèmes. Elle veut donc l'essentiel, sous forme d’une contraction de texte sans la démonstration technique détaillée.

Commentaire IFACI

Il est utile de donner aux audités des indications de lecture sous la forme de remarques liminaires. A titre d’exemples : • Ce document est un rapport d'audit interne. Il vous est demandé de ne pas le diffuser car il contient des informations

confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnementspour faire développer des actions de progrès mais il n’oublie pas de noter, en quelques phrases, ce qui fonctionnecorrectement.

• Il contient des recommandations. Une recommandation est une piste d’amélioration proposée au responsable habilitéà mener l'action. Celui-ci est en charge de développer et mettre en place une solution au problème soulevé : celleproposée ou une meilleure.

Commentaire IFACI

MPA

240

0

240

MPA 2440-1Diffusion des résultats de la mission

1. Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveaude management approprié avant que le responsable de l’audit interne n'émette le rapportdéfinitif. Ceci est habituellement effectué pendant le déroulement de la mission ou lors desréunions postérieurs aux travaux (par exemple, les réunions de clôture).

2. Une autre technique consiste à faire revoir au management de l'activité auditée des points,observations et recommandations envisagés. Ces discussions et révisions aident à éviter lesmalentendus ou fausses interprétations des faits et offrent à l’entité auditée l’occasion declarifier certains points particuliers et d’exprimer son opinion sur les observations, les conclu-sions et les recommandations.

3. Le niveau hiérarchique des participants aux discussions et aux révisions varie selon l’organi-sation et la nature du rapport d’audit; elles impliquent généralement les personnes quiconnaissent précisément les opérations auditées et celles qui sont en mesure d’autoriser lamise en œuvre de mesures correctrices.

4. Le responsable de l’audit interne adresse le rapport définitif au management de l’activitéauditée et aux membres de l’organisation qui peuvent s’assurer que les résultats de l’audit


2440 – Diffusion des résultats de la mission

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

Interprétation : Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapportdéfinitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé.Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière respon-sabilité.


Ceci sera facilité si le management audité a été considéré tout au long de la mission comme un partenaire. Ceci est le casnotamment lorsque des échanges périodiques ont lieu au cours de la mission sur le déroulement de celle-ci.

Commentaire IFACI

241


recevront l’attention nécessaire et qui peuvent entreprendre les actions correctives qui s’im-posent ou s’assurer que de telles mesures seront prises. Lorsque cela est approprié, le respon-sable de l’audit interne peut adresser une note de synthèse aux membres de l’organisationoccupant un poste plus élevé dans la hiérarchie. Lorsque cela est prévu dans la charte d’auditinterne ou par une règle interne, le responsable de l’audit interne communique égalementles résultats de la mission aux personnes intéressées ou concernées, telles que les auditeursexternes et le Conseil.


C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Ilconvient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ ou aucomité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit internepeuvent être communiqués à la justice.

Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à ladisposition des Commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc deprésenter les faits dont ont eu connaissance les auditeurs internes avec discernement.

Commentaire IFACI

MPA

240

0


MPA 2440-2Communication d’informations sensibles

dans ou en dehors de la ligne hiérarchique

1. Les auditeurs internes entrent souvent en possession d’informations très sensibles, qui sontimportantes pour l’organisation et peuvent avoir des conséquences significatives. Ces infor-mations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, desgaspillages, des erreurs de gestion, des activités illégales, des abus de pouvoir, une mauvaisegestion mettant en danger la santé ou la sécurité publique, ou d’autres méfaits. Du reste, cesdifférents éléments peuvent porter préjudice à la réputation de l’organisation, à son image,sa compétitivité, sa réussite, sa viabilité, sa valeur boursière, ses investissements et ses actifsincorporels ou ses bénéfices.

2. S’il estime que les informations nouvelles sont importantes et crédibles, l’auditeur interne lescommunique en principe, dans des délais appropriés, à la direction générale et au Conseilconformément à la Norme 2060 et à la MPA 2060-1. Cette communication suivra générale-ment la ligne hiérarchique normale pour l’auditeur interne.

3. Si, à l’issue de ces discussions, le responsable de l’audit interne conclut que la direction géné-rale expose l’organisation à un risque inacceptable et qu’elle ne prend pas les mesures appro-priées, le responsable de l’audit interne doit alors présenter les informations et les divergencesd’opinions au Conseil, conformément à la Norme 2600.

4. Le scénario classique de communication par la ligne hiérarchique peut être accéléré, pourcertains types d’événements sensibles, en vertu de la législation nationale, de la réglemen-tation ou de pratiques communément admises. Par exemple, en cas de publication d’infor-

2440 – Diffusion des résultats de la mission

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

Interprétation : Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapportdéfinitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé.Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière respon-sabilité.


243


mations financières frauduleuses par une société cotée, la réglementation locale peut prévoirl’obligation d’informer sans délai le Conseil des circonstances entourant le risque de publica-tion de rapports financiers erronés et ce, même si la direction générale et le responsable del’audit interne sont d’accord sur les mesures à prendre. Dans certains pays, la législation et laréglementation indiquent que le Conseil devrait être informé de la découverte d’une infrac-tion aux lois pénales, aux lois relatives aux titres de sociétés, à l’alimentation, aux stupéfiantsou à la pollution, ou de tout autre acte illégal, tel que la corruption ou toute autre forme deversement abusif effectué en faveur de fonctionnaires, de fournisseurs ou de clients.

5. L’auditeur interne peut, dans certaines situations, faire face à un dilemme lorsqu’il envisagede communiquer des informations à des personnes à qui il n’est pas hiérarchiquement ratta-ché ou même à l’extérieur de l’organisation. Cette communication est communément dési-gnée par l’expression « whistleblowing » (« droit d’alerte »). La divulgation d’informationsnégatives à une personne qui fait partie de l’organisation, mais sans passer par la ligne hiérar-chique de l’auditeur interne relève du droit d’alerte interne, tandis que le droit d’alerte externeconsiste à communiquer des informations à une administration ou une autre instance exté-rieure à l’organisation.

6. La majorité des personnes qui lance une alerte interne divulgue des informations sensibles.Elles le feront d’autant plus facilement qu‘elles ont confiance dans la capacité des procédureset des dispositifs, en place dans l’organisation, à déclencher une investigation et les mesuresappropriées en cas d’allégation d’opération illégale ou abusive. Toutefois, certaines personnesen possession d’informations sensibles peuvent décider de les divulguer en dehors de l’or-ganisation, en particulier si elles redoutent des représailles de la part de leur employeur oude collègues, si elles doutent que l’affaire sera correctement investiguée, si elles pensentqu’elle sera dissimulée ou si elles détiennent la preuve d’une opération illégale ou abusivemettant en péril la santé, la sécurité ou le bien-être de membres de l’organisation ou de lacommunauté.

7. Lorsqu’il choisit d’utiliser le droit d’alerte interne, l’auditeur interne doit évaluer d’autresmoyens de signaler le risque à des personnes ou à des groupes qui ne font pas partie de saligne hiérarchique. Étant donné les répercussions et les risques liés à ces démarches, l’auditeurinterne est tenu de peser le caractère probant et raisonnable de ses conclusions et d’examinerles avantages et les inconvénients de chacune des actions envisageables. Une action de cetype peut s’avérer appropriée pour l’auditeur interne si elle doit aboutir à l’adoption d’actionssérieuses par la direction générale ou par le Conseil.


MPA

240

0

244

8. De nombreux pays ont adopté une législation ou une réglementation en vertu desquellesles fonctionnaires qui ont connaissance d’actes illégaux ou contraires à l’éthique sont tenusd’informer un inspecteur général, un autre fonctionnaire ou un médiateur. Certaines lois natio-nales relatives au droit d’alerte protègent les citoyens qui s’apprêtent à divulguer certainstypes d’abus. Les activités énumérées dans la législation et la réglementation de ces payscomprennent notamment : les infractions criminelles et les autres infractions à la loi ; les actes assimilés à des erreurs de justice ; les actes mettant en péril la santé, la sécurité ou le bien-être des personnes ; les actes dommageables pour l’environnement ; les opérations destinées à dissimuler ou à couvrir les actes ci-dessus.

D’autres pays ne proposent aucune directive ni aucun système de protection ou encore neprotègent que les salariés du secteur public (généralement ceux qui ont le statut de fonc-tionnaire).

9. L’auditeur interne devra avoir connaissance de la législation et de la réglementation des diverspays dans lesquels opère l’organisation. Les juristes qui connaissent bien les aspects juridiquesdu droit d’alerte peuvent aider les auditeurs internes confrontés à ce problème. L’auditeurinterne devra consulter un juriste s’il a des doutes sur les conséquences juridiques ou lesdispositions légales en vigueur concernant le droit d’alerte interne ou externe.

10. De nombreuses associations professionnelles requièrent que leurs membres divulguent lesagissements illégaux ou contraires à l’éthique. Le caractère distinctif d’une profession résidedans le fait qu’elle accepte des responsabilités étendues vis-à-vis du public et qu’elle entendpréserver le bien commun. Outre l’examen des obligations légales, les membres de l’IIA, ainsique tous les auditeurs internes CIA, doivent suivre les règles du Code de déontologie de laprofession.


« Dans la mesure où les règles du jeu sont dûment établies et connues de toutes les parties prenantes, le Directeur de l'auditinterne a un devoir d'alerte à l'égard du Comité d'audit pour des faits éminemment graves (délits sanctionnés par la loipénale), commis ou tolérés par la Direction Générale et/ou pouvant mettre en danger la continuité de l'exploitation. […]En cas d'échec d'une telle procédure, il appartiendrait alors au Directeur de l'audit interne de prendre toutes sesresponsabilités.L'Institut est par contre extrêmement réservé sur une permanente organisation formalisée et a fortiori institutionnalisée durôle d'alerte de l'audit interne vis-à-vis des [régulateurs] bancaires et des auditeurs externes. Elle aurait pour conséquence,-grave-, de dénaturer [le rôle] l'audit interne […], [ce qui] serait susceptible d'affecter gravement [sa crédibilité à l’égardde l’exécutif de l’entreprise]. »Extrait de la Prise de Position sur le document consultatif du Comité de Bâle « relatif à l’audit interne dans les banques etaux relations entre les superviseurs bancaires et les auditeurs internes et externes ».

Commentaire IFACI

245


11. L’auditeur interne est tenu, par devoir professionnel et par la déontologie, de peser avec atten-tion tous les éléments probants et le caractère raisonnable de ses conclusions, puis de décidersi d’autres mesures sont nécessaires pour préserver les intérêts de l’organisation, de ses partiesprenantes, de la communauté extérieure ou des institutions de la société. En outre, l’auditeurinterne tiendra compte du principe de confidentialité du Code de déontologie de la profes-sion, respectera la valeur et la confidentialité des informations et s’abstiendra de les divulguersans y être dûment habilité, sauf en cas d’obligation légale ou professionnelle. L’auditeurinterne peut consulter un juriste et, le cas échéant, d’autres experts, durant ce processusd’évaluation. Ces discussions peuvent s’avérer utiles, notamment parce qu’elles permettentd’obtenir un autre point de vue sur les circonstances de l’affaire et de recueillir un avis surl’incidence et les conséquences potentielles des diverses actions envisageables. La démarche,adoptée par l’auditeur interne pour résoudre ce type de situation complexe et sensible, peutdonner lieu à des représailles et, le cas échéant, engager sa responsabilité.

12. En définitive, l’auditeur interne prend une décision professionnelle à propos de ses obligationsvis-à-vis de son employeur. La décision de communiquer, en dehors de la ligne hiérarchique,doit être prise en connaissance de cause. Elle est motivée par des preuves suffisantes et crédi-bles concernant les agissements en cause, et par la nécessité de prendre d’autres mesuresen vertu d’une obligation légale, réglementaire, professionnelle ou déontologique.


Les organisations soumises à la section 301 de la loi américaine Sarbanes-Oxley Act (SOX), disposent d’un dispositif d’alertede type whistleblowing. En France, les traitements des données concernés par un dispositif d’alerte professionnelle sont légaux s’ils répondent à uneobligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans lesseuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il s’agit de l’Autorisation unique N° 4(AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-un-fichier/declaration/mon-secteur- dactivite/mon-theme/je- dois- declarer/declaration-selectionnee/dec-mode/DISPLAYSINGLEFICHEDECL/dec-uid/4/

Commentaire IFACI

MPA

240

0


MPA 2440.A2-1Diffusion des résultats d’audit

en dehors de l’organisation

1. La charte d'audit interne et celle du Conseil, les politiques de l’organisation ou les instructionsspécifiées dans la lettre de mission peuvent contenir des lignes directrices relatives à la diffu-sion d’informations en dehors de l’organisation. À défaut de telles directives, le responsablede l’audit interne peut faciliter l’adoption de politiques appropriées concernant, par exem-ple : l’autorisation requise pour diffuser des informations en dehors de l’organisation ; le processus d’autorisation pour la diffusion d’informations en dehors de l’organisation ; les instructions concernant la nature des informations dont la diffusion est admise ou

non ; les personnes extérieures autorisées à recevoir des informations et la nature des infor-

mations qui peuvent leur être communiquées ; les règles relatives à la confidentialité des données personnelles, les obligations régle-

mentaires et les aspects juridiques à examiner avant toute diffusion d’informations endehors de l’organisation ;

la nature des conclusions, des conseils, des recommandations, des opinions, des instruc-tions et autres informations pouvant être diffusés en dehors de l’organisation.

2. Les demandes d’information peuvent concerner des données qui existent déjà, par exempleun rapport d’audit interne déjà diffusé, ou bien porter sur des informations qui n’ont pasencore été produites ou définies et qui résulteront d’une future mission ou d’un nouveaurapport d’audit interne. Pour les informations déjà existantes, l’auditeur interne examinera sielles peuvent être diffusées en dehors de l’organisation.

2440.A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsablede l’audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinatairesne faisant pas partie de l’organisation :

évaluer les risques potentiels pour l’organisation ; consulter la direction générale et/ou, selon les cas, un conseil juridique ; maîtriser la diffusion en imposant des restrictions quant à l’utilisation des résultats.


247


3. Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur unrapport ou des informations existant(s) pour permettre une diffusion appropriée en dehorsde l’organisation.

4. Avant toute diffusion d’informations en dehors de l’organisation, il convient d’examiner lespoints suivants : l’intérêt d’un accord écrit avec le destinataire prévu concernant les informations à diffu-

ser et les responsabilités de l’auditeur interne ; l’identification des fournisseurs et des canaux d’information, des signataires du rapport,

des destinataires des informations et des personnes ayant un lien avec le rapport oules informations diffusées ;

l’identification des objectifs, des limites et des procédures à respecter pour produire lesinformations concernées ;

la nature du rapport ou des autres informations communiquées, notamment lesopinions, les recommandations, les réserves, les limitations et les types de certificationou de déclaration à fournir ;

les droits de reproduction, l’utilisation prévue des informations et les restrictions concer-nant la diffusion ou le partage ultérieur des informations.

5. Si un auditeur interne découvre des informations censées être communiquées à la directiongénérale ou au Conseil au cours d’une mission et que ces données sont soumises à une obli-gation de communication externe, le responsable de l’audit interne doit établir une commu-nication appropriée avec le Conseil à ce sujet.


Des informations délicates destinées, a priori, à la direction générale ou au comité d’audit étant susceptibles d’être connuesà l’extérieur de l’organisation, il convient de présenter les faits dont ont eu connaissance les auditeurs internes avecintelligence, prudence et circonspection.

Commentaire IFACI

MPA

240

0

mPA SÉrIE 2500SurVEIllANCE DES ACtIoNS DE ProgrèS



MPA

250

0

251


MPA 2500-1Surveillance des actions de progrès

1. Pour être en mesure de surveiller efficacement les suites données aux résultats communiquésau management, le responsable de l’audit interne établit des procédures couvrant les aspectssuivants : le délai dans lequel le management doit répondre aux observations et recommanda-

tions de l'audit ; l’évaluation de la réponse du management ; la vérification de la réponse (si nécessaire) ; la réalisation d’une mission de suivi (si nécessaire) ; un processus pour porter, à l’attention du niveau approprié de la direction générale et

du Conseil, les réponses/actions non satisfaisantes et l’acceptation du risque qui enrésulte.

2. Si certaines observations et recommandations de l'audit sont d’une importance telle qu’ellesnécessitent une action immédiate de la part du management ou du Conseil, l'audit internesurveille la réalisation des actions entreprises jusqu’à ce que l’observation soit levée ou quela recommandation soit mise en œuvre.

3. L’audit interne peut efficacement surveiller les progrès en : notifiant les observations et recommandations de l'audit aux niveaux appropriés du

management responsables d’entreprendre les actions ; en collectant et en évaluant les réponses du management et les propositions de plan

d’action par rapport aux observations et recommandations de l'audit, pendant lamission ou dans un délai raisonnable après la communication des résultats de lamission. Les réponses sont d’autant plus utiles qu’elles comportent des informationssuffisantes pour que le responsable de l’audit interne puisse en apprécier la pertinenceet le calendrier des actions proposées ;

en obtenant du management des mises à jour périodiques permettant d’apprécierl'état d’avancement de ses actions pour remédier aux observations et/ou mettre enœuvre les recommandations ;


2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant desurveiller la suite donnée aux résultats communiqués au management.


MPA

250

0

252

en obtenant et en évaluant les informations en provenance d’autres entités de l’orga-nisation ayant reçu la responsabilité du suivi ou de la réalisation d’actions correctives ;

en rendant compte à la direction générale et/ou au Conseil de l’avancement desréponses aux observations et recommandations de l'audit.


253


MPA 2500.A1-1Processus de suivi de la mission

1. Les auditeurs internes déterminent si le management a entrepris les actions correctrices oumis en œuvre les recommandations. Ils s’assurent que les résultats escomptés sont atteints,ou que la direction générale ou le Conseil ont accepté le risque de ne pas engager d’actionsou de ne pas mettre en œuvre les recommandations.

2. Le suivi est un processus par lequel les auditeurs internes évaluent le caractère approprié,effectif et opportun des actions entreprises par le management, en réponse aux observationset recommandations, y compris celles émises par les auditeurs externes ou d'autres interve-nants. Au cours de ce processus il convient également de déterminer si la direction généraleet le Conseil ont assumé le risque de ne pas entreprendre d’action correctrice en réponseaux observations.

3. La charte d’audit interne devra définir la responsabilité du suivi. Le responsable de l’auditinterne fixe la nature, le calendrier et l'étendue du suivi en considérant les facteurs suivants : l’importance des observations et recommandations ; le niveau d’effort et le coût nécessaire pour corriger les situations énoncées; l’impact que pourrait avoir l’échec de l’action corrective ; la complexité de l’action corrective ; les délais.

4. Le responsable de l’audit interne assure la planification des activités de suivi dans le cadre del’élaboration des programmes de travail. La planification du suivi est fondée sur les risquesencourus et leurs impacts, ainsi que sur le niveau de difficulté et l’importance du délai demise en œuvre des actions correctrices.

5. Lorsque le responsable de l’audit interne juge que la réponse orale ou écrite du managementindique que l'action entreprise est suffisante par apport au niveau d’importance des obser-vations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans lecadre de la mission suivante.


2500.A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permet-tant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par lemanagement ou que la direction générale a accepté de prendre le risque de ne rien faire.


MPA

250

0

254

6. Les auditeurs internes vérifient si les actions entreprises suite aux observations et recomman-dations corrigent les situations sous-jacentes. Les activités suivies devront être convenable-ment documentées.


Cadre de Référence International des Pratiques ... · d’éléments constitutifs du Cadre de...

Documents

Transcript of Cadre de Référence International des Pratiques ... · d’éléments constitutifs du Cadre de...