Guide de mise en œuvre 1000...Guide de mise en œuvre – Série 1000 / Mission, pouvoirs et...

1 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org

Version consolidée 28 août 2015

Norme 1000 – Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale et du Conseil.

Interprétation :

La charte d’audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil.

Guide de mise en œuvre 1000

Préalables

La charte d'audit interne est un document essentiel car cette convention formalise la mission, les pouvoirs et les responsabilités du service d'audit interne d'une organisation. Pour élaborer ce document, le responsable de l'audit interne doit comprendre les dispositions obligatoires du Cadre de Référence International des Pratiques Professionnelles (CRIPP) de l’IIA : la définition de l'audit interne, les principes fondamentaux de la pratique professionnelle de l'audit interne, le Code de Déontologie et les Normes.

Guide de mise en œuvre – Série 1000 / Mission, pouvoirs et responsabilités

2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org Version consolidée 28 août 2015

Cette compréhension est cruciale car elle permet au responsable de l'audit interne, au Conseil et à la direction générale d'engager la discussion en vue d'aboutir à un accord sur :

• les objectifs et les responsabilités de l'audit interne ;

• les attentes vis-à-vis de l'audit interne ;

• les rattachements fonctionnel et hiérarchique du responsable de l'audit interne ;

• les pouvoirs (y compris l'autorisation d’accès aux documents, aux biens et aux personnes) nécessaires pour que l'audit interne réalise ses missions et satisfasse aux objectifs et responsabilités qui ont été convenus avec les parties prenantes.

Le responsable de l'audit interne pourra être amené à consulter le conseiller juridique de l'organisation ou le secrétaire du Conseil sur le format des chartes et la manière la plus efficace et efficiente de soumettre le projet de charte d'audit interne à l’approbation du Conseil.

Éléments à prendre en compte pour la mise en œuvre

À partir de ce travail préliminaire, le responsable de l'audit interne (ou un délégué) rédige un projet de charte d'audit interne. L'IIA dispose d'un modèle pouvant servir de référence. Bien que leur structure ne soit pas uniforme, les chartes incluent généralement les chapitres suivants :

• Introduction – expliquer le rôle global et les règles de professionnalisme de l'audit interne, en mentionnant les éléments pertinents du CRIPP.

• Pouvoirs – préciser le plein accès de l'audit interne aux documents, biens et personnes nécessaires à la réalisation de ses missions, et établir ses responsabilités en matière de protection des actifs et de confidentialité.

• Organisation et rattachements – fournir des informations sur le rattachement du responsable de l'audit interne. Celui-ci est fonctionnellement rattaché au Conseil, et dépend administrativement d'un niveau hiérarchique suffisant au sein de l'organisation pour permettre à l'audit interne d'exercer ses responsabilités. Cette section peut approfondir les responsabilités fonctionnelles spécifiques, comme l'approbation de la charte et du plan d'audit, la nomination,



la rémunération et la révocation du responsable de l'audit interne, ainsi que les responsabilités hiérarchiques, telles que la facilitation de la circulation de l’information au sein de l'organisation ou l'approbation de la gestion des ressources humaines et des budgets.

• Indépendance et objectivité – décrire l'importance de l'indépendance et de l'objectivité de l'audit interne, et expliquer comment elles seront préservées. Par exemple en interdisant aux auditeurs internes l’exercice de responsabilités opérationnelles ou d’une autorité sur les domaines audités.

• Responsabilités – établir les principaux domaines de responsabilité permanente, comme la définition du périmètre des missions, l’élaboration d'un plan d'audit et sa présentation au Conseil pour approbation, la réalisation des missions, la communication des résultats, la rédaction d'un rapport d'audit et le suivi des actions correctives adoptées par le management.

• Assurance et amélioration qualité – décrire les exigences relatives à la mise à jour, l'évaluation et la communication des résultats d'un programme qualité couvrant tous les aspects de l'audit interne.

• Signatures – formaliser l'accord entre le responsable de l'audit interne, un représentant du Conseil et la personne à laquelle le responsable de l'audit interne est hiérarchiquement rattaché, en indiquant la date, les noms et fonctions des signataires.

Après rédaction, le projet de charte devrait faire l'objet de discussions entre la direction générale et le Conseil afin de vérifier qu'elle reflète fidèlement le rôle et les exigences convenus, ou d'identifier les modifications souhaitées. Après acceptation du projet, le responsable de l'audit interne le présente formellement lors d'une réunion du Conseil, à des fins de discussion et d'approbation. Le responsable de l'audit interne détermine à quelle fréquence il est nécessaire de revoir et de vérifier avec le Conseil que les dispositions de l'accord permettent toujours à l'audit interne de réaliser ses objectifs. En cas de doute, il convient de se référer à la charte et, le cas échéant, de la modifier pour préciser le rôle de l'audit interne.



Éléments à prendre en compte pour démontrer la conformité

Les procès-verbaux des réunions au cours desquelles le responsable de l'audit interne a eu les premiers échanges avec le Conseil à propos de la charte, puis au cours desquelles il la présente formellement, documentent la conformité.

Le responsable de l'audit interne conserve la charte approuvée. En règle générale, le responsable de l’audit interne et le Conseil conviennent d’inscrire chaque année, à l’ordre du jour, une discussion sur la charte d’audit, y compris, le cas échéant, sa mise à jour et son approbation.

5


MPA 1110-1 Indépendance dans l’organisation

Principale Norme de Référence 1110 - Indépendance dans l'organisation Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation. Interprétation : L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne rapporte fonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil : - approuve la charte d’audit interne ; - approuve le plan d’audit interne fondé sur l’approche par les risques ; - approuve le budget et les ressources prévisionnels de l’audit interne ; - soit destinataire des informations adressées par le responsable d’audit relatives à la réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ; - approuve les décisions liées à la nomination et à la révocation du responsable de l’audit interne ; - approuve la rémunération du responsable de l’audit interne ; - demande des informations pertinentes au management et au responsable de l’audit interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne. ------------ 1. Le soutien de la direction générale et du Conseil aide l’audit interne à obtenir la coopération des audités et à exercer son activité sans entrave. 2. Pour que le service d’audit interne puisse être indépendant, le responsable de l'audit interne est fonctionnellement rattaché au Conseil et dépend administrativement ou hiérarchiquement du Directeur Général. Il est nécessaire que le responsable de l’audit interne dépende au moins d’une personne de l’organisation ayant une autorité suffisante pour promouvoir son indépendance, et pour lui garantir un large champ d’intervention, une attention adéquate aux communications faites dans le cadre des missions, ainsi que des actions appropriées par rapport aux recommandations émises. 3. Le rattachement fonctionnel au Conseil implique qu’il :

• approuve la charte de l’audit interne ; • approuve l’évaluation des risques effectuée par l’audit interne et le plan d’audit correspondant ; • reçoive des informations de la part du responsable de l’audit interne à propos des résultats des

travaux d’audit interne ou de tout autre point qu’il estime nécessaire de communiquer, y compris lors de réunions privées sans la présence des dirigeants, y compris la confirmation annuelle de l’indépendance de l’audit interne ;

• approuve toutes les décisions relatives à l’évaluation de la performance, à la nomination ou au remplacement du responsable de l’audit interne ;

• approuve la rémunération annuelle et les augmentations de salaire du responsable de l’audit interne ;

6


• s’enquiert, auprès de la direction et du responsable de l’audit interne, d’éventuelles limitations du champ d’intervention ou du budget, susceptibles d’empêcher l’audit interne de mener à bien ses missions.

4. Le rattachement hiérarchique permet de faciliter les activités courantes de l’audit interne. En règle générale, il porte sur :

• l’établissement des budgets et la comptabilité de gestion ; • la gestion des ressources humaines, notamment l’évaluation des performances et les

rémunérations du personnel ; • les communications internes et les flux d’information ; • la gestion des règles et procédures de l’audit interne.

7


MPA 1111-1 Relation avec le Conseil

Principale Norme de Référence 1111 – Relation directe avec le Conseil Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. --------------------------- 1. Il y a communication directe lorsque le responsable de l’audit interne assiste et participe régulièrement aux réunions du Conseil portant sur les responsabilités de supervision du Conseil en matière d'audit, de communication financière, de gouvernance et de contrôle. La présence et la participation du responsable de l’audit interne à ces réunions lui permettent de se tenir informé de la stratégie et projets opérationnels, et de relever, en amont, les problématiques liées aux risques majeurs, aux systèmes, aux procédures, ou au contrôle. La présence à ces réunions constitue également une opportunité pour échanger des informations relatives aux activités et aux plans d’audit et pour aborder tout autre sujet d’intérêt commun. 2. Il y a également communication et relation directe lorsque le responsable de l’audit interne rencontre, au moins une fois par an, le Conseil en tête à tête.

8


MPA 1120-1 Objectivité Individuelle

Principale Norme de Référence 1120 – Objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt. Interprétation : Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer la confiance en l’auditeur interne, vis-à-vis du service d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités de manière objective. ----------- 1. L’objectivité individuelle nécessite que les auditeurs internes réalisent leurs missions de telle manière qu’ils aient sincèrement confiance dans le résultat de leur travail et dans le fait qu’aucune concession significative n’ait été faite en matière de qualité. Les auditeurs internes ne doivent pas se trouver placés dans des situations qui porteraient atteinte à leur capacité à porter des jugements professionnels objectifs. 2. L’objectivité individuelle nécessite que le responsable de l'audit interne organise une affectation des auditeurs de manière à prévenir les conflits d’intérêt potentiels ou réels ainsi que les partis pris. Il s’informe périodiquement auprès des auditeurs à propos des conflits d’intérêt ou des partis pris et le cas échéant, instaure une rotation régulière des auditeurs internes au sein de l’équipe. 3. La revue des résultats de l’audit avant leur diffusion permet de fournir une assurance raisonnable que le travail a été réalisé avec objectivité. 4. L’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommander la mise en place de normes de contrôle pour les systèmes d’information ou à examiner des procédures avant leur mise en application. Par contre, son objectivité est présumée altérée s’il conçoit, met en place, rédige les procédures y relatives ou exploite de tels systèmes. 5. L’exécution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux d’audit, ne compromet pas nécessairement leur indépendance dans la mesure où ils sont clairement mentionnés dans le rapport d’audit. Toutefois, le management et les auditeurs internes doivent veiller attentivement à ce que ces travaux n’altèrent pas leur objectivité.

9


MPA 1130-1 Atteintes à l’indépendance ou à l’objectivité

Principale Norme de Référence 1130 – Atteinte à l'indépendance et à l'objectivité Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance. Interprétation : Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations financières. L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépendance dépend d’une part des attentes de la Direction Générale et du Conseil, telles que décrites dans la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit interne, et d’autre part de la nature de cette atteinte. ------------------------ 1. Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle ou potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulter s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit interne constate l’existence d’une atteinte réelle ou supposée, il réaffecte alors les auditeurs concernés. 2. Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de réaliser ses objectifs et son planning. Des limitations de ce type peuvent, entre autres, restreindre : • le domaine d’intervention défini dans la charte d’audit interne ; • l’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des missions ; • le plan d’audit lorsqu'il a été approuvé ; • la mise en œuvre des procédures nécessaires à la mission ; • les ressources humaines et le budget financier qui ont été approuvés. 3. Il est nécessaire de communiquer au Conseil, de préférence par écrit, l’existence d’une limitation du champ d’intervention et ses répercussions possible. Le responsable de l'audit interne juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein de l’organisation, du Conseil ou de la direction générale. 4. Les auditeurs internes ne doivent pas accepter une rémunération, des cadeaux ou des invitations de la part d’un salarié, d’un client, d’un fournisseur ou d’un partenaire qui pourrait laisser supposer que l’objectivité de l’auditeur interne a été altérée. Cette supposition pourra concerner des missions en cours ou des missions futures de l’auditeur. Le statut des missions ne saurait en aucun cas justifier l’acceptation de rémunérations, de cadeaux ou d’invitations. L’acceptation d’articles publicitaires (tels que stylos, calendriers ou échantillons) mis à la disposition des salariés et du public et d’une valeur minime ne devrait pas fausser les jugements professionnels des auditeurs internes. Ces derniers doivent rendre compte sans délai à leur supérieur hiérarchique de toute offre de rémunérations ou de cadeaux importants.

10


MPA 1130.A1-1 Audit des opérations dont les auditeurs internes ont été auparavant responsables

Principale Norme de Référence 1130.A1 - Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente. ------------- 1. Les membres du personnel mutés ou temporairement affectés au service d’audit interne ne devraient pas participer, avant un délai d’au moins un an à l’audit des activités précédemment exercées ou pour lesquelles ils ont eu des responsabilités. De telles participations sont, en effet, susceptibles d’altérer leur objectivité et, le cas échéant, il faut en tenir compte lors de la supervision des travaux d’audit et dans la diffusion de leurs résultats.

11


MPA 1130.A2-1 Responsabilités exercées par l’audit interne au titre d’autres fonctions

Principale Norme de Référence 1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne. ----------------------- 1. Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activités qui font l’objet d’évaluations périodiques de la part de l’audit interne. S’ils ont de telles responsabilités, ils ne peuvent pas être considérés comme des auditeurs internes. 2. L’indépendance et l’objectivité de l’auditeur interne risquent d’être altérées lorsque l’audit interne, son responsable ou un auditeur interne assume une fonction susceptible d’être audité, ou que la direction envisage de leur attribuer. A minima, il faut que le responsable de l’audit interne prenne en considération les éléments suivants dans l'évaluation de l'impact sur l'indépendance et l'objectivité :

• les principes énoncés par le Code de Déontologie et les Normes internationales pour la pratique professionnelle de l’audit interne (Normes) ;

• les attentes des parties prenantes de l’organisation, notamment les actionnaires, le Conseil, le comité d’audit, la direction, le législateur, les instances publiques, les régulateurs et les groupes d’influence ;

• les obligations ou les restrictions prévues dans la charte d’audit interne ; • les informations dont la communication est obligatoire en vertu des Normes ; • le niveau de couverture de l’audit, des fonctions ou responsabilités occupées par l’auditeur interne

; • l’importance de la fonction opérationnelle pour l'organisation (en termes de chiffre d’affaires, de

dépenses, de réputation, et d’influence) ; • la longueur ou la durée de la mission et l’étendue des responsabilités ; • l’adéquation de la séparation des tâches ; • l’existence d’antécédents ou de signes montrant que l'objectivité de l'auditeur interne peut être

atteinte. 3. Si la charte de l’audit interne contient des restrictions ou des clauses limitatives concernant l’attribution aux auditeurs internes de fonctions autres que l’audit, il convient de mentionner ces restrictions et d’en discuter avec la direction. Si cette dernière insiste pour confier ces fonctions à un auditeur, une information et une discussion seront nécessaire avec le Conseil. A défaut de disposition expresse de la charte, il convient de se référer aux lignes directrices figurant ci-dessous, qui sont subordonnées aux clauses de la charte. 4. Dès lors que l'audit interne accepte des responsabilités opérationnelles et que ces domaines sont intégrés dans le plan d’audit, le responsable de l’audit interne devra :

• minimiser les risques liés au manque d’objectivité en ayant recours à un prestataire extérieur ou à des auditeurs externes pour réaliser les audits de ces secteurs ;

• confirmer que les individus ayant des responsabilités opérationnelles dans des secteurs dépendant du responsable de l’audit interne, ne participent pas aux audits de ces domaines ;

• s’assurer que les auditeurs, qui conduisent une mission d’assurance dans des secteurs rattachés au responsable de l’audit interne, sont supervisés par la direction générale et le Conseil, à qui ils

12


communiquent les résultats de leur évaluation ;

13


• indiquer les responsabilités opérationnelles exercées par l’auditeur dans le cadre de la fonction en

cause, l’importance de ces opérations pour l’organisation (en termes de chiffre d’affaires, de dépenses ou en fonction de tout autre critère pertinent), ainsi que le lien existant entre les personnes qui ont procédé à l’audit de la fonction et l’auditeur concerné.

5. Il convient de préciser les responsabilités opérationnelles de l'auditeur interne dans le rapport d'audit des secteurs rattachés au responsable de l’audit interne, et dans la communication transmise au Conseil. Les résultats de l'audit peuvent aussi être discutés avec la direction générale et/ou d'autres parties prenantes appropriées. L’indication d’une atteinte à l’objectivité exige néanmoins d’avoir recours à la supervision d’un tiers pour les missions d'assurance relatives à des fonctions qui dépendent du responsable de l’audit interne.

14


MPA 1200-1 Compétence et conscience professionnelle

Principale Norme de Référence 1200 – Compétence et conscience professionnelle Les missions doivent être conduites avec compétence et conscience professionnelle. ----------------------- 1. La compétence et la conscience professionnelle sont de la responsabilité du responsable de l'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assure que, pour chaque mission, l’équipe d’auditeurs désignés possède collectivement les connaissances, le savoir-faire et les compétences nécessaires pour mener la mission de façon appropriée. 2. La conscience professionnelle inclut le respect du Code de Déontologie de l’IIA et, le cas échéant, le respect du code de conduite de l’organisation ainsi que des codes de conduite d’autres professions auxquelles les auditeurs internes peuvent appartenir. Le Code de Déontologie dépasse la définition de l’audit interne en incluant deux composantes essentielles :

• des principes applicables à la pratique de l’audit interne et à l’exercice de la profession – en particulier les principes d’intégrité, d’objectivité, de confidentialité et de compétence ;

• des règles de conduite décrivant le type de comportement attendu des auditeurs internes. Ces règles, qui facilitent l’interprétation des principes et leur application pratique, sont destinées à guider les auditeurs internes sur le plan de l’éthique.

15


MPA 1210-1 Compétence

Principale Norme de Référence 1210 – Compétence Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. Interprétation: Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou par d’autres organisations professionnelles appropriées. -------------------- 1. Les connaissances, savoir-faire et les autres compétences mentionnées dans la norme comportent :

• la compétence en matière d’application des Normes, procédures et techniques d’audit nécessaire à la réalisation des missions. La compétence est la capacité à utiliser ses connaissances judicieusement, dans les diverses situations susceptibles de se présenter, et d’y faire face sans recourir de façon excessive à des recherches techniques ou à une assistance ;

• la compétence en matière de principes et de techniques comptables indispensable aux auditeurs internes qui travaillent fréquemment sur des documents et rapports financiers ;

• la connaissance permettant d’identifier les risques de fraude ; • la connaissance des principaux risques et contrôles afférents aux technologies de l’information, et

des techniques d’audit informatisées existantes. • la compréhension des principes de management pour reconnaître et évaluer la matérialité et le

caractère significatif des écarts par rapport aux bonnes pratiques des affaires. Cette compréhension implique une capacité à appliquer des connaissances générales aux situations susceptibles d’être rencontrées au cours des audits, de détecter les écarts significatifs et d’être capable de procéder aux recherches nécessaires pour aboutir à des solutions raisonnables ;

• la compréhension des notions fondamentales de la conduite des affaires telles que la comptabilité, l’économie, le droit commercial, la fiscalité, la finance, les méthodes quantitatives, les technologies de l’information, le management des risques et la fraude. Cette compréhension permet de reconnaître l’existence ou l’éventualité de problèmes et d’identifier les recherches supplémentaires à entreprendre ou l’assistance à obtenir.

• les bonnes qualités relationnelles, de compréhension, de communication, le sens des relations humaines et le maintien de bonnes relations avec les clients de la mission.

• la capacité de communiquer oralement et par écrit, de manière à pouvoir exposer clairement et efficacement les objectifs, les appréciations, les conclusions et les recommandations de la mission.

16


2. Le responsable de l'audit interne définit des critères appropriés de formation générale et d’expérience pour pourvoir les postes d’auditeurs internes, en considérant la nature des travaux et le niveau de responsabilité. Il obtient une assurance raisonnable sur les qualifications et la compétence des candidats. 3. Il faut que l'audit interne possède collectivement les connaissances, le savoir-faire et les autres compétences indispensables à la pratique de la profession dans l'organisation. Une analyse annuelle des connaissances, savoir-faire et autres compétences de l’audit interne permet d’identifier plus facilement les points à améliorer grâce à des programmes de formation continue, à des recrutements ou par la mise en œuvre de ressources externes partagées. 4. La formation continue est essentielle pour s’assurer que le personnel du service d’audit interne demeure compétent. 5. Le responsable de l’audit interne peut faire appel à des experts extérieurs à son service afin de soutenir ou de compléter les domaines dans lesquels l’audit interne ne dispose pas de compétences suffisantes.

17


MPA 1210.A1-1 Recours à des prestataires externes

Principale Norme de Référence 1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission. --------------------- 1. Chaque auditeur interne n’est pas nécessairement qualifié dans toutes les disciplines. L’audit interne peut recourir à des prestataires externes ou à des ressources internes qualifiées dans des disciplines telles que la comptabilité, l’audit, l’économie, la finance, les statistiques, les technologies de l’information, l’ingénierie, la fiscalité, le droit, l’environnement et tout autre domaine nécessaire pour pouvoir exercer ses responsabilités d’audit interne. 2. Un prestataire externe est une personne ou une entité indépendante de l’organisation qui possède des connaissances, un savoir-faire et une expérience particuliers dans une discipline donnée. Les prestataires externes incluent notamment les actuaires, les experts-comptables, les conseils en évaluation, les personnes qui ont une expertise à propos de certaines cultures ou langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, les avocats, les ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistes des technologies de l’information, les auditeurs externes de l’organisation et les autres cabinets d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le responsable de l'audit interne. 3. L’audit interne peut faire appel à des prestataires externes notamment dans les cas suivants :

• réalisation des objectifs de la mission selon les échéances prévues ; • missions d’audit nécessitant un savoir-faire et des connaissances particuliers dans des domaines

tels que les technologies de l’information, les statistiques, la fiscalité ou les langues étrangères; • évaluation d’actifs tels que terrains et immeubles, œuvres d’art, pierres précieuses,

investissements et instruments financiers complexes ; • détermination des quantités ou caractéristiques physiques de certains biens tels que minerais et

réserves de pétrole ; • évaluation des travaux achevés et restant à achever dans le cadre de contrats en cours ; • enquêtes sur la fraude et la sécurité ; • évaluations réalisées selon des méthodes particulières telles que les calculs actuariels concernant

les engagements liés aux avantages sociaux ; • interprétation de la législation, de la réglementation et des normes techniques ; • évaluation du programme d’assurance et d’amélioration qualité de l’activité d'audit interne

conformément aux Normes Internationales pour la Pratique Professionnelle de l’audit (Normes) ; • fusions et acquisitions ; • conseil en matière de management des risques ou d’autres sujets.

4. Lorsqu’il prévoit de recourir à un prestataire externe et de s’appuyer sur ses travaux, le responsable de l'audit interne devra évaluer sa compétence, son indépendance et son objectivité au vu des particularités de la mission à accomplir. Il convient de procéder également à cette évaluation si le prestataire externe est

18


choisi par la direction générale ou par le Conseil, et si le responsable de l'audit interne prévoit de s’appuyer sur ses travaux. Lorsque le responsable de l'audit interne ne choisit pas lui-même le prestataire externe et si son évaluation montre qu’il ne devrait pas s’appuyer sur les travaux de ce dernier, les résultats de cette évaluation devront être communiqués à la direction générale ou au Conseil, selon le cas. 5. Le responsable de l'audit interne doit s’assurer que le prestataire externe possède les connaissances, le savoir-faire et les compétences nécessaires pour accomplir sa mission. Pour évaluer ces compétences, le responsable de l'audit interne tiendra compte des éléments suivants :

• diplôme, agrément ou autre titre attestant de la compétence du prestataire externe dans la discipline en question ;

• adhésion du prestataire externe à un organisme professionnel compétent et adhésion au Code de Déontologie de cet organisme ;

• réputation du prestataire externe. La prise en compte de cet élément peut impliquer la consultation de tiers faisant habituellement appel aux travaux du prestataire ;

• expérience du prestataire externe dans le type de travaux qu’on envisage de lui confier ; • niveau d’études et formation du prestataire externe dans les disciplines liées à la mission en

question ; • connaissances et expérience du prestataire externe dans le secteur d’activité de l’organisation.

6. Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe, l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’objectivité du prestataire externe seront garanties tout au long de la mission. Pour procéder à cet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le prestataire externe de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de l’émission de ses rapports. 7. Pour apprécier l’indépendance et l’objectivité du prestataire externe, le responsable de l'audit interne tient compte des éléments suivants :

• intérêt financier éventuel détenu par le prestataire externe dans l’organisation ; • lien personnel ou professionnel entre le prestataire externe et le Conseil, la direction générale ou

les autres membres de l’organisation ; • liens établis par le passé entre le prestataire externe et l’organisation ou les activités examinées ; • étendue des autres services récurrents exécutés par le prestataire externe pour l’organisation ; • rémunération ou autres avantages perçus, le cas échéant, par le prestataire externe.

8. Si le prestataire externe est également auditeur externe de l’organisation et si sa mission consiste en des travaux d’audit approfondis, le responsable de l'audit interne devrait s’assurer que les travaux ainsi réalisés ne remettent pas en cause l’indépendance de l’auditeur externe. L’expression « travaux d’audit approfondis » vise les services qui dépassent le cadre des normes d’audit généralement admises par la profession d’auditeur externe. Si la mission qui leur est confiée les amenait à agir ou à donner l’apparence d’agir comme des membres de la direction générale, du management ou des employés de l’organisation, alors leur indépendance serait compromise. En outre, il peut arriver que les auditeurs externes fournissent à l’organisation d’autres services, en matière de fiscalité ou de conseil notamment. L’indépendance devrait être appréciée eu égard à la gamme complète des services rendus à l’organisation. 9. Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de la mission du

19


prestataire externe, de façon à pouvoir vérifier que ses travaux répondent aux objectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la mission et divers autres points dans une lettre de mission ou dans un contrat. Pour ce faire, le responsable de l'audit interne examine les points suivants avec le prestataire externe:

• objectifs et étendue de la mission, y compris les livrables et les échéances ; • points particuliers sensés être couverts dans les rapports remis au titre de la mission ; • accès aux documents, aux personnes et aux biens corporels concernés ; • informations concernant les hypothèses et les procédures à utiliser ; • propriété et conservation des documents de travail établis dans le cadre de la mission, le cas

échéant ; • confidentialité des informations obtenues au cours de la mission et restrictions les concernant, • le cas échéant, le respect des Normes et des règles de travail du service d’audit interne.

10. Lorsqu’il évalue la revue des travaux d’un prestataire externe, le responsable de l'audit interne veille à ce que ceux-ci soient réalisés conformément aux Normes internationales pour la pratique professionnelle de l’audit interne (Normes). Cette évaluation consiste notamment à s’assurer que les informations obtenues sont suffisantes pour justifier les conclusions formulées et les solutions proposées et statuer sur les exceptions significatives ou les autres points inhabituels. 11. En cas de recours à un prestataire externe, le responsable de l'audit interne peut, si nécessaire, mentionner les services ainsi fournis dans les documents ou rapports émis au titre de la mission. Le prestataire externe est informé et, le cas échéant, son accord devrait être obtenu avant toute mention de ses services dans ces documents.

20


MPA 1220-1 Conscience professionnelle

Principale Norme de Référence 1220 – Conscience professionnelle Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité. -------------------- 1. La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendre d’un auditeur interne raisonnablement prudent et compétent. La conscience professionnelle tient compte de la complexité de la mission réalisée. En agissant avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes intentionnelles, d’erreurs ou d’omissions, de manque d’efficacité, de gaspillage et de conflits d’intérêts ainsi qu’aux situations et activités où des irrégularités ont le plus de chance de se produire. Les auditeurs internes sont également concernés par la détection de contrôles inefficaces et font des recommandations visant à promouvoir le respect des procédures et pratiques acceptables. 2. La conscience professionnelle implique la diligence et le savoir-faire raisonnables que l’on apporte à l’exécution de ses missions et non l’infaillibilité ou des performances exceptionnelles. Cela signifie que l’auditeur interne procède à des vérifications et des contrôles raisonnablement approfondis. En conséquence, l’auditeur interne ne peut donner une assurance absolue qu’il n’existe aucune anomalie ou irrégularité. Néanmoins, la possibilité d’irrégularités ou de non conformités importantes devra toujours être envisagée lorsque l’auditeur interne entreprend une mission.

21


MPA 1230-1 Formation Professionnelle Continue

Principale Norme de Référence 1230 – Formation professionnelle continue Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue. --------------------- 1. Les auditeurs internes ont la responsabilité de se former de manière continue, afin de renforcer et de maintenir leurs compétences. Ils devront se tenir informés des progrès accomplis et des développements en cours dans le domaine des normes, procédures et techniques d’audit, telles qu’elles sont explicitées dans le CRIPP (Cadre de référence international pour la pratique professionnelle de l’audit interne). La formation continue peut s’acquérir par l’adhésion, la participation et le volontariat à des associations professionnelles telles que l’IFACI ; en assistant à des conférences, à des séminaires ; en participant aux actions internes de formation ; par l’achèvement de cycle d’études supérieures et d’auto-formation ainsi que par la participation à des programmes de recherche. 2. Il est conseillé aux auditeurs internes d’obtenir une certification attestant de leur compétence, telle que le titre d’auditeur interne Certifié (CIA, Certified Internal Auditor), d’autres titres délivrés par l'IIA ou liés à l’audit interne. 3. Il est conseillé aux auditeurs internes de suivre une formation professionnelle continue (liée aux activités de leur organisation et au secteur) pour entretenir leurs compétences sur les processus de gouvernement d’entreprise, de risque et de contrôle existant dans leur organisation. 4. Les auditeurs internes qui réalisent des travaux spécialisés d’audit et de conseil sur des sujets tels que la technologie de l'information, l'impôt, l’actuariat, ou la conception de systèmes, peuvent suivre une formation professionnelle continue spécialisée qui leur permettra de réaliser leurs missions d’audit interne avec les compétences nécessaires. 5. Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnelle continue appropriée de façon à remplir les conditions requises par la certification qui leur a été délivrée. 6. Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programme de formation et/ou à étudier individuellement en vue d’obtenir la certification professionnelle.

22


MPA 1300-1 Programme d'assurance et d'amélioration qualité

Principale Norme de référence

1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne.

Interprétation :

Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :

• la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; • le respect du Code de Déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit interne et d’identifier toutes opportunités d’amélioration.

------------ 1. Le programme d'assurance et d'amélioration qualité couvre l'ensemble des activités d'assurance et de conseil de l'audit interne prévues dans la charte d'audit interne. Ce programme comprend des évaluations internes et externes. Les évaluations internes comportent une surveillance permanente et des auto-évaluations périodiques. Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante. 2. L'objectif principal d’un programme d'assurance et d'amélioration qualité est d’encourager l'amélioration continue. Un tel programme suppose que la qualité soit intégrée – et non superposée – aux activités de l'audit interne.

3. Le programme d'assurance et d'amélioration qualité devrait être pris en compte lors de la planification annuelle des activités du service d’audit interne. Chaque composante du programme devrait être mise à jour en continu.

23


MPA 1311-1

Évaluations internes


1311 – Évaluations internes

Les évaluations internes doivent comporter :

• une surveillance continue de la performance de l'audit interne ; • des évaluations périodiques, effectuées par auto-évaluation ou par d'autres personnes de

l'organisation possédant une connaissance suffisante des pratiques d'audit interne.

Interprétation :

La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les informations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes. Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit interne à la définition de l’audit interne, au Code de Déontologie et aux Normes. Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.

------------

1. Le responsable de l'audit interne est tenu d‘élaborer et de mettre en œuvre un programme d'assurance et d'amélioration qualité qui comporte des évaluations tant internes qu'externes. Les évaluations internes sont constituées de deux composantes interdépendantes : la surveillance continue et les auto-évaluations périodiques. Ces évaluations internes fournissent un cadre efficace pour l'évaluation continue de la conformité à la définition de l'audit interne, au Code de Déontologie et aux Normes ; elles permettent également d'identifier des axes d'amélioration. Ces objectifs de conformité et d’amélioration continue peuvent être atteint tant à l’échelle du service d’audit interne qu’au niveau de chaque mission d'audit à travers la surveillance continue et des auto-évaluations périodiques. Pour ce faire, ces évaluations internes couvrent l'ensemble des Normes de qualification et de fonctionnement.

Surveillance continue :

2. La surveillance continue sert à s’assurer que chaque mission est sous-tendue par des processus de qualité. La surveillance continue passe notamment par :

• des méthodes de travail homogènes ; • la planification de la mission ; • la supervision ; • l'évaluation du programme de travail de la mission avant le début des travaux sur le terrain ; • l'utilisation de listes de contrôle ou d'outils automatisés pour fournir une assurance concernant

la conformité aux pratiques et procédures établies ; • les procédures relatives aux papiers de travail et à leur validation par les superviseurs de la

mission ;

24


• la revue des rapports et des documents justificatifs ; • les réactions des clients et des autres parties prenantes de l’audit interne ; • l'utilisation d’indicateurs de performance appropriés et pertinents pour l’audit interne.

3. Une supervision adéquate est l'élément le plus fondamental de tout processus d'assurance qualité. La supervision commence dès le stade de planification et se poursuit tout au long des étapes de réalisation et de communication de la mission. Les axes d'amélioration peuvent être traités de manière continue.

Auto-évaluation périodique :

4. Les auto-évaluations périodiques ont pour but d'évaluer si l'audit interne :

• respecte : o les dispositions obligatoires du cadre de référence international des pratiques

professionnelles : la définition de l’audit interne, le Code de Déontologie et les Normes (de qualification et de fonctionnement) ;

o la charte d’audit interne, les plans, les règles, les procédures et les pratiques de l’audit interne, ainsi que la législation et réglementation en vigueur ;

• fonctionne avec efficience et efficacité, à travers la mesure de paramètres relatifs à : o ses processus et son infrastructure ; o son éventail de connaissances, d'expérience et d'expertise.

5. Les auto-évaluations périodiques peuvent être réalisées lors de :

• l’évaluation de la performance de l'audit interne par rapport aux critères fixés dans le programme d'assurance et d'amélioration qualité ;

• la revue régulière et l’approbation de la charte d'audit interne et d'autres documents pertinents ; • la revue du plan annuel d'audit en lien avec les risques auxquels fait face l'organisation ; • la revue, par sondage, des papiers de travail par des auditeurs qui n'ont directement pas

participé à la mission concernée ; • la revue des indicateurs de performance de l'audit interne.

6. À l’issue d'une auto-évaluation périodique, un plan d'action peut, le cas échéant, être élaboré pour mettre en œuvre tous les axes d'amélioration identifiés.

7. Une auto-évaluation périodique, réalisée peu de temps avant une évaluation externe, peut faciliter cette dernière et réduire l’effort et le temps nécessaires pour la mener à bien. L’auto-évaluation périodique peut également être réalisée dans le cadre d'une évaluation externe lorsque celle-ci prend la forme d'une auto-évaluation avec validation externe indépendante.

8. Le manuel de l’IIA relatif à l’évaluation de la qualité (Quality Assessment Manual), ou un ensemble comparable de lignes directrices et d’outils, pourront servir de base aux auto-évaluations périodiques.

Évaluateurs/Équipe d'évaluation :

9. Les auto-évaluations périodiques sont généralement réalisées par :

• des auditeurs internes compétents et expérimentés du service d’audit interne ; • des auditeurs internes certifiés ou d'autres professionnels de l'audit rattachés ou non au service

d'audit interne.

25


MPA 1312-1

Évaluations externes Principale Norme de référence

1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l’audit interne doit s’entretenir avec le Conseil au sujet :

• des modalités et de la fréquence de l’évaluation externe ; et • des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur

indépendance y compris au regard de tout conflit d'intérêts potentiel.

Interprétation :

Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts réel ou apparent.

------------

1. Le responsable de l'audit interne est tenu d’élaborer et de mettre en œuvre un programme d'assurance et d'amélioration qualité qui comporte des évaluations tant internes qu’externes. L’évaluation externe peut être effectuée selon deux démarches différentes :

• une évaluation entièrement externalisée, conduite par un évaluateur ou une équipe d'évaluateurs qualifiés, indépendants, extérieurs à l’organisation. Cette équipe est alors constituée de professionnels compétents sous la direction d'un chef de projet expérimenté et professionnel ; ou

• une auto-évaluation par le service d'audit interne avec validation indépendante externe.

2. Les évaluations externes portent sur le respect des dispositions obligatoires du cadre de référence international des pratiques professionnelles (CRIPP) – à savoir la définition de l'audit interne et les Normes – et sur l’évaluation de l'application du Code de Déontologie par les auditeurs internes.

3. Afin de déterminer la nature d'une évaluation externe, le responsable de l'audit interne et le Conseil peuvent également se poser les questions suivantes :

• l'évaluation donnera-t-elle lieu à la formulation d'une opinion ou d'une conclusion expresse sur la conformité ?

• quels sont les travaux du service d'audit interne couverts par l'évaluation ?

26


• l'évaluation portera-t-elle sur le respect de la charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’audit interne, ainsi que de la législation et réglementation en vigueur ?

• l'évaluation tiendra-t-elle compte de l'efficacité et de l’efficience de l’activité d'audit interne, à travers la mesure de paramètres relatifs à :

o ses processus et son infrastructure, y compris le programme d'assurance et d'amélioration qualité ;

o son éventail de connaissances, d'expérience et d'expertise ? • l'évaluation prendra-t-elle en compte l’adéquation de l'audit interne aux attentes du Conseil, de la

direction générale et du management, ainsi que sa valeur ajoutée à l'organisation ?

4. Le cadre de l’évaluation externe peut être décidé d'un commun accord par le responsable de l'audit interne, le dirigeant auquel il est hiérarchiquement rattaché et le Conseil. Le responsable de l'audit interne devrait s'assurer que ce cadre d’intervention spécifie clairement les livrables de l’évaluation externe.

Évaluateurs/Équipe d'évaluation :

5. L'évaluateur ou l'équipe d'évaluateurs qualifiés, indépendants et extérieurs à l’organisation devraient être sélectionnés après consultation du dirigeant auquel le responsable de l'audit interne est hiérarchiquement rattaché et du Conseil. Les évaluateurs/équipes d'évaluation doivent être compétents dans deux domaines en particulier :

• la pratique professionnelle de l'audit interne et notamment une connaissance approfondie du CRIPP ;

• le processus d'évaluation externe de la qualité.

6. Les qualités et compétences à privilégier se manifestent entre autres par :

• une certification de la compétence professionnelle en audit interne (par exemple en étant CIA Certified Internal Auditor) ;

• une connaissance approfondie et actualisée du CRIPP ; • une connaissance des meilleures pratiques de la profession ; • une expérience récente, minimale de trois ans, de pratique de l'audit interne à un poste

d'encadrement, démontrant une connaissance concrète du CRIPP et de son application.

7. Les responsables de l'équipe d'évaluation et les personnes chargées de la validation indépendante peuvent en outre posséder :

• des compétences approfondies et une plus grande expérience acquises à travers de précédents travaux d'évaluation externe de la qualité, et/ou une formation de l'IIA sur l'évaluation de la qualité ou une formation similaire ;

• une expérience en tant que responsable d'un service d'audit interne ou une expérience comparable à un poste d'encadrement dans l'audit interne ;

• l'expertise technique requise et une expérience du secteur d'activité concerné.

8. Le cas échant, des personnes compétentes dans d'autres disciplines, tels que des experts en matière de management des risques, d'audit des systèmes d'information, d'échantillonnages statistiques, de systèmes de suivi et d'auto-évaluation du contrôle interne, peuvent apporter une assistance technique.

27


9. Les évaluateurs/équipes d'évaluateurs externes et leurs organisations devraient être libres de tout conflit d'intérêts susceptible de compromettre leur objectivité. Le responsable de l'audit interne, le dirigeant auquel il est hiérarchiquement rattaché et le Conseil devraient prendre en compte :

• les conflits d'intérêts réels, potentiels ou supposés qui découlent de relations professionnelles passées, présentes ou futures, telles que :

o l'audit externe des états financiers ; o des activités de conseil dans les domaines du gouvernement d'entreprise, du management

des risques, du reporting financier, du contrôle interne ou dans des domaines connexes ; o l’assistance au service d'audit interne.

L'importance et le volume de ces travaux devraient être pris en considération;

• les conflits d'intérêts réels, potentiels ou supposés avec des évaluateurs qui seraient d'anciens employés du service d’audit interne de l'organisation. La période depuis laquelle les évaluateurs sont indépendants devra être prise en considération. L'expression « indépendant » signifie ne pas se trouver dans un cas de conflit d'intérêts, et ne pas faire partie de l’organisation à laquelle est rattaché le service d’audit interne ni se trouver sous son contrôle.

• les conflits d'intérêts réels, potentiels ou supposés avec un évaluateur qui découlent de relations passées, présentes ou futures avec l'organisation ou son service d'audit interne, y compris la participation de l'évaluateur à des évaluations internes de la qualité ;

• les évaluations réciproques réalisées par au moins trois pairs peuvent être considérées comme indépendantes. Les pairs sont définis comme des organisations provenant d'un même secteur, d'une même association ou de toute autre groupe d’organisations similaires. Il convient toutefois de veiller à ce que l’indépendance ne soit pas altérée et à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions :

o Les équipes qui réalisent des évaluations réciproques entre pairs devraient posséder les connaissances, l'expérience et le savoir-faire décrits ci-dessus.

o Les évaluations réciproques entre deux pairs n'ont pas un caractère indépendant.

10. L'indépendance de l’évaluateur/l'équipe d'évaluation et les conflits d'intérêts devraient être discutés avec le Conseil. Le responsable de l'audit interne devrait évaluer le niveau d'indépendance de l'équipe d'évaluation et contrôler si une méthodologie agréée, telle que le manuel d'évaluation de la qualité de l'IIA, est respectée tout au long du processus.

11. D'autres recommandations sur l'indépendance des équipes d'évaluateurs externes sont exposées dans les modalités pratiques d'application suivantes :

• MPA 1312-3 – Indépendance de l’équipe d’évaluation externe dans le secteur privé • MPA 1312-4 – Indépendance de l’équipe d’évaluation externe dans le secteur public

28


MPA 1312-2 Évaluations externes :

Auto-évaluation avec validation indépendante externe






Interprétation :

Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possède des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité,, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procède à l’évaluation doit être indépendante de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts réel ou apparent.

------------

1. La MPA 1312-1 « Évaluations externes », qui inclut des indications relatives à la sélection du ou des évaluateurs indépendants, s'applique à l'auto-évaluation avec validation indépendante externe.

2. Le responsable de l'audit interne est tenu d’élaborer et de mettre en œuvre un programme d'assurance et d'amélioration qualité qui comporte des évaluations tant internes qu’externes. L’évaluation externe peut être effectuée selon deux démarches différentes :

• une évaluation entièrement externalisée, conduite par un évaluateur ou une équipe d'évaluateurs qualifiés, indépendants, extérieurs à l’organisation. Cette équipe est constituée de professionnels compétents sous la direction d'un chef de projet expérimenté et professionnel ; ou

• une auto-évaluation par le service d'audit interne avec validation indépendante externe.


3. Dans certains cas, le responsable de l'audit interne peut considérer que l'auto-évaluation avec validation indépendante externe est une approche plus pratique et plus avantageuse que l'évaluation entièrement externalisée. Parce que, par exemple, il considère que :

29


• le service d’audit interne appartient à un secteur extrêmement régulé ou se trouve soumis à une étroite supervision externe.

• le service d’audit interne fait l’objet d’instructions ou d’une supervision externes importantes du fait d’exigences en matière de gouvernance et de contrôle interne.

• un prestataire externe indépendant a récemment réalisé une étude comparative des pratiques du service d’audit interne par rapport aux meilleures pratiques de la profession.

• compte tenu de la maturité de l’organisation et de l’existence d'un programme d'assurance et d'amélioration qualité déjà robuste, les avantages de l'auto-évaluation, notamment en termes de développement professionnel des auditeurs internes, sont supérieurs à ceux d’une évaluation entièrement externalisée.

4. Les principales caractéristiques de l'auto-évaluation avec validation indépendante externe sont ::

• un processus global et parfaitement documenté d’auto-évaluation, comparable au processus d’évaluation entièrement externalisée, du moins en ce qui concerne l’évaluation du respect de la définition de l’audit interne, du Code de Déontologie et des Normes ;

• une validation sur site indépendante réalisée par un évaluateur qualifié ; • une économie de coûts potentielle, avec cependant des diligences moindres sur certains

aspects tels que l’analyse comparative, l’examen, les consultations et l’emploi des meilleures pratiques, les entretiens avec la direction générale et le management.

5. Le processus d’auto-évaluation est mis en œuvre et parfaitement documenté par une personne ou une équipe dirigée par le responsable de l’audit interne.

6. L’évaluateur ou l’équipe d’évaluateurs compétent(s) et indépendant(s) chargé(s) de la validation procèdent ensuite à des tests de façon à évaluer le respect de la définition de l’audit interne, du Code de Déontologie et des Normes, ainsi que d'autres résultats de l’auto-évaluation. La validation indépendante peut être effectuée selon le processus décrit dans le Manuel d’évaluation qualité (Quality Assessment Manual) de l’IIA ou une approche comparable détaillée.

30


MPA 1312-3 Indépendance de l’équipe d’évaluation externe dans le secteur privé






Interprétation :

Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts réel ou apparent.

------------

1. Le secteur privé est composé d’organisations non gouvernementales ou d’entreprises qui ne sont ni détenues ni contrôlées par l’État ou d’autres organisations du secteur public.

2. Tous les membres de l’équipe d’évaluation externe devraient être indépendants de l’organisation et de son personnel. En particulier, il ne devrait pas exister de conflit d’intérêts réel, potentiel ou supposé entre les membres de l’équipe d’évaluation et l’organisation et/ou son personnel. Les principaux éléments à prendre en compte sont les suivants :

• l’indépendance vis-à-vis de l’organisation c’est-à-dire le fait de ne pas être sous l’influence du personnel de l’organisation dont le service d’audit interne est évalué.

31


• un processus de sélection de l’évaluateur externe qui devrait examiner les conflits d’intérêts réels, potentiels ou supposés – qu'ils découlent de relations passées, présentes ou potentielles avec l’organisation ou son personnel – Les relations tant personnelles que professionnelles sont à prendre en considération.

• le collaborateur d’autres départements de l’organisation, ou d’une organisation liée, bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme étant indépendant pour la réalisation d’une évaluation externe indépendante. La réalisation d’évaluations externes réciproques entre départements ou organisations liées n'est donc pas recevable. L’expression « organisation liée » désigne les organisations mères, les sociétés apparentées d’un même groupe, ou les entités exerçant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualité dans l’organisation dont le service d’audit interne fait l’objet de l’évaluation externe.

• Des évaluations externes réciproques peuvent être effectuées par des équipes provenant d’au moins trois organisations différentes (au sein d’un même secteur, d’une association ou de tout autre groupe d’organisations similaires) de façon à satisfaire l’objectif d’indépendance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sans contrainte de confidentialité, etc. Lorsque l’évaluation réciproque ne concerne que deux organisations, elle ne peut pas être recevable en tant qu’évaluation externe indépendante.

32


MPA 1312-4 Indépendance de l’équipe d’évaluation externe dans le secteur public






Interprétation :

Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts réel ou apparent.

------------

1. Le secteur public comprend tous les niveaux d’intervention (administration nationale, régionale, départementale ou locale) ainsi que des établissements ou des entreprises (« l’entité ») détenus ou contrôlés par ces administrations publiques. Dans le secteur public, les services d’audit interne des différents niveaux d’intervention peuvent être considérés comme indépendants pour la réalisation d’une évaluation externe.

2. Les entités parapubliques, qui comprennent des organisations détenues ou contrôlées par plusieurs États (telles que les Nations Unies ou la Commission européenne), devraient appliquer la MPA 1312-3, « Indépendance de l’équipe d’évaluation externe dans le secteur privé ».

3. Tous les membres de l’équipe d’évaluation externe devraient être indépendants de l’entité évaluée et des collaborateurs de service d’audit interne. En particulier, il ne devrait pas exister de conflit d’intérêts réel, potentiel ou supposé entre les membres de l’équipe d’évaluation et l’entité et/ou ses collaborateurs. Les éléments à prendre en compte pour évaluer l’indépendance de l’équipe d’évaluation sont notamment les suivants :

33


• l’indépendance vis-à-vis de l’organisation c’est-à-dire le fait de pas être sous l’influence des collaborateurs de l’organisation dont le service d’audit interne est évalué.

• un processus de sélection de l’évaluateur externe qui devrait examiner les conflits d’intérêts réels, potentiels ou supposés – qu'ils découlent de relations passées, présentes ou potentielles avec l’organisation ou ses collaborateurs – Les relations tant personnelles que professionnelles sont à prendre en considération.

• les collaborateurs de services d’audit interne d’un même niveau d’intervention et sous l’autorité d’un même responsable de l’audit interne ne sont pas considérés comme étant indépendants, même s’ils sont rattachés à des entités différentes.

• des évaluations externes réciproques réalisées par au moins trois pairs peuvent être considérées comme indépendantes si le responsable de l'audit interne peut prouver que l'évaluateur ne se trouve ni en situation de conflit d'intérêts ni sous le contrôle de l'organisation dont le service d’audit interne fait partie.

• Les pairs sont définis comme des organisations provenant d'un même niveau d’intervention, d'une même association ou de tout autre groupe d’organisations similaires. Il convient toutefois de veiller à ce que l’indépendance ne soit pas altérée et à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions.

o Les équipes qui réalisent des évaluations réciproques entre pairs devraient posséder les connaissances, l'expérience et le savoir-faire décrits ci-dessus.

o Les évaluations réciproques entre deux pairs ne peuvent pas être considérées comme indépendantes.

4. L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts réels, potentiels ou supposés, devrait être discutée avec le Conseil et le dirigeant auquel le responsable de l'audit interne est hiérarchiquement rattaché.

5. Lorsqu’il sélectionne l’équipe d’évaluation externe, le responsable de l’audit interne doit prendre en compte le niveau d’expérience des candidats dans le secteur public.

34


MPA 1320-1 Communication des résultats du

programme d'assurance et d'amélioration qualité


1320 – Rapports relatifs au programme d’assurance et d’amélioration qualité Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et d'amélioration qualité à la direction générale ainsi qu’au Conseil.

Interprétation :

La forme, le contenu ainsi que la fréquence des communications relatives aux résultats du programme d'assurance et d'amélioration qualité sont définis lors de discussions avec la direction générale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de celles du responsable de l’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes, les résultats des évaluations internes périodiques et des évaluations externes doivent être communiqués dès l’achèvement de ces évaluations. Les résultats de la surveillance continue sont quant à eux communiqués au moins une fois par an. Ces résultats incluent l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité de l’activité d’audit interne.

------------

Évaluations internes

1. Le responsable de l'audit interne devrait, au moins une fois par an, définir le cadre de la communication des résultats des évaluations internes qui renforcent la crédibilité et l’objectivité. En règle générale, les personnes chargées de la surveillance continue et des auto-évaluations périodiques adressent directement leurs résultats au responsable de l'audit interne à l’issue de leurs évaluations. Dans les services d’audit interne de taille modeste, le responsable de l'audit interne peut jouer un rôle plus direct dans le processus d'évaluation interne. Dans tous les cas, il devrait communiquer au Conseil et au dirigeant auquel l’audit interne est hiérarchiquement rattaché les résultats des évaluations internes permanentes et périodiques, tant au regard des Normes de qualification et de fonctionnement qu'au regard de la définition de l’audit interne et du Code de Déontologie, et, le cas échéant, les mesures correctives prises et leur état d'avancement.

Évaluations externes

Évaluations entièrement externalisées

2. L'évaluateur ou l'équipe d'évaluation devraient examiner les résultats préliminaires avec le responsable de l'audit interne pendant l’évaluation.

3. Afin de déterminer la nature du rapport d'évaluation externe, le responsable de l'audit interne et le Conseil peuvent se poser les questions suivantes :

35


• l'évaluation donnera-t-elle lieu à la formulation d'une opinion ou d'une conclusion expresse sur la conformité ?

• jusqu’à quel niveau le rapport analysera-t-il l'efficacité, l’efficience et la valeur-ajoutée de l’activité d'audit interne ? :

• quel le périmètre des travaux du service d'audit interne que l'évaluation externe devra couvrir?


4. Lors d’une validation indépendante, et après un examen rigoureux de l’auto-évaluation du respect de la définition de l’audit interne, du Code de Déontologie et des Normes, l’évaluateur externe indépendant devrait :

• examiner le projet de rapport et s’efforcer, le cas échéant, de résoudre les points en suspens ; • en cas d’accord avec la conclusion concernant le respect de la définition de l’audit interne, du

Code de Déontologie et des Normes, compléter le rapport (s’il y a lieu), afin d’approuver le processus d’auto-évaluation et la conclusion formulée, ainsi que les constatations, conclusions et recommandations (s’il le juge opportun) ;

• en cas de désaccord avec l’auto-évaluation, compléter le rapport en précisant les points de divergence avec ce dernier et, s’il le juge opportun, avec les constatations, conclusions et recommandations significatives qu’il contient ;

• établir un rapport de validation indépendante séparé, mentionnant son accord ou son désaccord comme indiqué ci-dessus, à joindre au rapport d’auto-évaluation.

Rapports définitifs

5. Le rapport final de l'évaluation entièrement externalisée ou de l’auto-évaluation avec validation indépendante externe devrait être signé par l’évaluateur compétent et indépendant.

6. Le responsable de l'audit interne et le Conseil devraient convenir de la nature de la communication finale. Celle-ci peut inclure les éléments suivants :

• une conclusion sur les résultats de la mission au regard des objectifs fixés en accord avec le Conseil au début de l'évaluation externe.

• une conclusion sur la conformité de l'audit interne avec la définition de l’audit interne, le Code de Déontologie et les Normes, fondée sur une évaluation réalisée au regard d'une échelle similaire à celle qui figure dans le manuel d’évaluation qualité (Quality Assessment Manual) de l’IIA ou tout autre échelle d’évaluation similaire.

• une conclusion sur le respect de la charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’audit interne, ainsi que de la législation et réglementation en vigueur.

• une analyse de la mise en œuvre des meilleures pratiques observées au cours de l’évaluation ou qui pourraient s'appliquer dans l'environnement considéré.

• une analyse de l'efficience et de l'efficacité de l'audit interne, dans le cadre de sa charte, et de la prise en compte des attentes des parties prenantes.

• des recommandations, le cas échéant. • une réponse du responsable de l’audit interne comprenant, le cas échéant, un plan d’action et

les dates de mise en œuvre.

7. La formulation d’une opinion ou d'une conclusion sur les résultats de l’évaluation externe devrait reposer sur un jugement avisé ainsi que sur des qualités d’intégrité et de conscience professionnelle. Le responsable de l'audit interne et le Conseil peuvent convenir de l’échelle d’évaluation à appliquer. En voici un exemple:

36


• « Respect global » – cotation maximale ; le service d'audit interne est doté d'une charte, de règles et de processus dont la mise en œuvre et les résultats sont jugés conformes aux Normes.

• « Respect partiel » – des déficiences sont constatées dans la pratique et sont jugées contraires aux Normes, sans que cela empêche le service d'audit interne d’assumer ses responsabilités.

• « Non-respect » – les déficiences constatées dans la pratique sont jugées si importantes qu'elles empêchent le service d'audit interne de remplir tout ou partie de ses principales responsabilités ou compromettent fortement sa capacité à le faire.

Communication des résultats du programme d'assurance et d'amélioration qualité dans son ensemble

8. Par souci de transparence et dans le cadre de son devoir de rendre compte, le responsable de l'audit interne devrait communiquer chaque année les résultats du programme d'assurance et d'amélioration qualité au Conseil et au dirigeant auquel il est hiérarchiquement rattaché. Ces résultats comprennent, le cas échéant, les mesures correctives et leur état d'avancement. Ils peuvent être diffusés auprès des diverses parties prenantes de l'audit interne, comme la direction générale, le Conseil et les auditeurs externes.

37


MPA 1321-1 Utilisation de la mention « conforme aux Normes internationales pour la pratique

professionnelle de l’audit interne »


1321 – Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.

Interprétation :

Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de la définition de l’audit interne, du Code de Déontologie et des Normes. Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des évaluations internes et des évaluations externes. Tout service d’audit interne disposera de résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté disposeront également des résultats de leurs évaluations externes.

------------

1. L'un des objectifs du programme d'assurance et d'amélioration qualité est d'évaluer la conformité du service d’audit interne par rapport à la définition de l'audit interne, au Code de Déontologie et aux Normes.

2. Si les évaluations internes débouchent sur la conclusion que le service d'audit interne fonctionne de manière conforme durant ses cinq premières années d’activité, et que cette conclusion a été communiquée au Conseil, le responsable de l'audit interne peut déclarer son service « conforme aux Normes ».

3. Si une évaluation externe de la qualité ou une auto-évaluation avec validation indépendante externe met en évidence une non-conformité, l'audit interne doit cesser d'employer cette formule jusqu'à ce que son programme d'assurance et d'amélioration qualité apporte la confirmation que les déficiences ont été résolues de façon adéquate.

4. Si l'évaluation externe de la qualité ou l'auto-évaluation avec validation indépendante externe n'est pas réalisée dans le délai requis, l'audit interne doit cesser d'employer cette formule jusqu'à ce que l'une ou l'autre de ces évaluations soit effectuée et démontre que l'audit interne est en conformité avec les Normes.

38


MPA 1322-1 Indication de non-conformité aux Normes internationales pour la pratique

professionnelle de l’audit interne


1322 – Indication de non-conformité Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction générale et le Conseil de cette non-conformité et de ses conséquences.

------------

1. Le responsable de l'audit interne est chargé de communiquer les cas de non-conformité avec la définition de l'audit interne, le Code de Déontologie ou les Normes, quand ceux-ci ont une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne. Par exemple, une non-conformité peut consister en :

• l’attribution d’une mission à des auditeurs qui ne remplissent pas les critères d'objectivité ;

• la non-prise en compte des risques lors de l'élaboration du plan annuel d'audit ; • la réalisation de missions qui dépassent les connaissances, l'expérience et le savoir-faire collectifs

du service d'audit interne.

2. En l'absence d'évaluation externe de la qualité, au moins une fois tous les cinq ans, l'audit interne ne peut pas utiliser l’indication « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne ». La direction générale et le Conseil devraient être informés des conséquences de cette non-conformité.

39


MPA 2010-1 La prise en compte des risques et des menaces pour l’élaboration du plan d’audit

Principale Norme de Référence 2010 – Planification Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation. Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques. Pour se faire, le responsable de l’audit interne prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation. -------------------- 1. En élaborant le plan d'audit, la plupart des responsables de l’audit interne choisissent d'abord de développer ou d’actualiser l’univers d'audit. L’univers d’audit recense tous les audits pouvant être réalisés. Le responsable de l’audit interne peut recueillir la contribution de la direction générale et du Conseil pour constituer l’univers d’audit. 2. L’univers d’audit peut intégrer certaines composantes du plan stratégique de l’organisation, de façon à tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, les plans stratégiques reflètent l’attitude de l’organisation face aux risques et le degré de difficulté que comporte la réalisation des objectifs fixés. L’univers d’audit prend généralement en compte les résultats du processus de management des risques. En principe, le plan stratégique de l’organisation tient compte de l’environnement dans lequel elle opère. Les facteurs liés à cet environnement influeront vraisemblablement l’univers d’audit et l’évaluation des risques. 3. Le responsable de l’audit interne prépare le plan d'audit à partir de l’univers d'audit, des contributions de la direction générale et du Conseil, d’une évaluation des risques et des menaces pouvant affecter l'organisation. Les principaux objectifs d’audit visent à fournir une assurance et des informations, notamment en ce qui concerne l’évaluation de l’efficacité de la gestion des risques par le management, à la direction générale et au Conseil afin de les aider à atteindre les objectifs de l'organisation. 4. L’univers et la planification d’audit sont actualisés afin d’intégrer les changements d’orientation, d’objectifs et de priorité décidés par la direction générale. Il est conseillé d’examiner l’approche d’audit, au minimum une fois par an, afin de l’adapter aux stratégies et aux orientations les plus récentes de l’organisation. Il peut s’avérer nécessaire, dans certains cas, de procéder à une mise à jour plus régulière (trimestrielle, par exemple) des plans d’audit en fonction des évolutions intervenues dans les activités commerciales, le fonctionnement, les programmes, les systèmes et les contrôles de l’organisation.

40


5. Le plan des missions d’audit est établi, entre autres, sur la base d’une évaluation des principaux risques et menaces. Il convient de définir des priorités de façon à affecter les ressources en fonction du caractère significatif des risques. Le responsable de l'audit interne a, à sa disposition, divers modèles de risques pour l’aider à définir les zones d’audit prioritaires. La plupart de ces modèles utilisent des facteurs de risque tels que l’impact, la probabilité d’occurrence, la matérialité, la liquidité des actifs, la compétence du management, la qualité et le respect des contrôles internes, le niveau de changement ou de stabilité, la date et les résultats de la dernière mission d’audit, la complexité, les relations avec le personnel et l’administration, etc. Les méthodes et les techniques utilisées dans le cadre des missions d’audit, pour effectuer des tests et valider l’exposition aux risques, doivent tenir compte de la matérialité des risques et de leur probabilité d’occurrence.

41


MPA 2010-2 : Prise en compte du management des risques dans la planification de l’audit

interne

Principale norme de référence 2010 – Planification Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définir les priorités cohérentes avec les objectifs de l'organisation. Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques. Pour se faire, le responsable de l’audit interne prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation. ____________________________________ 1. Le management des risques est une composante primordiale de la bonne gouvernance. Il concerne toutes les activités d’une organisation. Nombre d’organisations sont en train d’adopter une approche de management des risques homogène et holistique, qui, dans l’idéal, doit être pleinement intégrée à leur management global. Le management des risques s’applique à tous les niveaux : entreprise, fonctions et unités opérationnelles. Les managers recourent généralement à un cadre de management des risques pour réaliser l’évaluation nécessaire et en documenter les résultats. 2. S’il est efficace, le processus de management des risques peut faciliter l’identification des contrôles clés liés aux risques inhérents les plus importants. Le management des risques de l’entreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) le définit comme « un processus mis en œuvre par le Conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de la tolérance au risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation ». L’exécution des contrôles est l’une des méthodes utilisée par le management pour gérer les risques dans les limites de son appétence pour le risque. Les auditeurs internes vérifient les contrôles clés et donnent une assurance sur le management des risques significatifs. 3. Les Normes pour la pratique professionnelle de l’audit interne (les Normes) élaborées par l’IIA définissent le contrôle comme « toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints ». 4. Il convient de distinguer deux concepts fondamentaux : le risque inhérent et le risque résiduel (ou risque actuel). Les auditeurs financiers/externes, ainsi que les auditeurs internes, utilisent depuis longtemps le

42


concept de risque inhérent, que l’on peut considérer comme étant le fait que des informations ou des données puissent être significativement erronées en l’absence de contrôles d’atténuation correspondants. D’après les Normes, les risques résiduels sont « les risques qui subsistent après les mesures prises par le management pour réduire l'impact et la probabilité d'occurrence d'un événement défavorable et, notamment, après les dispositifs de contrôle mis en place en réponse à un risque ». Le risque actuel est souvent défini comme le risque géré dans le cadre des activités de contrôles ou du dispositif de contrôle en place. 5. Les contrôles clés sont les contrôles ou ensembles de contrôles qui aident à réduire le risque à un niveau acceptable. On peut les considérer comme des processus organisationnels visant à traiter les risques. Si le management des risques est efficace (et accompagné d’une documentation adéquate), il est facile d’identifier les contrôles clés en examinant l’écart entre risque inhérent et risque résiduel dans tous les dispositifs sur lesquels l’organisation s’appuie pour réduire le niveau des risques importants. Si le risque inhérent n’a pas été identifié, l’auditeur interne l’estime. Lorsqu’il identifie les contrôles clés (et dans l’hypothèse où il a conclu à la maturité et à la fiabilité du management des risques), l’auditeur interne examine :

• chaque facteur de risque correspondant à un écart significatif entre le risque inhérent et le risque résiduel (surtout si le risque inhérent était particulièrement élevé). Cette analyse met en lumière les contrôles importants pour l’organisation ;

• les contrôles qui servent à réduire un grand nombre de risques. 6. La planification de l’audit interne doit s’appuyer sur le processus de management des risques de l’organisation lorsque celui-ci a été déployé. Quand il planifie une mission, l’auditeur interne prend en compte les risques importants liés à l’activité et les moyens par lesquels le management ramène le risque à un niveau acceptable. Il recourt à des techniques d’évaluation des risques pour établir le plan de la mission et pour définir les priorités afin d’allouer en conséquence les ressources dédiées à la mission. L’évaluation des risques sert à fixer les priorités parmi les entités pouvant être auditées et à sélectionner les domaines devant faire l’objet d’une revue. Les entités et domaines qui présentent la plus forte exposition aux risques devront être intégrés dans le plan de la mission. 7. Les auditeurs internes ne sont pas toujours qualifiés pour examiner toutes les catégories de risques et le processus de management des risques au sein de l’organisation (audits internes portant sur l’hygiène et la sécurité au travail, audits environnementaux ou instruments financiers complexes, par exemple). Le responsable de l’audit interne veille par conséquent à faire appel aux auditeurs internes qui disposent de compétences spécialisées, ou à des prestataires extérieurs. 8. La configuration des processus et systèmes de management des risques varie d’un pays à l’autre, et leur maturité d’une organisation à l’autre. Dans les organisations où le service de management des risques est centralisé, celui-ci coordonne ses activités avec celles des managers, de façon à surveiller en permanence le dispositif de contrôle interne et à l’adapter en fonction de l’évolution de l’appétence pour le risque. Les processus de management des risques qui sont mis en œuvre dans différentes parties du monde peuvent différer par leur philosophie, leurs structures et leur terminologie. C’est pourquoi les auditeurs internes évaluent le processus propre à l’organisation considérée et déterminent quels éléments peuvent servir à élaborer le plan d’audit interne ou le plan d’une mission donnée. 9. Lorsque l’auditeur interne établit son plan, il doit prendre en compte un certain nombre d’éléments :

• les risques inhérents – Sont-ils identifiés et évalués ?

43


• les risques résiduels – Sont-ils identifiés et évalués ? • les contrôles d’atténuation, les plans de secours et le pilotage des activités– Sont-ils associés à des

événements et/ou à des risques spécifiques ? • l’inventaire ou le registre des risques – Est-il systématique, alimenté et précis ? • la documentation – Les risques et activités sont-ils documentés ?

De plus, l’auditeur interne coordonne ses activités avec celles des autres prestataires de services d’assurance et planifie l’utilisation éventuelle de leurs travaux. [Voir la Modalité pratique d’application 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques.] 10. La charte d’audit interne requiert que le service d’audit interne se concentre sur les domaines à haut risque, qu’il s’agisse des risques inhérents ou des risques résiduels. L’audit interne doit identifier les domaines dans lesquels il existe un risque inhérent élevé, des risques résiduels élevés et les contrôles clés pour lesquels l’organisation à le plus d’assurance. Si l’audit interne repère des domaines présentant un risque résiduel inacceptable, il doit en aviser le management, afin que ce risque puisse être géré. En appliquant un processus de planification stratégique, l’auditeur interne sera à même d’identifier différents types d’activités à inclure dans le plan d’audit, tels que :

• les activités contrôles/ revues d’assurance – L’auditeur interne examine l’adéquation et l’efficience des dispositifs de contrôle et apporte l’assurance que les contrôles fonctionnent et que les risques sont gérés efficacement ;

• les demandes d’information – Le management de l’organisation estime le degré d’incertitude inacceptable en ce qui concerne les contrôles portant sur une activité ou un domaine de risque identifié, et l’auditeur interne met en œuvre des procédures destinées à mieux appréhender le risque résiduel ;

• les activités de conseil – L’auditeur interne conseille le management de l’organisation sur la conception des dispositifs de contrôle destinés à ramener les risques existants à un niveau acceptable.

Les auditeurs internes cherchent également à identifier les contrôles superflus, redondants, excessifs ou complexes qui ne contribuent pas à la réduction efficiente du risque. Il arrive dans ces cas que le contrôle ait un coût supérieur à ses bénéfices. Ce contrôle pourrait donc être conçu avec davantage d’efficience. 11. L’identification des risques pertinents doit être systématique et bien documentée. Il existe différentes formes de documentation, qui vont d’un tableur, dans les petites organisations, au logiciel acheté à l’extérieur, dans les organisations plus sophistiquées. L’essentiel, c’est que le cadre de référence du processus de management des risques soit intégralement documenté. 12. La documentation du management des risques dans une organisation peut être effectuée à différents niveaux inférieurs au niveau stratégique. Ainsi, pour les risques non stratégiques, nombre d’organisations ont constitué un inventaire des risques, qui informe sur les risques importants dans un domaine, ainsi que le niveau des risques inhérents et résiduels correspondants, sur les contrôles clés et sur les mesures d’atténuation. Il est ensuite possible de recourir à un rapprochement permettant d’établir des liens plus directs entre les « catégories » de risques et les « aspects » décrits dans les registres des risques et, le cas échéant, les éléments déjà inclus dans l’univers d’audit. 13. Il arrive que certaines organisations identifient plusieurs domaines dans lesquels le risque inhérent est

44


élevé (ou plus élevé). Bien que ces risques puissent justifier l’attention de l’audit interne, il n’est pas toujours possible de tous les examiner. Si, d’après le registre des risques, le risque inhérent est jugé élevé ou en augmentation dans un domaine particulier et si le risque résiduel reste, pour une large part, inchangé et qu’aucune action n’est prévue par le management ou par l’audit interne, le responsable de l’audit interne en rend compte au Conseil, en détaillant l’analyse des risques et les raisons pour lesquelles certains contrôles n’ont pas été mis en place ou sont inefficaces. 14. Une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquels le niveau de risque est faible doit être périodiquement incluse dans le plan d’audit interne afin de viser la couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ont pas évolué. L’audit interne définit également une méthode de hiérarchisation des risques qui n’ont pas encore fait l’objet d’un audit interne. 15. Un plan d’audit interne est habituellement axé sur :

• les risques actuels inacceptables, qui nécessitent une action du management. Ils concernent des domaines dans lesquels les contrôles clés ou les mesures d’atténuation sont limités au minimum, et que la direction générale souhaite faire auditer sans délai ;

• les dispositifs de contrôle sur lesquels l’organisation s’appuie le plus ; • les domaines dans lesquels il existe un écart considérable entre risque inhérent et risque résiduel ; • les domaines dans lesquels le risque inhérent est très élevé.

16. Lorsque l’auditeur interne planifie une mission donnée, il identifie et évalue les risques liés au domaine examiné.

45


MPA 2020-1 Communication et approbation

Principale Norme de Référence 2020 – Communication et approbation Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources. --------------- 1. Le responsable de l'audit interne soumet, annuellement, pour examen et approbation, à la direction générale et au Conseil, une synthèse du plan annuel d’audit interne, du planning des travaux, des prévisions d’effectifs et le budget financier. Cette synthèse signalera à la direction générale et au Conseil l’étendue des missions d’audit et, le cas échéant, les limitations qui y sont apportées. Le responsable de l'audit interne signalera également, pour information et approbation, tout changement ultérieur significatif. 2. Le planning des travaux, les prévisions d’effectifs et le budget financier approuvés, ainsi que tous les changements importants survenus en cours d’exercice, doivent contenir suffisamment d’informations pour permettre à la direction générale et au Conseil de déterminer si les objectifs et les plans de l’audit interne correspondent à ceux de l’organisation et du Conseil et sont cohérents avec la charte d’audit interne.

46


MPA 2030-1 Gestion des Ressources

Principale Norme de Référence 2030 – Gestion des ressources Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé. Interprétation : On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre efficacement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit. -------------------- 1. Le responsable de l’audit interne s’assure de l’adéquation et de la gestion des ressources nécessaires à l’exercice des responsabilités de l’audit interne, telles que définies dans la charte. Cela suppose l’existence d’une réelle communication avec la direction générale et le Conseil sur les besoins et le profil des ressources de l’audit interne. Les ressources de l’audit interne peuvent comprendre des salariés, des prestataires externes, des contributions financières et des techniques d’audit informatisées. Le responsable de l’audit interne devrait assister la direction générale et le Conseil qui ont la responsabilité ultime de garantir l’adéquation des ressources avec les besoins de l’audit interne. 2. Les compétences, le potentiel, ainsi que les connaissances techniques de l’équipe d’audit interne doivent être appropriées par rapport aux activités programmées. Le responsable de l’audit interne réalisera une évaluation ou un recensement périodique des compétences spécifiques requises pour accomplir les activités de l’audit interne. L’évaluation des compétences est fondée sur les besoins identifiés lors de l’évaluation des risques et dans le plan d’audit. Cette évaluation porte sur les compétences techniques, linguistiques, de gestion, de prévention et de détection des fraudes, ainsi que les expertises en comptabilité et en audit. 3. Il faut que les ressources de l’audit interne soient suffisantes pour permettre l’accomplissement de ses activités avec toute la justesse, la précision et la ponctualité attendues par la direction générale et le Conseil, comme prévu dans la charte d’audit interne. Les éléments à prendre en considération lors de la planification des ressources incluent l'univers d'audit, les niveaux de risques appropriés, le plan annuel d'audit, les attentes en matière de couverture, et une estimation des activités imprévues. 4. Le responsable de l’audit interne devra s’assurer que les ressources sont efficacement déployées. Les auditeurs compétents et qualifiés sont ainsi affectés à des missions spécifiques. Cela implique également le développement d’une démarche d’analyse des ressources, d’une structure adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographique de l’organisation. 5. Plus généralement, le responsable de l’audit interne prend aussi en considération le plan de succession, l’évaluation du personnel, les programmes de développement des compétences, ainsi que d’autres sujets de ressources humaines. Le responsable de l’audit interne s’assure que les besoins de ressources de l’audit interne sont correctement pris en compte, et ce, quelles que soient les compétences présentes ou non dans la fonction d’audit interne proprement dite. Le responsable de l’audit interne envisage d’autres

47


approches pour combler les besoins de ressources, notamment le recours à des prestataires externes de service, à des employés d’autres départements de l’organisation ou à des consultants spécialisés. 6. En raison du caractère critique des ressources, le responsable de l’audit interne communique régulièrement avec la direction générale et le Conseil, sur l’adéquation des ressources nécessaires au fonctionnement de l’audit interne. Le responsable de l’audit interne présente périodiquement à la direction générale et au Conseil une synthèse précisant le profil et l’adéquation des ressources. A cette fin, le responsable de l’audit interne développe des indicateurs appropriés, fixe des buts et objectifs pour contrôler l’adéquation générale des ressources. Il peut s’agir de la comparaison des ressources avec le plan annuel d’audit, de l’impact d’une absence temporaire de ressources ou d’une vacance de poste, des formations et apprentissages, de nouveaux besoins ou exigences spécifiques résultant des changements intervenus dans les activités commerciales, le fonctionnement, les programmes, les systèmes et les contrôles de l’organisation.

48


MPA 2040-1 Règles et Procédures

Principale Norme de Référence 2040 – Règles et procédures Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne. Interprétation : La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l’audit interne et de la complexité de ses travaux. --------------- 1. Le responsable de l’audit interne établit des règles et des procédures. Des manuels administratifs et techniques peuvent ne pas être nécessaires pour toutes les entités d’audit interne. Un petit service d’audit interne peut être dirigé d’une manière informelle. Son personnel peut être dirigé et contrôlé au jour le jour par une supervision étroite et des notes de service qui définissent les règles et les procédures à suivre. Par contre, dans un service d’audit interne important, il est essentiel de disposer de règles et procédures plus formalisées et complètes pour guider les auditeurs dans la réalisation du plan annuel d’audit.

49


MPA 2050-1 Coordination

Principale Norme de Référence 2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. ----------------- 1. La surveillance des travaux de commissariat aux comptes, y compris la coordination avec l’audit interne, est du ressort du Conseil. La coordination des travaux d’audit interne et externe relève du responsable de l'audit interne. Celui-ci obtient l’appui du Conseil pour coordonner efficacement les travaux d’audit. 2. Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance sur des activités comprises dans le périmètre de l’audit interne. Dans ce cas, le responsable de l’audit interne prend les mesures nécessaires pour comprendre le travail réalisé par les auditeurs externes, notamment :

• l’étendue, la nature du travail et l’échéancier prévus par les auditeurs externes et s’assurer que le travail des auditeurs internes et externes répond aux exigences de la Norme 2100 ;

• l’évaluation des risques et le seuil de matérialité utilisés par les auditeurs externes ; • les techniques, les méthodes et la terminologie employées par les auditeurs externes, afin de

permettre au responsable de l’audit interne de (1) coordonner le travail des auditeurs internes et externes, (2) évaluer le travail des auditeurs externes pour s’y appuyer, (3) communiquer efficacement avec les auditeurs externes.

• l’accès aux programmes et aux documents de travail des auditeurs externes pour s’assurer que leur travail peut être utilisé pour atteindre les objectifs de l’audit interne. Les auditeurs internes respectent la confidentialité de ces programmes et documents de travail.

3. L’auditeur externe peut se référer aux travaux de l’audit interne. Dans ce cas, il convient que le responsable de l’audit interne fournisse suffisamment d’informations pour permettre à l’auditeur externe de comprendre les techniques, méthodes et terminologie employées par l’audit interne et faciliter la référence à ses travaux. Les auditeurs externes ont accès aux programmes et aux documents de travail des auditeurs internes pour s’assurer que leur travail peut être utilisé pour atteindre les objectifs de l’audit externe. 4. L’utilisation de techniques, méthodes et terminologie similaires par les auditeurs internes et externes, la coordination effective de leurs travaux et la référence mutuelle aux travaux peuvent constituer une approche efficiente. 5. Les missions planifiées des auditeurs internes et externes devront être examinées pour s’assurer que la couverture de l’audit est coordonnée et que la duplication des travaux est minimisée lorsque cela est possible. Un nombre suffisant de rencontres sont programmées pendant le processus d’audit pour assurer la coordination des travaux, l’efficacité et l'achèvement dans un délai raisonnable des missions, et déterminer si les observations et recommandations issues des travaux déjà réalisés nécessitent de modifier

50


le programme d’intervention. 6. Les rapports définitifs de l'audit interne, les commentaires du management à propos de ces rapports, et les analyses complémentaires qui en découlent sont mis à disposition des auditeurs externes. Ces rapports aident les auditeurs externes à déterminer et à ajuster l’étendue et la durée de leur travail. De plus, les auditeurs internes ont besoin d’accéder aux supports de présentation des auditeurs externes et aux documents adressés à la direction. Les points abordés dans ces documents sont pris en considération par le responsable de l’audit interne et utilisés comme une donnée permettant d’identifier des domaines sur lesquels il convient de mettre l’accent dans les travaux futurs de l’audit interne. Une fois la lettre de recommandation étudiée et la décision d’engager des mesures correctives prise par les personnes appropriées au niveau de la direction générale et du Conseil, le responsable de l’audit interne s’assure de l’existence d’un suivi approprié et de la mise en œuvre des actions correctives. 7. Le responsable de l’audit interne doit procéder à des évaluations régulières de la coordination entre les auditeurs internes et externes. De telles évaluations peuvent aussi inclure des appréciations sur l’efficacité et l’efficience globale des activités d’audit interne et externe y compris sur leur coût global. Le responsable de l’audit interne communique les résultats de ces évaluations, y compris les commentaires pertinents à propos de la performance des auditeurs externes, à la direction générale et au Conseil.

51


MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et

de management des risques Principale norme de référence 2050 – Coordination Afin d’assurer une couverture adéquate des travaux et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager les informations et coordonner les activités avec les autres prestataires internes et externes d’assurance et de conseil. ----------------- 1. L’une des principales responsabilités du Conseil consiste à s’assurer que les processus fonctionnent dans le respect des instructions qu’il a émises pour la réalisation des objectifs définis. Il est nécessaire de déterminer si les processus de management des risques sont efficaces et si les principaux risques ou les risques critiques pour l’entreprise sont ramenés à un niveau acceptable. 2. L’attention croissante portée sur les rôles et les responsabilités de la direction générale et du Conseil pousse de nombreuses organisations à mettre davantage l’accent sur les activités d’assurance. Le glossaire des Normes définit l’assurance comme un « examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle». Le Conseil peut s’appuyer sur de multiples sources pour obtenir une assurance raisonnable. L’assurance donnée par le management est fondamentale et doit être complétée par une assurance objective provenant de l’audit interne et de tiers. Les risk managers, les auditeurs internes et le personnel chargé de la conformité se demandent : « qui fait quoi et pourquoi ? ». Le Conseil, en particulier, commence à se demander qui donne une assurance, quelle est la délimitation des fonctions et s’il y a des chevauchements. 3. On distingue globalement trois types de prestataires de services d’assurance. Ils se différencient par les parties prenantes auxquelles ils s’adressent, par leur degré d’indépendance par rapport aux activités pour lesquelles ils apportent une assurance et par la solidité de cette assurance :

• prestataires rendant compte au management et/ou qui en font partie (assurance donnée par le management), notamment ceux qui effectuent les auto-évaluations des contrôles, les auditeurs qualité, les auditeurs environnementaux et les autres membres du personnel d’assurance désignés par le management.

• prestataires rendant compte au Conseil, y inclus l’audit interne. • prestataires rendant compte à des parties prenantes extérieures (assurance émanant de l’audit

externe), rôle traditionnellement dévolu au commissaire aux comptes. Le niveau d’assurance souhaité et le type de prestataire dépendent du risque. 4. Il existe de nombreux prestataires de services d’assurance pour une organisation :

• cadres opérationnels et employés (c’est la première ligne de défense vis-à-vis des risques et contrôles dont ils sont chargés) ;

• direction générale ;

52


• auditeurs internes ; • auditeurs externes ; • responsable de la conformité ; • responsable qualité ; • risk managers ; • auditeurs environnementaux ; • auditeurs de l’hygiène et de la sécurité au travail ; • auditeurs de la performance dans le secteur public ; • équipes d’évaluateurs de la communication financière ; • sous-comités du Conseil (audit, actuariat, crédit, gouvernance, etc.) ; • prestataires externes de services d’assurance, qui effectuent notamment des enquêtes ou des

analyses spécialisées (portant, par exemple, sur l’hygiène et la sécurité). 5. L’audit interne donne habituellement une assurance à l’échelle de toute l’organisation, y compris pour les processus de management des risques (conception et efficacité opérationnelle), la gestion des risques « majeurs » (en particulier, l’efficacité des contrôles et des autres modes de gestion de ces risques), la vérification de la fiabilité et de l’adéquation de l’évaluation des risques, ainsi que pour le reporting sur l’état des risques et des contrôles. 6. La responsabilité des activités d’assurance étant traditionnellement répartie entre le management, l’audit interne, le risk management et les responsables de la conformité, une coordination est essentielle afin de maximiser l’efficience et l’efficacité de l’utilisation des ressources. De nombreuses organisations, ont mis en place des fonctions classiques (et séparées) d’audit interne, de risk management et de conformité. On trouve souvent plusieurs entités distinctes qui réalisent des activités de management des risques, de conformité ou d’assurance et qui opèrent indépendamment les unes des autres. Si la coordination et la communication ne sont pas efficaces, des doubles emplois peuvent se produire ou les principaux risques sont susceptibles d’être négligés ou mal évalués. 7. Si nombre d’organisations exercent un pilotage de l’audit interne, du risque et de la conformité, toutes n’ont pas une approche holistique de ces activités. La cartographie des prestataires de service d’assurance consiste à mettre l’étendue des travaux d’assurance en regard des principaux risques qui existent dans une organisation. Grâce à ce processus, une organisation peut identifier toute lacune dans le management des risques et y remédier, et les parties prenantes peuvent raisonnablement penser que les risques sont gérés et signalés, et que les obligations réglementaires et légales sont respectées. Les organisations tireront profit d’une approche rationnalisée, par laquelle le management dispose d’informations sur les risques auxquels il est confronté et sur la façon dont ces risques sont traités. La cartographie des prestataires de service d’assurance est établie au niveau de toute l’organisation, ce qui permet de comprendre où se situent les fonctions et responsabilités en termes de risque et d’assurance. Il s’agit de mettre en place un processus détaillé relatif au risque et à l’assurance, sans doubles emplois ni lacunes potentielles. 8. Bien souvent, l’organisation a défini les catégories de risques majeurs qui constituent son cadre de référence de management des risques. Dans ce cas, la cartographie des prestataires de service d’assurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple, comporter les informations suivantes :

• catégorie de risque majeur ; • manager responsable de ce risque (propriétaire du risque) ; • niveau du risque inhérent ; • niveau du risque résiduel ;

53


• travaux d’audit externe ; • travaux d’audit interne ; • travaux des autres prestataires de services d’assurance.

Par exemple, le responsable de l’audit interne pourra préciser l’étendue des travaux récents au niveau de « Travaux d’audit interne ». Il est fréquent que chaque risque majeur soit affecté à un « propriétaire » ou à une personne ayant pour tâche de coordonner les activités d’assurance pour ce risque. C’est cette personne qui fournirait les éléments pour les « Travaux des autres prestataires de services d’assurance ». Dans d’autres cas, la coordination est effectuée par l’audit interne, qui conçoit et établit pour l’organisation la cartographie des services donnant une assurance. Chaque unité importante au sein d’une organisation peut disposer de sa propre cartographie des prestataires d’assurance. 9. Dès lors que cette cartographie a été réalisée, il est possible d’identifier les risques majeurs qui ne sont pas correctement couverts par les services d’assurance, ou les domaines dans lesquels ces services sont délivrés en double. La direction générale et le Conseil doivent alors réfléchir aux changements à apporter à l’étendue des travaux d’assurance relatifs à ces risques. De son côté, lors de l’élaboration de son plan, l’audit interne doit prendre en compte les domaines ayant une couverture inadéquate. 10. Il appartient au responsable de l’audit interne de comprendre les besoins du Conseil et de l’organisation en ce qui concerne une assurance indépendante, afin de définir clairement le rôle de l’audit interne et le degré d’assurance que ce dernier apporte. Le Conseil doit être certain que le processus d’assurance global est adéquat et suffisamment robuste pour confirmer que les risques de l’organisation sont bien gérés et signalés. 11. Le Conseil doit recevoir des informations à la fois sur les activités d’assurance mises en œuvre et sur celles qui sont planifiées, pour chaque catégorie de risque. L’audit interne et les autres prestataires de service d’assurance donnent au Conseil, pour chaque catégorie concernée, le degré d’assurance approprié à la nature et aux niveaux de risque présents dans l’organisation. 12. Dans les organisations où le responsable de l’audit interne est tenu de formuler une opinion globale, il lui faut bien comprendre la nature, le périmètre et l’étendue de la cartographie intégrée des services d’assurance, afin de tenir compte des travaux des autres prestataires de service d’assurance (et de les utiliser, le cas échéant) avant de présenter un avis d’ensemble sur les processus de gouvernement d’entreprise, de management des risques et de contrôle de l’organisation. Le guide pratique de l’IIA intitulé « Formuler et exprimer une opinion d’audit interne » contient des recommandations supplémentaires à ce sujet. 13. Dans les cas où l’organisation n’attend pas de lui une opinion globale, le responsable de l’audit interne peut coordonner les activités des prestataires de service d’assurance, afin qu’il n’y ait pas de lacunes dans ces activités ou que les éventuelles lacunes soient connues et acceptées. Le responsable de l’audit interne signale toute absence de contribution/ participation/ supervision/ d’assurance à l’égard des travaux des autres prestataires de service d’assurance. S’il estime que l’étendue des activités d’assurance est inadéquate ou inefficace, il doit en aviser la direction générale et le Conseil. 14. Conformément à la Norme 2050, le responsable de l’audit interne doit coordonner les activités avec les autres prestataires d’assurance ; l’utilisation d’une cartographie des services d’assurance contribue à la réalisation de cet objectif. Ces cartographies se révèlent de plus en plus comme un moyen efficace de rendre compte de cette coordination.

54


MPA 2050-3 : S’appuyer sur les travaux d’autres prestataires de services d’assurance

Principale norme de référence 2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. ------------------------------------ 1. Pour fournir au Conseil une assurance concernant la gouvernance, le management des risques et le contrôle interne, l’auditeur interne peut s’appuyer sur les travaux d’autres prestataires internes ou externes de services d’assurance ou utiliser leurs travaux. Les prestations internes d’assurance peuvent, par exemple, être réalisées par les services chargés de la conformité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou par la surveillance permanente des activités exercée par le management. Les prestataires externes d’assurance sont, par exemple, les auditeurs externes, les experts, les cabinets d’audit ou de conseil, notamment ceux qui établissent les rapports conformément à la norme Internationale ISAE 3402 (Assurance Reports on Controls at a Service Organization). 2. Diverses raisons peuvent conduire à s’appuyer sur les travaux d’autres prestataires d’assurance. Il peut s’agir, notamment, de traiter les domaines qui sortent du champ de compétence du service d’audit interne, de bénéficier d’un transfert de connaissances ou d’étendre de façon efficiente la couverture des risques au-delà du plan d’audit interne. 3. La charte d’audit interne et/ou la lettre de mission devraient préciser que l’audit interne a accès aux travaux des autres prestataires internes et externes d’assurance. 4. Lorsque l’auditeur interne fait appel à des prestataires d’assurance, il devrait détailler dans un contrat ou un accord écrit ses attentes. Il convient au minimum de préciser :

• la nature et la propriété des livrables ; • les méthodes et techniques ; • la nature des procédures et des données ou des informations à utiliser ; • les rapports d’étape et les modalités de supervision qui permettent de s’assurer que les travaux

sont adéquats ; • les exigences de reporting.

5. Si le management conclut et pilote un contrat avec un prestataire d’assurance tiers, l’auditeur interne devra s’assurer que les éléments de cadrage de la mission sont appropriés, compris et appliqués. 6. L’auditeur interne devra prendre en compte le degré d’indépendance et d’objectivité de tout autre prestataire d’assurance lorsqu’il envisage de s’appuyer sur ses travaux ou de les utiliser. Dans le cas où c’est le management, plutôt que le service d’audit interne, qui engage et/ou supervise directement un prestataire d’assurance, il convient d’évaluer l’impact de cette situation sur l’indépendance et l’objectivité dudit prestataire. 7. L’auditeur interne évalue les compétences et les qualifications du prestataire d’assurance. Il pourra, par exemple, vérifier que ce dernier possède les qualifications et l’expérience professionnelle requises, qu’il est bien inscrit à des instituts ou à des organismes professionnels appropriés, et qu’il est réputé pour sa

55


compétence et son intégrité dans le secteur. 8. L’auditeur interne examine les pratiques du prestataire d’assurance afin d’obtenir une assurance raisonnable que les constats de ce dernier reposent sur des informations suffisantes, fiables, pertinentes et utiles, comme l’exige la Norme 2310 : Identification des informations. Le responsable de l’audit interne doit respecter la Norme 2310, indépendamment du niveau d’utilisation des travaux d’autres prestataires d’assurance. 9. L’auditeur interne s’assure que la planification, la supervision, la documentation et la révision des travaux de tout autre prestataire d’assurance sont correctement effectués. Il examine le caractère adéquat et suffisant des preuves d’audit pour déterminer s’il peut utiliser ces travaux et s’y fier. En fonction des résultats de cette évaluation, il se peut que des travaux supplémentaires ou des tests soient nécessaires pour obtenir des preuves d’audit adéquates et suffisantes. Sur la base de sa connaissance de l’organisation, de l’environnement, des techniques et des informations utilisées par le prestataire, l’auditeur interne jugera si, en définitive, les constats de ce dernier paraissent crédibles. 10. Le niveau de confiance accordé à un autre prestataire d’assurance dépendra des facteurs mentionnés ci-dessus : indépendance, objectivité, compétences, pratiques, pertinence des travaux d’audit et caractère suffisant des preuves d’audit à l’appui du niveau d’assurance apporté. Plus le risque ou l’importance de l’activité examinée par un autre prestataire d’assurance augmente ; plus l’auditeur interne devrait rassembler des informations sur ces facteurs. Il peut alors avoir besoin de constituer des preuves d’audit supplémentaires pour compléter les travaux effectués. L’audit interne peut tester les résultats des autres prestataires d’assurance afin de renforcer le niveau de confiance accordé à ces résultats. 11. L’auditeur interne devrait intégrer les résultats du prestataire de services d’assurance dans le rapport global d’audit que l’auditeur interne doit communiquer au Conseil et aux autres principales parties prenantes. Les problèmes significatifs soulevés par les autres prestataires d’assurance peuvent être intégrés in extenso ou de manière résumée dans les rapports d’audit interne. Lorsque ses rapports s’appuient sur les informations données par d’autres prestataires d’assurance, l’auditeur interne le précise. 12. Le suivi des actions de progrès est un processus par lequel les auditeurs internes évaluent l’adéquation, l’efficacité et la réalisation en temps opportun des mesures prises par le management pour faire suite aux observations et aux recommandations, y compris à celles formulées par les autres prestataires d’assurance. Lors de l’examen des mesures prises pour faire suite aux recommandations, l’auditeur interne devra déterminer si le management les a mis en œuvre ou s’il a accepté de prendre le risque de ne pas les suivre. 13. Les constats significatifs des autres prestataires d’assurance devront être pris en compte dans les missions et les communications de l’audit interne. En outre, les résultats des travaux des autres prestataires peuvent avoir une incidence sur l’évaluation des risques effectuée par l’audit interne et, le cas échéant, modifier l’appréciation du risque et la nature des travaux d’audit nécessaires en réponse à ce risque. 14. Pour évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration (Norme 2120 : Management des risques), l’audit interne peut examiner les processus des prestataires internes d’assurance, notamment au niveau de la conformité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou encore au niveau de la surveillance permanente des activités exercée par le management. Il convient que l’audit interne couvre les domaines à risque, mais lorsqu’une assurance est fournie par un autre service, l’audit interne peut se limiter à vérifier les résultats de ce processus au lieu de refaire le travail déjà effectué.

56


15. Concernant les risques significatifs, les évaluations des autres prestataires d’assurance doivent être communiquées aux services concernés, pour être prises en compte dans le management des risques de l’organisation et dans la cartographie des services donnant une assurance sur les dispositifs de contrôle interne et de management des risques (cf. MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques). ***

57


MPA 2060-1 Rapports à la Direction Générale et au Conseil

Principale Norme de Référence 2060 – Rapports à la Direction Générale et au Conseil Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte : • de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles correspondants ; • des sujets relatifs au gouvernement d’entreprise et ; • de tout autre problème répondant à un besoin ou à une demande de la Direction Générale ou du Conseil. Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la Direction Générale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence des actions correctives devant être entreprises par la Direction Générale et le Conseil. ----------------- 1. Les rapports ont pour finalité d’apporter une assurance à la direction générale et au Conseil en ce qui concerne les processus de gouvernement d’entreprise (Norme 2110), de management des risques (Norme 2120) et de contrôle (Norme 2130). La Norme 1111 indique : « Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. » 2. Le responsable de l’audit interne devra s’accorder avec le Conseil sur la fréquence et la nature des rapports concernant l’application de la charte d’audit interne (missions, pouvoirs et responsabilités, notamment) et le degré de réalisation du plan d’audit. Les rapports portant sur le degré de réalisation du plan d’audit devraient se référer à la dernière version du plan approuvé, afin d’informer la direction générale et le Conseil sur :

• les écarts significatifs par rapport au plan d’audit, aux prévisions de dotation en personnel et aux budgets financiers approuvés ;

• les raisons de ces écarts ; et • les mesures prises ou à prendre.

La Norme 1320 indique : « Le responsable de l’audit interne doit communiquer les résultats du programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’au Conseil. » 3. L’exposition aux risques significatifs et les problématiques de contrôle interne sont les situations qui, selon le jugement du responsable de l’audit interne, pourraient affecter de façon défavorable l’organisation et sa capacité à atteindre ses objectifs (stratégiques, relatifs à l’information financière, opérationnels et de conformité). Des enjeux importants peuvent induire une exposition inacceptable à des risques internes et externes, notamment les situations liées à des faiblesses de contrôle, à une fraude, à des irrégularités, à des actes illégaux, à des erreurs, à l’inefficience, au gaspillage, à l’inefficacité, à des conflits d’intérêts ou à la viabilité financière 4. C’est à la direction générale et au Conseil qu’il revient de décider des mesures appropriées à prendre face à des problèmes importants. Ils peuvent décider, pour des raisons de coût ou pour d’autres raisons, de prendre le risque de ne pas remédier à la situation dont il leur a été rendu compte. La direction générale

58


devrait informer le Conseil des décisions portant sur tous les enjeux importants soulevés par l’audit interne. 5. Lorsque le responsable de l’audit interne estime que la direction générale a accepté un niveau de risque considéré inacceptable par l’organisation, il doit en discuter avec la direction générale, conformément à la Norme 2600. Le responsable de l’audit interne doit comprendre ce qui motive la décision de la direction générale, identifier la cause de tout désaccord et déterminer si la direction générale a été mandatée pour accepter ce risque. Les désaccords peuvent concerner la probabilité du risque et l’exposition potentielle, la compréhension de l’appétence pour le risque, le coût ou le niveau de contrôle. Le responsable de l’audit interne règlera de préférence le désaccord avec la direction générale. 6. Si le responsable de l’audit interne et la direction générale ne parviennent pas à s’entendre, la Norme 2600 impose au responsable de l’audit interne d‘en informer le Conseil. Dans la mesure du possible, le responsable de l’audit interne et la direction présenteront conjointement leurs divergences. S’il s’agit de problèmes d’information financière, les responsables de l’audit interne envisageront d’en discuter en temps opportun avec les auditeurs externes. ***



Norme 2110 – Gouvernement d’entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants :

• promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;

• garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ;

• communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ;

• fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités.

Guide de mise en œuvre 2110

Préalables

Pour satisfaire aux exigences de cette norme, le responsable de l’audit interne devra, en premier lieu, obtenir une compréhension précise du gouvernement d’entreprise et des implications d’un tel processus en s’appuyant sur la définition proposée dans le glossaire des Normes, ainsi que sur les différents référentiels et les modèles existants au niveau international.

Guide de mise en œuvre – Série 2110 / Gouvernement d’entreprise



Les cadres, modèles et critères de gouvernement d’entreprise varient selon le type d’organisation et d’autorités de régulation. La manière dont une organisation conçoit et met en pratique les principes d’un gouvernement d’entreprise efficace varie également selon la taille, la complexité, la maturité de l’organisation, la structure de ses parties prenantes, ainsi que les exigences légales et culturelles auxquelles elle est soumise. Les modalités d’évaluation retenues par le responsable de l’audit interne dépendent du cadre ou du modèle utilisé par l’organisation.

Le responsable de l’audit interne vérifie ensuite si le plan d’audit interne couvre l’ensemble des processus de gouvernement d’entreprise de l’organisation et leurs risques associés. En effet, le gouvernement d’entreprise n’est pas une suite de processus et de structures distincts. Ainsi, les processus de gouvernement d’entreprise, de gestion des risques et de contrôle interne sont interdépendants. Par exemple, un gouvernement d’entreprise efficace tient compte du risque lors de l’élaboration de la stratégie. De même, la gestion des risques s’appuie sur un gouvernement d’entreprise efficace (notamment, l’exemplarité du management ou « tone at the top » ; l'appétence, la tolérance, la culture liées au risque ; la surveillance de la gestion des risques). En outre, un gouvernement d’entreprise efficace s’appuie sur des dispositifs de contrôle interne et sur la communication de leur efficacité au Conseil.

Le responsable de l'audit interne peut consulter les chartes, ordres du jour, procès-verbaux de réunions du Conseil et de ses comités, afin de mieux appréhender le rôle du Conseil dans le gouvernement d’entreprise. Échanger avec les principaux acteurs du gouvernement d’entreprise peut aider le responsable de l'audit interne à affiner sa connaissance des processus spécifiques à l'organisation et des activités d'assurance déjà en place. Le président du Conseil (ou, pour une entité publique, le principal responsable élu ou nommé), le déontologue, le responsable des ressources humaines, l'auditeur externe, le responsable de la conformité et le responsable de la gestion des risques font partie de ces acteurs. Si l'organisation est régulée, le responsable de l'audit interne peut étudier toute question relative au gouvernement d’entreprise identifiée par les régulateurs.

La compréhension du gouvernement d’entreprise, défini par la Norme 2110 et les spécificités de l'organisation, est cruciale pour engager la discussion avec le Conseil et la direction générale sur :

• la définition du gouvernement d’entreprise et de ses processus au sein de l'organisation ;




• les exigences de cette norme ;

• le rôle de l'audit interne ;

• toute modification de l'approche et du plan d'audit interne susceptible d'améliorer leur conformité avec cette norme.

Cette discussion permettra de parvenir à un accord avec le Conseil et la direction générale et de faire concorder leurs attentes concernant les composantes du gouvernement d’entreprise. Elle permet ainsi la mise en œuvre d'une approche et d’un plan d'audit interne adaptés.

Éléments à prendre en compte pour la mise en œuvre

Les processus de gouvernement d’entreprise sont pris en considération au cours de l'évaluation des risques effectuée par l'audit interne et de l'élaboration du plan d'audit. Le responsable de l'audit interne identifie ainsi les processus de gouvernement d’entreprise les plus risqués qui seront traités lors de missions d'assurance et de conseil inscrites dans le plan d'audit définitif. Par ailleurs, la Norme 2110 identifie la responsabilité de l'audit interne en matière d'évaluation et de formulation de recommandations pour améliorer le processus de gouvernement d’entreprise dans la réalisation de quatre objectifs principaux.

• Pour évaluer comment l’organisation promeut ses règles d'éthique et ses valeurs, en interne comme auprès de ses partenaires externes, l'audit interne examine les objectifs, programmes et activités de l'organisation en la matière. Cet examen peut par exemple porter sur des déclarations relatives à la mission et aux valeurs de l'organisation, un code de conduite, des processus de recrutement et de formation, une politique d’alerte et de lutte contre la fraude, une hotline et des mécanismes d'investigation. Des déclarations signées par les collaborateurs et les représentants des partenaires démontrent les efforts accomplis par l'organisation pour faire connaître ses règles d’éthique et ses valeurs. L'audit interne peut également recourir à des sondages et des entretiens afin d’évaluer si ces efforts permettent une sensibilisation suffisante.

• Pour évaluer comment l’organisation s’assure de l’efficacité de la gestion de la performance de l’organisation et de son devoir de rendre compte, l'audit interne peut examiner les politiques et processus concernant la rémunération des collaborateurs, la fixation des objectifs et l'évaluation de la performance. Il




peut étudier les mesures associées (par exemple les indicateurs clés de performance) et les mécanismes d’incitation (par exemple les primes) afin de déterminer si leur conception et leur mise en œuvre permettent d’une part d'empêcher ou de détecter des comportements inappropriés ou des prises de risques excessives et ; d’autre part, de favoriser l'adoption de mesures en phase avec les objectifs stratégiques de l'organisation. Les dossiers de séance du Conseil peuvent prouver que ce dernier était suffisamment informé des dispositifs de rémunération et d'incitation, et qu'il a surveillé les performances des cadres supérieurs.

• Pour s'assurer que les informations relatives aux risques et aux contrôles sont exhaustives, précises et diffusées aux services concernés en temps voulu, l'audit interne peut utiliser les rapports internes, les lettres d'information, les notes et courriels pertinents ainsi que les procès-verbaux de réunions. Il peut également recourir à des sondages et à des entretiens afin de vérifier que les collaborateurs comprennent leurs responsabilités relatives aux risques et aux contrôles, et les conséquences pour l'organisation en cas de manquement à ces responsabilités.

• Pour évaluer la capacité de l’organisation à favoriser la communication entre le management, les auditeurs internes et externes et le Conseil, et assurer une coordination des activités de ce dernier, l'audit interne peut identifier les réunions de ces différents groupes (par exemple, réunions du Conseil, du comité d'audit et du comité financier) et leur fréquence. Des membres de l'audit interne peuvent assister à ces réunions en tant que participants ou observateurs, ou consulter les procès-verbaux, les programmes de travail et les rapports distribués aux groupes afin d'en tirer des enseignements sur la coordination de leurs activités et leur mode de communication.

Les auditeurs internes peuvent agir à divers titres pour évaluer et contribuer à l’amélioration des pratiques de gouvernement d’entreprise. Ils peuvent fournir des évaluations indépendantes et objectives de la conception et de l’efficacité des processus de gouvernement d’entreprise de l’organisation. En sus ou en lieu et place de l'assurance qu'ils donnent, les auditeurs internes peuvent également réaliser des consultations en utilisant d'autres méthodes, en particulier lorsqu’’il existe des problèmes connus ou lorsque le processus de gouvernement d’entreprise n’est pas mature. Dans le cadre d’activités de conseil ou d'assurance, le responsable de l'audit interne peut décider de recourir à des méthodes de contrôle en continu, par exemple en demandant à des auditeurs internes d'assister, en tant qu'observateurs, aux réunions des instances concernées par le gouvernement d’entreprise et de leur fournir régulièrement des




conseils. En règle générale, le gouvernement d’entreprise ne fait pas l'objet d'une mission d’audit spécifique. Les évaluations de l’audit interne concernant les processus de gouvernement d’entreprise se fondent plutôt sur des informations obtenues à partir des nombreuses missions d’audit réalisées au fil du temps.

Lorsqu’une évaluation globale du gouvernement d’entreprise s'avère pertinente, elle tient compte :

• des résultats des missions d’audit de processus de gouvernement d’entreprise spécifiques identifiés ci-dessus ;

• des problèmes de gouvernement d’entreprise identifiés lors de missions qui n’étaient pas centrées sur ce sujet, comme par exemple :

o la planification stratégique ; o les processus de gestion des risques ; o l'efficacité et l’efficience opérationnelles ; o le contrôle interne relatif au reporting financier ; o les risques associés aux systèmes d’information, les risques de fraude et autres ; o la conformité avec les lois et réglementations applicables ;

• des résultats des évaluations du management (par exemple, inspections de conformité, audits qualité, auto-évaluations des contrôles) ;

• des travaux réalisés par d'autres prestataires de services d'assurance (par exemple, enquêteurs dans le cadre de procédures judiciaires, inspections générales d’administrations de l’Etat, et auditeurs externes) et par les régulateurs ;

• d’autres informations sur les questions de gouvernement d’entreprise, comme les incidents indiquant une opportunité d’améliorer les processus en la matière.

Pendant les phases de planification, d’évaluation et de reporting, les auditeurs internes tiennent compte de la nature et des répercussions potentielles des résultats, et s'assurent que les communications avec le Conseil et la direction générale sont appropriées. Le responsable de l’audit interne peut consulter un juriste avant l’évaluation du gouvernement d’entreprise et la finalisation des rapports.




Éléments à prendre en compte pour démontrer la conformité

La conformité peut être documentée via des rapports d'audit interne distincts sur des processus donnés de gouvernement d’entreprise, et via un rapport global sur le gouvernement d’entreprise intégrant des missions d’assurance et des recommandations émanant des activités de conseil. La documentation peut également inclure les procès-verbaux des réunions du Conseil au cours desquelles le responsable de l'audit interne a abordé l'évaluation globale des pratiques de gouvernement d’entreprise réalisée par l'audit interne.

Version consolidée 28 août 2015 65

MPA 2120-1 Évaluer la pertinence des processus de management des risques

Principale Norme de Référence 2120 – Management des risques L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration. Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s’assurer que :

• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ; • les modalités de traitement des risques retenues sont appropriées et en adéquation avec

l’appétence pour le risque de l’organisation ; • les informations relatives aux risques sont recensées et communiquées en temps opportun au sein

de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des résultats de ces missions permet une compréhension du processus de management des risques de l’organisation et de son efficacité. Les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens. ----------------- 1. La gestion des risques est une responsabilité majeure de la direction générale et du Conseil. Pour atteindre ses objectifs, le management s’assure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe aux Conseils de veiller à ce que des processus de management des risques appropriés, suffisants et efficaces soient en œuvre. A cet effet, ils peuvent demander à l’audit interne de les assister en examinant et évaluant les processus de management des risques mis en œuvre, en vérifiant qu’ils sont suffisants et efficaces, puis en émettant des rapports et des recommandations en vue de leur amélioration. 2. Le management et le Conseil sont responsables des processus de management des risques et de contrôle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre d’une mission de conseil, aider l’organisation à identifier, à évaluer et à mettre en place des méthodes de management des risques et des contrôles permettant de maîtriser ces risques. 3. Dans l’hypothèse où l’organisation n’a pas mis en place de processus de management des risques, le responsable de l’audit interne examine formellement avec la direction générale et le comité d’audit :

• leurs responsabilités en matière de compréhension, de gestion et de surveillance des risques dans l'organisation ;

• leur besoin d’informations sur le caractère opérationnel des processus (y compris les processus informels) qui donnent une visibilité appropriée des risques majeurs, de leur gestion et de leur surveillance.


4. Le responsable de l'audit interne recueille les attentes de la direction générale et du Conseil en ce qui concerne le rôle de l’audit interne dans le processus de management des risques de l’organisation. Ce rôle est précisé dans la charte d’audit interne ainsi que dans la charte du Conseil. Les responsabilités de l’audit interne doivent être coordonnées avec tous les groupes ou les personnes qui interviennent dans le processus de management des risques de l’organisation. Le rôle de l’audit interne dans le processus de management des risques d’une organisation peut évoluer dans le temps et revêtir les formes suivantes :

• aucune intervention ; • audit du processus de management des risques dans le cadre du programme d’audit interne ; • soutien actif et continu, et participation au processus de management des risques, notamment

dans le cadre de comités de surveillance, d’activités de suivi et de rapports officiels ; • gestion et coordination du processus de management des risques.

5. En définitive, il incombe à la direction générale et au Conseil de déterminer le rôle de l’audit interne dans le processus de management des risques. Leur vision dans ce domaine dépendra de facteurs tels que la culture de l’organisation, la compétence de l’équipe d’audit interne, les us et coutumes du pays. Cependant, la responsabilité dans le processus de gestion des risques, son impact potentiel sur l'indépendance de l'audit interne nécessitent une discussion approfondie et une approbation de la part du Conseil. 6. Les techniques utilisées par les organisations en matière de management des risques peuvent être très différentes. Selon l’importance et la complexité des activités, les processus de management des risques peuvent être :

• formalisés ou informels ; • fondés sur une approche quantitative ou subjective ; • intégrés dans les différentes unités de l’organisation ou centralisés au niveau du siège.

7. Chaque organisation conçoit des processus adaptés à sa culture, à son style de management et à ses objectifs. A titre d’exemple, le recours à des instruments dérivés ou à d’autres instruments financiers sophistiqués, pourra nécessiter la mise en œuvre d’outils quantitatifs de management des risques. Les organisations moins complexes et de taille plus modeste pourront, en revanche, analyser le profil de risque de l’organisation et prendre périodiquement des mesures dans le cadre d’un comité des risques informel. L’auditeur interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation. 8. Afin de se forger une opinion sur l’adéquation des processus de management des risques, les auditeurs internes devront disposer d’éléments suffisamment probants et appropriés pour avoir l’assurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir ces éléments, l’auditeur interne peut recourir aux procédures d’audit décrites ci-après :

• rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évolution récente et les tendances, ainsi que toute autre source d’information appropriée, afin de déterminer les risques susceptibles d’affecter l’organisation et les procédures de contrôle utilisées pour gérer, suivre et réévaluer ces risques ;

• examiner les règles de l’entreprise ainsi que les procès-verbaux des délibérations du Conseil et du comité d’audit afin de déterminer les stratégies de l’organisation, son approche du management des risques, son appétence pour le risque et son acceptation des risques ;

• examiner les rapports d’évaluation des risques précédemment établis par le management, les auditeurs internes ou externes et par tout autre intervenant ;


• organiser des entretiens avec l’encadrement opérationnel et leur direction afin de déterminer les

objectifs de chaque branche d’activité, les risques correspondants, et les mesures de suivi, de contrôle et d’atténuation des risques prises par le management ;

• recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du processus de suivi, de communication et d’atténuation des risques, et des activités de contrôle correspondantes ;

• déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au niveau hiérarchique approprié ;

• vérifier si les rapports concernant les résultats du management des risques sont diffusés selon des modalités et dans des délais appropriés ;

• s’assurer du caractère exhaustif de l’analyse des risques effectuée par le management et des mesures prises pour résoudre les points soulevés dans le cadre du processus de management des risques, et proposer des améliorations ;

• apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management, au moyen d’observations et de tests sur les procédures de suivi et de contrôle testant l’exactitude des informations utilisées dans le cadre des opérations de suivi, et par d’autres techniques appropriées ;

• examiner les signes de faiblesse éventuels du dispositif de management des risques et, le cas échéant, les analyser avec la direction générale et le Conseil. S’il estime que le management a accepté un niveau de risques non compatible avec la stratégie et les procédures de l’organisation en matière de management des risques, ou jugé inacceptable pour l’organisation, l’auditeur se réfèrera à la Norme 2600 relative à l’acceptation des risques par le management et aux lignes directives correspondantes pour des orientations complémentaires.


MPA 2120-2 Gestion du risque lié à l’activité d’audit interne

Principale Norme de Référence 2120 – Management des risques L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration. Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s’assurer que :

• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ; • les modalités de traitement des risques retenues sont appropriées et en adéquation avec

l’appétence pour le risque de l’organisation ; • les informations relatives aux risques sont recensées et communiquées en temps opportun au sein

de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des résultats de ces missions permet une compréhension du processus de management des risques de l’organisation et de son efficacité. Les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens. ----------------- 1. Le rôle et l’importance de l’audit interne augmentent considérablement et les attentes des principales parties prenantes (Conseil et direction générale, notamment) ne cessent, elles aussi, de croître. L’audit interne dispose d’un large mandat qui couvre les aspects financiers et opérationnels, les technologies de l’information, la conformité/la réglementation ainsi que les risques stratégiques. Dans le même temps, nombre de services d’audit interne sont confrontés au manque de personnel qualifié sur le marché international du travail, à la hausse des rémunérations et à une forte demande de ressources spécialisées (dans les systèmes d’information, sur les problèmes de fraude, les instruments financiers dérivés ou la fiscalité, par exemple). La conjonction de ces facteurs engendre un niveau élevé de risque pour l’audit interne. C’est pourquoi les responsables de cette fonction doivent évaluer les risques liés à leurs activités et qui sont susceptibles de compromettre la réalisation de leurs objectifs. 2. L’audit interne lui-même n’est pas à l’abri ; il doit prendre les mesures nécessaires pour gérer ses propres risques. 3. On peut classer ces risques dans trois grandes catégories : risque d’échec de l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation. L’analyse ci-après met en lumière leurs principales caractéristiques et présente quelques-unes des dispositions qu’un service d’audit interne peut envisager de mettre en œuvre pour mieux gérer ces risques.


4. Toute organisation peut être victime de défaillances. Lorsque les contrôles sont déficients ou qu’une fraude est commise, la question : « Mais où étaient les auditeurs internes ? », est souvent posée. L’audit interne peut être impliqué dans ces défaillances pour les raisons suivantes :

• les Normes internationales pour la pratique professionnelle de l’audit interne ne sont pas respectées ;

• le programme d’assurance et d’amélioration qualité (Norme 1300) est inadéquat, en particulier les procédures de supervision de l’indépendance et de l’objectivité des auditeurs ;

• il n’y a pas de processus efficace pour la définition des domaines clés de l’audit lors de l’évaluation des risques stratégiques, ainsi que des domaines à haut risque lors de chaque mission, ce qui empêche les auditeurs internes de réaliser les audits nécessaires et/ou leur fait perdre du temps sur des audits inappropriés ;

• il n’y a pas de procédures d’audit interne efficaces pour l’évaluation des risques « réels » et des contrôles appropriés ;

• il n’y a pas d’évaluation de l’adéquation et de l’efficacité des contrôles dans le cadre des procédures d’audit interne ;

• l’équipe d’audit interne ne dispose pas des compétences appropriées, fondées sur l’expérience ou la connaissance des zones à haut risque ;

• l’exercice d’un scepticisme professionnel insuffisant et l’absence de renforcement des procédures d’audit interne à la suite de constats ou de déficiences de contrôles ;

• la supervision de l’audit interne n’est pas adéquate ; • une mauvaise gestion des preuves de fraude : « Ce n’est probablement pas important » ou « Nous

n’avons pas le temps ni les ressources nécessaires pour nous pencher sur ce point. » ; • les auditeurs internes ne communiquent pas leurs soupçons aux personnes appropriées ; • une communication défaillante.

5. Les défaillances de l’audit interne peuvent non seulement être embarrassantes pour cette fonction, mais elles peuvent également exposer l’organisation à un risque significatif. Même s’il est impossible de garantir de manière absolue l’absence d’échec de l’audit, les mesures suivantes peuvent permettre de réduire ce risque :

• un programme d’assurance et d’amélioration qualité : toute activité d’audit interne doit impérativement appliquer un programme efficace d’assurance et d’amélioration qualité ;

• un examen périodique de l’univers d’audit : examiner périodiquement la méthodologie d’audit, permettant de s’assurer de l’exhaustivité de l’univers d’audit. Cette analyse doit notamment s’appuyer sur une évaluation régulière du profil dynamique des risques de l’organisation ;

• un examen périodique du plan d’audit : il faut examiner le plan d’audit en cours afin de déterminer quelles missions peuvent être les plus risquées. La direction de l’audit interne dispose ainsi d’une meilleure visibilité sur ces missions et peut consacrer davantage de temps à comprendre la façon dont les missions critiques sont abordées ;

• une planification efficace de l’audit : rien ne remplace une planification efficace. Un processus de planification approfondi, qui inclut l’actualisation des informations pertinentes relatives au client, ainsi qu’une évaluation efficace des risques, permet de réduire significativement le risque d’échec de l’audit. De plus, bien cerner le périmètre de la mission et des procédures d’audit interne à mettre en œuvre constitue une étape essentielle de la planification, qui réduira, les risques d’échec de l’audit. Il est également fondamental d’inclure dans ce processus les points de supervision qui relèvent du management de l’audit interne et d’obtenir l’autorisation de s’écarter éventuellement du plan convenu ;


• une conception efficace de l’audit : dans la plupart des cas, avant de commencer à vérifier

l’efficacité d’un système de contrôle interne, l’auditeur interne consacre un certain temps à comprendre et à analyser la conception de ce système afin de déterminer s’il permet des contrôles adéquats. Il dispose ainsi d’informations solides pour commenter les causes des défaillances du système, lesquelles résultent parfois d’une mauvaise conception des contrôles. Il peut ainsi remédier à ces défaillances plutôt que d’en traiter seulement les symptômes. Ce type d’approche réduit le risque d’échec de l’audit parce qu’il permet une identification des contrôles manquants ;

• une revue/ un suivi efficace par le management et des procédures d’escalade : la participation de l’équipe de management de l’audit interne au processus (c’est-à-dire avant la rédaction du projet de rapport) contribue largement à atténuer le risque d’échec de l’audit. La direction peut réviser les papiers de travail, participer à des discussions « en temps réel » sur les constats ou à une réunion de clôture. Cette implication peut permettre d’identifier et d’évaluer plus rapidement d’éventuels problèmes. De plus, le service d’audit interne peut avoir des procédures indicatives, qui spécifient à quel moment et quels types de problèmes faire remonter, et à quel niveau de la direction de l’audit interne ;

• une allocation appropriée des ressources : il est essentiel de bien choisir l’équipe pour chaque mission d’audit interne, et tout particulièrement lors de la planification d’une mission à haut risque ou très technique. En veillant à disposer des compétences appropriées, on peut nettement réduire le risque d’échec d’une mission d’audit. En outre, les membres de l’équipe doivent disposer d’un niveau d’expérience adéquat : les personnes qui conduisent une mission d’audit interne doivent notamment posséder de solides compétences en gestion de projets.

6. Une activité d’audit interne donne parfois, sans le savoir, une « fausse assurance », c’est-à-dire un niveau de confiance ou d’assurance qui se fonde sur des perceptions ou des hypothèses plutôt que sur des faits. Dans de nombreux cas, la simple implication de l’audit interne sur un domaine peut aboutir à donner une fausse assurance. 7. Lorsque l’audit interne assiste l’organisation dans l’identification et l’évaluation de risques significatifs, il doit être clairement précisé qu’il ne s’agit pas d’audit interne. Par exemple, une unité opérationnelle demande à l’audit interne de fournir des « ressources » nécessaires à l’introduction d’un nouveau système informatique dans toute l’organisation. Ces ressources sont utilisées pour une partie des tests portant sur le nouveau système, mais, ultérieurement, une erreur de conception de ce système a nécessité le retraitement des états financiers. Interrogée sur ce qui s’était passé, cette unité opérationnelle affirme que l’audit interne avait participé au processus sans déceler le problème. La participation des auditeurs internes a donc donné ici une fausse assurance, qui n’a aucun rapport avec la nature de leur contribution réelle au projet. 8. Même s’il n’existe aucun moyen d’atténuer l’ensemble des risques de fausse assurance, l’audit interne peut néanmoins prendre les devants pour gérer ce risque, notamment grâce à une communication claire et fréquente. C’est l’une des principales stratégies de gestion de ce risque. Il existe également d’autres bonnes pratiques de premier plan :

• communication proactive sur le rôle et le mandat de l’audit interne au comité d’audit, à la direction générale et aux autres parties prenantes ;

• présentation claire de ce qui est inclus dans l’évaluation des risques, le plan d’audit interne et la mission de l’audit interne. Il convient également de préciser, de façon explicite, ce qui ne fait pas partie de l’évaluation des risques et du plan d’audit interne ;


• mise en place d’un processus de « validation des projets », afin d’analyser, pour chaque projet, le niveau de risque et la contribution de l’audit interne. Cette analyse peut notamment porter sur le périmètre du projet, le rôle de l’audit interne, les attentes en termes de reporting, les compétences requises et l’indépendance des auditeurs internes ;

• si les auditeurs internes font partie d’une équipe-projet, il faut définir par écrit leur rôle et le champ de leur intervention, ainsi que les aspects relatifs à leur objectivité et à leur indépendance, plutôt que de considérer ces auditeurs internes comme des ressources « prêtées », ce qui risque de donner une fausse assurance.

9. L’efficacité de l’audit interne repose essentiellement sur sa crédibilité. Les services d’audit interne qui bénéficient d’une haute estime sont susceptibles d’attirer des professionnels talentueux et sont considérés comme créateur de valeur pour l’organisation. Leur capacité à préserver la solidité de leur image et à contribuer au bon fonctionnement de l’organisation est donc cruciale pour un véritable succès. Dans la plupart des cas, il faut plusieurs années pour construire cette marque, par un travail constant et de très grande qualité. Malheureusement, un événement négatif majeur peut anéantir instantanément tous ces efforts. 10. Par exemple, un service d’audit interne peut être tenu en haute estime car plusieurs responsables financiers de l’organisation sont passés dans ce département, considéré comme une excellente formation pour de futurs cadres. Or, la réputation de ce service d’audit interne est entachée à la suite d’une succession de corrections de grande ampleur des états financiers et des enquêtes menées par les autorités de réglementation. Le comité d’audit et le Conseil peuvent alors se demander si ce service dispose des compétences ainsi que du programme d’assurance et d’amélioration qualité appropriés pour aider l’organisation. 11. Un autre exemple : au cours d’un audit de la fonction ressources humaines, les auditeurs internes constatent que les vérifications des antécédents des salariés n’ont pas été correctement menées. La crédibilité du service d’audit interne peut être fortement entamée si l’on découvre que des auditeurs internes récemment embauchés n’ont pas suivi un cursus d’étude approprié ou que d’autres sont impliqués dans des opérations délictueuses. 12. De telles situations sont non seulement embarrassantes, mais elles portent également atteinte à l’efficacité de l’audit interne. Protéger la réputation et l’image de ce dernier est essentiel pour les activités d’audit interne et aussi pour l’ensemble de l’organisation. Il importe par conséquent que l’audit interne envisage les types de risques susceptibles d’entacher sa réputation auxquels il est confronté et qu’il élabore des stratégies permettant d’en atténuer l’impact. 13. Quelques exemples de mesures envisageables :

• mise en œuvre d’un solide programme d’assurance et d’amélioration qualité, pour tous les processus liés à l’audit interne, notamment ceux qui concernent les ressources humaines et l’embauche ;

• évaluation périodique des risques, afin que le service d’audit interne puisse identifier les risques qui sont susceptibles de porter atteinte à son image ;

• renforcement du code de conduite et des règles de déontologie, en se fondant sur notamment le Code de déontologie de l’IIA ;

• contrôle de la conformité de l’audit interne à toutes les politiques et pratiques de l’entreprise. 14. Si l’un des événements décrits plus haut affecte l’activité d’audit interne, le responsable de l’audit interne doit examiner la nature de cet événement et en comprendre les causes. Cette analyse le renseigne sur les changements qu’il faut envisager au niveau du processus d’audit interne ou de l’environnement de


contrôle, afin d’éviter qu’un tel événement ne se reproduise à l’avenir.


MPA 2120-3 : Prise en compte, par l’audit interne, des risques associés à l’atteinte des objectifs

stratégiques Principale Norme de référence 2120 – Management des risques 2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de :

• l’atteinte des objectifs stratégiques de l’organisation ; • la fiabilité et l'intégrité des informations financières et opérationnelles ; • l'efficacité et l'efficience des opérations et des programmes ; • la protection des actifs ; • le respect des lois, règlements, règles, procédures et contrats.

--------------------------------------- 1. Il incombe à la direction générale d’identifier et de gérer les risques dans le cadre de l’atteinte des objectifs stratégiques de l’organisation. Il est de la responsabilité du Conseil de s’assurer que tous les risques stratégiques sont identifiés, compris, et gérés à un niveau acceptable dans les limites des seuils de tolérance. L’audit interne devrait avoir connaissance de la stratégie de l’organisation, de la manière dont elle est mise en œuvre, des risques qui lui sont associés et de la manière dont ils sont gérés. 2. Pour que l’audit interne puisse mettre l’accent sur les risques majeurs, la stratégie de l’organisation devrait être un élément essentiel et déterminant du plan d’audit fondé sur l’approche par les risques. L’audit interne pourra alors être en adéquation avec les priorités stratégiques de l’organisation. De plus, cela permettra de s’assurer que les ressources de l’audit interne sont allouées aux domaines significatifs. 3. Lors de l’élaboration du plan d’audit, l’audit interne devrait mettre à profit les travaux du management et des autres fonctions prestataires d’assurance afin d’identifier les risques qui représentent les principales menaces et les opportunités dans la réalisation des objectifs stratégiques de l'organisation. 4. Les opportunités et les menaces stratégiques guideront la définition et la hiérarchisation des initiatives stratégiques à court et long terme par le management ou les investissements majeurs susceptibles de créer de la valeur pour les parties prenantes. 5. Lors de l'élaboration du plan d’audit, l’audit interne devrait envisager des missions d'assurance concernant ces initiatives stratégiques. L’audit interne sera ainsi en mesure de s’assurer que les risques stratégiques sont gérés à un niveau acceptable en évaluant tout ou partie des dispositifs de maîtrise correspondants. L’audit interne pourra également envisager des missions de conseil qui auront un impact sur l’évolution de l’organisation. 6. Après avoir identifié les risques stratégiques à intégrer dans le plan d'audit, l’audit interne devrait s’assurer que les compétences et les connaissances requises pour réaliser les missions d’assurance et de conseil portant sur ces problématiques existent dans le service d'audit interne. Cette expertise pourra être recherchée en dehors du service d’audit interne (prestations internes ou externalisées).


MPA 2130-1 Évaluer la pertinence des processus de contrôle

Principale Norme de Référence 2130 – Contrôle L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. ------------------ 1. L’organisation met en place et maintien des processus de management des risques et de contrôle efficaces. Les processus de contrôle ont pour but d’aider l’organisation à gérer les risques et à atteindre les objectifs fixés et diffusés. Les processus de contrôle devraient notamment permettre de s’assurer que les conditions suivantes sont remplies :

• les informations financières et opérationnelles sont fiables et intègres ; • les opérations sont réalisées de manière efficiente et permettent d’atteindre les objectifs fixés; • les actifs sont sauvegardés ; • les actes et les décisions prises par l’organisation sont conformes aux lois, aux règlements et aux

contrats. 2. Il incombe à la direction générale de superviser la mise en place, l’administration et l’évaluation des processus de management des risques et de contrôle. Les managers ont entre autres responsabilités celle d’évaluer les processus de contrôle dans leurs domaines respectifs. Les auditeurs internes fournissent des niveaux divers d’assurance quant au degré d’efficacité des processus de management des risques et de contrôle dans des activités et fonctions choisies de l’organisation. 3. Le responsable de l’audit interne émet une opinion globale sur l'adéquation et l'efficacité des processus de contrôle. Pour ce faire, il se fondera sur des constats avérés lors de la réalisation d’audits, et quand cela est approprié, sur des travaux d’autres prestataires d’audit d'assurance. Le responsable de l’audit interne communique son opinion à la direction générale et au Conseil. 4. Le responsable de l'audit interne élabore un projet de plan d’audit pour recueillir des éléments probants et suffisants qui permettront d’apprécier l’efficacité des processus de contrôle. Ce plan comporte des missions d’audit et/ou d’autres procédures nécessaires pour obtenir des preuves suffisantes et pertinentes à propos des unités opérationnelles et fonctions importantes à évaluer. De même, il comporte une revue des principaux processus de contrôle en place dans l’organisation. Le plan proposé devrait être suffisamment souple pour permettre une actualisation en cours d’année, en cas d’évolution des stratégies du management, de l’environnement extérieur, des principaux risques, ou en cas de réajustement des prévisions relatives à la réalisation des objectifs de l’organisation. 5. Le plan d'audit met un accent particulier sur les opérations les plus affectées par les changements récents ou inattendus. Ces changements peuvent résulter, par exemple, des conditions du marché ou d’investissements, d’acquisitions et de cessions, de restructurations, et de nouveaux systèmes ou enjeux. 6. Afin de déterminer le périmètre d’audit par rapport au projet de plan d’audit, le responsable de l’audit interne tient compte des travaux qui seront effectués par des tiers pour donner une assurance à la direction générale (par exemple, le responsable de l’audit interne peut se référer au travail des responsables de la conformité). Le plan d'audit du responsable de l’audit interne tient compte également


du travail réalisé par l'auditeur externe et des propres évaluations du management concernant les processus de management des risques, les dispositifs de contrôle et les processus d’amélioration qualité. 7. Le responsable de l'audit interne devrait évaluer l’envergure du périmètre du plan proposé pour vérifier que le champ d’intervention est suffisant pour permettre de formuler une assurance sur les processus de management des risques et de contrôle de l’organisation. Le responsable de l'audit interne devrait informer la direction générale et le Conseil de toute lacune du périmètre d’audit qui l’empêcherait de formuler une opinion sur les différents aspects de ces processus. 8. L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de contrôle de l’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations proviennent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuées par le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesure de l’avancement des missions, les auditeurs internes communiquent leurs observations aux responsables appropriés, de telle sorte que des mesures puissent être prises rapidement afin de remédier aux faiblesses ou anomalies constatées ou d’en atténuer les conséquences. 9. Lors de l’évaluation de l’efficacité des processus de contrôle d’une organisation, le responsable de l’audit interne tient compte :

• du caractère significatif des anomalies ou des faiblesses mises en évidence ; • des corrections ou améliorations apportées après les constatations ; • du fait que les constatations et leurs conséquences potentielles induisent à conclure à un état

entraînant un niveau de risques inacceptable. 10. L’existence d’une anomalie ou d’une faiblesse significative ne signifie pas nécessairement que cette anomalie ou faiblesse est généralisée et qu’elle entraîne un risque inacceptable. L‘auditeur interne devra prendre en compte la nature et la portée de l’exposition aux risques ainsi que le niveau des conséquences potentielles pour déterminer si l’efficacité des processus de contrôle est remise en cause et s’il existe des risques inacceptables. 11. Le rapport du responsable de l’audit interne sur les processus de contrôle de l'organisation est normalement présenté une fois par an à la direction générale et au Conseil. Ce rapport souligne l’importance du rôle joué par les processus de contrôle dans la réalisation des objectifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé par l’audit interne ainsi que la nature et la confiance accordée à d’autres prestataires d’audit d’assurance pour formuler cette opinion.


MPA 2130.A1-1 Fiabilité et intégrité de l’information

Principale Norme de Référence 2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants:


--------------- 1. Les auditeurs internes s’assurent que la direction générale et le Conseil sont conscients de la responsabilité du management en matière de fiabilité et d’intégrité de l’information. Cette responsabilité porte sur toutes les informations essentielles pour l’organisation, quel que soit leur mode de conservation. La fiabilité et l’intégrité de l’information incluent l’exactitude, l’exhaustivité et la sécurité. 2. Le responsable de l'audit interne s’assure que l’audit interne dispose ou a accès à des ressources appropriées pour évaluer la fiabilité et l’intégrité de l’information et les risques correspondants. Ces derniers incluent tant les risques internes que les risques externes et, ceux afférents aux relations établies par l’organisation avec d’autres entités externes. 3. Le responsable d’audit interne s’assure que la direction générale, le Conseil et l’audit interne seront rapidement informés de toute atteinte à la fiabilité et à l’intégrité de l’information et de toute situation susceptible de constituer une menace pour l’organisation. 4. Les auditeurs internes évaluent, le cas échéant, l’efficacité des mesures prises, en vue de prévenir, détecter et atténuer les attaques survenues par le passé, ainsi que tout incident ou tentative d'attaque susceptible de se produire à l'avenir. Les auditeurs internes s’assurent que le Conseil a bien été informé des menaces ou incidents survenus, des faiblesses exploitées et des mesures correctives. 5. Les auditeurs internes évaluent périodiquement le dispositif de fiabilité et d’intégrité de l’information de l’organisation et recommandent, le cas échéant, des améliorations ou la mise en place de nouveaux contrôles et de nouvelles mesures de protection. Ces évaluations peuvent faire l’objet de missions distinctes et isolées ou être intégrées dans d’autres missions réalisées dans le cadre du plan d’audit annuel. Le processus de communication approprié à la direction générale et au Conseil dépendra de la nature de la mission.


MPA 2130.A1-2 L’évaluation du dispositif mis en place par l’organisation pour protéger la vie

privée

Principale Norme de Référence 2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants:


--------------------- 1. L’incapacité à protéger des informations à caractère personnel par des contrôles appropriés, peut avoir d’importantes conséquences pour une organisation. Une telle lacune peut nuire à la réputation de certaines personnes et/ou de l’organisation, et exposer l’organisation à des risques tels que la mise en jeu de sa responsabilité légale et la baisse de confiance des consommateurs et/ou des salariés. 2. Les définitions de la vie privée varient amplement selon la culture, l’environnement politique et le cadre juridique des pays où est implantée l’organisation. Les risques liés au caractère personnel des informations comprennent l’intimité des personnes (sur le plan physique et psychologique), le respect de l’espace privé (absence de surveillance), ainsi que le caractère confidentiel de la communication (absence de contrôle) et des informations (collecte, exploitation et diffusion par autrui d’informations à caractère personnel). Les informations à caractère personnel correspondent généralement à des informations que l’on peut associer à un individu donné, soit en tant que telles soit en les regroupant avec d’autres informations. Il peut s’agir d’informations de nature objective ou subjective, enregistrées ou non, et ce quels qu’en soient la forme ou le support. À titre d’exemple, les informations à caractère personnel incluent notamment :

• le nom, l’adresse, les numéros d’identification, les relations familiales ; • les dossiers des salariés, les évaluations, les commentaires, le statut social ou les mesures

disciplinaires ; • les informations relatives aux crédits, au revenu et à la situation financière ; • la situation médicale.

3. Les bonnes pratiques en matière de protection de la vie privée constituent un élément essentiel des processus de gouvernement d’entreprise, de management des risques et de contrôle. Il incombe, en dernier ressort, au Conseil d’assurer l’identification des principaux risques encourus par l’organisation et la mise en œuvre des processus appropriés destinés à les atténuer. À ce titre, il lui appartient de doter l’organisation d’un dispositif garantissant le respect de la vie privée et d’en piloter la mise en place. 4. L’audit interne peut contribuer à un bon gouvernement d’entreprise et au management des risques en évaluant l’adéquation de l’identification des risques réalisée par le management en ce qui concerne la protection de la vie privée et des contrôles mis en place pour atténuer ces risques à un niveau acceptable. L’auditeur interne est bien placé pour évaluer le dispositif en place dans l’organisation, identifier les risques


significatifs et formuler les recommandations appropriées en vue de leur atténuation. 5. L’audit interne examine la nature et le bien-fondé des informations à caractère personnel ou privé recueillies par l’organisation et la méthode utilisée pour les collecter. Il vérifie également que l’organisation utilise ces informations conformément à l’usage qui en est attendu et à la législation applicable. 6. Étant donné la nature juridique et technique très marquée que revêt cette question, l’audit interne devra disposer des connaissances et des compétences pour procéder à l’évaluation des risques et des contrôles du dispositif mis en place par l’organisation en matière de protection de la vie privée. 7. Pour procéder à l’évaluation du dispositif mis en place par l’organisation pour protéger la vie privée, l’auditeur interne:

• prend en considération les lois, réglementations et règles relatives au respect de la vie privée en vigueur dans tous les pays dans lesquels l’organisation exerce une activité ;

• se rapproche du juriste de l’organisation afin de déterminer le contenu exact des lois, réglementations, normes ou pratiques applicables à l’organisation et au(x) pays dans le(s)quel(s) elle exerce une activité ;

• se rapproche des spécialistes des technologies de l’information afin de s’assurer que des contrôles concernant la sécurité des informations et la protection des données sont en place, et que leur efficacité est régulièrement examinée et évaluée ;

• prend en considération le niveau de maturité des pratiques de l’organisation en matière de protection de la vie privée. Le rôle de l’auditeur interne peut varier en fonction de cette maturité. L’auditeur peut faciliter l’élaboration et la mise en œuvre d’un programme spécifique, réaliser une évaluation des risques afin de déterminer les besoins et l’exposition aux risques de l’organisation, ou bien il peut donner une assurance sur l’efficacité des règles, des pratiques et des contrôles en place dans l’organisation. L’indépendance de l’auditeur interne peut être altérée s’il assume une responsabilité dans le développement et la mise en place d’un programme de protection de la vie privée.


MPA 2200-1 Planification de la mission

Principale Norme de Référence 2200 – Planification de la mission Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées. ------------------ 1. L’auditeur interne planifie et conduit la mission qui est supervisée et approuvée. Avant le début de la mission, l’auditeur interne prépare un programme qui :

• définit les objectifs de la mission ; • identifie les exigences techniques, les objectifs, les risques, les processus et les transactions qui

doivent être examinés ; • établit la nature et l'étendue nécessaire des tests ; • documente les procédures utilisées par l'auditeur interne pour collecter, analyser, interpréter et

documenter les informations pendant la mission ; • est modifié, le cas échéant, au cours de la mission avec l’approbation du responsable de l’audit

interne ou de son représentant. 2. Le responsable de l’audit interne devrait exiger un niveau de formalisme et de documentation adapté à l'organisation (par exemple concernant les résultats des réunions de planification, les procédures d'évaluation des risques, le niveau de détail du programme de travail, etc.). Cette exigence devrait s’appliquer :

• lorsque le travail réalisé ou les résultats de la mission reposent sur des travaux de tiers (par exemple, des auditeurs externes, des régulateurs, ou le management) ;

• lorsque le travail vise des aspects pouvant être associés à un litige existant ou potentiel ; • en fonction de l'expérience de l’équipe d’audit interne et du niveau de supervision directe exigée ; • lorsque la mission fait recours à des auditeurs associés, sélectionnés en interne ou à des

prestataires externes de services ; • en fonction de la complexité et l’étendue de la mission ; • en fonction de la taille du service d’audit interne ; • en fonction de la valeur des documents (par exemple, s'ils sont susceptibles d’être utilisés dans les

années suivantes). 3. L’auditeur interne détermine les autres exigences de la mission telles que la durée et les dates estimées d’achèvement. L’auditeur interne considère aussi le format de la communication finale de la mission. Une planification correcte à ce stade facilite le processus de communication à l’issue de la mission. 4. L’auditeur interne informe le management concerné. Il tient des réunions avec le management responsable de l'activité auditée. Il résume les discussions et diffusent les comptes rendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans les papiers de travail de la mission. Les sujets de discussion peuvent être les suivants :


• les objectifs et le champ d'intervention de la mission d'audit planifiée ; • les ressources et le calendrier de la mission ; • les facteurs clés affectant les conditions de gestion et les opérations des zones auditées, y compris

les changements récents au niveau de l’environnement interne et externe ; • les préoccupations et les demandes du management ; • les sujets particuliers ou les préoccupations de l'auditeur interne ; • la description des procédures de l'audit interne pour rendre compte et assurer le suivi de la

mission. 5. Le responsable de l'audit interne détermine comment, quand et à qui les résultats de l'audit seront communiqués. L’auditeur interne documente ces éléments et les communique au management autant que possible, pendant la phase de planification de la mission. L‘auditeur interne communique au management les changements ultérieurs qui affectent les délais ou la diffusion des résultats de la mission.


MPA 2200-2 Utilisation d’une approche « Top-Down », fondée sur les risques, pour identifier

les contrôles à évaluer dans le cadre d’une mission d’audit interne Principale Norme de Référence 2200 – Planification de la mission Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées. ------------------ 1. La présente modalité est complémentaire des Modalités Pratiques d’Application (MPA) 2010-2 : Prise en compte du management des risques dans la planification de l’audit interne, 2210-1 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planification de la mission ainsi que du Guide to the Assessment of IT Risk (GAIT) for business and IT risk (GAIT-R). 2. Cette MPA suppose que les objectifs de la mission d’audit interne aient été déterminés et les risques identifiés dans le cadre du processus de planification. Elle fournit une ligne directrice quant à l'utilisation d'une approche « Top-down », fondée sur les risques, qui identifie et inclut dans le périmètre de l’audit interne (selon la Norme 2220) les contrôles clés sur lesquels la gestion des risques s’appuie. 3. L’approche « Top-down » implique de définir le périmètre d'audit sur les risques les plus significatifs de l'organisation et non sur des risques spécifiques qui ne seraient pas significatifs à l’échelle de l'organisation. Une approche « Top-down » garantit que l'audit interne est orienté vers la « prise en compte du management des risques dans la planification de l’audit interne », conformément à la MPA 2010-2. 4. En général, un système de contrôle interne comprend à la fois des contrôles manuels et des contrôles automatisés. Ces deux types de contrôles doivent être évalués afin de déterminer si les risques sont efficacement gérés. L’auditeur interne doit en particulier évaluer s'il existe une combinaison appropriée de contrôles, y compris ceux relatifs aux technologies de l'information, afin de réduire les risques dans les limites acceptées par l'organisation. L’auditeur interne doit envisager d'inclure ou non des procédures visant à évaluer et confirmer que les niveaux d’acceptation des risques sont à jour et adéquats. 5. Le périmètre d’audit interne doit comprendre tous les contrôles requis pour donner l’assurance raisonnable que les risques sont efficacement gérés. Ces contrôles sont dits contrôles clés au sens où ils sont nécessaires à la gestion des risques associés à un objectif particulièrement critique pour l’organisation. Seuls les contrôles clés doivent être évalués. Toutefois, l’auditeur interne peut choisir d’inclure une évaluation d'autres contrôles (contrôles redondants ou dupliqués par exemple) s'il l’estime utile pour l'activité. Il peut également discuter avec le management de la nécessité de ces contrôles secondaires.


6. Lorsqu’une organisation dispose d’un programme de gestion des risques efficace et mature, les contrôles clés sur lesquels elle s’appuie pour gérer chaque risque devront être identifiés. Dans de tels cas, l’auditeur interne doit examiner si l'identification et l'évaluation des contrôles clés par le management sont adéquates. 7. Les contrôles clés peuvent prendre les formes suivantes :

• Les contrôles transversaux à l’entité peuvent être manuels, entièrement ou partiellement automatisés.

• Les contrôles manuels d’un processus métier. • Les contrôles entièrement automatisés d’un processus métier. • Les contrôles partiellement automatisés d’un processus métier, lorsqu’un contrôle manuel s’appuie

sur une fonctionnalité informatique telle qu’un état d’anomalies. Si cette fonctionnalité est erronée, l’ensemble du contrôle peut être inefficace. Par exemple, un contrôle clé visant à détecter les règlements dupliqués peut inclure l’examen d'un état informatique. La partie manuelle du contrôle ne peut assurer que l’état est complet. De ce fait, le périmètre d’audit doit inclure la fonctionnalité informatique qui génère l’état.

L’auditeur interne peut utiliser d’autres méthodes ou référentiels dès lors que tous les contrôles clés mis en place pour gérer les risques sont identifiés et évalués, y compris les contrôles manuels, automatisés et les contrôles généraux informatiques. 8. Les contrôles entièrement ou partiellement automatisés – qu’ils soient au niveau de l'entité ou d'un processus métier – s’appuient généralement sur la conception adéquate et l’efficacité des contrôles généraux informatiques. Le GAIT-R explicite le processus d’identification des contrôles généraux informatiques clés. 9. L’évaluation des contrôles clés peut être réalisée soit lors d'une seule mission d'audit interne selon une approche intégrée soit au cours d'une série de missions. Par exemple, une première mission d'audit interne peut traiter des contrôles clés réalisés par les opérationnels tandis qu'une deuxième abordera les contrôles généraux informatiques et qu’une troisième évaluera les contrôles associés mis en place au niveau de l’entité. Cette pratique est courante lorsque les mêmes contrôles sont mis en place pour plus d’un domaine de risque. 10. Comme énoncé au paragraphe 5, avant d’émettre une opinion sur la gestion efficace des risques couverts par le périmètre d’audit interne, il est nécessaire d’évaluer la combinaison des différents contrôles clés. Même lorsqu’une série de missions d’audit interne est réalisée, chacune traitant de certains contrôles clés, l'auditeur interne doit inclure dans le périmètre d'au moins une des missions d'audit interne une évaluation de la conception des contrôles clés dans son ensemble et déterminer si cela est suffisant pour gérer les risques dans les limites acceptées par l'organisation.


MPA 2210-1 Objectifs de la mission

Principale Norme de Référence 2210 – Objectifs de la mission Les objectifs doivent être précisés pour chaque mission. -------------------- 1. Les auditeurs internes établissent les objectifs de la mission en fonction des risques liés à l'activité à auditer. Concernant les missions planifiées, les objectifs découlent et sont conformes à ceux qui ont été initialement identifiés lors du processus d’évaluation des risques qui a permis d’établir le plan annuel d'audit. Pour les missions non planifiées, les objectifs sont établis avant le début de la mission en fonction de la problématique spécifique qui a motivé la mission. 2. L’évaluation des risques réalisée pendant la planification de la mission est utilisée pour mieux préciser les objectifs initiaux et identifier d’autres zones d’intérêt significatives. 3. Après avoir identifié les risques, l'auditeur interne détermine les procédures à mettre en œuvre et leur périmètre (nature, durée, et étendue). Les procédures mises en œuvre sur le périmètre approprié constituent les moyens de tirer des conclusions liées aux objectifs de la mission.


MPA 2210.A1-1 Évaluation des risques dans la planification de la mission

Principale Norme de Référence 2210.A1 – Les auditeurs internes doivent procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation. ----------------- 1. Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le management pour l’activité examinée. L’auditeur interne prend aussi en compte les éléments suivants :

• la fiabilité de cette évaluation des risques ; • le processus établi par le management pour la surveillance, la diffusion d’informations et la

résolution des risques et des contrôles ; • les comptes-rendus du management sur les événements qui ont dépassé les limites de l’appétence

pour le risque de l’organisation ainsi que les réponses du management à ces rapports ; • les risques des activités connexes et pertinentes par rapport à l’activité examinée.

2. Les auditeurs internes obtiennent et mettent à jour des informations de base sur l’activité à auditer. Ces informations sont révisées pour déterminer leur impact sur les objectifs et le périmètre de la mission. 3. Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avec les activités, les risques et les contrôles, pour identifier les domaines où la mission sera approfondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions. 4. Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée par le management, des éléments de contexte et de toute revue préliminaire. Ce résumé comprend :

• les problèmes importants et les raisons pour poursuivre une étude plus approfondie ; • les objectifs et les procédures de la mission; • les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillonnage ; • les points de contrôles potentiellement délicats, les manques et/ou les excès de contrôle apparents

; • si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significativement les

objectifs de la mission.


MPA 2230-1 Ressources affectées à la mission

Principale Norme de Référence 2230 – Ressources affectées à la mission Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles. ---------------- 1. Pour déterminer le caractère approprié et suffisant des ressources, les auditeurs internes considèrent les éléments suivants :

• le nombre d'auditeurs internes et le niveau d'expérience de l'équipe d'audit ; • les connaissances, le savoir-faire et autres compétences des auditeurs internes pour leur

affectation à chaque mission d'audit ; • la disponibilité de ressources externes dans les cas où des connaissances ou des compétences

supplémentaires sont requises ; • les besoins de formation des auditeurs internes pour chaque mission constituent un point de

départ pour satisfaire le développement des connaissances nécessaires au niveau de l’audit interne.


MPA 2240-1 Programme de travail de la mission

Principale Norme de Référence 2240 – Programme de travail de la mission Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission. -------------------- 1. Les auditeurs internes élaborent les programmes de travail et en obtiennent la validation formelle avant de commencer la mission. Le programme de travail comprend les méthodes utilisées telles que les audits informatisés et les techniques d’échantillonnage. 2. Le processus de collecte, d’analyse, d’interprétation et de documentation de l’information est supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteints et que l’objectivité de l’auditeur est maintenue.


MPA 2300-1 : Utilisation d’informations à caractère personnel dans la conduite d’une mission

Principale Norme de Référence 2300 – Accomplissement de la mission Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission. ------------------------------------------ 1. Les auditeurs internes doivent se préoccuper de la protection des informations à caractère personnel qui sont recueillies au cours des missions d’audit, car les progrès des technologies de l’information et des communications continuent d’induire des risques et des menaces pour la vie privée. De nombreux pays imposent aux organisations de se doter d’un dispositif de contrôle visant à protéger la vie privée. 2. Les informations à caractère personnel sont généralement des données associées à un individu en particulier ou des données d’identification qui peuvent être associées à d’autres informations. Il peut s’agir d’informations factuelles ou subjectives, enregistrées ou non, sous toute forme ou tout type de support. Les informations à caractère personnel sont notamment :

• le nom, l’adresse, les numéros d’identification, le revenu, le groupe sanguin ; • les évaluations, le statut social, les mesures disciplinaires ; • les fichiers du personnel et les dossiers de crédit et de prêt ; • les données relatives à la santé et les données médicales du personnel.

3. Dans de nombreux pays, la législation impose aux organisations d’identifier, lors de la collecte des données ou avant cette collecte, la finalité pour laquelle des informations à caractère personnel sont recueillies. Elle interdit l’utilisation et la divulgation d’informations à caractère personnel pour une finalité autre que celle pour laquelle ces données ont été recueillies, sauf si l’individu concerné a donné son accord ou si la législation l’impose. 4. Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives à l’utilisation d’informations à caractère personnel dans leur pays et dans les pays où leur organisation opère. 5. Il peut être inopportun, voire illégal, d’accéder à, de rechercher, de passer en revue, de manipuler ou d’utiliser des informations à caractère personnel dans le cadre de certaines missions d’audit interne. Si l’audit interne accède à de telles informations, il peut être nécessaire d’élaborer des procédures pour les protéger. Ainsi, dans certaines situations, l’auditeur interne peut décider de ne pas faire figurer d’informations à caractère personnel dans les dossiers de la mission. 6. En cas d’interrogations ou de doutes concernant l’accès à des informations à caractère personnel, l’auditeur interne peut demander l’avis d’un juriste avant le lancement de l’audit.


MPA 2320-1 : Procédures analytiques

Principale Norme de Référence 2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. ------------------------------------------ 1. Les auditeurs internes peuvent recourir à des procédures analytiques pour obtenir des preuves d’audit. Les procédures analytiques consistent à étudier et comparer les relations entre des informations financières et des informations non financières. Leur mise en œuvre se base sur l’hypothèse qu’en conditions normales, on peut raisonnablement s’attendre à l’existence et à la persistance de relations entre certaines informations. Parmi les exemples de conditions hors normes, on peut citer : les transactions ou événements inhabituels ou non récurrents, les modifications des principes comptables, organisationnels, opérationnels, environnementaux ou technologiques, les inefficiences, les inefficacités, les erreurs, la fraude ou les actes illégaux. 2. Pour l’auditeur interne, les procédures analytiques constituent souvent un moyen efficient et efficace d’obtenir des éléments probants. L’évaluation résulte de la comparaison d’une information avec des résultats attendus ou définis par l’auditeur interne. Les procédures analytiques sont utiles pour repérer :

• les écarts inattendus ; • l’absence d’écarts attendus ; • les erreurs potentielles ; • une fraude ou des actes illégaux potentiels ; • d’autres transactions ou événements inhabituels ou non récurrents.

3. Les procédures analytiques consistent notamment à :

• comparer les informations relatives à la période en cours et les informations analogues des périodes précédentes, ainsi que les budgets ou les prévisions ;

• étudier les relations entre des informations financières et des informations non financières appropriées (par exemple, les frais de personnel comptabilisés et l’évolution de l’effectif moyen) ;

• étudier les relations entre des éléments d’information (par exemple, la fluctuation du montant des intérêts débiteurs comptabilisés et l’évolution des dettes correspondantes) ;

• comparer les informations collectées avec les prévisions fondées sur des informations analogues d’autres unités organisationnelles et aux informations sectorielles de même nature.

4. Les auditeurs internes peuvent mettre en œuvre les procédures analytiques en utilisant des valeurs monétaires, des quantités physiques, des ratios ou des pourcentages. Certaines procédures analytiques font intervenir des analyses de ratios, de tendances ou de régression, des tests de vraisemblance, des comparaisons entre périodes, des comparaisons avec les budgets, des prévisions ou des informations économiques extérieures. Les procédures analytiques aident les auditeurs internes à identifier les conditions qui peuvent nécessiter des procédures d’audit supplémentaires. Un auditeur interne applique des procédures analytiques lorsqu’il planifie sa mission conformément aux lignes directrices énoncées dans la Norme 2200.


5. Les auditeurs internes peuvent recourir à des procédures analytiques pour produire des preuves au cours de leur mission. Lorsqu’il détermine dans quelle mesure des procédures analytiques doivent être utilisées, l’auditeur interne prend en compte :

• l’importance du secteur audité ; • l’évaluation du management des risques dans le domaine audité ; • l’adéquation du système de contrôle interne ; • la disponibilité et la fiabilité des informations financières et non financières ; • la précision attendue des résultats des procédures analytiques ; • la disponibilité et la comparabilité d’informations ; • la validité d’autres procédures d’audit pour l’obtention de preuves.

6. Lorsque les procédures analytiques font apparaître des résultats ou des relations inattendus, l’auditeur interne évalue ces résultats ou ces relations. Cette évaluation consiste à déterminer si la différence par rapport aux attentes pourrait résulter d’une fraude, d’une erreur ou de nouvelles conditions. L’auditeur interne peut interroger le management sur les raisons de cette différence et corroborer, ou non, l’explication du management, par exemple en modifiant les objectifs et en recalculant l’écart, ou en appliquant d’autres procédures d’audit. L’auditeur interne se doit en particulier de vérifier que l’explication tient compte à la fois du sens du changement (baisse des ventes, par exemple) et de l’ampleur de l’écart (baisse des ventes de 10 %, par exemple). Les résultats ou les relations inexpliqués qui sont obtenus au moyen de procédures analytiques peuvent indiquer un éventuel problème important (tel qu’une erreur, une fraude ou un acte illégal). Les résultats ou les relations qui ne sont pas expliqués de façon adéquate peuvent indiquer une situation dont il faudra informer la direction générale et le Conseil conformément à la Norme 2060. En fonction des circonstances, l’auditeur interne peut recommander une action appropriée.


Modalité Pratique d’Application 2320-2: Analyse causale

Principale Norme de Référence 2320 – Analyses et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et des évaluations appropriées. 1. L’analyse causale consiste à rechercher l’origine d’un problème, au lieu de simplement le constater ou en rendre compte. Dans cette MPA, « problème » renvoie à une difficulté, une erreur, une non-conformité, ou une occasion manquée. 2. Les auditeurs internes dont les rapports se contentent de recommander au management de corriger une situation problématique – sans résoudre les causes sous-jacentes – manquent une opportunité de contribuer à l’amélioration de l’efficience et l’efficacité des processus métiers à long terme et, par conséquent, à l’amélioration de l’environnement global de gouvernement d’entreprise, de gestion des risques et de contrôle. La capacité à identifier la nécessité d’une analyse causale et, le cas échéant, à la faciliter, la réviser et/ou la réaliser est une compétence clé, indispensable à cette contribution. 3. L’audit interne, du fait de son indépendance et de son objectivité, peut être la fonction idéale pour analyser les problèmes et identifier leurs causes sous-jacentes. Cette approche contribue à la réduction des écarts, à la remise en cause des hypothèses, et à l’évaluation complète des éléments probants. En outre, les auditeurs internes — par leurs interventions dans différentes entités et lignes hiérarchiques de l’organisation – peuvent avoir développé une connaissance étendue et approfondie du (des) problème(s) sous-jacent(s). Cette connaissance est parfois plus importante que celle d’un manager, ce qui leur permet d’être mieux à même d’analyser le problème en question. Dans les cas où la cause sous-jacente d’un problème résulte d’actions ou d’inactions du management, il est essentiel de faire appel à l’objectivité d’un tiers, tel l’audit interne, pour étudier la situation et en rendre compte à la direction générale. 4. L’analyse causale est bénéfique pour l’organisation parce qu’elle identifie la (les) cause(s) sous-jacente(s) d’un problème. Cette approche offre une perspective d’amélioration à long terme des processus métiers. En l’absence d’une analyse efficace et de solutions de traitement appropriées, il y a une plus forte probabilité que le problème se produise à nouveau. L’analyse causale permet d’éviter de multiples remaniements et traite de façon proactive le risque de récurrence du (des) problème(s). L’analyse causale peut s’appliquer à n’importe quel type de situation, tel qu’un événement risqué inattendu, une défaillance dans un processus, des dommages ou pertes matériels, un arrêt de la production, un incident de sécurité, une dégradation de la qualité ou l’insatisfaction d’un client. Il est important de souligner le fait qu’un problème s’explique souvent par plusieurs causes corrélées ou non. 5. Les ressources consacrées à l’analyse causale doivent correspondre à l’impact du problème ou des problèmes potentiels et risques futurs. Dans certaines circonstances, l’analyse causale peut tout simplement utiliser la méthode des « cinq pourquoi ». Par exemple : L’employé est tombé. Pourquoi ? Parce qu’il y avait de l’huile sur le sol. Pourquoi ? Parce qu’une pièce s’est cassée. Pourquoi ? Parce que la pièce tombe toujours en panne. Pourquoi ? Parce que les méthodes d’approvisionnement ont été modifiées. À l’issue du cinquième « pourquoi », l’auditeur interne devrait être en mesure de pouvoir identifier ou d’approcher la cause sous-jacente. Toutefois, des problèmes plus complexes peuvent nécessiter un investissement plus important en ressources et une analyse plus rigoureuse. Avant de débuter l’analyse causale de problèmes plus complexes, il convient que les auditeurs internes considèrent que : a. L’analyse causale peut nécessiter énormément de temps pour étudier le processus, le personnel, la


technologie ainsi que les données nécessaires à l’identification et à l’évaluation d’une cause sous-jacente. Ainsi, un projet qui pourrait a priori être réalisé rapidement peut finalement nécessiter d’énormes travaux pour la validation des divers scénarios, l’analyse approfondie des données et l’évaluation des nombreux facteurs internes et externes qui ont un effet sur les processus métiers. b. Les auditeurs internes peuvent ne pas avoir toutes les compétences nécessaires à la conduite de l’analyse spécifique de certaines causes sous-jacentes. C’est pourquoi, ils devront définir avec précision les travaux à entreprendre pour mener à bien l’analyse causale ainsi que leur degré d’implication. Pour ce faire, ils devront considérer l’ensemble des compétences requises ainsi que le niveau d’évaluation et d’analyse nécessaires pour établir une conclusion. Les responsables de l’audit interne (RAI) s’assureront que l’expérience et l’expertise de leurs équipes sont suffisantes pour accomplir ces travaux et pourront éventuellement faire appel à une aide extérieure (par exemple, dirigeants d’entreprise, experts techniques, et/ou consultants externes). c. Lorsque l’audit interne ne dispose pas du temps ou des compétences nécessaires, le RAI devra formuler des recommandations afin de traiter l’origine de la déficience et, le cas échéant, recommander que le management conduise une analyse causale. 6. Avant de réaliser l’analyse causale, il convient que les auditeurs internes anticipent les obstacles potentiels qui pourraient entraver leurs efforts, et développent une approche proactive pour traiter ces situations. a. Le management peut être réticent à l’idée que l’audit interne puisse avoir un rôle dans les analyses causales. Le RAI et les auditeurs internes peuvent être amenés à expliquer et à démontrer au management le rôle et les capacités de l’audit interne. b. Le management peut s’opposer à la conduite d’une analyse causale en raison des délais et des efforts supplémentaires qu’elle impose à leur équipe. Le management peut privilégier les solutions à court terme pour rétablir immédiatement la conformité ou ramener le processus ou la transaction à son état normal. Il arrive toutefois que des solutions à long terme soient envisagées mais uniquement lorsque les délais et les ressources le permettent. Mais le management sera d’autant moins enclin à adopter les solutions proposées qu’elles ne génèrent pas d’effets immédiats, sont de nature préventive, et nécessitent des investissements significatifs. De fait, l’impact à long terme des défaillances non corrigées en termes de coût, de délais et de ressources n’est pas toujours mesuré. De même, en l’absence de solution à long terme, les ajustements permanents ne sont pas appréhendés. Les RAI pourront utiliser ce type d’argument s’ils sont amenés à documenter le bien-fondé d’une analyse causale pour obtenir le soutien du management. Pour les questions nécessitant des corrections à long terme, ayant un impact important sur les ressources, les délais ou les coûts, les auditeurs internes pourront suggérer, en plus de la solution à long terme plus coûteuse, des mesures d’atténuation immédiates ou à court terme. Cette approche permettra d’atteindre rapidement les objectifs métiers fixés par le management tout en lui donnant le temps de planifier et de budgétiser une solution à long terme plus robuste, qui puisse traiter les causes sous-jacentes du problème. c. Déterminer la véritable cause sous-jacente peut se révéler difficile et subjectif — même lorsque l’on dispose de suffisamment de données quantitatives et qualitatives. Les auditeurs internes devront rendre compte de la contribution des différentes parties prenantes du processus métier dans l’élaboration, l’analyse et l’évaluation des informations. Une multiplicité d’erreurs avec divers degrés d’impact peut être à l’origine d’un problème. L’auditeur interne peut, dans certains cas, élaborer plusieurs conclusions, assorties de différents scénarios à considérer par le management comme pouvant être la cause sous-jacente d’un problème. Dans ce cas, la valeur apportée par l’audit interne est l’évaluation indépendante et objective


ainsi que la présentation des diverses données et analyses à partir desquelles le management pourra formuler une conclusion sur la cause la plus probable. d. Lorsqu’elle est réalisée par l’audit interne, une analyse causale qui conduirait à des observations et à des recommandations spécifiques et concrètes pour l’amélioration des processus et des contrôles, pourra être perçue comme plaçant l’auditeur interne dans un rôle de management. Les auditeurs doivent gérer ce risque de perception en : i. fournissant une analyse spécifique, objective et étayée de la cause sous-jacente ; ii. distinguant la détermination de la cause sous-jacente, des recommandations liées à son traitement ; iii. s’assurant que la charte de l’audit interne ou le rapport de mission définissent clairement le rôle du management, à savoir évaluer les recommandations faites par l’audit interne et assumer la mise en œuvre de toute modification du processus métier ; iv. dissociant clairement les missions d’assurance ou les évaluations à l’initiative de l’audit interne, des missions de conseil commanditées par un responsable opérationnel. 7. De façon générale, la plupart des causes sous-jacentes peuvent être ramenées à des décisions, des actions ou des inactions d’une ou de plusieurs personne(s). Toutefois, les auditeurs internes devront considérer le contexte, qui peut avoir une incidence sur le problème et qui peut également représenter un risque plus important pour l’organisation : a. compétence du personnel. b. embauche du personnel qualifié. c. absence de formation ou formation insuffisante. d. adéquation de la technologie ou des outils. e. pertinence de la culture de l’organisation ou du département. f. santé au travail et risques psychosociaux. g. niveau ou volume de ressources (par exemple, budget ou effectif). h. circonstances du processus et autres facteurs ayant conduit la personne ou les personnes à prendre les décisions. i. pouvoir de décision de la ou des personne(s) impliquée(s). Une analyse causale qui s’arrête à l’identification des composantes et des activités du processus (par exemple, la technologie, les règles, la formation) peut se révéler incomplète. Une véritable analyse causale cherchera à comprendre pourquoi des personnes qualifiées prennent de mauvaises décisions ou des décisions inappropriées (pourquoi la personne ayant pris la décision a-t-elle pensé qu’elle avait fait le bon choix à ce moment ?). Dans ces cas, les auditeurs internes devront caractériser la situation en essayant de comprendre toutes les circonstances qui ont amené les acteurs du processus à prendre une décision spécifique. 8. Pour la plupart des problèmes qu’ils auront à traiter, les auditeurs internes pourront recourir à des techniques simples. Les techniques les plus élaborées de collecte de données, d’analyse statistique, et l’utilisation d’autres concepts seront réservées aux situations dans lesquelles le temps et l’effort (c’est-à-dire les coûts) nécessaires pour corriger les causes sous-jacentes sont susceptibles d’être justifiés par le niveau de risque et d’optimisation des processus pouvant être atteints. Il existe plusieurs techniques d’analyse causale. Parmi les outils d’analyse utilisés – que l’on trouve facilement sur lnternet – figurent : a. la méthode des « Cinq pourquoi ». b. l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC). c. le diagramme SIPOC (fournisseurs (Suppliers), entrées (Input), Processus, sorties (Output), Clients).


d. l’organigramme de flux (flowchart) d’un processsus, d’un système de données. e. le diagramme cause-effet (en arête de poisson / Diagramme d’Ishikawa). f. l’analyse critique de mesure de la qualité. g. le diagramme de Pareto. h. la corrélation statistique.


MPA 2320-3 L’échantillonnage en audit

Principale Norme de référence 2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. MPA liée 2240 – 1 Programme de travail de la mission 1. Les auditeurs internes élaborent les programmes de travail et en obtiennent la validation formelle avant de commencer la mission. Le programme de travail comprend les méthodes utilisées telles que les audits informatisés et les techniques d’échantillonnage. […] 1. Les sondages sont utilisés en audit afin de fournir des preuves factuelles et une base raisonnable permettant de formuler des conclusions relatives à une population à partir de laquelle un échantillon a été sélectionné. L'auditeur interne conçoit un échantillon d'audit, réalise le tirage, exécute des procédures d'audit et évalue les résultats issus de cet échantillon afin d'obtenir des preuves d'audit suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudente et informée pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est une information concluante et facilement accessible par l’utilisation de techniques d’audit appropriées. Une information pertinente conforte les constatations et recommandations de l’audit, et répond aux objectifs de la mission. Une information utile contribue à s’assurer que l'organisation atteindra ses objectifs. 2. En audit, les sondages consistent à appliquer des procédures d'audit sur moins de 100 % des éléments d'une catégorie de transactions ou d'un solde de compte, de telle manière que chaque unité d'échantillonnage ait la même chance d'être sélectionnée. La population désigne l'ensemble des données à partir desquelles un échantillon est construit et à propos de laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'échantillonnage se définit comme le risque que la conclusion tirée par l'auditeur interne à partir d'un échantillon soit différente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la même procédure d'audit. Échantillonnages statistique et non statistique 3. L'échantillonnage statistique (aléatoire ou systématique) consiste à réaliser un tirage à partir duquel la vraisemblance des conclusions pourra être mathématiquement évaluée pour une extrapolation à la population considérée. Avec ce type de sondage, l'auditeur pourra formuler des conclusions en tenant compte de l’intervalle de confiance (pour éviter en particulier le risque de conclusion erronée). Il est essentiel que l'échantillon de transactions construit soit représentatif de la population évaluée, faute de quoi la possibilité de tirer des conclusions fondées sur la revue de l’échantillon sera limitée voire inexistante. L'auditeur interne devrait vérifier le caractère exhaustif de la population afin de s'assurer que l'échantillon est construit à partir d’un ensemble approprié de données. 4. L'échantillonnage non statistique est utilisé par l'auditeur qui souhaite se fonder sur sa propre expérience et sur ses connaissances pour déterminer les critères de construction d'un échantillon. Ces sondages non statistiques (raisonnés, essentiellement fondés sur le jugement), ne permettent pas de justifier, d'un point de vue mathématique, l’extrapolation des résultats à l’ensemble de la population. Autrement dit, l'échantillon peut être biaisé et non représentatif de la population. L'objectif du test, son


efficience, les caractéristiques opérationnelles, les risques inhérents et l'impact des résultats sont des éléments communément pris en compte par l'auditeur pour orienter la méthode de sondage. L'échantillonnage non statistique peut être utilisé lorsqu'il est nécessaire d'obtenir rapidement des résultats et pour tester une hypothèse plutôt que pour projeter la vraisemblance mathématique des conclusions à l’ensemble de la population. 5. Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'impossibilité, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'échantillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des méthodes de sondage (statistique ou non) devrait construire et sélectionner un échantillon, exécuter des procédures d'audit et évaluer les résultats de cet échantillon afin d'obtenir des preuves d'audit suffisantes, fiables, pertinentes et utiles. 6. Il existe différentes techniques d'échantillonnage et objectifs associés en audit dont voici quelques exemples :

• Échantillonnage aléatoire simple - la sélection n'est pas régie par des facteurs prédéterminés ; chaque unité de la population a une chance égale d'être sélectionnée.

• Sondages basé sur des unités monétaires - utilisé pour identifier les anomalies monétaires éventuelles dans le solde d’un compte.

• Échantillonnage stratifié - utilisé pour repartir la population en sous-groupes ; en général, un échantillon aléatoire est sélectionné à partir de chacun des sous-groupes pour être revu.

• Échantillonnage pour estimation d’attributs - utilisé pour déterminer le nombre ou la proportion d’unités, possédant ou non une caractéristique donnée, dans la population évaluée.

• Échantillonnage pour estimation de valeurs - utilisé pour déterminer les paramètres d'une population.

• Échantillonnage fondé sur le jugement professionnel de l'auditeur, il est censé être axé sur une hypothèse à tester.

• Échantillonnage de dépistage - utilisé lorsque la preuve de l’existence d'une erreur ou d'une occurrence implique ensuite une investigation approfondie.

7. Lorsqu'ils déterminent la taille et la structure d'un échantillon, les auditeurs devraient tenir compte des objectifs d'audit de la mission, de la nature de la population et des méthodes d'échantillonnage et de sélection. L'auditeur devrait envisager de faire appel à des spécialistes compétents en matière de conception et d'analyse de la méthodologie d'échantillonnage. 8. La méthode d'échantillonnage dépendra de l'objectif visé. Pour des tests de conformité, l'échantillonnage pour estimation d’attributs qui consiste à observer un événement ou une transaction (par exemple le contrôle d’une autorisation liée à une facture) est généralement utilisé. Pour les tests de corroboration, l'échantillonnage pour estimation de valeurs est souvent utilisé. 9. Dans la mesure où la population désigne l'ensemble des données à partir desquelles un échantillon est construit et à propos de laquelle l'auditeur interne souhaite tirer des conclusions ; cette population devra être appropriée et son caractère exhaustif, au regard de l'objectif spécifique de la mission, devra être vérifié.


10. La stratification peut contribuer à l'efficacité de la conception de l'échantillon. Elle consiste à répartir une population en sous-groupes homogènes explicitement définis de manière à ce que chaque unité d'échantillonnage ne puisse appartenir qu’à une seule strate. Erreur acceptable et erreur escomptée 11. L'auditeur qui utilise un échantillon statistique devrait tenir compte de concepts tels que le risque d'échantillonnage ainsi que les notions d’erreurs acceptables ou escomptées. Le risque d'échantillonnage provient de la possibilité que la conclusion de l'auditeur puisse être différente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la même procédure d'audit. Il existe deux types de risques d'échantillonnage :

• Le risque « d’acceptation » incorrecte - le risque que la caractéristique ou l'hypothèse testée soit validée alors qu'en réalité, elle fausse,

• Le risque de rejet incorrect - le risque que la caractéristique ou l'hypothèse testée soit rejetée alors qu'en réalité, elle est vraie.

Les erreurs acceptables représentent le nombre maximum d'erreurs que l'auditeur est prêt à accepter sans pour autant que la validité de l'hypothèse ne soit remise en cause. L'auditeur n’est pas toujours maître de la fixation de ce nombre maximum, car elle peut être déterminée par la nature de l'activité, les avis du management ou les meilleures pratiques. Dans certains cas, une seule erreur ne sera pas acceptable. Les erreurs escomptées sont celles que l'auditeur s’attend à trouver dans la population sur la base de précédents résultats d'audit, de modifications des processus et de preuves/conclusions provenant d'autres sources. 12. Le niveau de risque d'échantillonnage que l'auditeur est prêt à accepter, l'erreur acceptable et l'erreur escomptée sont autant de facteurs qui influent sur la taille de l'échantillon. Le risque d'échantillonnage devrait être cohérent avec les éléments pris en compte pour définir le risque d’audit. Ce risque d'audit comprend le risque inhérent, le risque associé aux contrôles et le risque de non-détection. 13. Des procédures d'échantillonnage efficaces augmentent la couverture, la précision et l'efficience des missions. Elles permettent à l'auditeur de donner une assurance sur les processus opérationnels qui affectent la réalisation des buts et objectifs de l'organisation. Lorsqu'il recherche la technique d'échantillonnage appropriée, il est important que l'auditeur comprenne les directives et les normes communément admises en matière d'échantillonnage, au même titre que les processus opérationnels et les données sur lesquelles il travaille. 14. L'audit en continu permet à l'auditeur interne de tester l'ensemble de la population en temps voulu, tandis que l'échantillonnage d'audit facilite l’analyse de moins de 100 % de la population. 15. L'auditeur interne devrait analyser les erreurs potentielles détectées dans l'échantillon afin de vérifier qu'il s'agit réellement d'erreurs et, le cas échéant, en déterminer la nature et la cause. En fonction des erreurs avérées, il sera nécessaire de déterminer si des tests supplémentaires devraient être envisagés. 16. L'auditeur interne dispose de différentes méthodes statistiques (le paragraphe 6 ci-dessus présente des exemples de procédures) pour obtenir des preuves d'audit suffisantes. S'il ne peut appliquer les procédures d'audit prévues ou les procédures alternatives à un élément donné, l'auditeur interne devrait identifier cet écart par rapport au programme de contrôle.


17. L'auditeur interne devrait extrapoler les résultats de l’échantillon à la population, en utilisant une méthode d’extrapolation cohérente avec celle utilisée pour sélectionner l'échantillon. L’extrapolation des résultats de l’échantillon peut nécessiter d'estimer les erreurs ou les écarts probables dans la population, les erreurs qui pourraient ne pas avoir été détectées du fait de l'imprécision de la technique utilisée, ainsi que les aspects qualitatifs des erreurs détectées. La question de savoir si l'échantillonnage a permis de conforter raisonnablement les conclusions relative à la population évaluée devrait être posée. 18. L'auditeur devrait comparer l'erreur escomptée dans la population à l'erreur acceptable. En fonction du risque d’échantillonnage, il pourra alors envisager de réviser la taille de l’échantillon ou d'exécuter des procédures d'audit alternatives. 19. Les papiers de travail devraient être suffisamment détaillés afin de décrire clairement l'objectif de l'échantillonnage et le processus d'échantillonnage utilisés. Les papiers de travail devraient indiquer la source de la population, la méthode d'échantillonnage utilisée, les paramètres d'échantillonnage (par exemple, la valeur de départ utilisée pour générer un tirage aléatoire ou la méthode de détermination de la valeur de départ et l'intervalle d'échantillonnage), les éléments sélectionnés, les détails des tests d'audit réalisés et les conclusions obtenues. 20. Lors de la communication, par l’auditeur interne, des résultats des tests et de la conclusion, des informations suffisantes devront être transmises au lecteur pour lui permettre de comprendre le fondement de la conclusion. Note : Cette MPA porte sur l'échantillonnage d'audit et n'est pas destinée à donner des informations sur l'analyse de données. Pour obtenir des informations sur l'analyse de données, veuillez-vous référer au Guide Pratique d’Audit des Technologies de l’Information (GTAG) 16, de l'IIA, Data Analysis Technologies.


MPA 2320-4 : Assurance en continue

Principale Norme de référence 2320 : Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. ---------------------------------- 1. Les contrôles sont traditionnellement testés sur une base rétrospective et cyclique, souvent plusieurs mois après la réalisation des activités Ces tests utilisent généralement des techniques d’échantillonnage de données historiques. Les missions d’audit, fondées sur de telles approches d’échantillonnage, peuvent ne pas correspondre aux besoins de l’organisation, en particulier lorsque l’évaluation du profil de risque de cette organisation nécessite de prendre en compte des informations récentes. De surcroît, la rapidité avec laquelle les activités et les organisations évoluent, exige d'identifier de manière plus proactive les enjeux. Pour ce faire, les systèmes d’information peuvent servir de levier pour identifier en temps opportun les problèmes éventuels. Lorsque le profil de risque le justifie, l'audit interne devrait envisager d'évaluer en continu l'efficacité des contrôles au lieu d‘utiliser des tests plus classiques réalisés de manière périodique sur des données historiques relatives à une sélection de dispositifs de contrôle interne ou de risques. 2. Le glossaire du CRIPP définit l’assurance comme un « examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle ». Le meilleur moyen de fournir, une assurance en continu consiste à conjuguer la surveillance en continu incombant au management et les activités d'audit en continu. 3. La surveillance en continu est un processus managérial qui permet de s'assurer en permanence que les dispositifs de contrôle interne fonctionnent de manière efficace. Les événements associés aux risques les plus importants (par exemple, des transactions inhabituelles ou non récurrentes) peuvent être identifiés et faire l'objet d'une attention particulière ou de tests supplémentaires. En plus des processus de surveillance en continu, des procédures d'audit en continu développées par les auditeurs internes peuvent, le cas échéant, être transférées au management. Elles deviennent alors des procédures de surveillance en continu mises en œuvre par le management. 4. La plupart des techniques de surveillance en continu utilisées par le management sont semblables aux techniques d'audit en continu que l'auditeur interne peut employer. La clé du succès en matière de surveillance en continu passe par l’appropriation et la réalisation de cette démarche par le management dans le cadre de ses responsabilités de mise en œuvre et de maintien d’un environnement de contrôle efficace. Étant donné que le management est responsable des dispositifs de contrôle interne, il devrait être en mesure de déterminer, en permanence, s'ils fonctionnent comme prévu. Ainsi, en se mettant en capacité d’identifier et de corriger en temps opportun les problématiques de contrôle il est possible d’améliorer l’ensemble du système de contrôle interne. 5. Les domaines susceptibles de faire l'objet d'un audit en continu devraient être identifiés dans le plan d'audit annuel. L'audit interne devrait utiliser le référentiel de gestion des risques de l'organisation (s'il en


existe un), ainsi que sa propre évaluation des risques, pour identifier ces domaines. La fréquence de couverture devrait être déterminée en fonction des facteurs de risque du domaine ou du processus concerné. L'audit en continu permet aux auditeurs internes d'identifier et d'évaluer les risques, et de réagir de manière judicieuse et dynamique aux changements au sein de l'organisation. Il contribue également à identifier et évaluer le risque. 6. Le soutien des principales parties prenantes est indispensable pour le succès de l'audit en continu. Les étapes suivantes devraient être envisagées pour développer et maintenir les activités d'audit en continu :

• Hiérarchiser les domaines à couvrir et sélectionner une approche d'audit en continu. • Définir les exigences en termes de livrables. • Sélectionner les outils d'analyse, qui peuvent être développés en interne ou être fournis par un

éditeur de logiciel. • Définir le périmètre des procédures d'audit en continu. • Évaluer l'intégrité des données et préparer les données. • Prendre connaissance de l'approche de surveillance en continu du management. • Concevoir et mettre en œuvre des procédures d'audit en continu pour évaluer les contrôles et

identifier les défaillances. 7. Une fois les objectifs d'audit en continu définis, il convient d’obtenir le soutien de la direction générale sur le périmètre retenu. 8. Les fichiers de données, tels que les fichiers de transactions détaillées, sont souvent conservés sur une courte durée. Par conséquent, l'auditeur interne devrait prendre les mesures nécessaires pour la conservation des données appropriées. Une bonne organisation, en amont, de l’accès aux programmes/systèmes et aux données permet de limiter les interférences avec l'environnement de production. L'auditeur interne devrait évaluer l'impact potentiel sur l'utilisation des procédures d'audit en continu des modifications apportées aux programmes/systèmes de production, y compris à la sécurité des accès. L'auditeur interne devrait obtenir une assurance raisonnable quant à l'intégrité, la fiabilité, l'efficacité et la sécurité des procédures d'audit en continu, grâce à une planification, une conception, des tests, un traitement et une revue appropriés de la documentation. 9. L'auditeur interne devrait examiner l’adéquation des activités de surveillance en continu du management. Cela permettra de déterminer dans quelle mesure l'audit interne peut se fier à l'environnement de contrôle de l'organisation, ce qui influera sur la nature et la fréquence des travaux d'audit. 10. Lorsqu'il définit le calendrier, le périmètre et le niveau de couverture des tests d'audit en continu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'appétence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance en continu par le management. 11. Les activités d'audit en continu vont de l’analyse en temps réel à une analyse périodique de transactions détaillées, d’états sélectionnés automatiquement à des intervalles de temps préalablement définis ou de données consolidées. La fréquence de ces analyses dépendra du niveau de risque associé au système ou au processus examiné, ainsi que de la pertinence de la surveillance en continu réalisée par le management et des ressources disponibles. Les systèmes critiques dotés de contrôles clés peuvent être soumis à une analyse en temps réel des données relatives aux transactions. L'auditeur interne devrait prendre en considération les exigences réglementaires et les mesures prises par le management pour gérer les expositions aux risques et leur impact potentiel. Une fois que le management a mis en œuvre les processus de surveillance en continu des contrôles, les auditeurs internes et les auditeurs externes devraient déterminer dans quelle mesure ils peuvent s'appuyer sur ces processus pour réduire l’ampleur de


leur programme de tests détaillés. 12. Lorsque les procédures d'audit en continu sont modifiées, l'auditeur interne devrait effectuer une revue des modifications en termes d'intégrité, de fiabilité, d’efficacité et de sécurité. L'auditeur interne devrait documenter les résultats de cette revue avant de s'appuyer sur les procédures d'audit en continu modifiées. 13. Une fois les procédures d'audit en continu mises en œuvre, l'auditeur interne devrait analyser les résultats afin d'identifier les transactions non conformes. Il est possible d'identifier l’accroissement des niveaux de risque par une analyse comparative (entre processus, entre entités, des résultats du même test dans le temps). L'un des enjeux de la mise en œuvre d'un système d'audit en continu ou de surveillance en continu réside dans le traitement efficace des risques et des écarts identifiés. Lorsqu'un système d'audit en continu ou de surveillance en continu est mis en œuvre, il s'avère souvent, après investigation, qu'un grand nombre d’écarts ne sont pas des sujets de préoccupation. Le système d'audit en continu devrait permettre l'ajustement des paramètres de test, afin que ces écarts n'engendrent ni alerte ni notification. Une fois le processus d'identification des faux-positifs exécuté, il sera d’autant plus possible de s’appuyer sur le système pour identifier uniquement les défaillances de contrôle ou les risques significatifs. 14. Tout contrôle défaillant et/ou risque potentiel identifié grâce à l'audit en continu devrait être communiqué au management. In fine, l'auditeur interne devrait, le cas échéant, demander au management de spécifier le plan d'action et le calendrier de résolution. Une fois les mesures appropriées prises, l'auditeur interne peut envisager d'utiliser à nouveau le programme d'audit en continu pour vérifier si la solution adoptée a permis de remédier à la faiblesse de contrôle et de réduire le niveau de risque. 15. L'auditeur interne devrait revoir périodiquement l'efficience et l'efficacité des programmes d'audit en continu. Il peut s'avérer nécessaire d'ajouter des points de contrôle ou des mesures d’expositions aux risques, et d'en supprimer d'autres, en fonction de la mise à jour de l’évaluation des risques. Il peut également s'avérer nécessaire de renforcer ou d'assouplir les seuils, les tests de contrôle et les paramètres de diverses analyses. 16. Le processus d'audit en continu devrait être suffisamment documenté afin d'apporter des preuves d'audit adéquates. La MPA 2330-1, « Documentation des informations », contient des recommandations supplémentaires à ce sujet.


MPA 2330-1 Documentation des informations

Principale Norme de Référence 2330 – Documentation des informations Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. ----------------- 1. Les auditeurs internes préparent les papiers de travail qui servent à documenter les informations obtenues, les analyses faites, et qui confortent les conclusions et les résultats de la mission. Le management du service d’audit interne révise les papiers de travail. 2. Les papiers de travail servent généralement à :

• aider à la planification, à l’exécution et à la révision des missions ; • fournir le principal document d’appui pour les résultats de la mission ; • documenter la réalisation des objectifs d’audit ; • démontrer l’exactitude et l’exhaustivité du travail effectué ; • fournir une base pour le programme d’assurance et d’amélioration qualité de l’audit interne ; • faciliter la revue par des tiers.

3. L’organisation, la conception et le contenu des dossiers de travail de l’audit sont fonction de la nature de la mission ainsi que des objectifs et des besoins de l’organisation. Les dossiers de travail comprennent tous les éléments du processus, de la planification à la communication des résultats. 4. Le responsable de l'audit interne définit les règles, adaptées à chaque type de mission, à suivre en matière de papiers de travail. La normalisation des papiers de travail tels que les questionnaires et les programmes d’audit peut améliorer l’efficacité d’une mission et faciliter la délégation du travail. Certains papiers de travail peuvent être considérés comme permanents ou être intégrés dans des dossiers qui contiennent des informations importantes à caractère permanent.


MPA 2330.A1-1 Contrôle des dossiers d’audit

Principale Norme de Référence 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la Direction Générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. -------------------- 1. Les dossiers d’audit comportent, quel que soit le moyen de stockage, des rapports, des preuves, des notes de révision et des correspondances. Les dossiers et les papiers de travail de la mission sont la propriété de l’organisation. L’audit interne contrôle les papiers de travail et ne les rend accessibles qu’au personnel autorisé. 2. Les auditeurs internes peuvent sensibiliser la direction générale et le Conseil au sujet de l'accès des personnes externes aux dossiers de la mission. Les règles concernant le droit d’accès aux dossiers, les modalités de traitement des demandes d'accès, et les procédures à suivre lorsqu’une mission d’audit est utilisée en tant que preuve pendant une enquête, devront être revues par le Conseil. 3. Les procédures d’audit interne précise le responsable du contrôle et de la sécurité des dossiers du service, les équipes internes ou externes qui peuvent avoir accès aux dossiers d’audit, ainsi que les modalités de traitement des demandes d’accès à ces dossiers. Ces procédures varieront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des prérogatives d’accès définies par la loi. 4. Le management et les autres membres de l’organisation peuvent demander l’accès au dossier d’audit ou à des papiers de travail spécifiques. Un tel accès peut être nécessaire pour corroborer ou expliquer les constatations et recommandations de la mission ou à d’autres fins professionnelles. Le responsable de l'audit interne approuve ces demandes. 5. Le responsable de l'audit interne approuve l’accès des auditeurs externes aux papiers de travail. 6. Il y a des cas où les demandes d’accès aux papiers de travail et aux rapports sont faites par des personnes extérieures à l’organisation, autres que les auditeurs externes. Avant de fournir la documentation demandée, le responsable de l'audit interne obtient l’approbation de la direction générale et/ou, le cas échéant, du conseiller juridique. 7. Potentiellement, les dossiers d’audit interne qui ne sont pas spécifiquement protégés, peuvent être consultés dans le cadre de poursuites judiciaires. Les conditions légales varient de façon significative selon les juridictions. Lorsqu’il y a une demande spécifique de dossiers d’audit liée à une procédure judiciaire, le responsable de l’audit interne travaille en étroite collaboration avec le conseiller juridique pour déterminer ce qui peut être mis à disposition.


MPA 2330.A1-2 : Autorisation d’accès aux dossiers de la mission

Principale Norme de Référence 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. ------------------------------------------ Remarque préalable : Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant susceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente Modalité Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant l’avocat à son client. 1. Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, les notes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé. On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposer à la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connaissance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal interpréter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par des tiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuites pénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchés publics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer. La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret professionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales. Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonction du pays de l’organisation. 2. Des procédures explicites de l’audit interne peuvent permettre de renforcer le contrôle de l’accès aux dossiers de la mission. 3. L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soit le support d’archivage utilisé. 4. Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers de la mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeurs internes traiteront les notes de revue validées. Ces règles devraient également spécifier la durée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit interne spécifie la durée de conservation des dossiers de la mission, il devrait tenir compte des besoins de l’organisation et de la législation. 5. Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsable du contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accès aux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être traitées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dans le pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courant de l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définit ces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéder aux dossiers de l’audit interne.


6. La procédure qui accorde un accès aux dossiers de la mission peut également définir des processus permettant de :

• résoudre les problèmes d’accès ; • sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant l’accès à leurs

travaux ; • déterminer qui pourra demander à accéder à ces travaux.

7. Le responsable de l’audit interne peut également sensibiliser la direction générale et le Conseil aux risques d’accès aux dossiers de la mission. Le Conseil peut examiner les règles indiquant qui peut être autorisé à accéder aux dossiers et comment ces demandes doivent être traitées. Certaines règles dépendront de la nature de l’organisation et des droits d’accès prévus par la législation. 8. En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne :

• ne produit que certains documents spécifiques, conformément aux indications du juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documents couverts par le secret professionnel liant l’avocat à son client. Les documents qui révèlent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par le secret professionnel et leur communication n’est pas obligatoire ;

• présente les documents sous une forme qui empêche leur modification (par exemple, un scan de préférence à un fichier de traitement de texte). Concernant les documents sur papier, le responsable de l’audit interne en diffuse des copies et conserve les originaux ;

• appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indiquant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.


MPA 2330.A1-2 : Autorisation d’accès aux dossiers de la mission

Principale Norme de Référence 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. ------------------------------------------ Remarque préalable : Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant susceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente Modalité Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant l’avocat à son client. 1. Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, les notes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé. On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposer à la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connaissance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal interpréter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par des tiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuites pénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchés publics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer. La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret professionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales. Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonction du pays de l’organisation. 2. Des procédures explicites de l’audit interne peuvent permettre de renforcer le contrôle de l’accès aux dossiers de la mission. 3. L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soit le support d’archivage utilisé. 4. Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers de la mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeurs internes traiteront les notes de revue validées. Ces règles devraient également spécifier la durée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit interne spécifie la durée de conservation des dossiers de la mission, il devrait tenir compte des besoins de l’organisation et de la législation. 5. Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsable du contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accès aux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être traitées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dans le pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courant de l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définit ces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéder aux dossiers de l’audit interne.


6. La procédure qui accorde un accès aux dossiers de la mission peut également définir des processus permettant de :

• résoudre les problèmes d’accès ; • sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant l’accès à leurs

travaux ; • déterminer qui pourra demander à accéder à ces travaux.

7. Le responsable de l’audit interne peut également sensibiliser la direction générale et le Conseil aux risques d’accès aux dossiers de la mission. Le Conseil peut examiner les règles indiquant qui peut être autorisé à accéder aux dossiers et comment ces demandes doivent être traitées. Certaines règles dépendront de la nature de l’organisation et des droits d’accès prévus par la législation. 8. En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne :

• ne produit que certains documents spécifiques, conformément aux indications du juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documents couverts par le secret professionnel liant l’avocat à son client. Les documents qui révèlent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par le secret professionnel et leur communication n’est pas obligatoire ;

• présente les documents sous une forme qui empêche leur modification (par exemple, un scan de préférence à un fichier de traitement de texte). Concernant les documents sur papier, le responsable de l’audit interne en diffuse des copies et conserve les originaux ;

• appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indiquant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.


MPA 2330.A2-1 Conservation des dossiers

Principale Norme de Référence 2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre. --------------- 1. Les modalités de conservation des dossiers d’audit varient en fonction des juridictions et de l’environnement légal. 2. Le responsable de l’audit interne rédige une politique de conservation qui répond aux besoins de l’organisation et aux obligations légales des juridictions dans lesquelles elle opère. 3. La procédure de conservation des dossiers devra inclure des dispositions spécifiques pour la conservation des dossiers liés aux missions réalisées par des prestataires extérieurs.


MPA 2340-1 Supervision de la mission

Principale Norme de Référence 2340 – Supervision de la mission Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué. Interprétation : L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes, ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne, mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentée et conservée dans les papiers de travail. ------------------ 1. Le responsable de l'audit interne ou son représentant assurent une supervision adéquate de la mission. La supervision est un processus qui débute avec la planification de la mission et se poursuit sur l’ensemble de la mission. Ce processus consiste à :

• s’assurer que les auditeurs désignés possèdent collectivement les connaissances, le savoir-faire et les autres compétences requises pour réaliser la mission ;

• donner des instructions appropriées durant la planification de la mission et approuver le programme de travail de la mission ;

• vérifier que le programme de travail approuvé est correctement réalisé sous réserve que les changements soient justifiés et autorisés ;

• contrôler que les papiers de travail contiennent les éléments probants justifiant les constats, conclusions et recommandations de la mission ;

• s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans les délais fixés ; • s’assurer que les objectifs d’audit ont été atteints ; • saisir toutes les occasions pour développer les connaissances, le savoir-faire et les autres

compétences des auditeurs internes. 2. Le responsable de l'audit interne a la responsabilité de toutes les missions d’audit qu’elles soient effectuées par ou pour le compte de l’audit interne. Il est aussi responsable de toutes les opinions professionnelles significatives formulées lors de la mission. Le responsable de l'audit interne met également en place les moyens appropriés pour assumer cette responsabilité. Les moyens appropriés incluent les règles et procédures destinées à :

• minimiser le risque que des auditeurs internes ou d’autres personnes réalisant des travaux pour l’audit interne aient des opinions professionnelles ou entreprennent des actions qui soient en désaccord avec l’opinion professionnelle du responsable de l'audit interne ce qui aurait un impact défavorable sur la mission ;

• régler les conflits d’opinion professionnelle entre le responsable de l'audit interne et les auditeurs internes sur les points importants de la mission. Les moyens à utiliser peuvent être :

- le débat sur les constats pertinents ; - des enquêtes et recherches complémentaires ;


- la mention dans les papiers de travail de la mission, des différents points de vue, avec documents à l’appui.

En cas de divergence de jugements professionnels sur une question d’éthique, il peut être fait appel aux personnes qui, dans l’organisation, ont des responsabilités dans ce domaine. 3. Tous les papiers de travail sont revus afin de s’assurer qu’ils supportent le rapport d’audit et que les procédures d’audit nécessaires ont été mises en œuvre. Cette revue est matérialisée par l’apposition, sur chaque papier de travail revu, des initiales du superviseur et de la date. D’autres techniques de révision qui fournissent une preuve de la revue incluent :

• une check-list de révision des papiers de travail de la mission ; • un mémorandum précisant la nature, l’étendue et les résultats de la revue ; • des revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail.

4. Les superviseurs peuvent préparer une liste écrite des questions (notes de revue) soulevées au cours de la revue. Au moment de la levée des points de revue, il convient de prendre soin de vérifier que le dossier de travail contient les éléments démontrant que les questions soulevées lors de la revue sont résolues. Les alternatives en ce qui concerne la conservation des feuilles de notes, sont les suivantes :

• garder les notes de revue en tant qu'enregistrement des questions soulevées par le superviseur et des actions entreprises pour les résoudre ainsi que les résultats de ces actions ;

• éliminer les notes de revue après que les problèmes soulevés aient été résolus et que les documents de travail nécessaires aient été modifiés pour fournir les informations exigées.

5. La supervision de la mission est aussi l’occasion de former et de développer les compétences de l’équipe et d’évaluer les performances.


MPA 2400-1 :

Aspects juridiques de la communication des résultats Principale Norme de Référence 2400 - Communication des résultats Les auditeurs internes doivent communiquer les résultats de la mission. ------------------------------------------ Remarque préalable : Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant susceptible de différer de façon significative selon les pays. Les directives contenues dans la présente Modalité Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant l’avocat à son client. 1. L’auditeur interne doit prendre toutes les précautions nécessaires avant de communiquer une non-conformité vis-à-vis de la législation, de la réglementation ou tout autre problème d’ordre juridique. Il est vivement recommandé de mettre en place des règles et des procédures à cet égard et de travailler en étroite collaboration avec d’autres intervenants compétents (conseiller juridique, déontologue / Compliance Officer, etc.). 2. Les auditeurs internes rassemblent des preuves, émettent des jugements fondés sur des analyses, rendent compte des résultats de leurs travaux et s’assurent que le management a mis en place des actions correctives appropriées. Les impératifs de l’auditeur interne, qui est tenu de constituer les dossiers d’audit, peuvent être difficiles à concilier avec ceux du conseiller juridique, qui est lui soucieux de ne pas mentionner d’éléments susceptibles de compromettre l’organisation sur le plan juridique. Par exemple, même si l’auditeur interne collecte et évalue correctement les informations, les faits et les analyses divulgués peuvent avoir, d’un point de vue juridique, une incidence négative sur l’organisation. Une planification et des procédures appropriées (notamment la définition du rôle de chacun et des modalités de communication) sont essentielles pour éviter qu’une révélation soudaine des faits ne provoque un désaccord entre le conseiller juridique et l’auditeur interne. Par ailleurs, l’auditeur interne et le conseiller juridique doivent favoriser, au sein de l’organisation, une culture éthique et une approche préventive en sensibilisant le management aux procédures établies. 3. Une communication privilégiée (relation de confiance visant à rechercher, obtenir ou apporter une assistance juridique au client) est nécessaire pour protéger le secret professionnel liant l’avocat à son client. Le secret professionnel, dont le principal objet est de protéger les informations communiquées aux avocats, peut également s’appliquer aux informations communiquées à des tiers travaillant avec un avocat. 4. Certains tribunaux reconnaissent un « droit d’auto-analyse critique » qui permet de préserver la confidentialité de documents d’autocritique tels que les travaux d’audit. En règle générale, la reconnaissance de ce droit repose sur le postulat selon lequel la confidentialité des analyses effectuées, dans ces cas, prime sur l’intérêt général. 5. En règle générale, la protection par le secret professionnel s’applique lorsque :


• les informations protégées par le secret proviennent d’une analyse autocritique effectuée par la

partie qui invoque le secret ; • la protection des informations contenues dans l’analyse critique est dictée par l’intérêt général ; • il s’agit d’informations dont la divulgation éventuelle aurait pour effet de restreindre le flux

d’autres informations. 6. Lorsque la demande de transmission des documents émane d’une administration publique, il est plus difficile de faire admettre l’existence d’un droit au secret fondé sur l’auto-évaluation. Cette attitude est vraisemblablement liée au fait que le respect du droit revêt un plus grand intérêt pour l’État. 7. Les documents susceptibles de bénéficier de la protection par le secret professionnel devront généralement avoir été établis :

• dans le cadre de travaux (mémos, programmes informatiques, par exemple) ; • en prévision d’un litige ; • par une personne travaillant selon les instructions de l’avocat.

8. Les documents établis et remis à l’avocat avant l’établissement de la relation privilégiée avec son client ne sont généralement pas protégés par le secret professionnel.


MPA 2410-1 Contenu de la communication

Principale Norme de Référence 2410 – Contenu de la communication La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. ------------------ 1. Le format et le contenu des rapports définitifs d’audit varient selon l’organisation et le type de mission. Cependant, ils contiennent, au minimum, les objectifs, le périmètre et les résultats de l’audit. 2. Les rapports définitifs d’audit peuvent comporter des informations sur le contexte et des synthèses. Les informations sur le contexte peuvent présenter les entités et activités examinées et fournir des explications. Le statut des observations, conclusions et recommandations des rapports précédents peut aussi être repris ; on peut aussi indiquer si cet audit est une mission inscrite au plan d’audit ou répondant à une demande particulière. Les synthèses constituent un exposé proportionné du contenu du rapport. 3. L'exposé de l'objet de la mission décrit les objectifs de la mission et informe le lecteur des motifs de la mission et des résultats escomptés. 4. L’exposé du périmètre de la mission précise les activités auditées et peut comporter des informations complémentaires telles que la période couverte et les activités connexes non examinées afin de délimiter l’intervention. Il peut préciser la nature et l’étendue des travaux réalisés. 5. Les résultats comprennent les observations, les conclusions, les opinions, les recommandations et les plans d'actions. 6. Les observations sont des exposés pertinents des faits. L’auditeur interne communique les observations nécessaires pour soutenir ses conclusions et recommandations, et éviter les malentendus. L’auditeur interne peut communiquer de manière informelle les informations ou observations moins importantes. 7. Les observations et recommandations sont le résultat d’un processus de comparaison d’un référentiel (la situation normale) et d’un fait (la situation actuelle). Qu’il y ait ou non constat d’un écart, l’auditeur interne dispose d’éléments sur lesquels fonder son rapport. Lorsque les situations sont conformes au référentiel, il peut être approprié de faire état dans le rapport d’audit d’un fonctionnement satisfaisant. Les observations et recommandations sont fondées sur les caractéristiques suivantes :

• des référentiels : les normes, mesures ou exigences requises, utilisés pour évaluer ou vérifier (la situation normale) ;

• des faits : les preuves factuelles identifiées par l’auditeur interne au cours de son examen (la situation actuelle) ;

• des causes : la raison de la différence entre les situations attendues et existantes; • des conséquences : le risque ou le danger encouru par l’organisation ou d'autres, du fait que les

situations diffèrent du référentiel (l’impact de la différence). Pour déterminer l'importance du risque ou de l'enjeu, les auditeurs internes prennent en considération les conséquences de leurs observations et recommandations sur le fonctionnement et les états financiers de l'organisation ;

• les observations et recommandations peuvent inclure les réalisations de l’entité auditée, des questions connexes et des informations destinées à étayer les conclusions.


8. Les conclusions et les opinions sont les évaluations de l’auditeur interne sur les conséquences des observations et recommandations sur les activités auditées. Habituellement, elles situent les observations et recommandations dans la perspective de leurs implications globales. Les conclusions de la mission sont clairement exposées dans le rapport d’audit. Elles peuvent porter sur l'ensemble du champ audité ou sur des aspects particuliers. Elles peuvent exposer, entre autres, dans quelle mesure les objectifs opérationnels et les programmes sont conformes à ceux de l’organisation, si les buts et objectifs de l'organisation sont atteints, et si l’activité examinée fonctionne comme prévu. L’opinion peut consister en une évaluation globale des contrôles ou être limitée à des contrôles spécifiques ou certains aspects de la mission. 9. L’auditeur interne peut communiquer des recommandations sur les améliorations et faire état des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont fondées sur les observations et conclusions de l’auditeur interne. Elles appellent des actions destinées à corriger les situations existantes ou à améliorer le fonctionnement et peuvent suggérer des approches visant à corriger ou à améliorer le fonctionnement, approches que le management peut utiliser comme guide pour l’atteinte des résultats fixés. Les recommandations peuvent être de nature générale ou spécifique. Par exemple, l’auditeur interne peut recommander une ligne de conduite générale et des propositions spécifiques de mise en œuvre. Dans d’autres cas, l’auditeur interne peut suggérer un examen ou une étude complémentaire. 10. L’auditeur interne peut communiquer sur les réalisations de l’audité, qu'il s'agisse d'améliorations apportées depuis le dernier audit, ou de la mise en place d’activités bien maîtrisées. Cette information peut être nécessaire pour représenter fidèlement les conditions actuelles d’exercice, offrir une perspective et assurer un équilibre dans le rapport d’audit. 11. L’auditeur interne peut communiquer les points de vue de l’audité sur les conclusions ou recommandations de l’audit. 12. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtient l’accord de l'audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélioration des activités. Si l’auditeur interne et l’audité ne s’entendent pas sur les résultats de l’audit, le rapport d'audit mentionne les deux positions ainsi que les raisons du désaccord. Les commentaires écrits de l’audité peuvent être inclus en annexe au rapport, dans le corps du rapport ou dans une lettre introductive. 13. Il peut ne pas être opportun de communiquer certaines informations à tous les destinataires du rapport, notamment lorsqu’il s’agit de renseignements couverts par le secret professionnel, protégés ou relatifs à des actes irréguliers ou illégaux. Ces informations sont alors incluses dans un rapport distinct. Si les faits rapportés impliquent la direction générale, le rapport est adressé au Conseil. 14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière officielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des informations nécessitant une attention immédiate, pour signaler un changement dans le champ de la mission ou pour informer le management de l’avancement des travaux lorsque la mission est de longue durée. L’emploi de rapports intermédiaires ne réduit ni n’élimine la nécessité d'un rapport définitif. 15. Un rapport signé est émis à la fin des travaux. Des notes de synthèse mettant en évidence les résultats de la mission sont recommandées pour les supérieurs hiérarchiques de l’audité ; elles peuvent être émises séparément ou conjointement avec le rapport définitif. Le terme « signé » signifie que l'auditeur autorisé signe manuellement ou électroniquement le rapport ou la lettre de couverture. Le responsable de l’audit interne détermine l’auditeur interne autorisé à signer le rapport. Si les rapports d'audit sont diffusés par des moyens électroniques, un exemplaire signé manuellement est archivé à l'audit interne.


MPA 2420-1 Qualité de la communication

Principale Norme de Référence 2420 – Qualité de la communication La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile. Interprétation : Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant d’étayer les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos, elle permet au management de prendre les actions correctives appropriées en fonction du caractère significatif de la problématique. --------------------- 1. Collecter, évaluer et synthétiser les données et les preuves avec soin et précision. 2. Développer et énoncer les constats, conclusions et recommandations sans préjugé, parti pris, intérêt personnel ni influence inappropriée. 3. Améliorer la clarté en évitant l’utilisation d’un langage excessivement technique et en fournissant toute l’information significative et pertinente dans ce contexte. 4. Préparer des communications dont chaque élément est porteur de sens tout en étant concises. 5. Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs de l’organisation. 6. S’assurer que la communication est cohérente avec le style et la culture de l’organisation. 7. Prévoir le délai de présentation des résultats de la mission afin d’éviter des contretemps excessifs.


MPA 2440-1 Diffusion des résultats de la mission

Principale Norme de Référence 2440 – Diffusion des résultats Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. Interprétation: Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé. Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière responsabilité. ------------------ 1. Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveau de management approprié avant que le responsable de l’audit interne n'émette le rapport définitif. Ceci est habituellement effectué pendant le déroulement de la mission ou lors des réunions postérieurs aux travaux (par exemple, les réunions de clôture). 2. Une autre technique consiste à faire revoir au management de l'activité auditée des points, observations et recommandations envisagés. Ces discussions et révisions aident à éviter les malentendus ou fausses interprétations des faits et offrent à l’entité auditée l’occasion de clarifier certains points particuliers et d’exprimer son opinion sur les observations, les conclusions et les recommandations. 3. Le niveau hiérarchique des participants aux discussions et aux révisions varie selon l’organisation et la nature du rapport d’audit; elles impliquent généralement les personnes qui connaissent précisément les opérations auditées et celles qui sont en mesure d’autoriser la mise en œuvre de mesures correctrices. 4. Le responsable de l’audit interne adresse le rapport définitif au management de l’activité auditée et aux membres de l’organisation qui peuvent s’assurer que les résultats de l’audit recevront l’attention nécessaire et qui peuvent entreprendre les actions correctives qui s’imposent ou s’assurer que de telles mesures seront prises. Lorsque cela est approprié, le responsable de l’audit interne peut adresser une note de synthèse aux membres de l’organisation occupant un poste plus élevé dans la hiérarchie. Lorsque cela est prévu dans la charte d’audit interne ou par une règle interne, le responsable de l’audit interne communique également les résultats de la mission aux personnes intéressées ou concernées, telles que les auditeurs externes et le Conseil.


MPA 2440-2 : Communication d’informations sensibles dans ou en dehors de la ligne

hiérarchique Principale Norme de Référence 2440 - Diffusion des résultats Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. Interprétation: Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé. Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière responsabilité. ------------------------------------------ 1. Les auditeurs internes entrent souvent en possession d’informations très sensibles, qui sont importantes pour l’organisation et peuvent avoir des conséquences significatives. Ces informations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des gaspillages, des erreurs de gestion, des activités illégales, des abus de pouvoir, une mauvaise gestion mettant en danger la santé ou la sécurité publique, ou d’autres méfaits. Du reste, ces différents éléments peuvent porter préjudice à la réputation de l’organisation, à son image, sa compétitivité, sa réussite, sa viabilité, sa valeur boursière, ses investissements et ses actifs incorporels ou ses bénéfices. 2. S’il estime que les informations nouvelles sont importantes et crédibles, l’auditeur interne les communique en principe, dans des délais appropriés, à la direction générale et au Conseil conformément à la Norme 2060 et à la MPA 2060-1. Cette communication suivra généralement la ligne hiérarchique normale pour l’auditeur interne. 3. Si, à l’issue de ces discussions, le responsable de l’audit interne conclut que la direction générale expose l’organisation à un risque inacceptable et qu’elle ne prend pas les mesures appropriées, le responsable de l’audit interne doit alors présenter les informations et les divergences d’opinions au Conseil conformément à la Norme 2600. 4. Le scénario classique de communication par la ligne hiérarchique peut être accéléré, pour certains types d’événements sensibles, en vertu de la législation nationale, de la réglementation ou de pratiques communément admises. Par exemple, en cas de publication d’informations financières frauduleuses par une société cotée, la réglementation locale peut prévoir l’obligation d’informer sans délai le Conseil des circonstances entourant le risque de publication de rapports financiers erronés et ce, même si la direction générale et le responsable de l’audit interne sont d’accord sur les mesures à prendre. Dans certains pays, la législation et la réglementation indiquent que le Conseil devrait être informé de la découverte d’une infraction aux lois pénales, aux lois relatives aux titres de sociétés, à l’alimentation, aux stupéfiants ou à la pollution, ou de tout autre acte illégal, tel que la corruption ou toute autre forme de versement abusif effectué en faveur de fonctionnaires, de fournisseurs ou de clients. 5. L’auditeur interne peut, dans certaines situations, faire face à un dilemme lorsqu’il envisage de communiquer des informations à des personnes à qui il n’est pas hiérarchiquement rattaché, ou même à l’extérieur de l’organisation. Cette communication est communément désignée par l’expression « whistleblowing » (« droit d’alerte »). La divulgation d’informations négatives à une personne qui fait partie de l’organisation, mais sans passer par la ligne hiérarchique de l’auditeur interne relève du droit d’alerte interne, tandis que le droit d’alerte externe consiste à communiquer des informations à une administration


ou une autre instance extérieure à l’organisation. 6. La majorité des personnes qui lance une alerte interne divulgue des informations sensibles. Elles le feront d’autant plus facilement qu‘elles ont confiance dans la capacité des procédures et des dispositifs, en place dans l’organisation, à déclencher une investigation et les mesures appropriées en cas d’allégation d’opération illégale ou abusive. Toutefois, certaines personnes en possession d’informations sensibles peuvent décider de les divulguer en dehors de l’organisation, en particulier si elles redoutent des représailles de la part de leur employeur ou de collègues, si elles doutent que l’affaire sera correctement investiguée, si elles pensent qu’elle sera dissimulée ou si elles détiennent la preuve d’une opération illégale ou abusive mettant en péril la santé, la sécurité ou le bien-être de membres de l’organisation ou de la communauté. 7. Lorsqu’il choisit d’utiliser le droit d’alerte interne, l’auditeur interne doit évaluer d’autres moyens de signaler le risque à des personnes ou à des groupes qui ne font pas partie de sa ligne hiérarchique. Étant donné les répercussions et les risques liés à ces démarches, l’auditeur interne doit bien peser le caractère probant et raisonnable de ses conclusions et examiner les avantages et les inconvénients de chacune des actions envisageables. Une action de ce type peut s’avérer appropriée pour l’auditeur interne si elle doit aboutir à l’adoption d’actions sérieuses par la direction générale ou par le Conseil. 8. De nombreux pays ont adopté une législation ou une réglementation en vertu desquelles les fonctionnaires qui ont connaissance d’actes illégaux ou contraires à l’éthique sont tenus d’informer un inspecteur général, un autre fonctionnaire ou un médiateur. Certaines lois nationales relatives au droit d’alerte protègent les citoyens qui s’apprêtent à divulguer certains types d’abus. Les activités énumérées dans la législation et la réglementation de ces pays comprennent notamment :

• les infractions criminelles et les autres infractions à la loi ; • les actes assimilés à des erreurs de justice ; • les actes mettant en péril la santé, la sécurité ou le bien-être des personnes ; • les actes dommageables pour l’environnement ; • les opérations destinées à dissimuler ou à couvrir les actes ci-dessus.

D’autres pays ne proposent aucune directive ni aucun système de protection ou encore ne protègent que les salariés du secteur public (généralement ceux qui ont le statut de fonctionnaire). 9. L’auditeur interne devra avoir connaissance de la législation et de la réglementation des divers pays dans lesquels opère l’organisation. Les juristes qui connaissent bien les aspects juridiques du droit d’alerte peuvent aider les auditeurs internes confrontés à ce problème. L’auditeur interne devra consulter un juriste s’il a des doutes sur les conséquences juridiques ou les dispositions légales en vigueur concernant le droit d’alerte interne ou externe. 10. De nombreuses associations professionnelles requièrent que leurs membres divulguent les agissements illégaux ou contraires à l’éthique. Le caractère distinctif d’une profession réside dans le fait qu’elle accepte des responsabilités étendues vis-à-vis du public et qu’elle entend préserver le bien commun. Outre l’examen des obligations légales, les membres de l’IIA, ainsi que tous les auditeurs internes CIA, doivent suivre les règles du Code de déontologie de la profession. 11. L’auditeur interne est tenu, par devoir professionnel et par la déontologie, de peser avec attention tous les éléments probants et le caractère raisonnable de ses conclusions, puis de décider si d’autres mesures sont nécessaires pour préserver les intérêts de l’organisation, de ses parties prenantes, de la communauté extérieure ou des institutions de la société. En outre, l’auditeur interne tiendra compte du principe de confidentialité du Code de déontologie de la profession, respectera la valeur et la confidentialité des informations et s’abstiendra de les divulguer sans y être dûment habilité, sauf en cas d’obligation légale ou


professionnelle. L’auditeur interne peut consulter un juriste et, le cas échéant, d’autres experts, durant ce processus d’évaluation. Ces discussions peuvent s’avérer utiles, notamment parce qu’elles permettent d’obtenir un autre point de vue sur les circonstances de l’affaire et de recueillir un avis sur l’incidence et les conséquences potentielles des diverses actions envisageables. La démarche adoptée par l’auditeur interne pour résoudre ce type de situation complexe et sensible peut donner lieu à des représailles et, le cas échéant, engager sa responsabilité. 12. En définitive, l’auditeur interne prend une décision professionnelle à propos de ses obligations vis-à-vis de son employeur. La décision de communiquer en dehors de la ligne hiérarchique doit être prise en connaissance de cause. Elle est motivée par des preuves suffisantes et crédibles concernant les agissements en cause, et par la nécessité de prendre d’autres mesures en vertu d’une obligation légale, réglementaire, professionnelle ou déontologique.


MPA 2440.A2-1 : Diffusion des résultats d’audit en dehors de l’organisation

Principale Norme de Référence 2440.A2 - Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de l’audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant pas partie de l’organisation :

• évaluer les risques potentiels pour l’organisation ; • consulter la direction générale et/ou, selon les cas, un conseil juridique ; • maîtriser la diffusion en imposant des restrictions quant à l’utilisation des résultats.

------------------------------------------ 1. La charte d'audit interne et celle du Conseil, les politiques de l’organisation ou les instructions spécifiées dans la lettre de mission peuvent contenir des lignes directrices relatives à la diffusion d’informations en dehors de l’organisation. À défaut de telles directives, le responsable de l’audit interne peut faciliter l’adoption de politiques appropriées concernant par exemple :

• l’autorisation requise pour diffuser des informations en dehors de l’organisation ; • le processus d’autorisation pour la diffusion d’informations en dehors de l’organisation ; • les instructions concernant la nature des informations dont la diffusion est admise ou non ; • les personnes extérieures autorisées à recevoir des informations et la nature des informations qui

peuvent leur être communiquées ; • les règles relatives à la confidentialité des données personnelles, les obligations réglementaires et

les aspects juridiques à examiner avant toute diffusion d’informations en dehors de l’organisation ; • la nature des conclusions, des conseils, des recommandations, des opinions, des instructions et

autres informations pouvant être diffusés en dehors de l’organisation. 2. Les demandes d’information peuvent concerner des données qui existent déjà, par exemple un rapport d’audit interne déjà diffusé, ou bien porter sur des informations qui n’ont pas encore été produites ou définies et qui résulteront d’une future mission ou d’un nouveau rapport d’audit interne. Pour les informations déjà existantes, l’auditeur interne examinera si elles peuvent être diffusées en dehors de l’organisation. 3. Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un rapport ou des informations existant(s) pour permettre une diffusion appropriée en dehors de l’organisation. 4. Avant toute diffusion d’informations en dehors de l’organisation, il convient d’examiner les points suivants :

• l’intérêt d’un accord écrit avec le destinataire prévu concernant les informations à diffuser et les responsabilités de l’auditeur interne ;

• l’identification des fournisseurs et des canaux d’information, des signataires du rapport, des destinataires des informations et des personnes ayant un lien avec le rapport ou les informations diffusées ;

• l’identification des objectifs, des limites et des procédures à respecter pour produire les informations concernées ;

• la nature du rapport ou des autres informations communiquées, notamment les opinions, les recommandations, les réserves, les limitations et les types de certification ou de déclaration à fournir ;


• les droits de reproduction, l’utilisation prévue des informations et les restrictions concernant la

diffusion ou le partage ultérieur des informations. 5. Si un auditeur interne découvre des informations censées être communiquées à la direction générale ou au Conseil au cours d’une mission et que ces données sont soumises à une obligation de communication externe, le responsable de l’audit interne doit établir une communication appropriée avec le Conseil à ce sujet.


MPA 2500-1 Surveillance des actions de progrès

Principale Norme de Référence 2500 – Surveillance des actions de progrès Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management. ---------------- 1. Pour être en mesure de surveiller efficacement les suites données aux résultats communiqués au management, le responsable de l’audit interne établit des procédures couvrant les aspects suivants :

• le délai dans lequel le management doit répondre aux observations et recommandations de l'audit ;

• l’évaluation de la réponse du management ; • la vérification de la réponse (si nécessaire) ; • la réalisation d’une mission de suivi (si nécessaire) ; • un processus pour porter, à l’attention du niveau approprié de la direction générale et du Conseil,

les réponses/actions non satisfaisantes et l’acceptation du risque qui en résulte. 2. Si certaines observations et recommandations de l'audit sont d’une importance telle qu’elles nécessitent une action immédiate de la part du management ou du Conseil, l'audit interne surveille la réalisation des actions entreprises jusqu’à ce que l’observation soit levée ou que la recommandation soit mise en œuvre. 3. L’audit interne peut efficacement surveiller les progrès en :

• notifiant les observations et recommandations de l'audit aux niveaux appropriés du management responsables d’entreprendre les actions ;

• en collectant et en évaluant les réponses du management et les propositions de plan d’action par rapport aux observations et recommandations de l'audit, pendant la mission ou dans un délai raisonnable après la communication des résultats de la mission. Les réponses sont d’autant plus utiles qu’elles comportent des informations suffisantes pour que le responsable de l’audit interne puisse en apprécier la pertinence et le calendrier des actions proposées;

• en obtenant du management des mises à jour périodiques permettant d’apprécier l'état d’avancement de ses actions pour remédier aux observations et/ou mettre en œuvre les recommandations;

• en obtenant et en évaluant les informations en provenance d’autres entités de l’organisation ayant reçu la responsabilité du suivi ou de la réalisation d’actions correctives ;

• en rendant compte à la direction générale et/ou au Conseil de l’avancement des réponses aux observations et recommandations de l'audit.


MPA 2500.A1-1 Processus de suivi de la mission

Principale Norme de Référence 2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le management ou que la Direction Générale a accepté de prendre le risque de ne rien faire. --------------------- 1. Les auditeurs internes déterminent si le management a entrepris les actions correctrices ou mis en œuvre les recommandations. Ils s’assurent que les résultats escomptés sont atteints, ou que la direction générale ou le Conseil ont accepté le risque de ne pas engager d’actions ou de ne pas mettre en œuvre les recommandations. 2. Le suivi est un processus par lequel les auditeurs internes évaluent le caractère approprié, effectif et opportun des actions entreprises par le management, en réponse aux observations et recommandations, y compris celles émises par les auditeurs externes ou d'autres intervenants. Au cours de ce processus il convient également de déterminer si la direction générale et le Conseil ont assumé le risque de ne pas entreprendre d’action correctrice en réponse aux observations. 3. La charte d’audit interne devra définir la responsabilité du suivi. Le responsable de l’audit interne fixe la nature, le calendrier et l'étendue du suivi en considérant les facteurs suivants :

• l’importance des observations et recommandations ; • le niveau d’effort et le coût nécessaire pour corriger les situations énoncées; • l’impact que pourrait avoir l’échec de l’action corrective ; • la complexité de l’action corrective ; • les délais.

4. Le responsable de l’audit interne assure la planification des activités de suivi dans le cadre de l’élaboration des programmes de travail. La planification du suivi est fondée sur les risques encourus et leurs impacts, ainsi que sur le niveau de difficulté et l’importance du délai de mise en œuvre des actions correctrices. 5. Lorsque le responsable de l’audit interne juge que la réponse orale ou écrite du management indique que l'action entreprise est suffisante par apport au niveau d’importance des observations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le cadre de la mission suivante. 6. Les auditeurs internes vérifient si les actions entreprises suite aux observations et recommandations corrigent les situations sous-jacentes. Les activités suivies devront être convenablement documentées.



À propos de l'Institute of Internal Auditors

Fondé en 1941, The Institute of Internal Auditors (IIA) est une organisation professionnelle internationale dont le siège mondial se situe à Altamonte Springs, en Floride, aux États-Unis. L’Institute of Internal Auditors IIA est la voix mondiale, une autorité reconnue, un leader incontesté et le principal défenseur de la profession d’auditeur interne. C’est également un acteur de premier plan pour la formation des auditeurs internes.

www.globaliia.org/www.theiia.org

À propos des lignes directrices de mise en œuvre

Les lignes directrices de mise en œuvre fournissent, aux fins du Cadre de référence international des pratiques professionnelles (CRIPP) de l'IIA, des dispositions recommandées (non obligatoires) pour mener des activités d'audit interne. Ces guides visent à aider les auditeurs internes et les services d'audit interne pour renforcer leur capacité à se conformer aux Normes internationales pour la pratique professionnelle de l'audit interne (les Normes).

Avertissement

L’Institute of Internal Auditors publie ce document à titre informatif et pédagogique. Cette ligne directrice n’a pas vocation à apporter de réponses définitives à des cas précis, et doit uniquement servir de guide. L’IIA vous recommande de toujours solliciter un expert indépendant pour avoir un avis dans chaque situation. L’Institut dégage sa responsabilité pour les cas où des lecteurs se fieraient exclusivement à ce guide.

http://www.globaliia.org/www.theiia.org

Guide de mise en œuvre 1000...Guide de mise en œuvre – Série 1000 / Mission, pouvoirs et...

Documents

Transcript of Guide de mise en œuvre 1000...Guide de mise en œuvre – Série 1000 / Mission, pouvoirs et...