Академический Документы
Профессиональный Документы
Культура Документы
2013
Cadre de Rfrence
International
des Pratiques Professionnelles
de lAudit Interne
Inclus :
Code de dontologie
Normes internationales
Dpliant
LIFACI est affili
The Institute of Internal Auditors
Copyright IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en franais rservs.
Dcembre 2012
ISBN : 978-2-915042-47-4
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque
procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
Ralisation :
Copyright 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,
Sommaire
Avant-propos de lIFACI ..................................................................................................................................... 5
Prface ..................................................................................................................................................................... 7
Dispositions obligatoires ................................................................................................................................ 13
Dnition de laudit interne .................................................................................................................................... 15
Code de dontologie .................................................................................................................................................. 17
Normes internationales .............................................................................................................................................. 23
Introduction .............................................................................................................................................................. 25
Normes de qualication .................................................................................................................................... 27
Normes de fonctionnement ........................................................................................................................... 43
Glossaire ...................................................................................................................................................................... 63
Modalits Pratiques dApplication .............................................................................................................. 73
MPA Srie 1000 : Mission, pouvoirs et responsabilits ........................................................................ 75
MPA Srie 1100 : Indpendance et objectivit ......................................................................................... 79
MPA Srie 1200 : Comptence et conscience professionnelle ...................................................... 91
MPA Srie 1300 : Programme dassurance et damlioration qualit .................................... 103
MPA Srie 2000 : Gestion de laudit interne ............................................................................................. 127
MPA Srie 2100 : Nature du travail .................................................................................................................. 155
MPA Srie 2200 : Planification de la mission ............................................................................................ 183
MPA Srie 2300 : Accomplissement de la mission ............................................................................... 195
MPA Srie 2400 : Communication des rsultats .................................................................................... 215
MPA Srie 2500 : Surveillance des actions de progrs ..................................................................... 233
Avant-propos de lIFACI
Avant-propos de lIFACI
La publication contient la traduction des composantes essentielles du CRIPP ou International Professional Practices Framework-IPPF de lIIA, savoir :
la dnition de laudit interne
le code de dontologie
Philippe Mocquard
Dlgu Gnral
Prface
Prface
Dispositions obligatoires
Elments
Dfinition
Dfinition
Code de dontologie
Le Code de dontologie tablit les principes et attentes rgissant le comportement des individus et des organisations dans
la conduite de laudit interne.
Il dcrit les rgles minimales de conduite ainsi que des
comportements attendus plutt que des activits spciques.
Normes internationales
pour la pratique professionnelle de laudit
interne (Normes)
Prface
Elments
Dfinition
Prises de position
Modalits pratiques
dapplication (MPA)
Guides pratiques
obligatoires
Prface
11
12
Dispositions
obligatoires
Dispositions obligatoires
DISPoSItIoNS oblIgAtoIrES
13
14
Dispositions
obligatoires
Version franaise de la dnition internationale, approuve le 21 mars 2000 par le Conseil dAdministration de lIFACI.
15
16
Dispositions
obligatoires
Code de Dontologie
Code de Dontologie
Prambule
Pourquoi un Code de Dontologie ?
Pourquoi donc les Normes naplaniraient-elles pas toutes les dicults auxquelles lauditeur interne peut se trouver
confront, en indiquant de manire systmatique, la bonne conduite adopter ? Cette question est lgitime et appelle
des rponses qui permettent de prciser la raison dtre du Code de Dontologie :
Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier qui est le leur. Les lois nationales, les rglements et les risques propres aux dirents secteurs conomiques,
les formes juridiques des organisations et leurs modalits de fonctionnement, et le rle finalement dvolu laudit
interne, crent des situations particulires ; un dveloppement trop extensif de normes tendrait ramener systmatiquement la diversit de la ralit une situation type. Dans ces conditions, le Code de Dontologie de la profession identifie des valeurs essentielles qui ne nient par loriginalit de chaque situation. Il guide la rflexion de chaque
auditeur interne et fournit la trame du Code de Dontologie mettre en place dans chaque service daudit interne.
Expliciter et illustrer les notions dindpendance et dobjectivit, ces pralables sont indispensables la
qualit de lvaluation eectue par lauditeur interne. Il est essentiel que ces deux notions, que lauditeur doit
respecter, soient dfinies avec clart et prcision : ainsi pourra-t-il choisir la dmarche approprie face des situations
dlicates. En eet, lauditeur interne et notamment le responsable de laudit interne, se trouvent frquemment
confronts au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre lpreuve de situations
personnelles moralement diciles et confuses. Le Code de Dontologie rappelle les principes fondamentaux susceptibles dviter ou de clarifier les situations impropres lexercice dun jugement professionnel serein. Ils permettent
dobtenir les conseils dun suprieur hirarchique et de dterminer, en son me et conscience, la dmarche quil
convient de suivre en cas de situation dlicate.
Tmoigner du niveau lev dintgrit de laudit interne : Il est important et utile que chacun sache que
lauditeur interne seorce de toujours agir avec honntet et rigueur. Lexistence dun Code de Dontologie de laudit
interne, sign par les auditeurs internes et annex la charte daudit interne constitue, notre sens, le tmoignage
dun engagement favorisant un climat dhonntet et dintgrit.
Contribuer la qualit des rsultats de laudit en rappelant lexigence de confidentialit et de comptence. En eet, la confiance accrue des audits permet un meilleur travail.
17
Introduction
Le Code de Dontologie de lInstitut a pour but de promouvoir une culture de lthique au sein
de la profession daudit interne.
Dnition de laudit interne
Laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer, et contribue crer de la valeur
ajoute. Il aide cette organisation atteindre ses objectifs en valuant,
par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en
faisant des propositions pour renforcer leur ecacit.
Compte tenu de la conance place en laudit interne pour donner une assurance objective sur
les processus de gouvernement dentreprise, de management des risques, et de contrle, il tait
ncessaire que la profession se dote dun tel code.
Le Code de Dontologie va au-del de la dnition de laudit interne et inclut deux composantes
essentielles :
1. Des principes fondamentaux pertinents pour la profession et pour la pratique de laudit
interne ;
2. Des rgles de conduite dcrivant les normes de comportement attendues des auditeurs
internes. Ces rgles sont une aide la mise en uvre pratique des principes fondamentaux
et ont pour but de guider la conduite thique des auditeurs internes.
On dsigne par auditeurs internes les membres de lInstitut, les titulaires de certication professionnelles de lIIA ou les candidats celles-ci, ainsi que les personnes proposant des services
entrant dans le cadre de la dnition de laudit interne.
18
Dispositions
obligatoires
Code de Dontologie
Principes fondamentaux
Il est attendu des auditeurs internes quils respectent et appliquent les principes fondamentaux
suivants :
1. Intgrit :
Lintgrit des auditeurs internes est la base de la conance et de la crdibilit accordes
leur jugement.
2. Objectivit :
Les auditeurs internes montrent le plus haut degr dobjectivit professionnelle en collectant,
valuant et communiquant les informations relatives lactivit ou au processus examin. Les
auditeurs internes valuent de manire quitable tous les lments pertinents et ne se laissent
pas inuencer dans leur jugement par leurs propres intrts ou par autrui.
3. Confidentialit :
Les auditeurs internes respectent la valeur et la proprit des informations quils reoivent ; ils
ne divulguent ces informations quavec les autorisations requises, moins quune obligation
lgale ou professionnelle ne les oblige le faire.
4. Comptence :
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expriences
requis pour la ralisation de leurs travaux.
Rgles de conduite
1. Intgrit
Les auditeurs internes :
1.1. Doivent accomplir leur mission avec honntet, diligence et responsabilit.
1.2. Doivent respecter la loi et faire les rvlations requises par les lois et les rgles de la profession.
Commentaire IFACI
Par exemple, dans le secteur public en France, selon larticle 40 du Code de procdure pnale : toute autorit constitue,
tout ocier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un
dlit est tenu d'en donner avis sans dlai au procureur de la Rpublique et de transmettre ce magistrat tous les
renseignements, procs-verbaux et actes qui y sont relatifs .
19
1.3. Ne doivent pas sciemment prendre part des activits illgales ou sengager dans des
actes dshonorants pour la profession daudit interne ou leur organisation.
Commentaire IFACI
Il convient de prciser que la notion de dshonneur est culturelle, quelle dpend des poques, des individus, de lthique de
lorganisation et de nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs thiques et lgitimes de leur organisation.
Commentaire IFACI
Cette rgle de conduite appelle la question suivante : quentend-on par objectif thique et objectif lgitime ? On peut dfinir
lgitime comme conforme aux lois, aux rglements et lobjet social tandis quthique fait rfrence aux valeurs morales et
divers principes. Il appartient chaque auditeur interne de donner ces deux mots un sens adapt la situation
particulire dans laquelle il se trouve.
Dans le cas o lorganisation aurait des objectifs non thiques ou non lgitimes ou jugs tels par lauditeur, ce Code de
Dontologie ne contraint pas lauditeur interne les respecter et encore moins y contribuer, pas plus quil ne linterdit.
Cette situation, si elle se produisait, ne dispenserait pas lauditeur interne de garder leur gard un parfait esprit critique.
2. Objectivit
Les auditeurs internes :
2.1. Ne doivent pas prendre part des activits ou tablir des relations qui pourraient
compromettre ou risquer de compromettre le caractre impartial de leur jugement. Ce
principe vaut galement pour les activits ou relations daaires qui pourraient entrer
en conit avec les intrts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3
Doivent rvler tous les faits matriels dont ils ont connaissance et qui, sils ntaient pas
rvls, auraient pour consquence de fausser le rapport sur les activits examines.
Commentaire IFACI
Cest donc en interne, et essentiellement dans le cadre du rapport daudit, que ces faits matriels doivent tre rvls. Il
convient toutefois dtre bien conscient que des informations dlicates destines a priori la direction gnrale et/ou au
comit daudit sont susceptibles dtre connues lextrieur de lorganisation. Cest ainsi que les rapports daudit interne
peuvent tre communiqus la justice. Pour le secteur bancaire, le rglement 97-02 modifi du CRBF, prcise que les
rapports daudit interne sont tenus la disposition des commissaires aux comptes et du secrtariat gnral de la
Commission bancaire. Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec
discernement, prudence et circonspection.
20
Dispositions
obligatoires
Code de Dontologie
3. Confidentialit
Les auditeurs internes :
3.1. Doivent utiliser avec prudence et protger les informations recueillies dans le cadre de
leurs activits.
Commentaire IFACI
Il est important de prciser que la confidentialit et les rgles de conduite y arentes sappliquent toute personne
proposant des services entrant dans la dfinition de laudit interne. Le responsable de laudit interne, dans le cas o il
soustraite une mission, lextrieur du service daudit interne ou de lorganisation, doit veiller ce quune clause de cet
ordre soit intgre dans le contrat de prestation.
Commentaire IFACI
LIFACI prconise que le responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit pour des faits
minemment graves commis par la direction gnrale et pouvant mettre en danger la continuit dexploitation, condition
que ces faits soient avrs et que le rle de laudit interne en la matire soit dment explicit dans une charte dthique.
Commentaire IFACI
En fonction des termes de larrt portant application de larticle 156 de la Loi de Modernisation de lEconomie qui prvoit
au sein des tablissements de crdit, les conditions dinformation des organes de direction, dadministration et de
surveillance concernant lecacit des systmes de contrle interne, daudit interne et de gestion des risques, et le suivi
des incidents rvls notamment par ces systmes, sont fixs par arrt. Cet arrt prvoit les conditions dans lesquelles
ces informations sont transmises la Commission bancaire, en outre, larticle 154 de la LME prvoit des sanctions
(emprisonnement et amende financire) en cas dabsence de rponse aux demandes dinformations de la Commission
bancaire ou de communication de renseignements inexacts.
3.2. Ne doivent pas utiliser ces informations pour en retirer un bnce personnel, ou dune
manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux objectifs
thiques et lgitimes de leur organisation.
Commentaire IFACI
Est assimilable bnfice personnel non seulement le bnfice procur un tiers apparent ou ami, mais aussi
l'utilisation des informations recueillies dans le cadre de l'activit d'audit des fins trangres cette activit, telles que la
communication des associations caritatives, humanitaires, et plus gnralement but louable, soutenues par l'auditeur
interne : les auditeurs internes doivent respecter la valeur et la proprit des informations qu'ils reoivent.
21
4. Comptence
Les auditeurs internes :
4.1. Ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances, le
savoir faire et lexprience ncessaires.
4.2. Doivent raliser leurs travaux daudit interne dans le respect des Normes Internationales
pour la Pratique Professionnelle de lAudit Interne.
4.3. Doivent toujours seorcer damliorer leur comptence, lecacit et la qualit de leurs
travaux.
22
Dispositions
obligatoires
Normes internationales
NormES INtErNAtIoNAlES
23
24
Dispositions
obligatoires
Normes internationales
Introduction
Laudit interne est exerc dans dirents environnements juridiques et culturels ainsi que dans
des organisations dont l'objet, la taille, la complexit et la structure sont divers. Il peut tre en outre
exerc par des professionnels de l'audit, internes ou externes l'organisation.
Comme ces dirences peuvent inuencer la pratique de l'audit interne dans chaque environnement, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de
l'audit interne de lIIA (ci-aprs les Normes ) pour que les auditeurs internes et laudit interne s'acquittent de leurs responsabilits.
Lorsque la lgislation ou la rglementation empchent les auditeurs internes ou laudit interne de
respecter certaines dispositions des Normes, il est ncessaire den respecter les autres dispositions
et de procder une communication approprie.
Si les Normes sont conjointement utilises avec des dispositions dautres organes de rfrence, les
communications de laudit interne peuvent le cas chant, citer lutilisation dautres Normes. Sil y
a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et laudit
interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci
sont plus exigeantes.
Les Normes ont pour objet :
1. de dnir les principes fondamentaux de la pratique de l'audit interne ;
2. de fournir un cadre de rfrence pour la ralisation et la promotion d'un large champ dintervention d'audit interne valeur ajoute ;
3. d'tablir les critres d'apprciation du fonctionnement de l'audit interne ;
4. de favoriser l'amlioration des processus organisationnels et des oprations.
Les Normes sont des principes obligatoires constitues :
de dclarations sur les conditions fondamentales pour la pratique professionnelle de laudit
interne et pour lvaluation de sa performance. Elles sont internationales et applicables tant
au niveau du service quau niveau individuel ;
dinterprtations clariant les termes et les concepts utiliss dans les dclarations.
Les Normes utilisent des termes ayant un sens spcique qui est prcis dans le Glossaire. En particulier les Normes utilisent le mot must pour spcier une exigence imprative et le mot
should lorsque le respect de la disposition est recommand sauf si, en faisant preuve de jugement professionnel, des adaptations sont justies par les circonstances.
Il est indispensable de prendre en considration les dclarations et les interprtations ainsi que
les signications spciques du Glossaire pour comprendre et appliquer correctement les Normes.
Les Normes se composent des Normes de qualication, des Normes de fonctionnement et des
25
Normes de mise en uvre. Les Normes de qualication noncent les caractristiques que doivent
prsenter les organisations et les personnes accomplissant des missions d'audit interne. Les Normes
de fonctionnement dcrivent la nature des missions d'audit interne et dnissent des critres de
qualit permettant de mesurer la performance des services fournis. Les Normes de qualication
et les Normes de fonctionnement sappliquent tous les services daudit. Les Normes de mise en
uvre prcisent les Normes de qualication et les Normes de fonctionnement en indiquant les
exigences applicables dans les activits dassurance (A) ou de conseil (C).
Dans le cadre de missions d'assurance, l'auditeur interne procde une valuation objective en
vue de formuler en toute indpendance une opinion ou des conclusions sur une entit, une opration, une fonction, un processus, un systme ou tout autre sujet. Lauditeur interne dtermine la
nature et l'tendue des missions dassurance. Elles comportent gnralement trois types d'intervenants : (1) la personne ou le groupe directement impliqu dans lentit, lopration, la fonction,
le processus, le systme ou le sujet examin autrement dit le propritaire du processus, (2) la
personne ou le groupe ralisant l'valuation l'auditeur interne, et (3) la personne ou le groupe
qui utilise les rsultats de l'valuation l'utilisateur.
Les missions de conseil sont gnralement entreprises la demande d'un client. Leur nature et
leur primtre font l'objet d'un accord avec ce dernier. Elles comportent gnralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en l'occurrence l'auditeur interne,
et (2) la personne ou le groupe donneur d'ordre auquel ils sont destins le client. Lors de la ralisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivit et n'assumer aucune
fonction de management.
Les Normes sappliquent aux auditeurs internes et l'activit daudit interne. Tous les auditeurs
internes ont la responsabilit de se conformer aux Normes relatives lobjectivit, aux comptences et la conscience professionnelle individuelles. De plus, ils doivent se conformer aux
Normes relatives aux responsabilits associes leur poste. Les responsables de laudit interne
ont la responsabilit dassurer la conformit globale de l'activit daudit interne avec les
Normes et den rendre compte.
La revue et la mise jour des Normes est un processus continu. The International Internal Audit
Standards Board mne une large consultation et des discussions avant de publier les Normes.
Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont
consultables sur le site internet de l'IIA et sont distribus tous les instituts alis.
Les suggestions et commentaires concernant les Normes peuvent tre adresss :
The Institute of Internal Auditors
Standards and Guidance
247, Maitland Avenue.
Altamonte Springs, Florida 32701-4201 USA
Courrier lectronique : guidance@theiia.org
Site web : www.theiia.org
26
Dispositions
obligatoires
Normes de qualification
NormES DE
quAlIFICAtIoN
27
28
Dispositions
obligatoires
Normes de qualification
Normes de qualification
1000 mission, pouvoirs et responsabilits
MPA 1000-1 :
Charte daudit interne
29
La revue priodique de la charte garantit ladquation permanente de la capacit dintervention de laudit interne avec les
missions qui lui sont assignes.
1000.A1 La nature des missions d'assurance ralises pour l'organisation doit tre
dnie dans la charte d'audit interne. S'il est prvu d'eectuer des missions d'assurance l'extrieur de l'organisation, leur nature doit tre galement dnie dans la
charte d'audit interne.
1000.C1 La nature des missions de conseil doit tre dnie dans la charte d'audit
interne.
Commentaire IFACI
Lorsque le responsable de laudit interne soumet la charte pour approbation la direction gnrale et au Conseil (cf. Norme
1000), il prsente en particulier la dfinition de laudit interne, le Code de Dontologie et les Normes. Ces dispositions
obligatoires ont fait leur preuve dans les dirents contextes o laudit interne est pratiqu. Elles constituent le niveau
minimal de professionnalisme requis.
Commentaire IFACI
Une bonne connaissance du CRIPP est ncessaire pour donner du sens la prsentation qui est faite aux instances
dirigeantes. Elle permet dillustrer, de faon pertinente, en quoi la ralisation des objectifs de lorganisation et sa
structuration permettent lapplication des principes du CRIPP.
30
Dispositions
obligatoires
Normes de qualification
Commentaire IFACI
Lindpendance de laudit interne dpend galement du rattachement hirarchique de son responsable la direction
gnrale et de sa capacit communiquer avec le Conseil.
Au niveau individuel, labsence de subordination au jugement dautres personnes concerne en premier lieu les opinions qui
seraient formules en dehors du service daudit interne.
Lobjectivit dcoule en partie de lapproche systmatique et mthodique prvue dans la dfinition de laudit interne.
31
MPA 1110-1 :
Le responsable de l'audit interne doit relever dun niveau hirar- Indpendance dans
lorganisation
chique susant au sein de lorganisation pour permettre au service
daudit interne dexercer ses responsabilits. Le responsable de laudit interne doit conrmer
au Conseil, au moins annuellement, lindpendance de laudit interne au sein de lorganisation.
Interprtation :
Lindpendance au sein de lorganisation est atteinte lorsque le responsable de laudit interne rapporte
fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
approuve la charte daudit interne ;
approuve le plan daudit interne fond sur lapproche par les risques ;
approuve le budget et les ressources prvisionnels de laudit interne ;
soit destinataire des informations adresses par le responsable daudit relatives la ralisation
du plan daudit ou de tout autre sujet arent laudit interne ;
approuve les dcisions lies la nomination et la rvocation du responsable de laudit
interne ;
approuve la rmunration du responsable de laudit interne ;
demande des informations pertinentes au management et au responsable de laudit interne
pour dterminer ladquation du primtre et des ressources de laudit interne.
Commentaire IFACI
Comme soulign propos de la Norme 1000, cest le double rattachement de laudit interne qui permet dasseoir son
indpendance au sein de lorganisation.
Dans sa prise de position sur lurbanisme du contrle interne, lIFACI recommande que laudit interne soit rattach au plus
haut niveau de lorganisation afin de conforter lobjectivit de ses dmarches et armer lindpendance dont il a besoin
pour exercer ses activits ; que ce rattachement soit situ idalement au niveau de la direction gnrale, ultime responsable
du contrle interne comme de la bonne marche des organisations.
Il est souhaitable que les responsabilits du Conseil lgard de laudit soient formalises. Les lments de linterprtation
pourront tre utiliss cet eet et tre complts par dautres bonnes pratiques professionnelles. Par exemple, le comit
daudit est tenu inform, le cas chant :
des zones de risques non couvertes que laudit interne a lui-mme identifies ;
de la ralisation des missions non planifies, y compris les demandes de la direction gnrale ;
des changements de primtre de certaines missions ou des reports ;
de la participation des auditeurs ou du responsable de laudit interne des projets ou des travaux connexes ;
du suivi de la mise en uvre des recommandations ;
des points significatifs de dsaccord avec le management conformment au processus dcrit dans la
norme 2600, etc.
32
Dispositions
obligatoires
Normes de qualification
Lapprobation du budget doit sappuyer sur lanalyse dun certain nombre de critres notamment au regard
du plan daudit raliser.
Pour conforter lindpendance de laudit interne, le Conseil devrait contribuer lvaluation de la
performance du responsable de laudit interne notamment sur la base de la qualit des informations reues.
MPA 1111-1 :
Relation avec le conseil
Commentaire IFACI
Le responsable de laudit interne doit particulirement instaurer des relations rgulires avec le Conseil ou ses comits
spcialiss. Il organise une communication adapte aux besoins de ces instances et aux exigences de sa mission. Il
dmontre, notamment lors de runions dchanges directes, la contribution de laudit interne lexercice de leur
responsabilit.
1120 objectivit individuelle
Les auditeurs internes doivent avoir une attitude impartiale et
dpourvue de prjugs, et viter tout conit d'intrt.
MPA 1120-1 :
Objectivit individuelle
Interprtation :
Est considre comme un conit dintrt, une situation dans laquelle un auditeur interne, qui jouit
dune position de conance, a un intrt personnel ou professionnel venant en concurrence avec ses
devoirs et responsabilits. De tels intrts peuvent empcher lauditeur dexercer ses responsabilits
de faon impartiale. Un conit dintrt peut exister mme si aucun acte contraire lthique ou
malhonnte na t commis. Un conit dintrt peut crer une situation susceptible dentamer la
conance en lauditeur interne, vis--vis du service daudit interne et en la profession. Un conit dintrt peut compromettre la capacit dun individu conduire ses activits et exercer ses responsabilits de manire objective.
33
MPA 1130.A2-1 :
Responsabilits
exerces par laudit
interne au titre
dautres fonctions
1130.C1 Les auditeurs internes peuvent tre amens raliser des missions de
conseil lies des oprations dont ils ont t auparavant responsables.
1130.C2 Si l'indpendance ou l'objectivit des auditeurs internes sont susceptibles d'tre compromises lors des missions de conseil qui leur sont proposes, ils
doivent en informer le client donneur d'ordre avant de les accepter.
34
Dispositions
obligatoires
Normes de qualification
MPA 1200-1 :
Comptence et
conscience
professionnelle
MPA 1210-1 :
Comptence
Les auditeurs internes doivent possder les connaissances, le savoirfaire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles.
Lquipe daudit interne doit collectivement possder ou acqurir les connaissances, le
savoir-faire et les autres comptences ncessaires l'exercice de ses responsabilits.
Commentaire IFACI
La connaissance des Normes est indispensable pour mettre en uvre une approche mthodique. Pour une pratique
professionnelle de laudit interne il faut galement mobiliser dautres comptences en termes de savoir-tre et de savoirfaire (connaissance des mtiers de lorganisation, de sa culture), ce qui permet de renforcer lobjectivit et
lindpendance des auditeurs internes.
Interprtation :
Les connaissances, le savoir-faire et les autres comptences sont une expression gnrique utilise
pour dcrire la capacit professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer ecacement leurs responsabilits professionnelles. Les auditeurs internes sont encourags
dmontrer leurs comptences en obtenant des certications et qualications professionnelles
appropries telles que le CIA (Certied Internal Auditor) et tout autre diplme promu par lIIA ou par
dautres organisations professionnelles appropries.
Commentaire IFACI
Les auditeurs internes peuvent dmontrer qu'ils dtiennent les savoirs et savoir-faire indispensables
l'exercice de leur mtier en obtenant les qualifications professionnelles galement proposes par l'IFACI.
Ces qualifications attestent que leurs titulaires ont les connaissances et les comptences qui leur permettront
de conduire une mission daudit de manire autonome et professionnelle, en sappuyant sur la dmarche
prconise par les Normes.
1210.A1 Le responsable de l'audit interne doit obtenir MPA 1210.A1-1 :
l'avis et l'assistance de personnes qualies si les auditeurs Recours des
internes ne possdent pas les connaissances, le savoir-faire prestataires externes
et les autres comptences ncessaires pour s'acquitter de
tout ou partie de leur mission.
35
MPA 1220-1 :
Conscience
professionnelle
36
Dispositions
obligatoires
Normes de qualification
MPA 1230-1 :
Formation
professionnelle
continue
Commentaire IFACI
La valeur cre par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes.
Le dveloppement et le maintien des comptences doivent tre une priorit et faire l'objet de toute l'attention ncessaire.
37
MPA 1300-1 :
Programme
dassurance et
damlioration qualit
MPA 1310-1 :
Exigences du
programme
dassurance et
damlioration qualit
MPA 1311-1 :
Evaluations internes
38
MPA 1312-1 :
Evaluations externes
MPA 1312-2 :
Evaluations externes :
auto-valuation avec
validation
indpendante
MPA 1312-3 :
Indpendance de
lquipe dvaluation
externe dans le secteur
priv
MPA 1312-4 :
Indpendance de
Interprtation :
lquipe dvaluation
Les valuations externes peuvent prendre la forme dune valuation externe dans le secteur
entirement externalise ou dune auto-valuation avec validation ind- public
pendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles et
de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.
Commentaire IFACI
Le principe dune valuation externe tmoigne de la capacit de laudit interne ne pas sexonrer de ses propres exigences
professionnelles.
La direction gnrale devrait tre pralablement informe des modalits dimplication du Conseil et plus
particulirement des lments qui lui seront communiqus.
Une valuation externe plus frquente peut tre envisage en fonction de lvolution de lenvironnement, du
profil de risque de lorganisation, de la sensibilit des parties prenantes, de la nature des travaux de laudit
interne et de son organisation.
Des lments complmentaires concernant la qualification des valuateurs externes sont disponibles au 7 de la MPA
1312-1 Evaluations externes .
39
Dispositions
obligatoires
Normes de qualification
Interprtation :
La forme, le contenu ainsi que la frquence des communications relatives aux rsultats du
programme d'assurance et d'amlioration qualit sont dnis lors de discussions avec la direction
gnrale et le Conseil, et tiennent compte des responsabilits de laudit interne et de celles du responsable de laudit interne comme dnies dans la charte daudit interne. Pour dmontrer la conformit
la dnition de laudit interne, au Code de Dontologie et aux Normes, les rsultats des valuations
internes priodiques et des valuations externes doivent tre communiqus ds lachvement de ces
valuations. Les rsultats de la surveillance continue sont quant eux communiqus au moins une
fois par an. Ces rsultats incluent lapprciation de lvaluateur ou de lquipe dvaluation sur le
degr de conformit de lactivit daudit interne.
1321 utilisation de la mention conforme aux Normes internationales pour la pratique professionnelle de laudit interne
Le responsable de laudit interne peut indiquer que lactivit daudit
interne est conduite conformment aux Normes internationales pour
la pratique professionnelle de l'audit interne seulement si, les rsultats
du programme d'assurance et d'amlioration qualit lont dmontr.
MPA 1321-1 :
Utilisation de la
mention conforme
aux Normes
internationales pour la
pratique
professionnelle de
laudit interne
Interprtation :
Le service daudit interne est en conformit avec les Normes lorsquil respecte les exigences de
la Dfinition de laudit interne, du Code de dontologie et des Normes.
Les rsultats du programme dassurance et damlioration qualit incluent les rsultats des
valuations internes et des valuations externes. Tout service daudit interne disposera de rsultats dvaluations internes. Les services daudit interne qui ont plus de cinq ans danciennet
disposeront galement des rsultats de leurs valuations externes.
40
Dispositions
obligatoires
Normes de qualification
Commentaire IFACI
Quelle que soit lanciennet du service, les rsultats dune valuation externe sont indispensables pour pouvoir utiliser cette
mention. En eet, la Norme 1310 prcise que le programme dassurance et damlioration qualit doit comporter des
valuations tant internes quexternes . Comme indiqu dans le 3 de la MPA 1321-1 lemploi de ces formules nest pas
appropri tant quune valuation externe na pas dmontr que laudit interne fonctionne en conformit avec la dfinition
de laudit interne, le Code de dontologie et les Normes . La mise en uvre de cette Norme doit tre cohrente avec la
Norme 1322.
Ces indications de conformit ou de non-conformit au niveau du service sont dclines pour les missions avec les Normes
2430 et 2431.
1322 Indication de non-conformit
Quand la non-conformit de lactivit daudit interne avec la dnition de laudit interne,
le Code de Dontologie ou encore les Normes a une incidence sur le champ d'intervention
ou sur le fonctionnement de l'audit interne, le responsable de laudit interne doit informer
la direction gnrale et le Conseil de cette non-conformit et de ses consquences.
Commentaire IFACI
Lindication de non-conformit ne se limite pas au positionnement de laudit interne ou son pilotage, cette dclaration
concerne lensemble du processus daudit :
les activits transversales telles que llaboration de procdures, la gestion des ressources, la coordination avec les
autres acteurs du contrle ou la communication ;
le cur du mtier avec la planification, la ralisation des missions et le suivi des recommandations.
La mise en uvre de cette Norme doit tre cohrente avec la Norme 2431. Plusieurs non-conformits lors des missions
devraient poser la question de la conformit de lactivit daudit interne.
41
42
Dispositions
obligatoires
Normes de fonctionnement
NormES DE FoNCtIoNNEmENt
43
44
Dispositions
obligatoires
Normes de fonctionnement
Normes de Fonctionnement
2000 gestion de l'audit interne
Le responsable de laudit interne doit grer ecacement cette activit de faon garantir quelle
apporte une valeur ajoute lorganisation.
Interprtation :
Lactivit daudit interne est gre ecacement quand :
les rsultats des travaux de laudit interne rpondent aux objectifs et responsabilits dnis
dans la charte daudit interne ;
laudit interne est exerc conformment la dnition de laudit interne et aux Normes ;
les membres de lquipe daudit agissent en respectant le Code de Dontologie et les Normes.
Le service daudit interne apporte de la valeur ajoute lorganisation (ainsi qu ses parties
prenantes) lorsquil fournit une assurance objective et pertinente et quil contribue lecience ainsi
qu lecacit des processus de gouvernement dentreprise, de management des risques et de
contrle interne.
MPA 2010-1 :
La prise en compte des
2010 Planification
risques et des menaces
pour llaboration du
Le responsable de l'audit interne doit tablir un plan daudit fond plan daudit
sur les risques an de dnir des priorits cohrentes avec les objecMPA 2010-2 :
tifs de l'organisation.
Prise en compte du
management des
risques dans la
Interprtation :
planification de laudit
Il incombe au responsable de laudit interne de dvelopper un plan daudit interne
fond sur les risques. Pour ce faire, le responsable de laudit interne prend en
compte le systme de management des risques dni au sein de lorganisation, il tient notamment
compte de lapptence pour le risque dnie par le management pour les direntes activits ou
branches de lorganisation. Si ce systme de management des risques nexiste pas, le responsable de
laudit interne doit se baser sur sa propre analyse des risques aprs avoir pris en considration le
point de vue de la direction gnrale et du Conseil. Le responsable de laudit interne doit, le cas
chant, rviser et ajuster le plan afin de rpondre aux changements dans les activits, les
risques, les oprations, les programmes, les systmes et les contrles de lorganisation.
Commentaire IFACI
Le systme de management des risques est lun des lments prendre en considration pour ltablissement de lordre de
priorits des missions. Au pralable, le responsable de laudit interne doit valuer lecacit du processus de management
des risques de lorganisation pour sassurer que le primtre de ce processus recouvre lunivers daudit et que les
45
informations fournies sont fiables et utiles pour lanalyse des risques quil ralise.
Par ailleurs, le responsable de laudit interne prend en compte dautres donnes :
la date et les rsultats des prcdentes missions ;
les demandes de la direction gnrale, du comit daudit et dautres organes de direction ;
les changements importants intervenus (ou envisags) dans les processus et les activits de lorganisation ;
la composition de lquipe daudit interne, ses comptences et les modifications envisages au niveau des ressources,
etc.
Le plan initial est un contrat (gnralement annuel) avec les organes dirigeants. En ce qui concerne les
ventuelles modifications, les organes dirigeants devront tre sollicits bon escient au regard des enjeux.
2010.A1 Le plan d'audit interne doit s'appuyer sur une valuation des risques
documente et ralise au moins une fois par an. Les points de vue de la direction
gnrale et du Conseil doivent tre pris en compte dans ce processus.
Commentaire IFACI
Le plan daudit ne doit pas rsulter dun simple recensement des activits et des entits de lorganisation.
Le responsable de laudit interne doit avoir une approche mthodique fonde sur des informations factuelles pour dfinir le
contour des missions et hirarchiser les dirents sujets. Il veille conserver la trace des lments qui ont permis daboutir
aux priorits quil dfinit.
2010.A2 Le responsable de laudit interne doit identier et prendre en considration les attentes de la direction gnrale, du Conseil et des autres parties prenantes
concernant les opinions et dautres conclusions de laudit interne.
2010.C1 Lorsqu'on lui propose une mission de conseil, le responsable de l'audit
interne, avant de l'accepter, devrait considrer dans quelle mesure elle est susceptible de crer de la valeur ajoute, d'amliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont t acceptes doivent
tre intgres dans le plan d'audit.
MPA 2020-1 :
Communication et
approbation
46
Dispositions
obligatoires
Normes de fonctionnement
MPA 2030-1 :
Gestion des ressources
Le responsable de l'audit interne doit veiller ce que les ressources
aectes cette activit soient adquates, susantes et mises en uvre de manire ecace pour raliser le plan d'audit approuv.
Interprtation :
On entend par ressources adquates, la combinaison de connaissances, savoir-faire et autres comptences ncessaires la ralisation du plan daudit. On entend par ressources susantes, la quantit
de ressources ncessaires la ralisation du plan daudit. Les ressources sont mises en uvre ecacement quand elles sont utilises de manire optimiser la ralisation du plan daudit.
MPA 2040-1 :
Rgles et procdures
Interprtation :
La forme et le contenu des rgles et procdures dpendent de la taille, de la manire dont est structur
laudit interne et de la complexit de ses travaux.
Commentaire IFACI
La complexit des travaux dpend du contexte de la mission (environnement plus ou moins stable, activits rcurrentes ou
non, caractre transverse, novateur). Elle peut galement varier en fonction de la qualit du dispositif de contrle
interne sous-jacent, du niveau de dtail des tests envisags, de la technicit des oprations audites...
2050 Coordination
An dassurer une couverture adquate et dviter les doubles
emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
La coordination des acteurs permet une couverture eciente des risques de lorganisation.
En ayant un rle actif dans cette concertation, le responsable daudit interne se donne les
moyens de mieux atteindre les objectifs qui lui sont assigns.
MPA 2050-1 :
Coordination
MPA 2050-2 :
Cartographie des
services donnant une
assurance sur les
dispositifs de contrle
et de management des
risques
MPA 2050-3 :
Sappuyer sur les
travaux dautres
prestataires de services
dassurance
47
48
Dispositions
obligatoires
Normes de fonctionnement
MPA 2110-1 :
Gouvernement
dentreprise :
Dfinition
L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son
amlioration. cet eet, il dtermine si le processus rpond aux MPA 2110-2 :
Gouvernement
objectifs suivants :
dentreprise : Relations
promouvoir des rgles d'thique et des valeurs appropries avec les risques et le
contrle interne
au sein de l'organisation ;
garantir une gestion ecace des performances de l'organi- MPA 2110-3 :
Gouvernement
sation, assortie d'une obligation de rendre compte ;
dentreprise :
communiquer aux services concerns de l'organisation les Evaluations
informations relatives aux risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination de leurs activits.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour lapplication de cette Norme.
49
Commentaire IFACI
Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En eet, les systmes
dinformation doivent supporter les objectifs actuels et futurs de lorganisation et contribuer la qualit du contrle interne
(gestion du portefeuille des investissements IT, matrise de la fiabilit et de la disponibilit des informations, etc.).
Laudit interne sappuiera sur des rfrentiels professionnels pour valuer la gouvernance des systmes dinformation (voir
Gouvernance du systme dinformation / IFACI, AFAI, CIGREF (2011)).
MPA 2120-1 :
Evaluer la pertinence
des processus de
management des
risques
Interprtation :
MPA 2120-2 :
An de dterminer si les processus de management des risques sont e- Gestion du risque li
lactivit daudit
caces, les auditeurs internes doivent sassurer que :
interne
les objectifs de lorganisation sont cohrents avec sa mission et y
contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun au
sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.
Commentaire IFACI
Afin dvaluer lecacit des processus de management des risques de son organisation, laudit interne sappuie utilement
sur des rfrentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework ou lISO 31000, et tient compte de
la Recommandation de l'Autorit des Marchs Financiers (AMF) sur Les dispositifs de gestion des risques et de contrle
interne : Cadre de Rfrence (juillet 2010).
50
Dispositions
obligatoires
Normes de fonctionnement
2120.A1 L'audit interne doit valuer les risques arents au gouvernement d'entreprise, aux oprations et aux systmes d'information de l'organisation au regard
de :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
2120.A2 Laudit interne doit valuer la possibilit de fraude et la manire dont ce
risque est gr par lorganisation.
Commentaire IFACI
Lvaluation de la possibilit doccurrence de fraude ncessite la vrification de la qualit de lenvironnement de contrle, de
la bonne gestion des aspects thiques et de lexistence dune culture dexemplarit.
Nanmoins, il ne faut pas oublier quune situation faible probabilit doccurrence peut avoir des consquences
dramatiques si elle ne se ralise pas. Mme si cela nest pas toujours vident, lauditeur interne doit galement essayer de
rpondre la question du caractre significatif (cf. glossaire) du risque de fraude.
Commentaire IFACI
Sans forcment attendre la planification dune mission spcifique sur le risque de fraude, les auditeurs internes doivent, lors
de leurs missions habituelles, avoir une forte sensibilit sur les problmes de fraude.
2120.C1 Au cours des missions de conseil, les auditeurs internes doivent couvrir
les risques lis aux objectifs de la mission et demeurer vigilants vis--vis de lexistence
de tout autre risque susceptible dtre signicatif.
2120.C2 Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour valuer les processus de management
des risques de l'organisation.
2120.C3 Lorsque les auditeurs internes aident le management dans la conception
et lamlioration des processus de management des risques, ils doivent sabstenir
dassumer une responsabilit oprationnelle en la matire.
51
2130 Contrle
Laudit interne doit aider lorganisation maintenir un dispositif de
contrle appropri en valuant son ecacit et son ecience et en
encourageant son amlioration continue.
MPA 2130-1 :
Evaluer la pertinence
des processus contrle
Commentaire IFACI
Le dispositif de contrle sentend au sens large de contrle interne. Il ne se limite pas aux activits de contrle (cf.
commentaire de la Norme 2100).
2130.A1 L'audit interne doit valuer la pertinence et l'e- MPA 2130.A1-1 :
cacit du dispositif de contrle choisi pour faire face aux Fiabilit et intgrit de
risques relatifs au gouvernement d'entreprise, aux oprations linformation
et systmes d'information de l'organisation. Cette valuation MPA 2130.A1-2 :
doit porter sur les aspects suivants :
Lvaluation du
latteinte des objectifs stratgiques de lorganisa- dispositif mis en place
par lorganisation pour
tion ;
protger la vie prive
la abilit et l'intgrit des informations nancires et
oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
2130.C1 Les auditeurs internes doivent utiliser leurs connaissances des dispositifs
de contrle acquises lors de missions de conseil lorsquils valuent les processus de
contrle de lorganisation.
MPA 2200-1 :
Planification de la
mission
MPA 2200-2 :
Utilisation dune
approche TopDown , fonde sur les
risques, pour identifier
les contrles valuer
dans le cadre dune
mission daudit interne
52
Dispositions
obligatoires
Normes de fonctionnement
ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu un niveau acceptable ;
la pertinence et l'ecacit des processus de gouvernement dentreprise, de management des risques et de contrle de l'activit, en rfrence un cadre ou modle
de contrle appropri ;
les opportunits d'amliorer de manire signicative les processus de gouvernement dentreprise, de management des risques et de contrle de l'activit.
2201.A1 Lorsqu'ils planient une mission pour des tiers extrieurs l'organisation,
les auditeurs internes doivent laborer avec eux un accord crit sur les objectifs et
le champ de la mission, les responsabilits et les attentes respectives, et prciser les
restrictions observer en matire de diusion des rsultats de la mission et d'accs
aux dossiers.
2201.C1 Les auditeurs internes doivent tablir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilits de
chacun et plus gnralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit tre formalis.
MPA 2210-1 :
Objectifs de la mission
MPA 2210.A1-1 :
Evaluation des risques
dans la planification
de la mission
53
Commentaire IFACI
Dans la pratique, le Conseil dlgue la direction gnrale la responsabilit de dfinir les critres adquats
dvaluation et den rendre compte.
Dans lesprit de la norme 2600, lorsque les critres dvaluation sont inadquats, il y a un risque de non
matrise des processus quil convient de discuter avec les managers concerns puis avec la direction gnrale
et enfin avec le Conseil, qui intervient en dernier ressort pour les carts significatifs.
2210.C1 Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrle dans la
limite convenue avec le client.
2210.C2 Les objectifs de la mission de conseil doivent tre en cohrence avec les
valeurs, la stratgie et les objectifs de l'organisation.
54
Dispositions
obligatoires
Normes de fonctionnement
MPA 2230-1 :
Les auditeurs internes doivent dterminer les ressources appro- Ressources aectes
la mission
pries et susantes pour atteindre les objectifs de la mission. Ils s'appuient sur une valuation de la nature et de la complexit de chaque mission, des
contraintes de temps et des ressources disponibles.
MPA 2240-1 :
Programme de travail
de la mission
MPA 2300-1 :
Utilisation
dinformations
caractre personnel
dans la conduite dune
mission
55
Commentaire IFACI
Pour dfinir la fiabilit dune information, l'interprtation met laccent sur son accessibilit. En eet, une information
dicilement accessible est une information qu'il va falloir reconstituer partir de calculs, d'algorithmes ou dautres
raisonnements reposant souvent sur des hypothses, d'o une grande dicult valuer une information de ce type sur
des critres comme lexactitude ou lexhaustivit. De plus, le rapport cot-avantage peut limiter de telles recherches.
Nanmoins, la facilit daccs nest pas un critre susant. Si une information est accessible, il restera prouver sa fiabilit
en sassurant quelle peut tre vrifie par dautres personnes et en validant lintgrit de la source dinformation.
2320 Analyse et valuation
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des analyses et valuations appropries.
MPA 2320-1 :
Procdures analytiques
MPA 2320-2 :
Lanalyse causale
MPA 2330-1 :
Documentation des
informations
MPA 2330.A1-1 :
Contrle des dossiers
daudit
MPA 2330.A1-2 :
Autorisation daccs
aux dossiers de la
mission
MPA 2330.A2-1 :
Conservation des
dossiers
56
Dispositions
obligatoires
Normes de fonctionnement
MPA 2340-1 :
Supervision de la
mission
Interprtation :
Ltendue de la supervision est fonction de la comptence et de lexprience des auditeurs internes,
ainsi que de la complexit de la mission. Le responsable de l'audit interne a lentire responsabilit
de la supervision des missions qui sont ralises par ou pour le compte du service daudit interne,
mais il peut dsigner dautres membres de lquipe daudit interne possdant lexprience et la comptence ncessaires pour raliser cette supervision. La preuve de la supervision doit tre documente
et conserve dans les papiers de travail.
MPA 2400-1 :
Aspects lgaux de la
communication des
rsultats
MPA 2410-1 :
Contenu de la
communication
57
Commentaire IFACI
LIIA a publi un guide pratique Formuler et exprimer une opinion daudit interne .
Le rfrentiel de contrle interne constitue un lment essentiel lmission pertinente dune opinion daudit. Lorganisation
devrait sappuyer sur des cadres de rfrence reconnus (COSO, AMF, etc.) pour tablir son rfrentiel de contrle interne. Il
recense notamment les activits de contrle prioritaires qui permettent de matriser les risques significatifs du domaine
audit. Lopinion de laudit interne portera notamment sur la conception et le fonctionnement de ces activits de contrle.
2410.A2 Les auditeurs internes sont encourags faire tat des forces releves,
lors de la communication des rsultats de la mission.
2410.A3 Lorsque les rsultats de la mission sont communiqus des destinataires
ne faisant pas partie de l'organisation, les documents communiqus doivent prciser les restrictions observer en matire de diusion et d'exploitation des rsultats.
2410.C1 La communication sur l'avancement et les rsultats d'une mission de
conseil variera dans sa forme et son contenu en fonction de la nature de la mission
et des besoins du client donneur d'ordre.
MPA 2420-1 :
Qualit de la
communication
Interprtation :
Une communication exacte ne contient pas derreur ou de dformation, et est dle aux faits sousjacents. Une communication objective est juste, impartiale, non biaise et rsulte dune valuation
quitable et mesure de tous les faits et circonstances pertinents. Une communication claire est facilement comprhensible et logique. Elle vite lutilisation dun langage excessivement technique et
fournit toute linformation signicative et pertinente. Une communication concise va droit lessentiel
et vite tout dtail superu, tout dveloppement non ncessaire, toute redondance ou verbiage. Une
communication constructive aide laudit et lorganisation, et conduit des amliorations lorsquelles
sont ncessaires. Une communication complte n'omet rien qui soit essentiel aux destinataires cibles.
Elle intgre toute linformation signicative et pertinente, ainsi que les observations permettant
dtayer les recommandations et conclusions. Une communication mise en temps utile est opportune et propos, elle permet au management de prendre les actions correctives appropries en fonction du caractre signicatif de la problmatique.
58
Dispositions
obligatoires
Normes de fonctionnement
2430 utilisation de la mention conduit conformment aux Normes internationales pour la pratique professionnelle de laudit interne
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont
conduites conformment aux Normes internationales pour la pratique professionnelle
de laudit interne seulement si les rsultats du programme dassurance et damlioration
qualit le dmontrent.
Commentaire IFACI
Mme si la mention de la conformit concerne une mission, les auditeurs internes devront au pralable sassurer de la
conformit de lensemble de lactivit daudit interne.
59
MPA 2440-2 :
Communication
Interprtation :
dinformations
Le responsable de l'audit interne a la responsabilit de la revue et de lap- sensibles dans ou en
probation du rapport dnitif avant quil ne soit mis, et dcide qui et de dehors de la ligne
hirarchique
quelle manire il sera dius.
Lorsque le responsable de laudit interne dlgue ces fonctions, il/elle en garde lentire responsabilit.
Commentaire IFACI
Le responsable de l'audit interne doit dfinir, a priori, des rgles homognes de diusion et les modalits
daccs aux rapports daudit.
Ces rgles prtablies pourront tenir compte de la complexit et de la sensibilit de la mission. Pour chaque
catgorie de mission des destinataires habituels pourront tre identifis de mme que les modalits de
gestion des diusions ou des demandes daccs exceptionnelles.
2440-A1 Le responsable de l'audit interne est charg de communiquer les rsultats dnitifs aux destinataires mme de garantir que ces rsultats recevront l'attention ncessaire.
2440-A2 Sauf indication contraire de la loi, de la rglemen- MPA 2440.A2-1 :
tation ou des statuts, le responsable de l'audit doit accomplir Diusion des rsultats
daudit en dehors de
les tches suivantes avant de diuser les rsultats des desti- lorganisation
nataires ne faisant pas partie de l'organisation :
valuer les risques potentiels pour l'organisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diusion en imposant des restrictions quant l'utilisation des
rsultats.
2440-C1 Le responsable de l'audit interne est charg de communiquer les rsultats dnitifs des missions de conseil son client donneur d'ordre.
2440-C2 Au cours des missions de conseil, il peut arriver que des problmes relatifs aux processus de gouvernement d'entreprise, de management des risques et
de contrle soient identis. Chaque fois que ces problmes sont signicatifs pour
l'organisation, ils doivent tre communiqus la direction gnrale et au Conseil.
60
Dispositions
obligatoires
Normes de fonctionnement
MPA 2500-1 :
Surveillance des
actions de progrs
61
2500-C1 L'audit interne doit surveiller la suite donne aux rsultats des missions
de conseil conformment l'accord pass avec le client donneur d'ordre.
62
Dispositions
obligatoires
glossaire
gloSSAIrE
63
64
Dispositions
obligatoires
glossaire
glossaire
Activits d'assurance
II s'agit d'un examen objectif d'lments probants, eectu en vue de fournir l'organisation une
valuation indpendante des processus de gouvernement d'entreprise, de management des
risques et de contrle. Par exemple, des audits nanciers, de performance, de conformit, de scurit des systmes et de due diligence.
Activits de conseil
Conseils et services y arents rendus au client donneur d'ordre, dont la nature et le champ sont
convenus au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et
d'amliorer les processus de gouvernement d'entreprise, de management des risques et de
contrle d'une organisation sans que l'auditeur interne n'assume aucune responsabilit de management. Quelques exemples : avis, conseil, assistance et formation.
Atteinte
Parmi les atteintes lindpendance du service daudit interne et l'objectivit individuelle peuvent
gurer le conit d'intrts personnel, les limitations du champ d'un audit, les restrictions d'accs
aux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limitations nancires.
65
Caractre significatif
Niveau dimportance relative dun vnement, dans un contexte donn et selon des facteurs dapprciation qualitatifs et quantitatifs tels que lampleur, la nature, leet, la pertinence et limpact de
cet vnement. Les auditeurs internes font preuve de jugement professionnel lorsquils apprcient
le caractre signicatif des vnements selon des objectifs pertinents.
Charte
La charte d'audit interne est un document ociel qui prcise la mission, les pouvoirs et les responsabilits de cette activit. La charte dnit la position de l'audit interne dans l'organisation; autorise
l'accs aux documents, aux personnes et aux biens, ncessaires la ralisation des missions ; dnit
le champ des activits d'audit interne. Lapprobation nale de la charte daudit interne relve de
la responsabilit du Conseil.
Code de Dontologie
Le Code de Dontologie de l'Institut comprend les principes applicables la profession et la
pratique de l'audit interne, ainsi que les rgles de conduite dcrivant le comportement attendu
des auditeurs internes. Le Code de Dontologie s'applique la fois aux personnes et aux organismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de
l'thique au sein de la profession d'audit interne.
Conflit d'intrts
Toute relation qui n'est pas ou ne semble pas tre dans l'intrt de l'organisation. Un conit d'intrts peut nuire la capacit d'une personne assumer de faon objective ses devoirs et responsabilits.
Conformit
L'adhsion aux rgles, plans, procdures, lois, rglements, contrats ou autres exigences.
66
Dispositions
obligatoires
glossaire
Conseil
Le niveau le plus lev des organes de gouvernance, responsable du pilotage, et/ou de la
surveillance des activits et de la gestion de l'organisation. Habituellement, le Conseil (par
exemple, un conseil dadministration, un conseil de surveillance ou un organe dlibrant)
comprend des administrateurs indpendants. Si une telle instance nexiste pas, le terme
Conseil , utilis dans les Normes, peut dsigner le dirigeant de lorganisation.
Le terme Conseil peut renvoyer au comit daudit auquel lorgane de gouvernance a dlgu certaines fonctions.
Contrle satisfaisant
C'est le cas lorsque le management s'est organis de manire apporter une assurance raisonnable que les risques que court l'organisation, ont t grs ecacement et que les buts et objectifs
de l'organisation seront atteints d'une manire ecace et conomique.
67
Devrait
Traduction de Should, utilise dans les normes lorsque le respect de la disposition est recommand sauf si, en faisant preuve de jugement professionnel, des adaptations sont justies par
les circonstances.
Doit
Traduction de must, utilise dans les Normes pour indiquer une exigence imprative.
Environnement de contrle
L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de)
contrle dans l'organisation. L'environnement de contrle constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du systme de contrle interne. L'environnement
de contrle englobe les lments suivants :
intgrit et valeurs thiques ;
philosophie et style de direction ;
structure organisationnelle ;
attribution des pouvoirs et responsabilits ;
politiques et pratiques relatives aux ressources humaines ;
comptence du personnel.
Fraude
Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la conance sans
quil y ait eu violence ou menace de violence. Les fraudes sont perptres par des personnes et
des organisations an d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage
personnel ou commercial.
68
Dispositions
obligatoires
glossaire
gouvernement d'entreprise
Le dispositif comprenant les processus et les structures mis en place par le Conseil an d'informer,
de diriger, de grer et de piloter les activits de l'organisation en vue de raliser ses objectifs.
Commentaire IFACI
Cette dfinition est dirente dautres approches communment admises. Par exemple, selon les principes de lOCDE, le
gouvernement dentreprise :
concerne lensemble des relations entre la direction dune entreprise, son conseil dadministration, ses actionnaires et
autres parties prenantes ;
fournit le cadre au sein duquel les objectifs de lentreprise sont fixs ;
dfinit les moyens de les atteindre et de surveiller les performances.
Ces principes proposent une vision plus large des dirents acteurs et parties prenantes concernes (direction gnrale,
conseil, actionnaires, rgulateurs, associations).
Par ailleurs, le rle confr au Conseil nest pas universel. Par exemple, en France, le Conseil na pas la responsabilit directe
de mettre en place les processus et les structures ; il a un rle de surveillance des dispositifs dont la mise en uvre est du
ressort de la direction gnrale.
Indpendance
Lindpendance cest la capacit de laudit interne assumer, de manire impartiale, ses responsabilits.
mission
Une mission, tche ou activit de rvision particulires telles qu'un audit interne, une revue dautovaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de
multiples tches ou activits menes pour atteindre un ensemble dtermin d'objectifs qui s'y
rapportent.
69
Norme
Document d'ordre professionnel promulgu par the International Internal Auditing Standards
Board (Comit interne l'IIA charg d'laborer les Normes) an de dnir les rgles applicables
un large ventail d'activits d'audit interne et utilisables pour l'valuation de ses performances.
objectifs de la mission
Enoncs gnraux labors par les auditeurs internes et dnissant ce qu'il est prvu de raliser
pendant la mission.
objectivit
Lobjectivit est une attitude impartiale qui permet aux auditeurs internes daccomplir leurs
missions de telle sorte quils soient certains de la qualit de leurs travaux, mens sans compromis.
Lobjectivit implique que les auditeurs internes ne subordonnent pas leur propre jugement
celui dautres personnes.
Opinion globale
Les chelles de notation, les conclusions et/ou toute autre description des rsultats dlivrs
par le responsable de laudit interne, un niveau global, et concernant les processus de
gouvernement dentreprise, de management des risques et/ou de contrle de lorganisation.
Une opinion globale est le jugement professionnel du responsable de laudit interne, fonde
sur les rsultats d'un certain nombre de missions individuelles et sur d'autres activits dans
un laps de temps prcis.
Prestataire externe
Une personne ou une entreprise, extrieure lorganisation, qui possde des connaissances, un
savoir-faire et une exprience spciques dans une discipline donne.
70
Dispositions
obligatoires
glossaire
Processus de contrle
Les rgles, procdures et activits (aussi bien manuelles quautomatises) faisant partie d'un
cadre de contrle interne, conues et mises en uvre pour sassurer que les risques sont contenus
dans les limites que lorganisation est dispose accepter.
risque
Possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le
risque se mesure en termes de consquences et de probabilit.
71
Valeur ajoute
Le service daudit interne apporte de la valeur ajoute lorganisation (et ses parties prenantes)
lorsquil fournit une assurance objective et pertinente et quil contribue lecience et lecacit
des processus de gouvernement dentreprise, de management des risques et de contrle.
72
moDAlItS PrAtIquES
DAPPlICAtIoN
73
74
MPA 1000
75
76
MPA 1000
MPA 1000-1
Charte daudit interne
Principale Norme de rfrence
1.
Lexistence dune charte daudit interne formalise est essentielle pour la gestion du service
daudit interne. La charte est un document ociel soumis pour avis et acceptation la direction gnrale, et approuve par le comit daudit ou le Conseil. Il prcise le rle du responsable daudit interne et facilite ainsi lvaluation priodique de la pertinence de sa mission,
de ses pouvoirs et de ses responsabilits. Son approbation est consigne dans les procsverbaux du Conseil. Il facilite en outre lvaluation priodique de la pertinence de la mission,
des pouvoirs et des responsabilits de laudit interne, prcisant ainsi le rle de laudit interne.
En cas dinterrogation, la charte est la rfrence crite ocielle de l'accord pass avec la direction gnrale et le Conseil sur le rle et les responsabilits du service daudit interne de lorganisation.
2.
77
78
MPA 1100
79
80
MPA 1110-1
Indpendance dans lorganisation
MPA 1100
1.
2.
Pour que le service daudit interne puisse tre indpendant, le responsable de l'audit interne
est fonctionnellement rattach au Conseil et dpend administrativement ou hirarchiquement du Directeur Gnral. Il est ncessaire que le responsable de laudit interne dpende
au moins dune personne de lorganisation ayant une autorit susante pour promouvoir
son indpendance, et pour lui garantir un large champ dintervention, une attention adquate
aux communications faites dans le cadre des missions, ainsi que des actions appropries par
rapport aux recommandations mises.
81
3.
4.
Commentaire IFACI
En ce qui concerne le rattachement du responsable de laudit interne, lIFACI et lIFA recommande, dans leur prise de
position :
que les relations troites et rgulire avec le comit daudit soient dfinies et
que laudit interne soit claiement rattach hirarchiquement la direction gnrale.
Dans le contexte franais, ce lien hirarchique est primordial. Le responsable de laudit interne pourra notamment sy rfrer
pour la mise en uvre du plan daudit et le rglement de conflits avec les audits. Outre les activits cits au 4 de la MPA,
la direction gnrale est directement concerne par les sujets abords dans le cadre du rattachement fonctionnel,
mentionns au 3.
De plus, lIFA prconise que le comit daudit soit impliqu en amont dans lexamen du plan daudit interne afin
dapprcier le niveau de couverture des risques majeurs par les activits daudit et de prendre connaissance des
domaines pas ou insusamment couverts, en vue de recommander dventuels complments de travaux ou de
ressources de laudit interne.
Il est galement essentiel que le comit daudit prenne connaissance de lvaluation des processus de gouvernement
dentreprise, de management des risques et de contrle interne fonde sur la synthse des rapports de laudit interne
et sassure du suivi adquat par la direction gnrale des recommandations formules par laudit interne.
Enfin, le comit daudit prend part la dsignation et lvaluation du directeur de laudit interne (cf. Comits
daudit : 100 Bonnes pratiques ).
82
MPA 1111-1
Relation avec le Conseil
MPA 1100
1.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour lapplication de cette Modalit
Pratique dApplication.
2.
83
MPA 1120-1
Objectivit individuelle
Principale Norme de rfrence
1.
Lobjectivit individuelle ncessite que les auditeurs internes ralisent leurs missions de telle
manire quils aient sincrement conance dans le rsultat de leur travail et dans le fait quaucune concession signicative nait t faite en matire de qualit. Les auditeurs internes ne
doivent pas se trouver placs dans des situations qui porteraient atteinte leur capacit
porter des jugements professionnels objectifs.
2.
Lobjectivit individuelle ncessite que le responsable de l'audit interne organise une aectation des auditeurs de manire prvenir les conits dintrt potentiels ou rels ainsi que
les partis pris. Il sinforme priodiquement auprs des auditeurs propos des conits dintrt
ou des partis pris et le cas chant, instaure une rotation rgulire des auditeurs internes au
sein de lquipe.
3.
La revue des rsultats de laudit avant leur diusion permet de fournir une assurance raisonnable que le travail a t ralis avec objectivit.
4.
Lobjectivit de lauditeur interne nest pas compromise lorsquil est amen recommander
la mise en place de normes de contrle pour les systmes dinformation ou examiner des
procdures avant leur mise en application. Par contre, son objectivit est prsume altre
sil conoit, met en place, rdige les procdures y relatives ou exploite de tels systmes.
84
5.
Lexcution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux daudit, ne compromet pas ncessairement leur indpendance dans la mesure o ils sont clairement mentionns dans le rapport daudit. Toutefois, le management et les auditeurs internes
doivent veiller attentivement ce que ces travaux naltrent pas leur objectivit.
Dans le cadre de lexcution ponctuelle de travaux qui ne sont pas des travaux daudit, les auditeurs internes doivent veiller
:
dlimiter formellement leur responsabilit ;
mentionner dans le rapport daudit en quoi cette excution naecte pas leur indpendance et leur objectivit ;
prendre en compte les travaux daudit futur sur ces thmes, processus ou fonctions.
85
MPA 1100
Commentaire IFACI
MPA 1130-1
Atteintes lindpendance ou lobjectivit
Principale Norme de rfrence
1.
Les auditeurs internes doivent signaler au responsable de laudit interne toute situation relle
ou potentielle, susceptible daltrer leur indpendance ou leur objectivit, ou le consulter
sils ont des questions relatives ce type de situation. Si le responsable de laudit interne
constate lexistence dune atteinte relle ou suppose, il raecte alors les auditeurs concerns.
2.
Une limitation du champ dintervention est une restriction impose laudit interne lempchant de raliser ses objectifs et son planning. Des limitations de ce type peuvent, entre
autres, restreindre :
le domaine dintervention dni dans la charte daudit interne ;
laccs de laudit interne aux dossiers, au personnel, et aux biens ncessaires la ralisation des missions ;
le plan daudit lorsqu'il a t approuv ;
la mise en uvre des procdures ncessaires la mission ;
les ressources humaines et le budget nancier qui ont t approuvs.
86
La question de la limitation des ressources de laudit interne est une vritable problmatique surtout en priode de crise
conomique. La rfrence explicite la limitation du budget du service daudit interne donne, au responsable de laudit
interne, la possibilit de mettre en vidence les enjeux dune telle limitation mme si elle est dicte par des facteurs
conomiques de court terme. La direction gnrale et le Conseil peuvent alors prendre leur dcision en connaissance de
cause (cf. Norme 2600 : Acceptation des risques par la direction gnrale).
3.
Il est ncessaire de communiquer au Conseil, de prfrence par crit, lexistence dune limitation du champ dintervention et ses rpercussions possible. Le responsable de l'audit interne
juge sil faut informer le Conseil des restrictions qui ont dj t communiques cette
instance et quelle a acceptes. Cette information peut savrer ncessaire surtout lorsquil y
a des changements, notamment au sein de lorganisation, du Conseil ou de la direction gnrale.
4.
Les auditeurs internes ne doivent pas accepter une rmunration, des cadeaux ou des invitations de la part dun salari, dun client, dun fournisseur ou dun partenaire qui pourrait
laisser supposer que lobjectivit de lauditeur interne a t altre. Cette supposition pourra
concerner des missions en cours ou des missions futures de lauditeur. Le statut des missions
ne saurait en aucun cas justier lacceptation de rmunrations, de cadeaux ou dinvitations.
Lacceptation darticles publicitaires (tels que stylos, calendriers ou chantillons) mis la disposition des salaris et du public et dune valeur minime ne devrait pas fausser les jugements
professionnels des auditeurs internes. Ces derniers doivent rendre compte sans dlai leur
suprieur hirarchique de toute ore de rmunrations ou de cadeaux importants.
Commentaire IFACI
La liste limitative dobjets indique dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cits peuvent
tre accepts sans aecter lobjectivit individuelle.
Il convient dtendre le risque datteinte lobjectivit tous les cas de conflit dintrt direct et indirect.
Ci-aprs, un extrait dun Code de Dontologie qui prcise que lauditeur interne ne sollicitera ni nacceptera et ne fera
ni accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau dune valeur excdant les
usages courants dans le Groupe, aucune somme dargent, []. En cas de doute sur les usages courants dans le Groupe,
il consultera sa hirarchie. Dans tous les cas, il informera sa hirarchie de toutes sollicitations ou ores davantages
particuliers dont il a fait lobjet, directement ou indirectement.
87
MPA 1100
Commentaire IFACI
MPA 1130.A1-1
Audit des oprations dont les auditeurs internes
ont t auparavant responsables
Principale Norme de rfrence
1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des oprations particulires dont
ils taient auparavant responsables. L'objectivit d'un auditeur interne est prsume altre
lorsqu'il ralise une mission d'assurance pour une activit dont il a eu la responsabilit au cours
de l'anne prcdente.
1.
88
1.
Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activits qui font
lobjet dvaluations priodiques de la part de laudit interne. Sils ont de telles responsabilits,
ils ne peuvent pas tre considrs comme des auditeurs internes.
2.
3.
Si la charte de laudit interne contient des restrictions ou des clauses limitatives concernant
lattribution aux auditeurs internes de fonctions autres que laudit, il convient de mentionner
ces restrictions et den discuter avec la direction. Si cette dernire insiste pour coner ces
fonctions un auditeur, une information et une discussion seront ncessaire avec le Conseil.
89
MPA 1100
MPA 1130.A2-1
Responsabilits exerces par laudit interne
au titre dautres fonctions
Ds lors que l'audit interne accepte des responsabilits oprationnelles et que ces domaines
sont intgrs dans le plan daudit, le responsable de laudit interne devra :
minimiser les risques lis au manque dobjectivit en ayant recours un prestataire
extrieur ou des auditeurs externes pour raliser les audits de ces secteurs ;
conrmer que les individus ayant des responsabilits oprationnelles dans des secteurs
dpendant du responsable de laudit interne, ne participent pas aux audits de ces
domaines ;
sassurer que les auditeurs, qui conduisent une mission dassurance dans des secteurs
rattachs au responsable de laudit interne, sont superviss par la direction gnrale et
le Conseil, qui ils communiquent les rsultats de leur valuation ;
indiquer les responsabilits oprationnelles exerces par lauditeur dans le cadre de la
fonction en cause, limportance de ces oprations pour lorganisation (en termes de
chire daaires, de dpenses ou en fonction de tout autre critre pertinent), ainsi que
le lien existant entre les personnes qui ont procd laudit de la fonction et lauditeur
concern.
5.
90
MPA 1200
91
92
MPA 1200-1
Comptence et conscience professionnelle
Principale Norme de rfrence
1.
2.
93
MPA 1200
MPA 1210-1
Comptence
Principale Norme de rfrence
1210 Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles. Lquipe daudit interne doit
collectivement possder ou acqurir les connaissances, le savoir-faire et les autres comptences
ncessaires l'exercice de ses responsabilits.
Interprtation :
Les connaissances, le savoir-faire et les autres comptences sont une expression gnrique utilise
pour dcrire la capacit professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer ecacement leurs responsabilits professionnelles. Les auditeurs internes sont encourags
dmontrer leurs comptences en obtenant des certications et qualications professionnelles
appropries telles que le CIA (Certied Internal Auditor) et tout autre diplme promu par lIIA ou
par dautres organisations professionnelles appropries.
1.
94
2.
Le responsable de l'audit interne dnit des critres appropris de formation gnrale et dexprience pour pourvoir les postes dauditeurs internes, en considrant la nature des travaux
et le niveau de responsabilit. Il obtient une assurance raisonnable sur les qualications et la
comptence des candidats.
Commentaire IFACI
Les responsables de l'audit interne doivent disposer la fois d'une bonne connaissance de l'organisation tous les niveaux
et/ou d'une solide exprience en audit interne.
3.
Il faut que l'audit interne possde collectivement les connaissances, le savoir-faire et les autres
comptences indispensables la pratique de la profession dans l'organisation. Une analyse
annuelle des connaissances, savoir-faire et autres comptences de laudit interne permet
didentier plus facilement les points amliorer grce des programmes de formation continue, des recrutements ou par la mise en uvre de ressources externes partages.
Commentaire IFACI
Les comptences et le savoir-faire du management oprationnel (chef de mission et/ou superviseur) conditionnent dans les
faits en grande partie la fois la qualit, la pertinence des missions et l'apprentissage des auditeurs internes.
Lvaluation du personnel dencadrement vise notamment sassurer quil est en mesure dapporter un support adquat
aux auditeurs internes, deectuer les arbitrages ncessaires au bon moment et de communiquer de manire approprie
avec les audits.
4.
La formation continue est essentielle pour sassurer que le personnel du service daudit
interne demeure comptent.
5.
Le responsable de laudit interne peut faire appel des experts extrieurs son service an
de soutenir ou de complter les domaines dans lesquels laudit interne ne dispose pas de
comptences susantes.
95
MPA 1200
MPA 1210.A1-1
Recours des prestataires externes
Principale Norme de rfrence
1210.A1 Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualies si les auditeurs internes ne possdent pas les connaissances, le savoir-faire et les autres
comptences ncessaires pour s'acquitter de tout ou partie de leur mission.
1.
Chaque auditeur interne nest pas ncessairement quali dans toutes les disciplines. Laudit
interne peut recourir des prestataires externes ou des ressources internes qualies dans
des disciplines telles que la comptabilit, laudit, lconomie, la nance, les statistiques, les
technologies de linformation, lingnierie, la scalit, le droit, lenvironnement et tout autre
domaine ncessaire pour pouvoir exercer ses responsabilits daudit interne.
Commentaire IFACI
Lvaluation des comptences individuelles des auditeurs internes permet didentifier les ventuelles insusances au
niveau de lquipe daudit interne. Ces lacunes collectives peuvent tre combles par des formations, des recrutements ou le
recours des prestataires externes.
2.
Un prestataire externe est une personne ou une entit indpendante de lorganisation qui
possde des connaissances, un savoir-faire et une exprience particuliers dans une discipline
donne. Les prestataires externes incluent notamment les actuaires, les experts-comptables,
les conseils en valuation, les personnes qui ont une expertise propos de certaines cultures
ou langues, les spcialistes de lenvironnement, les experts en enqutes sur la fraude, les
avocats, les ingnieurs, les gologues, les experts en scurit, les statisticiens, les spcialistes
des technologies de linformation, les auditeurs externes de lorganisation et les autres cabinets daudit. Ils peuvent tre mandats par le Conseil, la direction gnrale ou le responsable
de l'audit interne.
3.
Laudit interne peut faire appel des prestataires externes notamment dans les cas suivants :
ralisation des objectifs de la mission selon les chances prvues ;
missions daudit ncessitant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de linformation, les statistiques, la scalit ou les
langues trangres ;
valuation dactifs tels que terrains et immeubles, uvres dart, pierres prcieuses, investissements et instruments nanciers complexes ;
96
Lorsquil prvoit de recourir un prestataire externe et de sappuyer sur ses travaux, le responsable de l'audit interne devra valuer sa comptence, son indpendance et son objectivit
au vu des particularits de la mission accomplir. Il convient de procder galement cette
valuation si le prestataire externe est choisi par la direction gnrale ou par le Conseil, et si
le responsable de l'audit interne prvoit de sappuyer sur ses travaux. Lorsque le responsable
de l'audit interne ne choisit pas lui-mme le prestataire externe et si son valuation montre
quil ne devrait pas sappuyer sur les travaux de ce dernier, les rsultats de cette valuation
devront tre communiqus la direction gnrale ou au Conseil, selon le cas.
5.
Le responsable de l'audit interne doit sassurer que le prestataire externe possde les connaissances, le savoir-faire et les comptences ncessaires pour accomplir sa mission. Pour valuer
ces comptences, le responsable de l'audit interne tiendra compte des lments suivants :
diplme, agrment ou autre titre attestant de la comptence du prestataire externe
dans la discipline en question ;
adhsion du prestataire externe un organisme professionnel comptent et adhsion
au Code de Dontologie de cet organisme ;
rputation du prestataire externe. La prise en compte de cet lment peut impliquer
la consultation de tiers faisant habituellement appel aux travaux du prestataire ;
exprience du prestataire externe dans le type de travaux quon envisage de lui coner ;
niveau dtudes et formation du prestataire externe dans les disciplines lies la mission
en question ;
connaissances et exprience du prestataire externe dans le secteur dactivit de lorganisation.
Commentaire IFACI
Le responsable de laudit interne sassure que les comptences requises existent au sein de lquipe de prestations externes.
Cette valuation ne se limite pas lanalyse des qualifications du signataire du contrat de prestation, mais concerne aussi
les membres de lquipe qui ralisent ou qui supervisent la prestation concerne.
IFACI - dcembre 2012
97
MPA 1200
6.
Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire
externe, lorganisation et son service daudit interne, et sassurer que lindpendance et lobjectivit du prestataire externe seront garanties tout au long de la mission. Pour procder
cet examen, le responsable de l'audit interne sassure quaucun lien nancier, professionnel
ou personnel nempchera le prestataire externe de formuler un jugement et une opinion
objectifs et impartiaux lors de la ralisation de sa mission et de lmission de ses rapports.
7.
8.
9.
98
11. En cas de recours un prestataire externe, le responsable de l'audit interne peut, si ncessaire,
mentionner les services ainsi fournis dans les documents ou rapports mis au titre de la
mission. Le prestataire externe est inform et, le cas chant, son accord devrait tre obtenu
avant toute mention de ses services dans ces documents.
99
MPA 1200
10. Lorsquil value la revue des travaux dun prestataire externe, le responsable de l'audit interne
veille ce que ceux-ci soient raliss conformment aux Normes internationales pour la
pratique professionnelle de laudit interne (Normes). Cette valuation consiste notamment
sassurer que les informations obtenues sont susantes pour justier les conclusions formules et les solutions proposes et statuer sur les exceptions signicatives ou les autres points
inhabituels.
MPA 1220-1
Conscience professionnelle
Principale Norme de rfrence
1.
La conscience professionnelle porte sur la diligence et le savoir-faire que lon peut attendre
dun auditeur interne raisonnablement prudent et comptent. La conscience professionnelle
tient compte de la complexit de la mission ralise. En agissant avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes
intentionnelles, derreurs ou domissions, de manque decacit, de gaspillage et de conits
dintrts ainsi quaux situations et activits o des irrgularits ont le plus de chance de se
produire. Les auditeurs internes sont galement concerns par la dtection de contrles inefcaces et font des recommandations visant promouvoir le respect des procdures et
pratiques acceptables.
2.
100
MPA 1230-1
Formation Professionnelle Continue
Principale Norme de rfrence
MPA 1200
Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire et autres comptences
par une formation professionnelle continue.
1.
Les auditeurs internes ont la responsabilit de se former de manire continue, an de renforcer et de maintenir leurs comptences. Ils devront se tenir informs des progrs accomplis
et des dveloppements en cours dans le domaine des normes, procdures et techniques
daudit, telles quelles sont explicites dans le CRIPP (Cadre de rfrence international pour la
pratique professionnelle de laudit interne). La formation continue peut sacqurir par ladhsion, la participation et le volontariat des associations professionnelles telles que lIFACI ; en
assistant des confrences, des sminaires ; en participant aux actions internes de formation ; par lachvement de cycle dtudes suprieures et dauto-formation ainsi que par la
participation des programmes de recherche.
2.
Il est conseill aux auditeurs internes dobtenir une certication attestant de leur comptence,
telle que le titre dauditeur interne Certi (CIA, Certied Internal Auditor), dautres titres dlivrs par l'IIA ou lis laudit interne.
Commentaire IFACI
LIFACI recommande aux auditeurs internes dobtenir le Diplme Professionnel dAudit Interne (DPAI) qui sappuie sur les
comptences fondamentales (les bases de laudit interne, la mthodologie de conduite dune mission daudit, les outils et
techniques daudit, la communication orale, communication crite, systme dinformation, finance et comptabilit,) de
lauditeur interne et atteste de la capacit de ses titulaires conduire une mission daudit de manire autonome et
professionnelle, en sappuyant sur la dmarche prconise par les Normes.
3.
Il est conseill aux auditeurs internes de suivre une formation professionnelle continue (lie
aux activits de leur organisation et au secteur) pour entretenir leurs comptences sur les
processus de gouvernement dentreprise, de risque et de contrle existant dans leur organisation.
101
4.
Les auditeurs internes qui ralisent des travaux spcialiss daudit et de conseil sur des sujets
tels que la technologie de l'information, l'impt, lactuariat, ou la conception de systmes,
peuvent suivre une formation professionnelle continue spcialise qui leur permettra de raliser leurs missions daudit interne avec les comptences ncessaires.
5.
Les auditeurs internes certis ont la responsabilit de suivre une formation professionnelle
continue approprie de faon remplir les conditions requises par la certication qui leur a
t dlivre.
6.
Les auditeurs internes qui ne sont pas encore certis sont invits suivre un programme
de formation et/ou tudier individuellement en vue dobtenir la certication professionnelle.
102
MPA 1300
103
104
MPA 1300-1
Programme d'assurance et d'amlioration qualit
Principale Norme de rfrence
Interprtation :
Un programme d'assurance et d'amlioration qualit est conu de faon valuer :
la conformit de laudit interne avec la dnition de laudit interne et les Normes ;
le respect du Code de Dontologie par les auditeurs internes.
Ce programme permet galement de sassurer de lecacit et de lecience de lactivit daudit
interne et didentier toutes opportunits damlioration.
1.
2.
3.
105
MPA 1300
106
MPA 1310-1
Exigences du programme d'assurance
et d'amlioration qualit
Principale Norme de rfrence
Commentaire IFACI
La Certification IFACI est fonde sur les exigences suivantes :
un rfrentiel de certification, formellement valid par un comit indpendant ;
un comit de certification compos de directeurs oprationnels, de cadres de dpartements daudit interne et dexperts
en audit interne, assurant lquit et lhomognit des dcisions ;
un processus de certification norm et dclin en procdures ;
des auditeurs certificateurs expriments et forms ;
une apprciation de la qualit de lorganisation et du fonctionnement de laudit interne fonde sur chaque exigence
gnrale, et non sur une apprciation densemble du respect des Normes ;
un label reconnu, pouvant faire lobjet dune communication vers les parties prenantes de laudit interne.
1.
Un programme dassurance et damlioration qualit consiste en des valuations permanentes ou priodiques de lensemble des prestations daudit et de conseil eectues par laudit interne. Ces valuations permanentes ou priodiques reposent sur des processus
rigoureux et dtaills, une supervision continue et la vrication des prestations daudit et
de conseil, ainsi que des validations priodiques du respect de la dnition de laudit interne,
du Code de dontologie et des Normes. Ce suivi comporte une valuation et une analyse
continues dindicateurs de performances (ralisation du plan daudit interne, dure des
missions, recommandations acceptes et satisfaction des clients, par exemple). Si suite ces
valuations, il apparat que des amliorations sont apporter par laudit interne le responsable
de laudit interne les mettra en uvre dans le cadre du programme dassurance et damlioration qualit.
107
MPA 1300
Le programme d'assurance et d'amlioration qualit doit comporter des valuations tant internes
quexternes.
2.
Les valuations donnent une opinion sur la qualit des travaux daudit interne et aboutissent
des recommandations en vue de leur amlioration. Les programmes qualit comportent
notamment une valuation des points suivants :
respect de la dnition de laudit interne, du Code de Dontologie et des Normes, et
notamment mise en uvre, dans des dlais appropris, dactions correctrices visant
remdier toute non-conformit signicative ;
caractre adquat de la charte daudit interne, des objectifs, des rgles et des procdures de laudit interne ;
contribution aux processus de gouvernement dentreprise, de management des risques
et de contrle de lorganisation ;
respect des lois, rglementations, normes administratives ou sectorielles en vigueur ;
ecacit des processus damlioration continue et adoption des meilleures pratiques ;
contribution de laudit interne la cration de valeur et lamlioration du fonctionnement de lorganisation.
3.
Le programme dassurance et damlioration qualit inclut galement le suivi des recommandations relatives la modication approprie et opportune des ressources, des technologies, des processus et des procdures.
4.
Par souci de transparence, le responsable de l'audit interne communique les rsultats des
valuations externes et, si ncessaire, des valuations internes du programme qualit, aux
diverses parties prenantes de laudit interne, telles que la direction gnrale, le Conseil et les
auditeurs externes. Au moins une fois par an, le responsable de laudit interne rend compte
la direction gnrale et au Conseil de ltat davancement et des rsultats du programme
qualit.
108
MPA 1311-1
valuations internes
Principale Norme de rfrence
Interprtation :
La surveillance continue fait partie intgrante de la supervision quotidienne, de la revue et du suivi
de lactivit daudit interne. La surveillance continue est intgre dans les procdures et les pratiques
courantes de gestion du service daudit interne. Ce contrle utilise les processus, les outils et les informations ncessaires lvaluation du service daudit interne en termes de conformit la dnition
de laudit interne, au Code de Dontologie et aux Normes.
Les valuations priodiques sont conduites pour apprcier galement la conformit du service
daudit interne la dnition de laudit interne, au Code de Dontologie et aux Normes.
Une connaissance susante des pratiques daudit interne suppose au moins la comprhension
de lensemble des lments du cadre de rfrence international des pratiques professionnelles.
1.
Les processus et outils utiliss dans les valuations internes permanentes sont notamment
les suivants :
supervision des missions;
utilisation de listes de contrle et de procdures (par exemple dans un manuel daudit
et de procdures);
informations fournies, en retour, par les clients et les parties prenantes de laudit interne ;
revues de dossiers de mission eectues par des auditeurs qui nont pas particip aux
missions concernes ;
budgets par projet, systmes de suivi des temps passs, ralisation du plan daudit,
recouvrement des cots ;
analyse dautres indicateurs de performance (par ex. dure des missions et taux de
recommandations acceptes).
109
MPA 1300
2.
Il convient de conclure sur la qualit des prestations et den eectuer un suivi an de sassurer
que les amliorations appropries sont mises en uvre.
3.
Commentaire IFACI
IFACI Certification a labor un Rfrentiel Professionnel de lAudit Interne sappuyant sur les Normes quil rpartit en :
exigences de prestations ;
exigences de moyens ;
exigences de pilotage et de contrle.
Ce Rfrentiel, conu aux fins de certification dune direction daudit interne peut aussi tre utilis pour les valuations
internes. Il est disponible auprs de lIFACI.
4.
5.
Une valuation interne priodique, ralise peu de temps avant une valuation externe, peut
faciliter cette dernire et en rduire le cot. Mme si lvaluation priodique interne est eectue par des valuateurs externes qualis et indpendants, les rsultats de lvaluation ne
devraient pas prsumer les rsultats de la revue qualit externe venir. Le rapport peut contenir des suggestions et des recommandations damlioration des pratiques daudit. Si lvaluation externe prend la forme dune auto-valuation suivie dune validation indpendante,
lvaluation interne priodique peut tenir lieu dauto-valuation dans le cadre de ce processus.
6.
Il convient de conclure sur la qualit des prestations et prendre toute mesure approprie
pour, en tant que de besoin, mettre en uvre les amliorations et assurer la conformit aux
Normes.
110
7.
Le responsable de l'audit interne met en place un systme de diusion des rsultats des
valuations internes permettant de prserver la crdibilit du service et de garantir son objectivit. En rgle gnrale, les personnes charges des valuations continues et priodiques
rendent compte au responsable de l'audit interne au cours de leurs revues et lui adressent
directement leurs rsultats.
8.
Commentaire IFACI
MPA 1300
Le responsable de laudit interne apprciera lopportunit et adaptera la nature de la communication des rsultats pour
chaque partie prenante. La communication des rsultats des revues internes aux auditeurs externes peut permettre de
favoriser un climat de confiance propice la coopration entre audit interne et audit externe.
111
MPA 1312-1
valuations externes
Principale Norme de rfrence
1.
Les valuations externes couvrent lensemble des prestations dassurance et de conseil fournies par laudit interne et ne sont pas limites lvaluation de son programme dassurance
et damlioration qualit. Pour obtenir tout le bnce dune revue externe, ltendue des
travaux inclut le benchmarking, lidentication et le compte-rendu des meilleures pratiques
qui pourrait rendre laudit interne plus ecient. Cela peut tre obtenu soit par une revue
entirement externalise, soit par une autovaluation dtaille suivie dune validation indpendante. Ces deux approches sont ralises par un valuateur ou une quipe dvaluateur
112
2.
Lvaluation externe comprend une opinion sur lensemble des prestations dassurance et de
conseil dlivres par laudit interne (ou qui aurait pu tre fournies sur la base de la charte
daudit interne), notamment sur le respect de la dnition de laudit interne, du Code de
Dontologie et des Normes et, si ncessaire, des recommandations en vue dune amlioration. Hormis le respect de la dnition de laudit interne, du Code de Dontologie et des
Normes, le primtre de lvaluation est ajust la demande du responsable de laudit interne,
de la direction gnrale ou du Conseil. Ces valuations peuvent prsenter un grand intrt
pour le responsable de l'audit interne et les autres membres de lquipe, plus particulirement
lorsquil y a change sur le benchmark et les meilleures pratiques.
3.
Ds lachvement de la revue, un compte-rendu formel doit tre adress la direction gnrale et au Conseil.
4.
Il existe deux dmarches dvaluations externes. La premire est une valuation entirement
externalise, conduite par un valuateur ou une quipe qualis, indpendants, extrieurs
lorganisation. Cette approche implique une quipe extrieure de professionnels comptents
sous la direction d'un chef de projet expriment et professionnel. La seconde approche
implique le recours un valuateur ou une quipe externe qualis et indpendants pour
conduire une validation indpendante de l'auto-valuation interne et du rapport tabli par
le service daudit interne. Les valuateurs externes indpendants matrisent les meilleures
pratiques de laudit interne.
5.
Les personnes qui entreprennent lvaluation externe, ne doivent avoir aucun intrt dans
lorganisation dont le service daudit interne fait lobjet de lvaluation externe, ni aucune obligation envers cette dernire ou son personnel. Lors de la slection de lvaluateur ou de
lquipe dvaluateurs externe(s) quali(s) et lorsquil consulte le Conseil ce propos, le
responsable de laudit interne examine des points particuliers concernant leur indpendance.
Notamment :
Aucun cas de conit dintrt rel ou suppos avec des cabinets ralisant :
- laudit externe des tats nanciers ;
- des activits de conseil signicatives dans les domaines du gouvernement dentreprise, du management des risques, du reporting nancier, du contrle interne et dans
des domaines connexes ;
- une assistance au service daudit interne. Limportance et le volume de travail eectu
devront tre considrs lors de la slection.
Aucun cas de conit dintrt rel ou suppos avec danciens employs de lorganisation
qui feraient lvaluation. La dure pendant laquelle les personnes ont t indpendantes
de lorganisation devra tre prise en considration.
113
MPA 1300
qualis et indpendants. Nanmoins, dans les deux cas, le responsable de laudit interne
sassure que le plan dintervention spcie clairement les livrables de la revue externe.
Lintgrit implique que les personnes charges de lvaluation soient honntes et sincres,
dans les limites imposes par lobligation de condentialit. Les prestations et la conance
ne doivent pas tre subordonnes des intrts et gains personnels. Lobjectivit est un tat
desprit et une qualit qui renforcent la valeur dune valuation. Le concept dobjectivit
implique limpartialit, lhonntet intellectuelle et labsence de conit dintrt.
7.
114
8.
Le ou les valuateurs ont lexpertise technique requise et une exprience du secteur dactivit
concern. Des personnes comptentes dans dautres disciplines peuvent les assister. C'est
ainsi que des experts en matire de management des risques dentreprise, daudit des
systmes dinformation, dchantillonnages statistiques, de systmes de suivi des oprations
ou dauto-valuation du contrle interne peuvent participer certains aspects de lvaluation.
9.
10. Lvaluation externe consiste en un examen tendu portant notamment sur les paramtres
suivants :
respect de la dnition de laudit interne, du Code de Dontologie, des Normes, de la
charte daudit interne, des plans, des rgles, des procdures et des pratiques de laudit
interne, ainsi que de la lgislation et rglementation en vigueur ;
attentes du Conseil, de la direction gnrale et des directeurs oprationnels vis--vis
des prestations de laudit interne ;
intgration de laudit interne dans le dispositif de gouvernement dentreprise, y compris
au niveau des relations entre les principaux groupes impliqus dans ce dispositif ;
outils et techniques utiliss par laudit interne ;
ventail des connaissances, de lexprience et des comptences de l'quipe de laudit
interne, y compris en ce qui concerne lamlioration des processus ;
valeur ajoute apporte par laudit interne et contribution lamlioration des oprations de lorganisation.
11. Les rsultats prliminaires de lvaluation sont examins avec le responsable de l'audit interne
au cours du processus dvaluation et lissue de ce dernier. Les rsultats dnitifs sont
communiqus au responsable daudit interne ou au responsable qui a autoris lvaluation,
de prfrence en adressant directement un exemplaire aux membres de la direction gnrale
concerns et aux membres du Conseil.
115
MPA 1300
avoir une exprience rcente de trois ans au minimum de la pratique de laudit interne
un poste dencadrement.
Les responsables de lquipe dvaluateurs externes et les personnes charges de la validation
indpendante de lauto-valuation doivent possder des comptences et une exprience
plus pousses : par exemple, avoir t membre dune quipe dvaluateurs externes de la
qualit, avoir suivi avec succs la formation de lIIA sur lvaluation de la qualit ou une formation similaire, et avoir acquis une exprience en tant que responsable dun service daudit
interne ou une exprience comparable un poste dencadrement dans laudit interne.
116
MPA 1312-2
valuations externes :
auto-valuation avec validation indpendante
Principale Norme de rfrence
Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou
une quipe dvaluateurs qualis, indpendants et extrieurs l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ; et
des qualications de l'valuateur ou de l'quipe d'valuation externes ainsi que de leur
indpendance y compris au regard de tout conit d'intrt potentiel.
Interprtation :
Les valuations externes peuvent prendre la forme dune valuation entirement externalise
ou dune auto-valuation avec validation indpendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles
et de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.
1.
Une valuation externe priodique, ralise par un valuateur ou une quipe dvaluateurs
comptents et indpendants peut tre problmatique pour les services daudit interne de
taille modeste ou considre comme ntant pas vraiment approprie ou ncessaire dans
dautres organisations. Par exemple, le service daudit interne peut (a) appartenir un secteur
extrmement rgul, (b) faire par ailleurs lobjet dune supervision externe importante en
matire de gouvernance et de contrle interne, (c) avoir rcemment fait lobjet dvaluations
117
MPA 1300
Une auto-valuation avec validation (externe) indpendante comporte les lments suivants :
un processus dtaill et parfaitement document dauto-valuation, comparable au
processus dvaluation externe, du moins en ce qui concerne lvaluation du respect
de la dnition de laudit interne, du Code de Dontologie et des Normes ;
une validation sur site indpendante ralise par un valuateur quali ;
des modalits conomiques en termes de temps et de ressources, laccent tant mis,
par exemple, sur le respect des Normes.
les autres points, tels que lanalyse comparative, lexamen et les consultations relatifs
lemploi des meilleures pratiques, les entretiens avec la direction gnrale et les cadres
oprationnels peuvent faire lobjet dune attention rduite. Cependant, les informations
obtenues par ces points sont parmi les plus bnques lors dune valuation externe.
3.
Les conditions et critres dcrits dans la MPA 1312-1 sappliquent en ce qui concerne :
les considrations dordre gnral ;
les qualications de lvaluateur ou de lquipe dvaluateurs externes ;
lindpendance, lintgrit et lobjectivit, la comptence, lapprobation du choix de lintervenant par la direction gnrale et le Conseil, ltendue de la mission (sauf pour des
domaines comme les outils et techniques utiliss, les autres meilleures pratiques, lvolution de carrire et les activits valeur ajoute) ;
la communication des rsultats (y compris des actions correctrices et de leur mise en
uvre).
4.
Le processus dauto-valuation est mis en uvre et parfaitement document par une quipe
dirige par le responsable de laudit interne. Un projet de rapport similaire celui concernant
lvaluation externe est tabli avec lopinion du responsable du service daudit concernant le
respect des Normes.
5.
Lvaluateur ou lquipe dvaluateurs comptent(s) et indpendant(s) charg(s) de la validation procdent des tests sur lauto-valuation, de faon en valider les rsultats et formuler
une opinion sur le respect de la dnition de laudit interne, du Code de Dontologie et des
Normes. La validation indpendante suit le processus dcrit dans le Manuel dvaluation
qualit (Quality Assesment Manual) de lIIA ou un processus comparable dtaill.
118
6.
7.
8.
Dans le but dassurer la crdibilit et la transparence, le responsable de l'audit interne communique aux direntes parties prenantes de laudit interne, telles que la direction gnrale, le
Conseil et les auditeurs externes, les rsultats de lvaluation, y compris les actions correctrices
prvues sur les points signicatifs, puis des informations concernant leur mise en uvre.
119
MPA 1300
MPA 1312-3
Indpendance de lquipe dvaluation externe
dans le secteur priv
Principale Norme de rfrence
1.
Tous les membres de lquipe dvaluation externe doivent tre indpendants de lorganisation value et de son personnel daudit interne. En particulier, il ne doit pas exister de conit
dintrt rel ou suppos entre les membres de lquipe dvaluation et lorganisation et/ou
son personnel. Les lments devant tre pris en compte pour valuer lindpendance de
lquipe dvaluation comprennent ce qui suit :
120
2.
121
MPA 1300
MPA 1312-4
Indpendance de lquipe dvaluation externe
dans le secteur public
Principale Norme de rfrence
1.
Le terme secteur public , qui englobe tous les niveaux dintervention de ltat, comprend
les tablissements ou les entreprises ( lentit ) dtenus ou contrls par ltat. Dans le
secteur public, les services daudit interne des dirents niveaux dintervention de ltat
peuvent tre considrs comme indpendants pour la ralisation dune valuation externe.
122
2.
Les entits parapubliques englobent des entreprises qui sont dtenues ou contrles par
plusieurs tats, des institutions ou des organisations, telles que les Nations Unies ou la
Commission europenne. En raison de leur caractre multilatral, les organisations internationales devraient appliquer les lignes directrices destines au secteur priv.
Commentaire IFACI
3.
Tous les membres de lquipe dvaluation externe doivent tre indpendants de lentit
value et de son personnel daudit interne. En particulier, il ne doit pas exister de conit dintrt rel ou suppos entre les membres de lquipe dvaluation et lentit et/ou son personnel. Les lments devant tre pris en compte pour valuer lindpendance de lquipe
dvaluation comprennent ce qui suit :
Indpendant de lentit signie ne pas tre sous linuence de lentit dont le service
daudit interne est valu. Les conits dintrts rels, potentiels ou supposs doivent
tre pris en compte dans le cadre du processus de slection dun valuateur externe.
Un conit dintrts peut dcouler de relations passes, prsentes ou potentielles avec
lentit ou son service daudit interne. Les relations personnelles et/ou dordre commercial doivent tre prises en compte.
Dans le secteur public, le personnel rattach des services daudit interne distincts
dans des entits direntes mais correspondant un niveau dintervention donn de
ltat (administration nationale, rgionale, dpartementale, ou locale) peut tre considr comme indpendant pour la ralisation dune valuation externe.
Lorsquune ou plusieurs activits daudit interne sont ralises au mme niveau dintervention de ltat et sous lautorit du mme responsable de laudit interne, le personnel concern par ces activits nest pas considr comme indpendant pour la
ralisation dune valuation externe, mme sil est rattach des entits direntes.
Seuls des valuateurs indpendants de chacune de ces entits peuvent raliser une
valuation externe.
Des valuations externes rciproques peuvent tre eectues par des quipes provenant dau moins trois entits direntes de faon satisfaire lobjectif dindpendance.
Il convient de veiller ce que la question de lindpendance ne se pose pas et ce que
tous les membres de lquipe soient mme dexercer pleinement leurs fonctions sans
contrainte de condentialit, etc. La ralisation dvaluations externes rciproques entre
deux entits ne peut pas tre prise en considration en tant quvaluation externe indpendante.
123
MPA 1300
Les lignes directrices du secteur public sont gnralement plus appropries pour les organisations intergouvernementales
qui prolongent et se substituent laction publique tatique.
Nanmoins, la notion dorganisation lie, dveloppe dans le 1 de la MPA 1312-3 relative au secteur priv, devra tre prise
en considration pour apprcier lindpendance du personnel dune institution donne en fonction du niveau de
contrle/supervision de lorganisation dont le service daudit interne fait lobjet dune valuation externe.
4.
5.
124
MPA 1321-1
Utilisation de la mention conforme aux Normes
internationales pour la pratique professionnelle de
laudit interne
Principale Norme de rfrence
Interprtation :
Le service daudit interne est en conformit avec les Normes lorsquil respecte les exigences de la
Dnition de laudit interne, du Code de dontologie et des Normes.
Les rsultats du programme dassurance et damlioration qualit incluent les rsultats des valuations internes et des valuations externes. Tout service daudit interne disposera de rsultats dvaluations internes. Les services daudit interne qui ont plus de cinq ans danciennet disposeront
galement des rsultats de leurs valuations externes.
1.
La surveillance permanente ainsi que les valuations externe et interne de laudit interne ont
pour objet dvaluer et formuler une opinion sur la conformit de cette activit par rapport
la dnition de laudit interne, au Code de Dontologie et aux Normes. Ils incluent si ncessaire des recommandations en vue dune amlioration.
2.
Des valuations externes doivent tre ralises tous les cinq ans.
Commentaire IFACI
LIFACI considre quune priode de cinq ans est inadapte dans la plupart des cas pour la ralisation dvaluations externes.
En eet, laudit interne est une fonction cl du dispositif de contrle interne qui fait lobjet tous les ans dun rapport
approuv par le conseil dadministration. Dans ce rapport, rendu public, le Prsident du Conseil rend notamment compte
des procdures de contrle interne et de gestion des risques. En tant que partie prenante directement concerne par ces
processus, laudit interne se doit de justifier dun professionnalisme.
Par ailleurs, laudit interne est gnralement une fonction rotation de personnel leve.
Pour ces raisons, la Certification IFACI prend la forme dun audit de certification et daudits de suivi annuel, afin de rpondre
125
MPA 1300
Le responsable de laudit interne peut indiquer que lactivit daudit interne est conduite conformment aux Normes internationales pour la pratique professionnelle de l'audit interne seulement
si les rsultats du programme d'assurance et d'amlioration qualit lont dmontr.
3.
On peut utiliser la formule Conforme avec les Normes ou En conformit avec les Normes .
Lemploi dune de ces expressions exige quune valuation externe soit ralise au moins une
fois tous les cinq ans, et quelle soit accompagne dune surveillance permanente et dvaluations internes priodiques. Il faut galement que ces activits dbouchent sur la conclusion que laudit interne respecte la dnition de laudit interne, le Code de Dontologie et
les Normes. L'emploi de ces formules nest pas appropri tant quune valuation externe na
pas dmontr que laudit interne fonctionne en conformit avec la dnition de laudit
interne, le Code de Dontologie et les Normes.
4.
Le responsable de laudit interne indique la direction gnrale et au Conseil, les cas de nonconformit qui ont une incidence sur le champ dintervention ou le fonctionnement de laudit
interne, y compris lincapacit obtenir une valuation externe dans le dlai de cinq ans.
5.
Avant toute utilisation des formules ci-dessus par laudit interne, tout cas de non-conformit
mis en vidence par une valuation (interne ou externe) de la qualit, et de nature altrer
la capacit de ce service sacquitter de ses responsabilits :
doit tre rsolu de faon adquate ;
les actions correctrices sont documentes et noties lvaluateur (aux valuateurs)
concern(s), de faon obtenir son approbation quant au caractre adquat de la solution apporte la non-conformit ;
les actions correctrices ainsi que lapprobation du (des) valuateur(s) concern(s) sont
portes la connaissance de la direction gnrale et du Conseil.
126
MPA 2000
127
128
MPA 2010-1
La prise en compte des risques et des menaces
pour llaboration du plan daudit
Principale Norme de rfrence
2010 Planification
Interprtation :
Il incombe au responsable de laudit interne de dvelopper un plan daudit fond sur les risques.
Pour se faire, le responsable de laudit interne prend en compte le systme de management des
risques dni au sein de lorganisation, il tient notamment compte de lapptence pour le risque
dnie par le management pour les direntes activits ou branches de lorganisation. Si ce systme
de management des risques nexiste pas, le responsable de laudit interne doit se baser sur sa propre
analyse des risques aprs avoir pris en considration le point de vue de la direction gnrale et
du Conseil. Le responsable de laudit interne doit, le cas chant, rviser et ajuster le plan afin
de rpondre aux changements dans les activits, les risques, les oprations, les programmes,
les systmes et les contrles de lorganisation.
1.
En laborant le plan d'audit, la plupart des responsables de laudit interne choisissent d'abord
de dvelopper ou dactualiser lunivers d'audit. Lunivers daudit recense tous les audits
pouvant tre raliss. Le responsable de laudit interne peut recueillir la contribution de la
direction gnrale et du Conseil pour constituer lunivers daudit.
Commentaire IFACI
Pour mener bien cette mission, il est important que laudit interne ait une bonne comprhension du processus de
management des risques. Pour cela, il doit bien apprhender les rles respectifs de laudit interne, des risk managers, du
comit daudit et du comit des risques sils existent. Sil apparat que ceux-ci sont insusamment prcis ou non
coordonns, laudit interne doit en informer la direction gnrale et lui faire part de ses recommandations en vue
damliorer la gestion des risques de lorganisation. Nous renvoyons la MPA 2120-1 qui traite prcisment du rle de
lauditeur interne dans le processus de management de risque et en labsence dun tel processus.
2.
129
MPA 2000
Le responsable de l'audit interne doit tablir un plan daudit fonde sur les risques an de dnir
des priorits cohrentes avec les objectifs de l'organisation.
que comporte la ralisation des objectifs xs. Lunivers daudit prend gnralement en
compte les rsultats du processus de management des risques. En principe, le plan stratgique de lorganisation tient compte de lenvironnement dans lequel elle opre. Les facteurs
lis cet environnement inueront vraisemblablement lunivers daudit et lvaluation des
risques.
3.
Le responsable de laudit interne prpare le plan d'audit partir de lunivers d'audit, des contributions de la direction gnrale et du Conseil, dune valuation des risques et des menaces
pouvant aecter l'organisation. Les principaux objectifs daudit visent fournir une assurance
et des informations, notamment en ce qui concerne lvaluation de lecacit de la gestion
des risques par le management, la direction gnrale et au Conseil an de les aider atteindre les objectifs de l'organisation.
4.
Lunivers et la planication daudit sont actualiss an dintgrer les changements dorientation, dobjectifs et de priorit dcids par la direction gnrale. Il est conseill dexaminer lapproche daudit, au minimum une fois par an, an de ladapter aux stratgies et aux
orientations les plus rcentes de lorganisation. Il peut savrer ncessaire, dans certains cas,
de procder une mise jour plus rgulire (trimestrielle, par exemple) des plans daudit en
fonction des volutions intervenues dans les activits commerciales, le fonctionnement, les
programmes, les systmes et les contrles de lorganisation.
5.
Le plan des missions daudit est tabli, entre autres, sur la base dune valuation des principaux risques et menaces. Il convient de dnir des priorits de faon aecter les ressources
en fonction du caractre signicatif des risques. Le responsable de l'audit interne a, sa disposition, divers modles de risques pour laider dnir les zones daudit prioritaires. La plupart
de ces modles utilisent des facteurs de risque tels que limpact, la probabilit doccurrence,
la matrialit, la liquidit des actifs, la comptence du management, la qualit et le respect
des contrles internes, le niveau de changement ou de stabilit, la date et les rsultats de la
dernire mission daudit, la complexit, les relations avec le personnel et ladministration, etc.
Les mthodes et les techniques utilises dans le cadre des missions daudit, pour eectuer
des tests et valider lexposition aux risques, doivent tenir compte de la matrialit des risques
et de leur probabilit doccurrence.
Commentaire IFACI
Parmi les divers modles de risques existants, citons par exemple :
le management des risques de lentreprise COSO Report II, dont la traduction a t publie par lIFACI ;
les modles prsents dans les cahiers de la recherche Management des risques , publis par lIFACI ;
le cadre de rfrence de la gestion des risques du Ferma (Federation of European Risk Management Association) ;
les modles proposs dans les sminaires de lIFACI sur lvaluation et la matrise des risques et sur la cartographie des
risques.
Bien entendu, il appartient chaque service daudit interne de les analyser et de se les approprier.
130
MPA 2010-2
Prise en compte du management des risques
dans la planification de laudit interne
Principale Norme de rfrence
2010 Planification
Interprtation :
Il incombe au responsable de laudit interne de dvelopper un plan daudit fond sur les risques.
Pour se faire, le responsable de laudit interne prend en compte le systme de management des
risques dni au sein de lorganisation, il tient notamment compte de lapptence pour le risque
dnie par le management pour les direntes activits ou branches de lorganisation. Si ce systme
de management des risques nexiste pas, le responsable de laudit interne doit se baser sur sa propre
analyse des risques aprs avoir pris en considration le point de vue de la direction gnrale et
du Conseil. Le responsable de laudit interne doit, le cas chant, rviser et ajuster le plan afin
de rpondre aux changements dans les activits, les risques, les oprations, les programmes,
les systmes et les contrles de lorganisation.
1.
2.
Sil est ecace, le processus de management des risques peut faciliter lidentication des
contrles cls lis aux risques inhrents les plus importants. Le management des risques de
lentreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of
Sponsoring Organizations of the Treadway Commission (COSO) le dnit comme un processus mis en uvre par le Conseil dadministration, la direction gnrale, le management et
lensemble des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la
stratgie ainsi que dans toutes les activits de lorganisation. Il est conu pour identier les
vnements potentiels susceptibles daecter lorganisation et pour grer les risques dans
les limites de la tolrance au risque. Il vise fournir une assurance raisonnable quant lat-
131
MPA 2000
Le responsable de l'audit interne doit tablir un plan daudit fonde sur les risques an de dnir
des priorits cohrentes avec les objectifs de l'organisation.
teinte des objectifs de lorganisation . Lexcution des contrles est lune des mthodes utilise par le management pour grer les risques dans les limites de son apptence pour le
risque. Les auditeurs internes vrient les contrles cls et donnent une assurance sur le
management des risques signicatifs.
3.
Les Normes pour la pratique professionnelle de laudit interne (les Normes) labores par lIIA
dnissent le contrle comme toute mesure prise par le management, le Conseil et d'autres
parties an de grer les risques et d'accrotre la probabilit que les buts et objectifs xs seront
atteints. Les managers planient, organisent et dirigent la mise en uvre de mesures susantes pour donner une assurance raisonnable que les buts et objectifs seront atteints .
4.
5.
Les contrles cls sont les contrles ou les ensembles de contrles qui aident rduire le
risque un niveau acceptable. On peut les considrer comme des processus organisationnels
visant traiter les risques. Si le management des risques est ecace (et accompagn dune
documentation adquate), il est facile didentier les contrles cls en examinant lcart entre
risque inhrent et risque rsiduel dans tous les dispositifs sur lesquels lorganisation sappuie
pour rduire le niveau des risques importants. Si le risque inhrent na pas t identi, lauditeur interne lestime. Lorsquil identie les contrles cls (et dans lhypothse o il a conclu
la maturit et la abilit du management des risques), lauditeur interne examine :
chaque facteur de risque correspondant un cart signicatif entre le risque inhrent
et le risque rsiduel (surtout si le risque inhrent tait particulirement lev). Cette
analyse met en lumire les contrles importants pour lorganisation ;
les contrles qui servent rduire un grand nombre de risques.
6.
La planication de laudit interne doit sappuyer sur le processus de management des risques
de lorganisation, lorsque celui-ci a t dploy. Quand il planie une mission, lauditeur
interne prend en compte les risques importants lis lactivit et les moyens par lesquels le
management ramne le risque un niveau acceptable. Il recourt des techniques dvaluation des risques pour tablir le plan de la mission et pour dnir les priorits an dallouer en
consquence les ressources ddies la mission. Lvaluation des risques sert xer les prio-
132
7.
Les auditeurs internes ne sont pas toujours qualis pour examiner toutes les catgories de
risques et le processus de management des risques au sein de lorganisation (audits internes
portant sur lhygine et la scurit au travail, audits environnementaux ou instruments nanciers complexes, par exemple). Le responsable de laudit interne veille, par consquent, faire
appel aux auditeurs internes qui disposent de comptences spcialises, ou des prestataires
extrieurs.
8.
La conguration des processus et des systmes de management des risques varie dun pays
lautre et leur maturit dune organisation lautre. Dans les organisations o le service de
management des risques est centralis, celui-ci coordonne ses activits avec celles des managers, de faon surveiller en permanence le dispositif de contrle interne et ladapter en
fonction de lvolution de lapptence pour le risque. Les processus de management des
risques qui sont mis en uvre dans direntes parties du monde peuvent direr par leur
philosophie, leurs structures et leur terminologie. Cest pourquoi les auditeurs internes
valuent le processus propre lorganisation considre et dterminent quels lments
peuvent servir laborer le plan daudit interne ou le plan dune mission donne.
9.
Lorsque lauditeur interne tablit son plan, il doit prendre en compte un certain nombre dlments :
les risques inhrents Sont-ils identis et valus ?
les risques rsiduels Sont-ils identis et valus ?
les contrles dattnuation, les plans de secours et le pilotage des activits Sont-ils
associs des vnements et/ou des risques spciques ?
linventaire ou le registre des risques Est-il systmatique, aliment et prcis ?
la documentation Les risques et activits sont-ils documents ?
De plus, lauditeur interne coordonne ses activits avec celles des autres prestataires de
services dassurance et planie lutilisation ventuelle de leurs travaux.
[Voir la Modalit pratique dapplication 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrle et de management des risques.]
10. La charte daudit interne requiert que le service daudit interne se concentre sur les domaines
haut risque, quil sagisse des risques inhrents ou des risques rsiduels. Laudit interne doit
identier les domaines dans lesquels il existe un risque inhrent lev, des risques rsiduels
levs et les contrles cls pour lesquels lorganisation a le plus dassurance. Si laudit interne
repre des domaines prsentant un risque rsiduel inacceptable, il doit en aviser le manage IFACI - dcembre 2012
133
MPA 2000
rits parmi les entits pouvant tre audites et slectionner les domaines devant faire lobjet
dune revue. Les entits et les domaines qui prsentent la plus forte exposition aux risques
devront tre intgrs dans les plans de la mission.
ment, an que ce risque puisse tre gr. En appliquant un processus de planication stratgique, lauditeur interne sera mme didentier dirents types dactivits inclure dans
le plan daudit, tels que :
les activits de contrle/revues dassurance Lauditeur interne examine ladquation
et lecience des dispositifs de contrle et apporte lassurance que les contrles fonctionnent et que les risques sont grs ecacement ;
les demandes dinformation Le management de lorganisation estime le degr dincertitude inacceptable en ce qui concerne les contrles portant sur une activit ou un
domaine de risque identi, et lauditeur interne met en uvre des procdures destines mieux apprhender le risque rsiduel ;
les activits de conseil Lauditeur interne conseille le management de lorganisation
sur la conception des dispositifs de contrle destins ramener les risques existants
un niveau acceptable.
Les auditeurs internes cherchent galement identier les contrles superus, redondants,
excessifs ou complexes qui ne contribuent pas la rduction eciente du risque. Il arrive
que le contrle ait un cot suprieur ses bnces. Ce contrle pourra tre redni avec
davantage decience.
11. Lidentication des risques pertinents doit tre systmatique et bien documente. Il existe
direntes formes de documentation, qui vont dun tableur, dans les petites organisations,
au logiciel achet lextrieur, dans les organisations plus sophistiques. Lessentiel, cest que
le processus de management des risques soit intgralement document.
12. La documentation du management des risques, dans une organisation, peut tre eectue
dirents niveaux infrieurs et en dea du niveau stratgique. Pour les risques non stratgiques, nombre dorganisations ont constitu un inventaire des risques qui informe sur les
risques importants dans un domaine, ainsi que le niveau des risques inhrents et rsiduels
correspondants, sur les contrles cls et sur les mesures dattnuation. Il est ensuite possible
de recourir un rapprochement permettant dtablir des liens plus directs entre les catgories de risques et les niveaux dexposition dcrits dans les registres des risques et, le
cas chant, les lments dj inclus dans lunivers daudit.
13. Il arrive que certaines organisations identient plusieurs domaines dans lesquels le risque
inhrent est lev (ou plus lev). Bien que ces risques puissent justier lattention de laudit
interne, il nest pas toujours possible de tous les examiner. Si, daprs le registre des risques,
le risque inhrent est jug lev ou en augmentation dans un domaine particulier et si le
risque rsiduel reste, pour une large part, inchang et quaucune action nest prvue par le
management ou par laudit interne, le responsable de laudit interne en rend compte au
Conseil, en dtaillant lanalyse des risques et les raisons pour lesquelles certains contrles
nont pas t mis en place ou sont inecaces.
134
14. Une slection daudits types pour les units oprationnelles ou les branches dans lesquels le
niveau de risque est faible doit tre priodiquement incluse dans le plan daudit interne an
de viser la couverture exhaustive du primtre daudit et de conrmer que les risques nont
pas volu. Laudit interne dnit galement une mthode de hirarchisation des risques qui
nont pas encore fait lobjet dun audit interne.
15. Un plan daudit interne est habituellement ax sur :
les risques actuels inacceptables, qui ncessitent une action du management. Ils
concernent des domaines dans lesquels les contrles cls ou les mesures dattnuation
sont limits au minimum, et que la direction gnrale souhaite faire auditer sans dlai ;
les dispositifs de contrle sur lesquels lorganisation sappuie le plus ;
les domaines dans lesquels il existe un cart considrable entre risque inhrent et risque
rsiduel ;
les domaines dans lesquels le risque inhrent est trs lev.
MPA 2000
16. Lorsque lauditeur interne planie une mission donne, il identie et value les risques lis
au domaine examin.
135
MPA 2020-1
Communication et approbation
Principale Norme de rfrence
1.
2.
Le planning des travaux, les prvisions deectifs et le budget nancier approuvs, ainsi que
tous les changements importants survenus en cours dexercice, doivent contenir susamment dinformations pour permettre la direction gnrale et au Conseil de dterminer si
les objectifs et les plans de laudit interne correspondent ceux de lorganisation et du Conseil
et sont cohrents avec la charte daudit interne.
136
MPA 2030-1
Gestion des ressources
Principale Norme de rfrence
1.
2.
Les comptences, le potentiel, ainsi que les connaissances techniques de lquipe daudit
interne doivent tre appropries par rapport aux activits programmes. Le responsable de
laudit interne ralisera une valuation ou un recensement priodique des comptences
spciques requises pour accomplir les activits de laudit interne. Lvaluation des comptences est fonde sur les besoins identis lors de lvaluation des risques et dans le plan
daudit. Cette valuation porte sur les comptences techniques, linguistiques, de gestion, de
prvention et de dtection des fraudes, ainsi que les expertises en comptabilit et en audit.
3.
Il faut que les ressources de laudit interne soient susantes pour permettre laccomplissement de ses activits avec toute la justesse, la prcision et la ponctualit attendues par la
direction gnrale et le Conseil, comme prvu dans la charte daudit interne. Les lments
prendre en considration lors de la planication des ressources incluent l'univers d'audit, les
niveaux de risques appropris, le plan annuel d'audit, les attentes en matire de couverture,
et une estimation des activits imprvues.
137
MPA 2000
Interprtation :
On entend par ressources adquates, la combinaison de connaissances, savoir-faire et autres comptences ncessaires la ralisation du plan daudit. On entend par ressources susantes, la quantit
de ressources ncessaires la ralisation du plan daudit. Les ressources sont mises en uvre ecacement quand elles sont utilises de manire optimiser la ralisation du plan daudit.
Commentaire IFACI
Il convient de rappeler que le budget dun service daudit interne, ralis en collaboration avec la direction des ressources
humaines et la direction du contrle de gestion, se compose de trois lments :
un budget deectifs, avec un plan de recrutement (pluriannuel) et une prvision de mobilits externes ;
un budget financier, avec des crdits de formation, dtudes, dhonoraires, de sous-traitance, de moyens coordonns
avec les auditeurs externes, des frais de dplacement;
un budget logistique (outils informatiques, locaux, vhicules).
Ce budget doit permettre doptimiser la structure et lorganisation du service daudit interne en fonction de la couverture
daudit et des contraintes financires.
4.
Le responsable de laudit interne devra sassurer que les ressources sont ecacement
dployes. Les auditeurs comptents et qualis sont ainsi aects des missions spciques.
Cela implique galement le dveloppement dune dmarche danalyse des ressources, dune
structure adapte aux activits, ainsi quau prol des risques et la rpartition gographique
de lorganisation.
5.
Commentaire IFACI
Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines de
lorganisation. Un bon degr de libert du responsable de laudit interne lui permet de slectionner les collaborateurs les
mieux adapts tout en prenant en considration les exigences de lorganisation telles que les redploiements de
comptences, la grille de rmunrations
6.
138
MPA 2000
ressources. Il peut sagir de la comparaison des ressources avec le plan annuel daudit, de limpact dune absence temporaire de ressources ou dune vacance de poste, des formations et
apprentissages, de nouveaux besoins ou exigences spciques rsultant des changements
intervenus dans les activits commerciales, le fonctionnement, les programmes, les systmes
et les contrles de lorganisation.
139
MPA 2040-1
Rgles et procdures
Principale Norme de rfrence
1.
Le responsable de laudit interne tablit des rgles et des procdures. Des manuels administratifs et techniques peuvent ne pas tre ncessaires pour toutes les entits daudit interne.
Un petit service daudit interne peut tre dirig dune manire informelle. Son personnel peut
tre dirig et contrl au jour le jour par une supervision troite et des notes de service qui
dnissent les rgles et les procdures suivre. Par contre, dans un service daudit interne
important, il est essentiel de disposer de rgles et procdures plus formalises et compltes
pour guider les auditeurs dans la ralisation du plan annuel daudit.
Commentaire IFACI
Il est important davoir des protocoles ou procdures propres laudit interne qui sinscrivent dans le cadre de conventions
rgissant les rapports entre les socits dun mme groupe : par exemple, existence dun audit groupe et de services daudit
dcentraliss dans les filiales.
140
MPA 2050-1
Coordination
Principale Norme de rfrence
2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.
1.
Sur le plan oprationnel, la coordination audit interne/audit externe dans un certain nombre de socits cotes reste encore
du ressort du directeur financier. Il est souhaitable que le responsable de laudit interne, dans le cadre de ses responsabilits
et si son rattachement lui en donne la possibilit, prenne en charge ce processus.
Commentaire IFACI
Voici les recommandations du Comit de Ble dans son document publi en aot 2001 sur Laudit interne dans les
banques et les relations des autorits de tutelle avec les auditeurs :
Relations entre les auditeurs internes et les auditeurs externes
Principe n 16
Les autorits de tutelle doivent encourager les contacts entre les auditeurs internes et externes de faon rendre leur
collaboration aussi relle et ecace que possible.
64. Les auditeurs externes ont une influence notable sur la qualit des contrles internes, en raison de leurs activits
d'audit et notamment, de leurs entretiens avec la direction gnrale et le Conseil d'Administration ou le Comit d'Audit,
sil existe, ainsi que par leurs recommandations pour l'amlioration du contrle interne.
65. Il est en gnral admis que l'audit interne est utile pour dterminer la nature, le calendrier et l'tendue des
procdures d'audit externe. Cependant, lauditeur externe (le Commissaire aux comptes en France) est seul responsable
de son opinion sur les tats financiers. Lauditeur externe doit tre avis des travaux daudit interne, avoir accs aux
rapports pertinents et tre tenu inform de tout problme significatif qui a retenu l'attention de l'auditeur interne et
qui pourrait avoir une incidence sur son travail. De mme, lauditeur externe doit informer l'auditeur interne de tout
problme important qui pourrait le concerner.
141
MPA 2000
Commentaire IFACI
66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec
celui des auditeurs externes. La coordination entre les services d'audit ncessite des rencontres priodiques pour
s'entretenir de questions d'intrt commun, procder l'change des rapports d'audit et des notes de la direction et
convenir de techniques, mthodes et terminologies communes.
Commentaire IFACI
En France, le comit daudit peut assumer la surveillance de cette coordination, selon lIFA Les Comits dAudit : 100
bonnes pratiques : il appartient galement au comit daudit de veiller ce que laudit interne et laudit externe
coordonnent leurs eorts et que leur communication soit ecace. .
2.
Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance
sur des activits comprises dans le primtre de laudit interne. Dans ce cas, le responsable
de laudit interne prend les mesures ncessaires pour comprendre le travail ralis par les
auditeurs externes, notamment :
ltendue, la nature du travail et lchancier prvus par les auditeurs externes et sassurer
que le travail des auditeurs internes et externes rpond aux exigences de la Norme
2100 ;
lvaluation des risques et le seuil de matrialit utiliss par les auditeurs externes ;
les techniques, les mthodes et la terminologie employes par les auditeurs externes,
an de permettre au responsable de laudit interne de (1) coordonner le travail des auditeurs internes et externes, (2) valuer le travail des auditeurs externes pour sy appuyer,
(3) communiquer ecacement avec les auditeurs externes.
laccs aux programmes et aux documents de travail des auditeurs externes pour sassurer que leur travail peut tre utilis pour atteindre les objectifs de laudit interne. Les
auditeurs internes respectent la condentialit de ces programmes et documents de
travail.
Commentaire IFACI
Il est donc souhaitable que le responsable de laudit interne assiste aux runions darbitrage du planning des commissaires
aux comptes et aux runions de restitution des rsultats.
142
3.
Lauditeur externe peut se rfrer aux travaux de laudit interne. Dans ce cas, il convient que
le responsable de laudit interne fournisse susamment dinformations pour permettre lauditeur externe de comprendre les techniques, mthodes et terminologie employes par laudit interne et faciliter la rfrence ses travaux. Les auditeurs externes ont accs aux
programmes et aux documents de travail des auditeurs internes pour sassurer que leur travail
peut tre utilis pour atteindre les objectifs de laudit externe.
La Compagnie Nationale des Commissaires aux Comptes prconise galement cette coordination avec laudit interne. Selon
la norme dexercice professionnel 610 le commissaire peut utiliser des travaux raliss par laudit interne aprs avoir
apprci des lments comme :
la place quoccupe laudit interne dans lorganisation de lentit. Le commissaire aux comptes examine les rgles et les
procdures mises en place dans lentit pour assurer lobjectivit des auditeurs internes dans la ralisation de leurs
travaux et lmission de leurs conclusions ;
la nature et ltendue des travaux confis laudit interne ;
les qualifications professionnelles des auditeurs internes et leur exprience acquise dans ces fonctions ;
lorganisation de laudit interne en termes de planification, mise en uvre et supervision des travaux ;
la documentation existante, y compris les programmes de travail et autres procdures crites ;
la prise en compte par la direction des recommandations formules par laudit interne et si elle met en uvre des
actions pour rpondre ces recommandations.
Commentaire IFACI
Le fait quun service daudit interne dispose dauditeur interne CIA et/ou DPAI et soit certifi, est un commencement de
preuve trs fort de professionnalisme. Ce sont des pralables qui permettent ensuite aux commissaires aux comptes de se
rfrer aux travaux raliss par laudit interne.
4.
5.
Les missions planies des auditeurs internes et externes devront tre examines pour sassurer que la couverture de laudit est coordonne et que la duplication des travaux est minimise lorsque cela est possible. Un nombre susant de rencontres sont programmes
pendant le processus daudit pour assurer la coordination des travaux, lecacit et l'achvement dans un dlai raisonnable des missions, et dterminer si les observations et recommandations issues des travaux dj raliss ncessitent de modier le programme
dintervention.
143
MPA 2000
Commentaire IFACI
6.
Les rapports dnitifs de l'audit interne, les commentaires du management propos de ces
rapports, et les analyses complmentaires qui en dcoulent sont mis disposition des auditeurs externes. Ces rapports aident les auditeurs externes dterminer et ajuster ltendue
et la dure de leur travail. De plus, les auditeurs internes ont besoin daccder aux supports
de prsentation des auditeurs externes et aux documents adresss la direction. Les points
abords dans ces documents sont pris en considration par le responsable de laudit interne
et utiliss comme une donne permettant didentier des domaines sur lesquels il convient
de mettre laccent dans les travaux futurs de laudit interne. Une fois la lettre de recommandation tudie et la dcision dengager des mesures correctives prise par les personnes appropries au niveau de la direction gnrale et du Conseil, le responsable de laudit interne
sassure de lexistence dun suivi appropri et de la mise en oeuvre des actions correctives.
7.
Commentaire IFACI
Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu :
de larticle 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : () les commissaires
aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et
renseignements dont ils ont pu avoir connaissance raison de leurs fonctions ;
des normes dexercice professionnel ;
du Code de dontologie de la profession de commissaire aux comptes.
Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialit de certaines informations
auxquelles ont accs les auditeurs internes sont susceptibles de constituer des limites cette coordination.
144
MPA 2050-2
Cartographie des services donnant une assurance
sur les dispositifs de contrle et de management
des risques
Principale Norme de rfrence
2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.
LIFACI a publi en octobre 2008 une Prise de Position sur lurbanisme du contrle interne (www.ifaci.com). Lurbanisme du
contrle interne tel quil se pratique en France se caractrise notamment par :
des activits de contrle clairement identifies dans une charte de contrle interne ;
un rle de support au contrle interne exerc de plus en plus par les services fonctionnels ;
le rle accru des animateurs du contrle interne des entits ;
une fonction daudit interne charge dvaluer lensemble des systmes de contrle interne et qui sait se doter dexperts
pour aborder les activits de contrle les plus techniques.
LIFACI recommande, entre autres propositions :
que les administrateurs membres du comit daudit ou tout autre comit quivalent disposent du temps ncessaire
pour se faire dcrire en dtail le dispositif de contrle interne et de matrise des risques, faire les observations qui
simposent et en eectuer une surveillance attentive et rgulire ; []
que la direction gnrale adopte un discours et une attitude dnus dambigut sur limportance quelle accorde au
dispositif du contrle interne et sur sa volont dexiger une attitude semblable de la part de tout le personnel ; []
que les rles respectifs des dirents acteurs soient clairement exposs et connus de tous ; []
que les entits oprationnelles et fonctionnelles dsignent un coordinateur ou animateur de contrle interne, ddi ou
non, assist dune quipe ou non en fonction de leur taille, et que cet agent adopte un mode de fonctionnement en
rseau pour procder tous changes dinformation ou dexpriences utiles ;
que un ou plusieurs comits de coordination soient crs et anims aux niveaux pertinents chaque organisation,
incluant non seulement les responsables oprationnels et fonctionnels mais galement les responsables des activits
de contrle permanent ou priodique ;
quautant que de besoin, et au moins une fois par an, le directeur de laudit interne prsente de manire formelle, au
145
MPA 2000
Commentaire IFACI
comit excutif, ses observations sur le fonctionnement du contrle interne et fasse toute prconisation pour permettre
ce dernier de prendre les dcisions aptes optimiser son ecacit et assurer ainsi une bonne matrise des
oprations ;
quune prsentation similaire soit faite au comit daudit afin quil soit notamment tenu inform des principaux
rsultats des contrles exercs et des dcisions prises pour renforcer les scurits ;
que laudit interne conseille la direction gnrale sur lurbanisation du contrle interne, anime et coordonne son
dploiement et son amlioration permanente ; quen revanche il ne soit pas partie prenante de la dfinition, de la mise
en place et du fonctionnement des dispositifs oprationnels de contrle quil sera appel auditer.
Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrle
interne ecient, est disponible sur le site internet de lIFACI (www.ifaci.com).
1.
Lune des principales responsabilits du Conseil consiste sassurer que les processus fonctionnent dans le respect des instructions quil a mises pour la ralisation des objectifs pralablement dnis. Il est ncessaire de dterminer si les processus de management des risques
sont ecaces et si les principaux risques ou les risques critiques pour lentreprise sont ramens
un niveau acceptable.
2.
Lattention croissante porte sur les rles et les responsabilits de la direction gnrale et du
Conseil pousse de nombreuses organisations mettre davantage laccent sur les activits
dassurance. Le glossaire des Normes dnit lassurance comme un examen objectif dlments probants, eectu en vue de fournir lorganisation une valuation indpendante des
processus de gouvernement dentreprise, de management des risques et de contrle . Le
Conseil peut sappuyer sur de multiples sources pour obtenir une assurance raisonnable. Lassurance donne par le management est fondamentale et doit tre complte par une assurance objective provenant de laudit interne et de tiers. Les risk managers, les auditeurs
internes et le personnel charg de la conformit se demandent : qui fait quoi et pourquoi ? .
Le Conseil, en particulier, commence se demander qui donne une assurance, quelle est la
dlimitation des fonctions et sil y a des chevauchements.
3.
On distingue globalement trois types de prestataires de services dassurance. Ils se direncient par les parties prenantes auxquelles ils sadressent, par leur degr dindpendance par
rapport aux activits pour lesquelles ils apportent une assurance et par la solidit de cette
assurance :
prestataires rendant compte au management et/ou qui en font partie (assurance
donne par le management), notamment ceux qui eectuent les auto-valuations des
contrles, les auditeurs qualit, les auditeurs environnementaux et les autres membres
du personnel dassurance dsigns par le management ;
prestataires rendant compte au Conseil, y compris laudit interne ;
146
4.
5.
6.
La responsabilit des activits dassurance tant traditionnellement rpartie entre le management, laudit interne, le risk management et les responsables de la conformit, une coordination est essentielle an de maximiser lecience et lecacit de lutilisation des
ressources. De nombreuses organisations ont mis en place des fonctions classiques (et spares) daudit interne, de risk management et de conformit. On trouve souvent plusieurs entits distinctes qui ralisent des activits de management des risques, de conformit ou
dassurance et qui oprent indpendamment les unes des autres. Si la coordination et la
communication ne sont pas ecaces, des doubles emplois peuvent se produire ou les principaux risques sont susceptibles dtre ngligs ou mal valus.
7.
Si nombre dorganisations exercent un pilotage de laudit interne, du risque et de la conformit, toutes nont pas une approche holistique de ces activits. La cartographie des prestataires de service dassurance consiste mettre ltendue des travaux dassurance en regard
147
MPA 2000
des principaux risques qui existent dans une organisation. Grce ce processus, une organisation peut identier toute lacune dans le management des risques et y remdier, et les
parties prenantes peuvent raisonnablement penser que les risques sont grs et signals, et
que les obligations rglementaires et lgales sont respectes. Les organisations tireront prot
dune approche rationnalise, par laquelle le management dispose dinformations sur les
risques auxquels il est confront, et sur la faon dont ces risques sont traits. La cartographie
des prestataires de service dassurance est tablie au niveau de toute lorganisation, ce qui
permet de comprendre o se situent les fonctions et les responsabilits en termes de risque
et dassurance. Il sagit de mettre en place un processus dtaill relatif au risque et sa gestion,
sans doubles emplois ni lacunes potentielles.
8.
Bien souvent, lorganisation a dni les catgories de risques majeurs qui constituent son
cadre de rfrence de management des risques. Dans ce cas, la cartographie des prestataires
de service dassurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple,
comporter les informations suivantes :
catgorie de risque majeur ;
manager responsable de ce risque (propritaire du risque) ;
niveau du risque inhrent ;
niveau du risque rsiduel ;
travaux daudit externe ;
travaux daudit interne ;
travaux des autres prestataires de services dassurance.
Par exemple, le responsable de laudit interne pourra prciser ltendue des travaux rcents
au niveau du volet Travaux daudit interne . Il est frquent que chaque risque majeur soit
aect un propritaire ou une personne ayant pour tche de coordonner les activits
dassurance pour ce risque. Cest cette personne qui fournira les lments pour le volet
Travaux des autres prestataires de services dassurance .
Dans dautres cas, la coordination est eectue par laudit interne, qui conoit et tablit pour
lorganisation la cartographie des services donnant une assurance.
Chaque unit importante au sein dune organisation peut disposer de sa propre cartographie
des prestataires dassurance.
9.
Ds lors que cette cartographie a t ralise, il est possible didentier les risques majeurs
qui ne sont pas correctement couverts par les services dassurance ou les domaines dans
lesquels ces services sont dlivrs en double. La direction gnrale et le Conseil doivent alors
rchir aux changements apporter ltendue des travaux dassurance relatifs ces risques.
De son ct, lors de llaboration de son plan, laudit interne doit prendre en compte les
domaines ayant une couverture inadquate.
148
13. Dans les cas o lorganisation nattend pas de lui une opinion globale, le responsable de laudit
interne peut coordonner les activits des prestataires de service dassurance, an quil ny ait
pas de lacunes dans ces activits ou que les ventuelles lacunes soient connues et acceptes.
Le responsable de laudit interne signale toute absence de contribution/participation/supervision/dassurance lgard des travaux des autres prestataires de service dassurance. Sil
estime que ltendue des activits dassurance est inadquate ou inecace, il doit en aviser
la direction gnrale et le Conseil.
14. Conformment la Norme 2050, le responsable de laudit interne doit coordonner les activits avec les autres prestataires dassurance ; lutilisation dune cartographie des services
dassurance contribue la ralisation de cet objectif. Ces cartographies se rvlent, de plus
en plus, comme un moyen ecace de rendre compte de cette coordination.
149
MPA 2000
12. Dans les organisations o le responsable de laudit interne est tenu de formuler une opinion
globale, il lui faut bien comprendre la nature, le primtre et ltendue de la cartographie
intgre des services dassurance, an de tenir compte des travaux des autres prestataires de
service dassurance (et de les utiliser, le cas chant) avant de prsenter un avis densemble
sur les processus de gouvernement dentreprise, de management des risques et de contrle
de lorganisation. Le guide pratique de lIIA intitul Formuler et exprimer une opinion daudit
interne contient des recommandations supplmentaires ce sujet.
MPA 2050-3
Sappuyer sur les travaux dautres prestataires
de services dassurance
Principale Norme de rfrence
2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
Dans cette MPA, le rle dvolu lauditeur interne relve du responsable de laudit interne .
1.
2.
Diverses raisons peuvent conduire sappuyer sur les travaux dautres prestataires dassurance.
Il peut sagir, notamment, de traiter les domaines qui sortent du champ de comptence du
service daudit interne, de bncier dun transfert de connaissances ou dtendre de faon
eciente la couverture des risques au-del du plan daudit interne.
3.
La charte daudit interne et/ou la lettre de mission devraient prciser que laudit interne a
accs aux travaux des autres prestataires internes et externes dassurance.
4.
Lorsque lauditeur interne fait appel des prestataires dassurance, il devrait dtailler dans un
contrat ou un accord crit ses attentes. Il convient au minimum de prciser :
la nature et la proprit des livrables ;
les mthodes et techniques ;
150
5.
6.
7.
8.
Lauditeur interne examine les pratiques du prestataire dassurance an dobtenir une assurance raisonnable que les constats de ce dernier reposent sur des informations susantes,
ables, pertinentes et utiles, comme lexige la Norme 2310 : Identication des informations.
Le responsable de laudit interne doit respecter la Norme 2310, indpendamment du niveau
dutilisation des travaux dautres prestataires dassurance.
9.
10. Le niveau de conance accord un autre prestataire dassurance dpendra des facteurs
mentionns ci-dessus : indpendance, objectivit, comptences, pratiques, pertinence des
travaux daudit et caractre susant des preuves daudit lappui du niveau dassurance
apport. Plus le risque ou limportance de lactivit examine par un autre prestataire dassurance augmente, plus lauditeur interne devrait rassembler des informations sur ces facteurs.
Il peut alors avoir besoin de constituer des preuves daudit supplmentaires pour complter
IFACI - dcembre 2012
151
MPA 2000
les travaux eectus. Laudit interne peut tester les rsultats des autres prestataires dassurance
an de renforcer le niveau de conance accord ces rsultats.
11. Lauditeur interne devrait intgrer les rsultats du prestataire de services dassurance dans le
rapport global daudit que lauditeur interne doit communiquer au Conseil et aux autres principales parties prenantes. Les problmes signicatifs soulevs par les autres prestataires dassurance peuvent tre intgrs in extenso ou de manire rsume dans les rapports daudit
interne. Lorsque ses rapports sappuient sur les informations donnes par dautres prestataires
dassurance, lauditeur interne le prcise.
12. Le suivi des actions de progrs est un processus par lequel les auditeurs internes valuent
ladquation, lecacit et la ralisation, en temps opportun, des mesures prises par le management pour faire suite aux observations et aux recommandations, y compris celles formules par les autres prestataires dassurance. Lors de lexamen des mesures prises pour faire
suite aux recommandations, lauditeur interne devra dterminer si le management les a mis
en uvre ou sil a accept de prendre le risque de ne pas les suivre.
13. Les constats signicatifs des autres prestataires dassurance devront tre pris en compte dans
les missions et les communications de laudit interne. En outre, les rsultats des travaux des
autres prestataires peuvent avoir une incidence sur lvaluation des risques eectue par laudit interne et, le cas chant, modier lapprciation du risque et la nature des travaux daudit
ncessaires en rponse ce risque.
14. Pour valuer lecacit des processus de management des risques et contribuer leur
amlioration (Norme 2120 : Management des risques), laudit interne peut examiner les
processus des prestataires internes dassurance, notamment au niveau de la conformit, de
la scurit de linformation, de la qualit, de lhygine et de la scurit au travail, ou encore
au niveau de la surveillance permanente des activits exerce par le management. Il convient
que laudit interne couvre les domaines risque, mais lorsquune assurance est fournie par
un autre service, laudit interne peut se limiter vrier les rsultats de ce processus au lieu
de refaire le travail dj eectu.
15. Concernant les risques signicatifs, les valuations des autres prestataires dassurance doivent
tre communiques aux services concerns, pour tre prises en compte dans le management
des risques de lorganisation et dans la cartographie des services donnant une assurance sur
les dispositifs de contrle interne et de management des risques (cf. MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrle et de management
des risques).
152
MPA 2060-1
Rapports la direction gnrale et au Conseil
Principale Norme de rfrence
Interprtation :
La frquence et le contenu de ces rapports sont dtermins lors de discussions avec la direction
gnrale et le Conseil et dpendent de limportance des informations communiquer et de lurgence des actions correctives devant tre entreprises par la direction gnrale et le Conseil.
1.
Les rapports ont pour nalit dapporter une assurance la direction gnrale et au Conseil
en ce qui concerne les processus de gouvernement dentreprise (Norme 2110), de management des risques (Norme 2120) et de contrle (Norme 2130). La Norme 1111 indique : Le
responsable de laudit interne doit pouvoir communiquer et dialoguer directement avec le Conseil .
2.
Le responsable de laudit interne devra saccorder avec le Conseil sur la frquence et la nature
des rapports concernant lapplication de la charte daudit interne (missions, pouvoirs et
responsabilits, notamment) et le degr de ralisation du plan daudit. Les rapports portant
sur le degr de ralisation du plan daudit devraient se rfrer la dernire version du plan
approuv, an dinformer la direction gnrale et le Conseil sur :
les carts signicatifs par rapport au plan daudit, aux prvisions de dotation en personnel et aux budgets nanciers approuvs ;
les raisons de ces carts ; et
les mesures prises ou prendre.
La Norme 1320 indique : Le responsable de laudit interne doit communiquer les rsultats
du programme dassurance et damlioration qualit la direction gnrale ainsi quau
Conseil .
153
MPA 2000
3.
Lexposition aux risques signicatifs et les problmatiques de contrle interne sont les situations qui, selon le jugement du responsable de laudit interne, pourraient aecter de faon
dfavorable lorganisation et sa capacit atteindre ses objectifs (stratgiques, relatifs linformation nancire, oprationnels et de conformit). Des enjeux importants peuvent induire
une exposition inacceptable des risques internes et externes, notamment les situations
lies des faiblesses de contrle, une fraude, des irrgularits, des actes illgaux, des
erreurs, linecience, au gaspillage, linecacit, des conits dintrts ou la viabilit
nancire.
4.
Cest la direction gnrale et au Conseil quil revient de dcider des mesures appropries
prendre face des problmes importants. Ils peuvent dcider, pour des raisons de cot ou
pour dautres raisons, de prendre le risque de ne pas remdier la situation dont il leur a t
rendu compte. La direction gnrale devrait informer le Conseil des dcisions portant sur
tous les enjeux importants soulevs par laudit interne.
5.
Lorsque le responsable de laudit interne estime que la direction gnrale a accept un niveau
de risque considr inacceptable par lorganisation, il doit en discuter avec la direction gnrale, conformment la Norme 2600. Le responsable de laudit interne doit comprendre ce
qui motive la dcision de la direction gnrale, identier la cause de tout dsaccord et dterminer si la direction gnrale a t mandate pour accepter ce risque. Les dsaccords
peuvent concerner la probabilit du risque et lexposition potentielle, la comprhension de
lapptence pour le risque, le cot ou le niveau de contrle. Le responsable de laudit interne
rglera de prfrence le dsaccord avec la direction gnrale.
6.
154
NAturE Du trAVAIl
155
156
MPA 2110-1
Gouvernement dentreprise : Dfinition
Principale Norme de rfrence
1.
Le rle de laudit interne tel qunonc dans la Dnition de laudit interne inclut, dans le
cadre de sa fonction dassurance, la responsabilit d'valuer et damliorer les processus de
gouvernement dentreprise.
2.
3.
157
MPA 2100
L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son amlioration. cet eet, il dtermine si le processus
rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries au sein de l'organisation ;
garantir une gestion ecace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concerns de l'organisation les informations relatives aux
risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activits.
4.
Les rfrentiels et les exigences pour le gouvernement dentreprise varient selon les juridictions rglementaires et le type dorganisation : entreprises cotes, organisations but non
lucratif, associations, entits publiques ou parapubliques, organismes denseignement, entreprises prives, socits de courtage et bourses.
5.
La manire, dont une organisation conoit et met en pratique les principes dun gouvernement dentreprise ecace, varie galement selon la taille, la complexit, la maturit de lorganisation, la structure de ses parties prenantes, les exigences lgales et culturelles etc.
6.
Commentaire IFACI
Le responsable de laudit interne devra valider avec les organes de gouvernance le primtre du gouvernement dentreprise
que laudit interne devra couvrir et les responsabilits du service daudit interne cet gard.
158
8.
La relation entre gouvernement dentreprise, risques et contrle interne est un sujet prendre
en compte et il est trait par la MPA 2110-2. La MPA 2110-3 aborde lvaluation du processus
de gouvernement dentreprise.
MPA 2100
7.
159
MPA 2110-2
Gouvernement dentreprise :
Relations avec les risques et le contrle interne
Principale Norme de rfrence
1.
2.
3.
4.
Un gouvernement d'entreprise ecace sappuie sur le contrle interne et sur la communication de lecacit des dispositifs de contrle interne au Conseil.
160
5.
Contrle et risque sont galement relis puisque le contrle se dnit comme toute mesure
prise par la direction gnrale, le conseil et d'autres parties an de grer les risques et d'accrotre la
probabilit que les buts xs seront atteints .
Commentaire IFACI
6.
Le responsable de laudit interne tient compte de ces relations dans la planication des
valuations des processus de gouvernement dentreprise :
une mission daudit portera sur les contrles conus dans les processus de gouvernement dentreprise pour prvenir ou dtecter les vnements qui pourraient avoir un
impact ngatif sur la ralisation des stratgies, les buts et objectifs de lorganisation,
lecacit et lecience oprationnelles, les informations nancires ou la conformit
avec les lois et rglementations en vigueur (cf. MPA 2110-3) ;
les contrles au sein des processus de gouvernement dentreprise sont souvent importants pour le management de dirents risques travers lorganisation. Par exemple,
on peut sappuyer sur les contrles concernant le code de conduite pour grer les
risques de conformit et de fraude etc. Cet eet cumulatif devrait tre pris en considration lors de la dnition du primtre d'un audit des processus de gouvernement
d'entreprise ;
si dautres missions daudit valuent les contrles dans les processus de gouvernement
dentreprise (par exemple, les contrles relatifs linformation nancire, les processus
de management des risques ou la conformit), lauditeur interne devrait sappuyer sur
les rsultats de ces audits.
161
MPA 2100
En France, lAMF a publi un nouveau cadre de rfrence (juillet 2010) relatifs aux dispositifs de gestion des risques et de
contrle interne.
MPA 2110-3
Gouvernement dentreprise : Evaluations
Principale Norme de rfrence
1.
Les auditeurs internes peuvent agir divers titres pour valuer et contribuer lamlioration
des pratiques de gouvernement d'entreprise. En rgle gnrale, les auditeurs internes fournissent des valuations indpendantes et objectives de la conception et de lecacit oprationnelle des processus de gouvernement dentreprise de lorganisation. Ils peuvent
galement fournir des services de conseil et des avis sur les pistes damlioration de ces
processus. Dans certains cas, les auditeurs internes peuvent tre appels pour aider le Conseil
auto-valuer ses pratiques de gouvernement d'entreprise.
Commentaire IFACI
Dans la prise de position IFA/IFACI (publie en mai 2009), Le primtre tendu du champ dintervention de laudit interne
est abord dans le paragraphe 5 et LIFA et lIFACI recommandent :
que laudit interne value lensemble des processus de lentreprise, quils soient oprationnels ou de gouvernance ;
que, dans ce cadre, il procde rgulirement lvaluation du fonctionnement et des comptences du conseil des
filiales et de leurs dirents comits ;
que laudit interne sabstienne sauf demande expresse dvaluer le fonctionnement et la performance du
conseil de la maison mre et de ses comits du fait de lexistence dune situation de conflit dintrt.
162
1
2
2.
3.
Le plan daudit est labor sur la base dune valuation des risques de lorganisation. Tous les
processus de gouvernement dentreprise sont prendre en compte dans cette valuation
des risques. Le plan daudit devrait comprendre les processus de gouvernement dentreprise
risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil ou
la direction gnrale a requis un travail. Le plan dnit la nature du travail raliser, les processus de gouvernement dentreprise traiter et la nature des valuations qui seront mener.
Les valuations peuvent tre menes au niveau :
macro, en considrant lensemble du cadre de gouvernement dentreprise de lorganisation, ou
micro, en focalisant sur des risques, processus ou activits spciques, ou
une combinaison des deux.
4.
5.
MPA 2110-2, Gouvernement dentreprise : Relations avec les risques et le contrle interne
Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrle et de management
des risques
163
MPA 2100
dautres informations sur les questions de gouvernement dentreprise comme les incidents indiquant une opportunit damliorer les processus de gouvernement dentreprise.
Commentaire IFACI
En France, les auditeurs internes sont invits consulter avec intrt le site de la CNIL (www.cnil.fr) et notamment le
document dorientation adopt le 10 novembre 2005 pour la mise en uvre de dispositifs dalerte professionnelle
conformes la loi du 6 janvier 1978 modifi en aot 2004, relative linformatique, aux fichiers et aux liberts.
6.
Pendant les phases de planication, dvaluation et de rapport, lauditeur interne devra tre
sensible la nature et aux ramications potentielles des rsultats et s'assurer que les communications avec le Conseil et la direction gnrale sont appropries. Lauditeur interne pourra
envisager de consulter un conseil juridique avant le dmarrage de laudit et avant la nalisation du rapport.
7.
Lactivit daudit interne est une partie essentielle du processus de gouvernement d'entreprise. Pour sassurer de son ecacit, le Conseil et la direction gnrale devront tre en mesure
de sappuyer sur le programme d'assurance et d'amlioration qualit de l'activit d'audit
interne y compris les valuations externes ralises conformment aux Normes internationales pour la pratique professionnelle de laudit interne.
164
MPA 2120-1
valuer la pertinence des processus
de management des risques
Principale Norme de rfrence
Interprtation :
An de dterminer si les processus de management des risques sont ecaces, les auditeurs internes
doivent sassurer que :
les objectifs de lorganisation sont cohrents avec sa mission et y contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun
au sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil
dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.
Commentaire IFACI
La MPA souligne avec raison la ncessit imprieuse de tests d'audit pour apprcier l'ecacit du management des risques.
Le Global Technology Audit Guide n3 relatif l'audit continu fournit des mthodes pour concevoir ces tests d'audit.
Pour apprcier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutt que de faire
confiance des thories, surtout si elles sont bases sur des hypothses simplificatrices. De mme, il faut bien envisager la
matrise des risques au-del de la simple conformit.
165
MPA 2100
L'audit interne doit valuer lecacit des processus de management des risques et contribuer
leur amlioration.
1.
La gestion des risques est une responsabilit majeure de la direction gnrale et du Conseil.
Pour atteindre ses objectifs, le management sassure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe aux Conseils de veiller ce que des processus de management des risques appropris, susants et ecaces
soient en uvre. A cet eet, ils peuvent demander laudit interne de les assister en examinant et valuant les processus de management des risques mis en uvre, en vriant quils
sont susants et ecaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration.
2.
3.
4.
5.
166
6.
Les techniques utilises par les organisations en matire de management des risques peuvent
tre trs direntes. Selon limportance et la complexit des activits, les processus de management des risques peuvent tre :
formaliss ou informels ;
fonds sur une approche quantitative ou subjective ;
intgrs dans les direntes units de lorganisation ou centraliss au niveau du sige.
7.
Chaque organisation conoit des processus adapts sa culture, son style de management
et ses objectifs. A titre dexemple, le recours des instruments drivs ou dautres instruments nanciers sophistiqus, pourra ncessiter la mise en uvre doutils quantitatifs de
management des risques. Les organisations moins complexes et de taille plus modeste pourront, en revanche, analyser le prol de risque de lorganisation et prendre priodiquement
des mesures dans le cadre dun comit des risques informel. Lauditeur interne sassure que
la mthodologie retenue est susamment exhaustive et adapte la nature des activits de
lorganisation.
8.
An de se forger une opinion sur ladquation des processus de management des risques,
les auditeurs internes devront disposer dlments susamment probants et appropris pour
avoir lassurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir
ces lments, lauditeur interne peut recourir aux procdures daudit dcrites ci-aprs :
rechercher et analyser des informations sur le secteur dactivit de lorganisation, lvolution rcente et les tendances, ainsi que toute autre source dinformation approprie,
an de dterminer les risques susceptibles daecter lorganisation et les procdures
de contrle utilises pour grer, suivre et rvaluer ces risques ;
examiner les rgles de lentreprise ainsi que les procs-verbaux des dlibrations du
Conseil et du comit daudit an de dterminer les stratgies de lorganisation, son
approche du management des risques, son apptence pour le risque et son acceptation des risques ;
examiner les rapports dvaluation des risques prcdemment tablis par le management, les auditeurs internes ou externes et par tout autre intervenant ;
organiser des entretiens avec lencadrement oprationnel et leur direction an de dterminer les objectifs de chaque branche dactivit, les risques correspondants, et les
mesures de suivi, de contrle et dattnuation des risques prises par le management ;
recueillir des informations an dvaluer, en toute indpendance, lecacit du processus de suivi, de communication et dattnuation des risques, et des activits de contrle
correspondantes ;
167
MPA 2100
dterminer si les informations ou rapports relatifs au suivi des risques sont adresss au
niveau hirarchique appropri ;
vrier si les rapports concernant les rsultats du management des risques sont diuss
selon des modalits et dans des dlais appropris ;
sassurer du caractre exhaustif de lanalyse des risques eectue par le management
et des mesures prises pour rsoudre les points soulevs dans le cadre du processus de
management des risques, et proposer des amliorations ;
apprcier lecacit du processus dauto-valuation mis en uvre par le management,
au moyen dobservations et de tests sur les procdures de suivi et de contrle testant
lexactitude des informations utilises dans le cadre des oprations de suivi, et par dautres techniques appropries ;
examiner les signes de faiblesse ventuels du dispositif de management des risques
et, le cas chant, les analyser avec la direction gnrale et le Conseil. Sil estime que le
management a accept un niveau de risques non compatible avec la stratgie et les
procdures de lorganisation en matire de management des risques, ou jug inacceptable pour lorganisation, lauditeur se rfrera la Norme 2600 relative lacceptation
des risques par le management et aux lignes directives correspondantes pour des orientations complmentaires.
168
MPA 2120-2
Gestion du risque li lactivit daudit interne
Principale Norme de rfrence
Interprtation :
An de dterminer si les processus de management des risques sont ecaces, les auditeurs internes
doivent sassurer que :
les objectifs de lorganisation sont cohrents avec sa mission et y contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun
au sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil
dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.
1.
169
MPA 2100
L'audit interne doit valuer lecacit des processus de management des risques et contribuer
leur amlioration.
2.
Laudit interne lui-mme nest pas labri ; il doit prendre les mesures ncessaires pour grer
ses propres risques.
3.
On peut classer ces risques dans trois grandes catgories : risque dchec de laudit, risque
de donner une fausse assurance et risque datteinte la rputation. Lanalyse
ci-aprs
met en lumire leurs principales caractristiques et prsente quelques-unes des dispositions
quun service daudit interne peut envisager de mettre en uvre pour mieux grer ces
risques.
4.
Toute organisation peut tre victime de dfaillances. Lorsque les contrles sont dcients ou
quune fraude est commise, la question : Mais o taient les auditeurs internes ? , est
souvent pose. Laudit interne peut tre impliqu dans ces dfaillances pour les raisons
suivantes :
les Normes internationales pour la pratique professionnelle de laudit interne ne sont pas
respectes ;
le programme dassurance et damlioration qualit (Norme 1300) est inadquat, en
particulier les procdures de supervision de lindpendance et de lobjectivit des auditeurs ;
il ny a pas de processus ecace pour la dnition des domaines cls de laudit lors de
lvaluation des risques stratgiques, ainsi que des domaines haut risque lors de
chaque mission, ce qui empche les auditeurs internes de raliser les audits ncessaires
et/ou leur fait perdre du temps sur des audits inappropris ;
il ny a pas de procdures daudit interne ecaces pour lvaluation des risques rels
et des contrles appropris ;
il ny a pas dvaluation de ladquation et de lecacit des contrles dans le cadre des
procdures daudit interne ;
lquipe daudit interne ne dispose pas des comptences appropries, fondes sur lexprience ou la connaissance des zones haut risque ;
lexercice dun scepticisme professionnel insusant et labsence de renforcement des
procdures daudit interne la suite de constats ou de dciences de contrles ;
la supervision de laudit interne nest pas adquate ;
une mauvaise gestion des preuves de fraude : Ce nest probablement pas important
ou Nous navons pas le temps ni les ressources ncessaires pour nous pencher sur ce
point. ;
les auditeurs internes ne communiquent pas leurs soupons aux personnes appropries ;
une communication dfaillante.
5.
Les dfaillances de laudit interne peuvent non seulement tre embarrassantes pour cette
fonction, mais elles peuvent galement exposer lorganisation un risque signicatif. Mme
sil est impossible de garantir de manire absolue labsence dchec de laudit, les mesures
170
171
MPA 2100
pries, on peut nettement rduire le risque dchec dune mission daudit. En outre, les
membres de lquipe doivent disposer dun niveau dexprience adquat : les personnes
qui conduisent une mission daudit interne doivent, notamment, possder de solides
comptences en gestion de projets.
6.
Une activit daudit interne donne parfois, sans le savoir, une fausse assurance , cest--dire
un niveau de conance ou dassurance qui se fonde sur des perceptions ou des hypothses
plutt que sur des faits. Dans de nombreux cas, la simple implication de laudit interne sur
un domaine peut aboutir donner une fausse assurance.
7.
8.
Mme sil nexiste aucun moyen dattnuer lensemble des risques de fausse assurance, laudit
interne peut, nanmoins, prendre les devants pour grer ce risque, notamment grce une
communication claire et frquente. Cest lune des principales stratgies de gestion de ce
risque. Il existe galement dautres bonnes pratiques de premier plan :
communication proactive sur le rle et le mandat de laudit interne au comit daudit,
la direction gnrale et aux autres parties prenantes ;
prsentation claire de ce qui est inclus dans lvaluation des risques, le plan daudit
interne et la mission de laudit interne. Il convient galement de prciser, de faon explicite, ce qui ne fait pas partie de lvaluation des risques et du plan daudit interne ;
mise en place dun processus de validation des projets an danalyser, pour chaque
projet, le niveau de risque et la contribution de laudit interne. Cette analyse peut
notamment porter sur le primtre du projet, le rle de laudit interne, les attentes en
termes de reporting, les comptences requises et lindpendance des auditeurs
internes ;
si les auditeurs internes font partie dune quipe projet, il faut dnir par crit leur rle
et le champ de leur intervention, ainsi que les aspects relatifs leur objectivit et leur
indpendance, plutt que de considrer ces auditeurs internes comme des ressources
prtes , ce qui risque de donner une fausse assurance.
172
9.
Lecacit de laudit interne repose essentiellement sur sa crdibilit. Les services daudit
interne qui bncient dune haute estime sont susceptibles dattirer des professionnels
talentueux et sont considrs comme crateur de valeur pour lorganisation. Leur capacit
prserver la solidit de leur image et contribuer au bon fonctionnement de lorganisation
est donc cruciale pour un vritable succs. Dans la plupart des cas, il faut plusieurs annes
pour construire cette marque , par un travail constant et de trs grande qualit. Malheureusement, un vnement ngatif majeur peut anantir instantanment tous ces eorts.
10. Par exemple, un service daudit interne peut tre tenu en haute estime car plusieurs responsables nanciers de lorganisation sont passs dans ce service, considr comme une excellente formation pour de futurs cadres. Or, la rputation de ce service daudit interne est
entache la suite dune succession de corrections de grande ampleur des tats nanciers
et des enqutes menes par les autorits de rglementation. Le comit daudit et le Conseil
peuvent alors se demander si ce service dispose des comptences ainsi que du programme
dassurance et damlioration qualit appropris pour aider lorganisation.
12. De telles situations sont non seulement embarrassantes, mais elles portent galement
atteinte lecacit de laudit interne. Protger la rputation et limage de ce dernier est
essentiel pour les activits daudit interne et aussi pour lensemble de lorganisation. Il importe,
par consquent, que laudit interne envisage les types de risques susceptibles dentacher sa
rputation, ceux auxquels il est confront et quil labore des stratgies permettant den attnuer limpact.
13. Quelques exemples de mesures envisageables :
mise en uvre dun solide programme dassurance et damlioration qualit, pour tous
les processus lis laudit interne, notamment ceux qui concernent les ressources
humaines et lembauche ;
valuation priodique des risques, an que le service daudit interne puisse identier
les risques qui sont susceptibles de porter atteinte son image ;
renforcement du code de conduite et des rgles de dontologie, en se fondant, notamment, sur le Code de dontologie de lIIA ;
contrle de la conformit de laudit interne toutes les politiques et pratiques de lentreprise.
173
MPA 2100
11. Un autre exemple : au cours dun audit de la fonction ressources humaines, les auditeurs
internes constatent que les vrications des antcdents des salaris nont pas t correctement menes. La crdibilit du service daudit interne peut tre fortement entame si lon
dcouvre que des auditeurs internes rcemment embauchs nont pas suivi un cursus dtude
appropri ou que dautres sont impliqus dans des oprations dlictueuses.
Commentaire IFACI
Un autre exemple de mesures envisageables :
faire certifier le service daudit interne par un organisme qualifi.
14. Si lun des vnements dcrits plus haut aecte lactivit daudit interne, le responsable de
laudit interne doit examiner la nature de cet vnement et en comprendre les causes. Cette
analyse le renseigne sur les changements quil faut envisager au niveau du processus daudit
interne ou de lenvironnement de contrle, an dviter quun tel vnement ne se reproduise
lavenir.
174
MPA 2120-3
Prise en compte, par laudit interne, des risques
associs latteinte des objectifs stratgiques
Principale Norme de rfrence
1.
Il incombe la direction gnrale didentier et de grer les risques dans le cadre de latteinte
des objectifs stratgiques de lorganisation. Il est de la responsabilit du Conseil de sassurer
que tous les risques stratgiques sont identis, compris, et grs un niveau acceptable
dans les limites des seuils de tolrance. Laudit interne devrait avoir connaissance de la stratgie de lorganisation, de la manire dont elle est mise en uvre, des risques qui lui sont
associs et de la manire dont ils sont grs.
2.
Pour que laudit interne puisse mettre laccent sur les risques majeurs, la stratgie de lorganisation devrait tre un lment essentiel et dterminant du plan daudit fond sur lapproche
par les risques. Laudit interne pourra alors tre en adquation avec les priorits stratgiques
de lorganisation. De plus, cela permettra de sassurer que les ressources de laudit interne
sont alloues aux domaines signicatifs.
3.
Lors de llaboration du plan daudit, laudit interne devrait mettre prot les travaux du
management et des autres fonctions prestataires dassurance an didentier les risques qui
reprsentent les principales menaces et les opportunits dans la ralisation des objectifs stratgiques de l'organisation.
Commentaire IFACI1
Les activits dassurance ( assurance ) permettent dattester que les oprations et les processus de lorganisation sont
conus, raliss et matriss conformment aux instructions de ses organes dirigeants et de ses parties prenantes.
Commentaire IFACI, Guide Pratique valuer ladquation du management des risques en utilisant la norme ISO 31000 , IIA/IFACI, dcembre 2010
MPA 2100
2120.A1 L'audit interne doit valuer les risques arents au gouvernement d'entreprise, aux
oprations et aux systmes d'information de l'organisation au regard de :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
Comme indiqu dans la MPA 2050-2, dirents prestataires internes ou externes (commissaires aux comptes, auditeurs
qualit, auditeurs HSE, animateurs des auto-valuations, services fonctionnels DRH, DSI, directions juridiques,
responsables de la conformit, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformit et
lecacit des dispositifs dune organisation. Ces prestataires se distinguent en fonction :
de leur positionnement et donc de leur degr dindpendance ;
des destinataires de leurs opinions (management oprationnel, direction gnrale, Conseil, parties prenantes
extrieures) ;
de la mthode utilise pour garantir lobjectivit de leurs opinions ;
de leur primtre dintervention (mtier, zone gographique, entit juridique, groupe, etc.).
Parmi ces prestataires, laudit interne se distingue par son indpendance par rapport aux activits contrles. En eet, le
positionnement au plus haut niveau de lorganisation donne laudit interne une vue densemble des processus et des
risques tout en tant un interlocuteur privilgi des instances dirigeantes. Ainsi, selon le glossaire des Normes
internationales, les activits dassurance de laudit interne se traduisent par un examen objectif dlments probants,
eectu en vue de fournir une valuation indpendante des processus de gouvernement dentreprise, de
management des risques et de contrle.
La prise de position de lIFACI sur lurbanisme du contrle interne illustre les dirents niveaux de prestation dassurance.
Dans leurs prconisations pour lapplication de larticle 41 de la 8me directive europenne (Directive 2006/43/CE), lECIIA
et le Ferma propose ladoption dun modle comportant 3 lignes de dfense :
En tant que premire ligne de dfense, le management est propritaire des risques. Il a donc la
responsabilit de les valuer et de les grer. Il doit rendre compte de ces activits la direction gnrale.
En tant que seconde ligne de dfense, le risk management (ainsi que les autres fonctions support telles
que la conformit ou la qualit) facilite et surveille la mise en uvre de la gestion des risques par le
management. Il assiste ces propritaires des risques dans la remonte dinformations adquates sur les
risques tous les niveaux de lorganisation.
En tant que troisime ligne de dfense, laudit interne fournit, partir dune approche fonde sur les
risques, une assurance au Conseil et la direction gnrale sur lecacit de lvaluation des risques et
sur leur gestion, y compris le fonctionnement de la premire et de la seconde ligne de dfense. Cette
activit dassurance recouvre tous les lments du cadre organisationnel de management des risques
(identification des risques, valuation des risques et suites donnes ces informations).
4.
5.
Lors de l'laboration du plan daudit, laudit interne devrait envisager des missions d'assurance
concernant ces initiatives stratgiques. Laudit interne sera ainsi en mesure de sassurer que
les risques stratgiques sont grs un niveau acceptable en valuant tout ou partie des
dispositifs de matrise correspondants. Laudit interne pourra galement envisager des
missions de conseil qui auront un impact sur lvolution de lorganisation.
IFACI - septembre 2013
Aprs avoir identi les risques stratgiques intgrer dans le plan d'audit, laudit interne
devrait sassurer que les comptences et les connaissances requises pour raliser les missions
dassurance et de conseil portant sur ces problmatiques existent dans le service d'audit
interne. Cette expertise pourra tre recherche en dehors du service daudit interne (prestations internes ou externalises).
MPA 2100
6.
MPA 2130-1
valuer la pertinence des processus de contrle
Principale Norme de rfrence
2130 Contrle
1.
2.
Il incombe la direction gnrale de superviser la mise en place, ladministration et lvaluation des processus de management des risques et de contrle. Les managers ont entre autres
responsabilits celle dvaluer les processus de contrle dans leurs domaines respectifs. Les
auditeurs internes fournissent des niveaux divers dassurance quant au degr decacit des
processus de management des risques et de contrle dans des activits et fonctions choisies
de lorganisation.
3.
Le responsable de laudit interne met une opinion globale sur l'adquation et l'ecacit
des processus de contrle. Pour ce faire, il se fondera sur des constats avrs lors de la ralisation daudits, et quand cela est appropri, sur des travaux dautres prestataires daudit d'assurance. Le responsable de laudit interne communique son opinion la direction gnrale
et au Conseil.
4.
Le responsable de l'audit interne labore un projet de plan daudit pour recueillir des lments
probants et susants qui permettront dapprcier lecacit des processus de contrle. Ce
plan comporte des missions daudit et/ou dautres procdures ncessaires pour obtenir des
preuves susantes et pertinentes propos des units oprationnelles et fonctions impor-
175
MPA 2100
Laudit interne doit aider lorganisation maintenir un dispositif de contrle appropri en valuant
son ecacit et son ecience et en encourageant son amlioration continue.
tantes valuer. De mme, il comporte une revue des principaux processus de contrle en
place dans lorganisation. Le plan propos devrait tre susamment souple pour permettre
une actualisation en cours danne, en cas dvolution des stratgies du management, de
lenvironnement extrieur, des principaux risques, ou en cas de rajustement des prvisions
relatives la ralisation des objectifs de lorganisation.
5.
Le plan d'audit met un accent particulier sur les oprations les plus aectes par les changements rcents ou inattendus. Ces changements peuvent rsulter, par exemple, des conditions
du march ou dinvestissements, dacquisitions et de cessions, de restructurations, et de
nouveaux systmes ou enjeux.
6.
7.
8.
Lun des ds de laudit interne consiste valuer lecacit des processus de contrle de
lorganisation sur la base de nombreuses valuations individuelles. Ces valuations proviennent, pour une large part, de missions daudit interne, de revues dauto-valuations eectues
par le management et de travaux dautres prestataires daudit dassurance. Au fur et mesure
de lavancement des missions, les auditeurs internes communiquent leurs observations aux
responsables appropris, de telle sorte que des mesures puissent tre prises rapidement an
de remdier aux faiblesses ou anomalies constates ou den attnuer les consquences.
9.
176
10. Lexistence dune anomalie ou dune faiblesse signicative ne signie pas ncessairement
que cette anomalie ou faiblesse est gnralise et quelle entrane un risque inacceptable.
Lauditeur interne devra prendre en compte la nature et la porte de lexposition aux risques
ainsi que le niveau des consquences potentielles pour dterminer si lecacit des processus
de contrle est remise en cause et sil existe des risques inacceptables.
MPA 2100
11. Le rapport du responsable de laudit interne sur les processus de contrle de l'organisation
est normalement prsent une fois par an la direction gnrale et au Conseil. Ce rapport
souligne limportance du rle jou par les processus de contrle dans la ralisation des objectifs de l'organisation. Il dcrit aussi la nature et ltendue du travail ralis par laudit interne
ainsi que la nature et la conance accorde dautres prestataires daudit dassurance pour
formuler cette opinion.
177
MPA 2130.A1-1
Fiabilit et intgrit de linformation
Principale Norme de rfrence
2130.A1 L'audit interne doit valuer la pertinence et l'ecacit du dispositif de contrle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux oprations et systmes
d'information de l'organisation. Cette valuation doit porter sur les aspects suivants :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
1.
Les auditeurs internes sassurent que la direction gnrale et le Conseil sont conscients de la
responsabilit du management en matire de abilit et dintgrit de linformation. Cette
responsabilit porte sur toutes les informations essentielles pour lorganisation, quel que soit
leur mode de conservation. La abilit et lintgrit de linformation incluent lexactitude,
lexhaustivit et la scurit.
Commentaire IFACI
Laccessibilit est une condition ncessaire mais non susante pour quune information soit fiable.
La cour des comptes amricaine (US Governement Accountability Oce) fournit ce sujet une dmarche intressante
(cf. assessing the reliability of computer-processed data GAO-03-273G October 1, 2002).
2.
Le responsable de l'audit interne sassure que laudit interne dispose ou a accs des
ressources appropries pour valuer la abilit et lintgrit de linformation et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes et,
ceux arents aux relations tablies par lorganisation avec dautres entits externes.
3.
Le responsable daudit interne sassure que la direction gnrale, le Conseil et laudit interne
seront rapidement informs de toute atteinte la abilit et lintgrit de linformation et
de toute situation susceptible de constituer une menace pour lorganisation.
4.
Les auditeurs internes valuent, le cas chant, lecacit des mesures prises, en vue de
prvenir, dtecter et attnuer les attaques survenues par le pass, ainsi que tout incident ou
tentative d'attaque susceptible de se produire l'avenir. Les auditeurs internes sassurent que
178
le Conseil a bien t inform des menaces ou incidents survenus, des faiblesses exploites
et des mesures correctives.
Les auditeurs internes valuent priodiquement le dispositif de abilit et dintgrit de linformation de lorganisation et recommandent, le cas chant, des amliorations ou la mise
en place de nouveaux contrles et de nouvelles mesures de protection. Ces valuations
peuvent faire lobjet de missions distinctes et isoles ou tre intgres dans dautres missions
ralises dans le cadre du plan daudit annuel. Le processus de communication appropri
la direction gnrale et au Conseil dpendra de la nature de la mission.
MPA 2100
5.
179
MPA 2130.A1-2
Lvaluation du dispositif mis en place par
lorganisation pour protger la vie prive
Principale Norme de rfrence
2130.A1 L'audit interne doit valuer la pertinence et l'ecacit du dispositif de contrle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux oprations et systmes
d'information de l'organisation. Cette valuation doit porter sur les aspects suivants :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
1.
Lincapacit protger des informations caractre personnel par des contrles appropris,
peut avoir dimportantes consquences pour une organisation. Une telle lacune peut nuire
la rputation de certaines personnes et/ou de lorganisation, et exposer lorganisation des
risques tels que la mise en jeu de sa responsabilit lgale et la baisse de conance des
consommateurs et/ou des salaris.
2.
Les dnitions de la vie prive varient amplement selon la culture, lenvironnement politique
et le cadre juridique des pays o est implante lorganisation. Les risques lis au caractre
personnel des informations comprennent lintimit des personnes (sur le plan physique et
psychologique), le respect de lespace priv (absence de surveillance), ainsi que le caractre
condentiel de la communication (absence de contrle) et des informations (collecte, exploitation et diusion par autrui dinformations caractre personnel). Les informations caractre personnel correspondent gnralement des informations que lon peut associer un
individu donn, soit en tant que telles soit en les regroupant avec dautres informations. Il
peut sagir dinformations de nature objective ou subjective, enregistres ou non, et ce quels
quen soient la forme ou le support. titre dexemple, les informations caractre personnel
incluent notamment :
le nom, ladresse, les numros didentication, les relations familiales ;
les dossiers des salaris, les valuations, les commentaires, le statut social ou les mesures
disciplinaires ;
les informations relatives aux crdits, au revenu et la situation nancire ;
la situation mdicale.
180
Commentaire IFACI
3.
Les bonnes pratiques en matire de protection de la vie prive constituent un lment essentiel des processus de gouvernement dentreprise, de management des risques et de contrle.
Il incombe, en dernier ressort, au Conseil dassurer lidentication des principaux risques
encourus par lorganisation et la mise en uvre des processus appropris destins les attnuer. ce titre, il lui appartient de doter lorganisation dun dispositif garantissant le respect
de la vie prive et den piloter la mise en place.
4.
5.
6.
tant donn la nature juridique et technique trs marque que revt cette question, laudit
interne devra disposer des connaissances et des comptences pour procder lvaluation
des risques et des contrles du dispositif mis en place par lorganisation en matire de protection de la vie prive.
7.
Pour procder lvaluation du dispositif mis en place par lorganisation pour protger la vie
prive, lauditeur interne :
prend en considration les lois, rglementations et rgles relatives au respect de la vie
prive en vigueur dans tous les pays dans lesquels lorganisation exerce une activit ;
se rapproche du juriste de lorganisation an de dterminer le contenu exact des lois,
rglementations, normes ou pratiques applicables lorganisation et au(x) pays dans
le(s)quel(s) elle exerce une activit ;
se rapproche des spcialistes des technologies de linformation an de sassurer que
des contrles concernant la scurit des informations et la protection des donnes sont
en place, et que leur ecacit est rgulirement examine et value ;
181
MPA 2100
En France, selon larticle 8 de la Loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts il est
interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des
personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci.
182
MPA 2200
PlANIFICAtIoN DE lA mISSIoN
183
184
MPA 2200-1
Planification de la mission
Principale Norme de rfrence
1.
Lauditeur interne planie et conduit la mission qui est supervise et approuve. Avant le
dbut de la mission, lauditeur interne prpare un programme qui :
dnit les objectifs de la mission ;
identie les exigences techniques, les objectifs, les risques, les processus et les transactions qui doivent tre examins ;
tablit la nature et l'tendue ncessaire des tests ;
documente les procdures utilises par l'auditeur interne pour collecter, analyser, interprter et documenter les informations pendant la mission ;
est modi, le cas chant, au cours de la mission avec lapprobation du responsable
de laudit interne ou de son reprsentant.
2.
185
MPA 2200
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission prcise les objectifs, le champ d'intervention, la date et la dure de la mission, ainsi
que les ressources alloues.
3.
Lauditeur interne dtermine les autres exigences de la mission telles que la dure et les dates
estimes dachvement. Lauditeur interne considre aussi le format de la communication
nale de la mission. Une planication correcte ce stade facilite le processus de communication lissue de la mission.
Commentaire IFACI
Rapport daudit final : le terme anglais est plus gnral final engagement communication, ceci indique que le produit fini
dune mission ne se matrialise pas ncessairement sous forme de rapport au sens traditionnel du terme. La prsentation
des rsultats dune mission peut se faire sur dirents supports et suivant dirents formats (prsentation de type power
point, rapport classique ). Par contre, si le format a t dfini au moment de la lettre de mission, il est impratif de sy
conformer. La forme et le mdia sont laisss lapprciation du dpartement daudit interne.
4.
Lauditeur interne informe le management concern. Il tient des runions avec le management responsable de l'activit audite. Il rsume les discussions et diusent les comptes
rendus et toutes les conclusions qui en rsultent. Ces documents sont conservs dans les
papiers de travail de la mission.
Commentaire IFACI
Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succs de la mission et la fiabilit des
rsultats attendus, la communication pralable la mission peut tre restreinte ou soumise un niveau de confidentialit
plus important. Dans certains cas mme, le responsable de lentit audite peut ne pas tre averti de la mission, avec
laccord de la direction gnrale.
Le responsable de l'audit interne dtermine comment, quand et qui les rsultats de l'audit
seront communiqus. Lauditeur interne documente ces lments et les communique au
management autant que possible, pendant la phase de planication de la mission. Lauditeur
interne communique au management les changements ultrieurs qui aectent les dlais ou
la diusion des rsultats de la mission.
186
MPA 2200-2
Utilisation dune approche Top-Down ,
fonde sur les risques, pour identifier les contrles
valuer dans le cadre dune mission daudit interne
Principale Norme de rfrence
1.
La prsente modalit est complmentaire des Modalits Pratiques dApplication (MPA) 20102 : Prise en compte du management des risques dans la planication de laudit interne, 22101 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planication de
la mission ainsi que du Guide to the Assessment of IT Risk (GAIT) for business and IT risk
(GAIT-R)1 .
2.
Cette MPA suppose que les objectifs de la mission daudit interne aient t dtermins et les
risques identis dans le cadre du processus de planication. Elle fournit une ligne directrice
quant l'utilisation d'une approche Top-down , fonde sur les risques, qui identie et inclut
dans le primtre de laudit interne (selon la Norme 2220) les contrles cls sur lesquels la
gestion des risques sappuie.
3.
Lapproche Top-down implique de dnir le primtre d'audit sur les risques les plus signicatifs de l'organisation et non sur des risques spciques qui ne seraient pas signicatifs
lchelle de l'organisation. Une approche Top-down garantit que l'audit interne est orient
vers la prise en compte du management des risques dans la planication de laudit interne ,
conformment la MPA 2010-2.
4.
En gnral, un systme de contrle interne comprend la fois des contrles manuels et des
contrles automatiss2. Ces deux types de contrles doivent tre valus an de dterminer
si les risques sont ecacement grs. Lauditeur interne doit en particulier valuer s'il existe
Ce document (guide dvaluation relatif aux risques mtiers et aux risques des systmes dinformation) nest pas traduit en franais. Il a t conu pour
rpondre aux obligations des entreprises vis--vis de la section 404 du Sarbanes-Oxley Act.
Il est noter que ceci sapplique aux contrles tous les niveaux entit, processus mtier et contrles gnraux informatiques et tous les chelons
du cadre de contrle ; titre dexemple les activits relevant de lenvironnement de contrle, du suivi ou de lvaluation des risques peuvent tre galement
automatiss.
187
MPA 2200
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission prcise les objectifs, le champ d'intervention, la date et la dure de la mission, ainsi
que les ressources alloues.
une combinaison approprie de contrles, y compris ceux relatifs aux technologies de l'information, an de rduire les risques dans les limites acceptes par l'organisation. Lauditeur
interne doit envisager d'inclure ou non des procdures visant valuer et conrmer que les
niveaux dacceptation des risques sont jour et adquats.
5.
Le primtre daudit interne doit comprendre tous les contrles requis pour donner lassurance raisonnable que les risques sont ecacement grs1. Ces contrles sont dits contrles
cls au sens o ils sont ncessaires la gestion des risques associs un objectif particulirement critique pour lorganisation. Seuls les contrles cls doivent tre valus. Toutefois,
lauditeur interne peut choisir dinclure une valuation d'autres contrles (contrles redondants ou dupliqus par exemple) s'il lestime utile pour l'activit. Il peut galement discuter
avec le management de la ncessit de ces contrles secondaires.
6.
Lorsquune organisation dispose dun programme de gestion des risques ecace et mature,
les contrles cls sur lesquels elle sappuie pour grer chaque risque devront tre identis.
Dans de tels cas, lauditeur interne doit examiner si l'identication et l'valuation des contrles
cls par le management sont adquates.
7.
8.
1
2
3
4
5
188
Lvaluation des contrles cls peut tre ralise soit lors d'une seule mission d'audit interne
selon une approche intgre, soit au cours d'une srie de missions. Par exemple, une premire
mission d'audit interne peut traiter des contrles cls raliss par les oprationnels tandis
qu'une deuxime abordera les contrles gnraux informatiques et quune troisime valuera
les contrles associs mis en place au niveau de lentit. Cette pratique est courante lorsque
les mmes contrles1 sont mis en place pour plus dun domaine de risque.
10. Comme nonc au paragraphe 5, avant dmettre une opinion sur la gestion ecace des
risques couverts par le primtre daudit interne, il est ncessaire dvaluer la combinaison
des dirents contrles cls. Mme lorsquune srie de missions daudit interne est ralise,
chacune traitant de certains contrles cls, l'auditeur interne doit inclure dans le primtre
d'au moins une des missions d'audit interne une valuation de la conception des contrles
cls dans son ensemble2 et dterminer si cela est susant pour grer les risques dans les
limites acceptes par l'organisation.
MPA 2200
11. Si le primtre d'audit interne3 ninclut que certains contrles cls requis pour grer les risques
cibles, il faudra le considrer comme une limitation du primtre et le prciser clairement
dans le rapport.
1
2
3
189
MPA 2210-1
Objectifs de la mission
Principale Norme de rfrence
1.
Les auditeurs internes tablissent les objectifs de la mission en fonction des risques lis l'activit auditer. Concernant les missions planies, les objectifs dcoulent et sont conformes
ceux qui ont t initialement identis lors du processus dvaluation des risques qui a
permis dtablir le plan annuel d'audit. Pour les missions non planies, les objectifs sont
tablis avant le dbut de la mission en fonction de la problmatique spcique qui a motiv
la mission.
2.
Lvaluation des risques ralise pendant la planication de la mission est utilise pour mieux
prciser les objectifs initiaux et identier dautres zones dintrt signicatives.
3.
Aprs avoir identi les risques, l'auditeur interne dtermine les procdures mettre en uvre
et leur primtre (nature, dure, et tendue). Les procdures mises en uvre sur le primtre
appropri constituent les moyens de tirer des conclusions lies aux objectifs de la mission.
190
MPA 2210.A1-1
valuation des risques dans la planification
de la mission
Principale Norme de rfrence
1.
Les auditeurs internes tiennent compte de lvaluation des risques eectue par le management pour lactivit examine. Lauditeur interne prend aussi en compte les lments
suivants :
la abilit de cette valuation des risques ;
le processus tabli par le management pour la surveillance, la diusion dinformations
et la rsolution des risques et des contrles ;
les comptes-rendus du management sur les vnements qui ont dpass les limites
de lapptence pour le risque de lorganisation ainsi que les rponses du management
ces rapports ;
les risques des activits connexes et pertinentes par rapport lactivit examine.
2.
Les auditeurs internes obtiennent et mettent jour des informations de base sur lactivit
auditer. Ces informations sont rvises pour dterminer leur impact sur les objectifs et le primtre de la mission.
3.
Si ncessaire, les auditeurs internes ralisent un examen prliminaire pour se familiariser avec
les activits, les risques et les contrles, pour identier les domaines o la mission sera approfondie et pour inviter les clients de la mission fournir leurs commentaires et suggestions.
4.
Les auditeurs internes font la synthse de lexamen de lvaluation des risques eectue par
le management, des lments de contexte et de toute revue prliminaire. Ce rsum
comprend :
les problmes importants et les raisons pour poursuivre une tude plus approfondie ;
les objectifs et les procdures de la mission;
les mthodes utiliser telles que les audits informatiss ou les techniques dchantillonnage ;
les points de contrles potentiellement dlicats, les manques et/ou les excs de
contrle apparents ;
si ncessaire, les raisons pour ne pas continuer la mission ou pour modier signicativement les objectifs de la mission.
191
MPA 2200
2210.A1 L'auditeur interne doit procder une valuation prliminaire des risques lis l'activit soumise l'audit. Les objectifs de la mission doivent tre dtermins en fonction des rsultats de cette valuation.
MPA 2230-1
Ressources aectes la mission
Principale Norme de rfrence
1.
Pour dterminer le caractre appropri et susant des ressources, les auditeurs internes considrent les lments suivants :
le nombre d'auditeurs internes et le niveau d'exprience de l'quipe d'audit ;
les connaissances, le savoir-faire et autres comptences des auditeurs internes pour
leur aectation chaque mission d'audit ;
la disponibilit de ressources externes dans les cas o des connaissances ou des comptences supplmentaires sont requises ;
les besoins de formation des auditeurs internes pour chaque mission constituent un
point de dpart pour satisfaire le dveloppement des connaissances ncessaires au
niveau de laudit interne.
192
MPA 2240-1
Programme de travail de la mission
Principale Norme de rfrence
1.
Commentaire IFACI
Le programme de travail peut ventuellement tre revu au cours de la phase de ralisation. En cas de modification
importante, il doit de nouveau tre valid.
MPA 2200
2.
193
194
MPA 2300
ACComPlISSEmENt DE lA mISSIoN
195
196
MPA 2300-1
Utilisation dinformations caractre personnel
dans la conduite dune mission
Principale Norme de rfrence
1.
2.
Les informations caractre personnel sont gnralement des donnes associes un individu en particulier ou des donnes didentication qui peuvent tre associes dautres informations. Il peut sagir dinformations factuelles ou subjectives, enregistres ou non, sous toute
forme ou tout type de support. Les informations caractre personnel sont notamment :
le nom, ladresse, les numros didentication, le revenu, le groupe sanguin ;
les valuations, le statut social, les mesures disciplinaires ;
les chiers du personnel et les dossiers de crdit et de prt ;
les donnes relatives la sant et les donnes mdicales du personnel.
3.
Dans de nombreux pays, la lgislation impose aux organisations didentier, lors de la collecte
des donnes ou avant cette collecte, la nalit pour laquelle des informations caractre
personnel sont recueillies. Elle interdit lutilisation et la divulgation dinformations caractre
personnel pour une nalit autre que celle pour laquelle ces donnes ont t recueillies, sauf
si lindividu concern a donn son accord ou si la lgislation limpose.
4.
Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives
lutilisation dinformations caractre personnel dans leur pays et dans les pays o leur organisation opre.
5.
Il peut tre inopportun, voire illgal, daccder , de rechercher, de passer en revue, de manipuler ou dutiliser des informations caractre personnel dans le cadre de certaines missions
197
MPA 2300
Les auditeurs internes doivent identier, analyser, valuer et documenter les informations ncessaires pour atteindre les objectifs de la mission.
daudit interne. Si laudit interne accde de telles informations, il peut tre ncessaire dlaborer des procdures pour les protger. Ainsi, dans certaines situations, lauditeur interne
peut dcider de ne pas faire gurer dinformations caractre personnel dans les dossiers de
la mission.
6.
198
MPA 2320-1
Procdures analytiques
Principale Norme de rfrence
1.
Les auditeurs internes peuvent recourir des procdures analytiques pour obtenir des
preuves daudit. Les procdures analytiques consistent tudier et comparer les relations
entre des informations nancires et des informations non nancires. Leur mise en uvre
se base sur lhypothse quen conditions normales, on peut raisonnablement sattendre
lexistence et la persistance de relations entre certaines informations. Parmi les exemples
de conditions hors normes, on peut citer : les transactions ou vnements inhabituels ou
non rcurrents, les modications des principes comptables, organisationnels, oprationnels,
environnementaux ou technologiques, les ineciences, les inecacits, les erreurs, la fraude
ou les actes illgaux.
2.
Pour lauditeur interne, les procdures analytiques constituent souvent un moyen ecient
et ecace dobtenir des lments probants. Lvaluation rsulte de la comparaison dune
information avec des rsultats attendus ou dnis par lauditeur interne. Les procdures analytiques sont utiles pour reprer :
les carts inattendus ;
labsence dcarts attendus ;
les erreurs potentielles ;
une fraude ou des actes illgaux potentiels ;
dautres transactions ou vnements inhabituels ou non rcurrents.
3.
199
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.
comparer les informations collectes avec les prvisions fondes sur des informations
analogues dautres units organisationnelles et aux informations sectorielles de mme
nature.
4.
Les auditeurs internes peuvent mettre en uvre les procdures analytiques en utilisant des
valeurs montaires, des quantits physiques, des ratios ou des pourcentages. Certaines procdures analytiques font intervenir des analyses de ratios, de tendances ou de rgression, des
tests de vraisemblance, des comparaisons entre priodes, des comparaisons avec les budgets,
des prvisions ou des informations conomiques extrieures. Les procdures analytiques
aident les auditeurs internes identier les conditions qui peuvent ncessiter des procdures
daudit supplmentaires. Un auditeur interne applique des procdures analytiques lorsquil
planie sa mission conformment aux lignes directrices nonces dans la Norme 2200.
5.
Les auditeurs internes peuvent recourir des procdures analytiques pour produire des
preuves au cours de leur mission. Lorsquil dtermine dans quelle mesure des procdures
analytiques doivent tre utilises, lauditeur interne prend en compte :
limportance du secteur audit ;
lvaluation du management des risques dans le domaine audit ;
ladquation du systme de contrle interne ;
la disponibilit et la abilit des informations nancires et non nancires ;
la prcision attendue des rsultats des procdures analytiques ;
la disponibilit et la comparabilit dinformations ;
la validit dautres procdures daudit pour lobtention de preuves.
6.
Lorsque les procdures analytiques font apparatre des rsultats ou des relations inattendus,
lauditeur interne value ces rsultats ou ces relations. Cette valuation consiste dterminer
si la dirence par rapport aux attentes pourrait rsulter dune fraude, dune erreur ou de
nouvelles conditions. Lauditeur interne peut interroger le management sur les raisons de
cette dirence et corroborer, ou non, lexplication du management, par exemple en modiant les objectifs et en recalculant lcart, ou en appliquant dautres procdures daudit. Lauditeur interne se doit en particulier de vrier que lexplication tient compte la fois du sens
du changement (baisse des ventes, par exemple) et de lampleur de lcart (baisse des ventes
de 10 %, par exemple). Les rsultats ou les relations inexpliqus, qui sont obtenus au moyen
de procdures analytiques, peuvent indiquer un ventuel problme important (tel quune
erreur, une fraude ou un acte illgal). Les rsultats ou les relations qui ne sont pas expliqus
de faon adquate peuvent indiquer une situation dont il faudra informer la direction gnrale et le Conseil conformment la Norme 2060. En fonction des circonstances, lauditeur
interne peut recommander une action approprie.
200
MPA 2320-2
Analyse causale
Principale Norme de rfrence
1.
2.
3.
Laudit interne, du fait de son indpendance et de son objectivit, peut tre la fonction idale
pour analyser les problmes et identier leurs causes sous-jacentes. Cette approche contribue
la rduction des carts, la remise en cause des hypothses, et lvaluation complte des
lments probants. En outre, les auditeurs internes par leurs interventions dans direntes
entits et lignes hirarchiques de lorganisation peuvent avoir dvelopp une connaissance
tendue et approfondie du (des) problme(s) sous-jacent(s). Cette connaissance est parfois
plus importante que celle dun manager, ce qui leur permet dtre mieux mme danalyser
le problme en question. Dans les cas o la cause sous-jacente dun problme rsulte dactions ou dinactions du management, il est essentiel de faire appel lobjectivit dun tiers,
tel laudit interne, pour tudier la situation et en rendre compte la direction gnrale.
4.
Lanalyse causale est bnque pour lorganisation parce quelle identie la (les) cause(s) sousjacente(s) dun problme. Cette approche ore une perspective damlioration long terme
des processus mtiers. En labsence dune analyse ecace et de solutions de traitement
appropries, il y a une plus forte probabilit que le problme se produise nouveau. Lanalyse
causale permet dviter de multiples remaniements et traite de faon proactive le risque de
201
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.
rcurrence du (des) problme(s). Lanalyse causale peut sappliquer nimporte quel type de
situation, tel quun vnement risqu inattendu, une dfaillance dans un processus, des
dommages ou pertes matriels, un arrt de la production, un incident de scurit, une dgradation de la qualit ou linsatisfaction dun client. Il est important de souligner le fait quun
problme sexplique souvent par plusieurs causes corrles ou non.
5.
6.
Avant de raliser lanalyse causale, il convient que les auditeurs internes anticipent les obstacles potentiels qui pourraient entraver leurs eorts, et dveloppent une approche proactive
pour traiter ces situations.
202
a. Le management peut tre rticent lide que laudit interne puisse avoir un rle dans
les analyses causales. Le RAI et les auditeurs internes peuvent tre amens expliquer
et dmontrer au management le rle et les capacits de laudit interne.
203
MPA 2300
b. Le management peut sopposer la conduite dune analyse causale en raison des dlais
et des eorts supplmentaires quelle impose leur quipe. Le management peut privilgier les solutions court terme pour rtablir immdiatement la conformit ou ramener le processus ou la transaction son tat normal.
Il arrive toutefois que des solutions long terme soient envisages mais uniquement
lorsque les dlais et les ressources le permettent. Mais le management sera dautant
moins enclin adopter les solutions proposes quelles ne gnrent pas deets immdiats, sont de nature prventive, et ncessitent des investissements signicatifs. De fait,
limpact long terme des dfaillances non corriges en termes de cot, de dlais et de
ressources nest pas toujours mesur. De mme, en labsence de solution long terme,
les ajustements permanents ne sont pas apprhends. Les RAI pourront utiliser ce type
dargument sils sont amens documenter le bien-fond dune analyse causale pour
obtenir le soutien du management. Pour les questions ncessitant des corrections
long terme, ayant un impact important sur les ressources, les dlais ou les cots, les
auditeurs internes pourront suggrer, en plus de la solution long terme plus coteuse,
des mesures dattnuation immdiates ou court terme. Cette approche permettra
datteindre rapidement les objectifs mtiers xs par le management tout en lui
donnant le temps de planier et de budgtiser une solution long terme plus robuste,
qui puisse traiter les causes sous-jacentes du problme.
De faon gnrale, la plupart des causes sous-jacentes peuvent tre ramenes des dcisions, des actions ou des inactions dune ou de plusieurs personne(s). Toutefois, les auditeurs
internes devront considrer le contexte, qui peut avoir une incidence sur le problme et qui
peut galement reprsenter un risque plus important pour lorganisation :
a. comptence du personnel.
b. embauche du personnel quali.
c. absence de formation ou formation insusante.
d. adquation de la technologie ou des outils.
e. pertinence de la culture de lorganisation ou du dpartement.
f. sant au travail et risques psychosociaux.
g. niveau ou volume de ressources (par exemple, budget ou eectif ).
h. circonstances du processus et autres facteurs ayant conduit la personne ou les
personnes prendre les dcisions.
i. pouvoir de dcision de la ou des personne(s) implique(s).
Une analyse causale qui sarrte lidentication des composantes et des activits du processus (par exemple, la technologie, les rgles, la formation) peut se rvler incomplte. Une
vritable analyse causale cherchera comprendre pourquoi des personnes qualies prennent de mauvaises dcisions ou des dcisions inappropries (pourquoi la personne ayant
pris la dcision a-t-elle pens quelle avait fait le bon choix ce moment ?). Dans ces cas, les
auditeurs internes devront caractriser la situation en essayant de comprendre toutes les
circonstances qui ont amen les acteurs du processus prendre une dcision spcique.
8.
Pour la plupart des problmes quils auront traiter, les auditeurs internes pourront recourir
des techniques simples. Les techniques les plus labores de collecte de donnes, danalyse
statistique, et lutilisation dautres concepts seront rserves aux situations dans lesquelles le
temps et leort (cest--dire les cots) ncessaires pour corriger les causes sous-jacentes sont
susceptibles dtre justis par le niveau de risque et doptimisation des processus pouvant
tre atteints.
Il existe plusieurs techniques danalyse causale. Parmi les outils danalyse utiliss que lon
trouve facilement sur lnternet gurent :
a. la mthode des Cinq pourquoi .
b. lAnalyse des Modes de Dfaillance, de leurs Eets et de leur Criticit (AMDEC).
204
MPA 2300
205
MPA 2320-3
Lchantillonnage en audit
Principale Norme de rfrence
MPA lie
MPA 2240-1
Programme de travail de la mission
1.
2.
La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune vrification par
sondage. Elle introduit la prise en compte des techniques de sondage lors de la planification dtaille des travaux daudit.
A ce titre, elle est complmentaire dautres lignes directrices de lIIA (notamment celles qui sont relatives la gestion du
risque daudit (MPA 2120-2), aux objectifs de la mission (cf. Normes et MPA de la srie 2210) ; au programme de travail
(Norme 2240), lidentification des informations (Normes 2300 et 2310), la documentation des informations (Norme
2330) ou le GTAG sur les techniques informatises danalyse de donnes. Pour la mise en uvre des principes recommands
ci-dessous, des connaissances plus prcises en mthodes statistiques sont ncessaires.
Nous utiliserons indiremment chantillonnage ou sondage pour traduire sampling .
1.
Les sondages sont utiliss en audit an de fournir des preuves factuelles et une base raisonnable permettant de formuler des conclusions relatives une population partir de laquelle
un chantillon a t slectionn. L'auditeur interne conoit un chantillon d'audit, ralise le
MPA 2300
Commentaire IFACI
tirage, excute des procdures d'audit et value les rsultats issus de cet chantillon an
d'obtenir des preuves d'audit susantes, ables, pertinentes et utiles pour atteindre les objectifs de la mission. Une information susante est factuelle, adquate et probante, de sorte
quune personne prudente et informe pourrait parvenir aux mmes conclusions que lauditeur. Une information able est une information concluante et facilement accessible par
lutilisation de techniques daudit appropries. Une information pertinente conforte les
constatations et recommandations de laudit, et rpond aux objectifs de la mission. Une information utile contribue sassurer que l'organisation atteindra ses objectifs.
Commentaire IFACI
Le sondage comporte toujours une marge dincertitude que lauditeur interne dtermine a priori. (cf. 11)
Commentaire IFACI
La dfinition de la fiabilit de linformation met laccent sur son accessibilit. En eet, une information dicilement
accessible est une information quil va falloir reconstituer partir de calculs, dalgorithmes ou dautres raisonnements
reposant souvent sur des hypothses, do une grande dicult valuer une information de ce type sur des critres
comme lexactitude ou lexhaustivit. De plus, le rapport cot-avantage peut limiter de telles recherches.
Nanmoins, la facilit daccs nest pas un critre susant. Si une information est accessible, il restera prouver sa fiabilit
en sassurant quelle peut tre vrifie par dautres personnes et en validant lintgrit des sources dinformation.
2.
En audit, les sondages consistent appliquer des procdures d'audit sur moins de 100 % des
lments d'une catgorie de transactions ou d'un solde de compte, de telle manire que
chaque unit d'chantillonnage ait la mme chance d'tre slectionne. La population
dsigne l'ensemble des donnes partir desquelles un chantillon est construit et propos
de laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'chantillonnage se
dnit comme le risque que la conclusion tire par l'auditeur interne partir d'un chantillon
soit dirente de celle qu'il aurait tire en soumettant l'ensemble de la population la mme
procdure d'audit.
Commentaire IFACI
La population est dfinie en fonction du primtre et des objectifs de la mission.
Le dveloppement des outils danalyse de donnes permet denvisager lapplication de procdures daudit sur lensemble
dune population. Nanmoins, lauditeur peut tre confront au fait que tous les lments auditer ne sont pas embarqus
dans les systmes dinformations (par exemple pour lexamen dlments physiques), que la base de donnes est
incomplte (empchant par exemple laccs des donnes antrieures ou dautres entits) ou que lauditeur a lobligation
de faire un contrle sur pices.
En outre, malgr lopportunit oerte par les systmes dinformation, la ralisation de procdures daudit sur lensemble de
la population peut avoir un cot (en temps ou en ressources dinvestigation) justifiant une approche par chantillonnage.
Pour dterminer son approche, lauditeur devra prendre en compte le risque dchantillonnage et le risque daudit.
Le lecteur pourra se rfrer GAO Assessing the reliability of computer-processed data .
Commentaire IFACI
4.
L'chantillonnage non statistique est utilis par l'auditeur qui souhaite se fonder sur sa propre
exprience et sur ses connaissances pour dterminer les critres de construction d'un chantillon. Ces sondages non statistiques (raisonns, essentiellement fonds sur le jugement), ne
permettent pas de justier, d'un point de vue mathmatique, lextrapolation des rsultats
lensemble de la population. Autrement dit, l'chantillon peut tre biais et non reprsentatif
de la population. L'objectif du test, son ecience, les caractristiques oprationnelles, les
risques inhrents et l'impact des rsultats sont des lments communment pris en compte
par l'auditeur pour orienter la mthode de sondage. L'chantillonnage non statistique peut
tre utilis lorsqu'il est ncessaire d'obtenir rapidement des rsultats et pour tester une hypothse plutt que pour projeter la vraisemblance mathmatique des conclusions lensemble
de la population.
Commentaire IFACI
Selon le paragraphe 5.g de la norme ISA 530 : le sondage statistique est une mthode de slection dchantillons
MPA 2300
Le caractre exhaustif est apprci au regard de lobjectif du test daudit et des caractristiques valuer.
En pratique, ces objectifs se traduisent notamment par la dfinition de bornes temporelles ou dune srie de transactionscls du processus auditer.
Commentaire IFACI
Lauditeur interne dtermine sa stratgie dchantillonnage partir des objectifs daudit et en fonction du niveau des
risques dchantillonnage et daudit quil sest fix. Il conviendra galement de prendre en compte les caractristiques de la
population value notamment en termes dhomognit. Tous ces lments lui permettront de dfinir la mthode
dchantillonnage et la taille de lchantillon.
5.
Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'impossibilit, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'chantillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des mthodes
de sondage (statistique ou non) devrait construire et slectionner un chantillon, excuter
des procdures d'audit et valuer les rsultats de cet chantillon an d'obtenir des preuves
d'audit susantes, ables, pertinentes et utiles.
Commentaire IFACI
Les conclusions peuvent tre de 2 ordres :
1) Estimer une valeur (un montant, une moyenne. Par exemple, le montant des crances chues non renouveles de plus
de 3 mois), ou un attribut (nombre ou proportion dunits, possdant ou non une caractristique donne : taux de
demande dachat non signe)
2) Tester une hypothse (e.g., la satisfaction client est en moyenne plus leve dans la rgion A / rgion B).
Extrait de louvrage Les outils de laudit / IFACI. Eyrolles, 2013
6.
Pour la slection sur des champs de donnes, les mthodes les plus courantes sont les suivantes :
Le tirage alatoire partir de gnrateurs de nombres alatoires
Le tirage par intervalles fixes. Les units de sondage sont slectionns en respectant un intervalle fixe entre les tirages,
le point de dpart tant dtermin au hasard. A titre dexemple, il peut sagir de factures dotes dun numro unique
incrment unitairement, ce qui permet de procder ce tirage systmatique qui sapparente un tirage alatoire.
Par cellule (slection alatoire dans un intervalle)
Lannexe 4 de lISA 530 propose galement des exemples de mthodes dchantillonnage.
MPA 2300
Selon la nature des preuves daudit recherches, dautres typologies peuvent tre proposes.
Pour la slection sur les enregistrements, les mthodes dchantillonnage les plus courantes sont :
Le tirage alatoire
Le tirage laveuglette, sans dmarche structure et en vitant de fausser consciemment la slection ou de lui donner
un caractre prvisible
Le tirage raisonn et fond sur le jugement de lauditeur. Lchantillon est construit sur la base dun ou plusieurs critres
choisis par lauditeur en fonction de leur pertinence et non pas de leur reprsentativit statistique. Par exemple, il
choisit toutes les units de sondages suprieures un certain montant, tous les lments sauf un type prcis
dexceptions, toutes les valeurs ngatives, tous les nouveaux utilisateurs, etc. Les rsultats ne peuvent pas tre
gnraliss la population entire.
7.
Lorsqu'ils dterminent la taille et la structure d'un chantillon, les auditeurs devraient tenir
compte des objectifs d'audit de la mission, de la nature de la population et des mthodes
d'chantillonnage et de slection. L'auditeur devrait envisager de faire appel des spcialistes
comptents en matire de conception et d'analyse de la mthodologie d'chantillonnage.
Commentaire IFACI
Dterminer la structure dun chantillon consiste dfinir sa composition au regard des objectifs daudit (par exemple pour
des factures, lchantillon peut tre constitu des factures rcapitulatives ou des factures lacte) et son ventuelle
stratification.
Le recours des spcialistes devra se faire conformment la norme 1210.A1. Le service daudit interne est mme de
disposer collectivement de ces comptences grce notamment des formations, la diversit de parcours des auditeurs
internes et au recours des outils appropris.
8.
9.
Les erreurs escomptes sont celles que l'auditeur sattend trouver dans la population sur la base
de prcdents rsultats d'audit, de modications des processus et de preuves/conclusions provenant d'autres sources.
Commentaire IFACI
Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signification fix par lauditeur. Pour les tests de
conformit, cest le taux maximum dcart que lauditeur peut tolrer par rapport une procdure de contrle prescrite.
Les erreurs escomptes peuvent se fonder sur les rsultats des travaux de la seconde ligne de dfense, de la mise en uvre
de procdures et des rsultats de revues analytiques.
12. Le niveau de risque d'chantillonnage que l'auditeur est prt accepter, l'erreur acceptable
et l'erreur escompte sont autant de facteurs qui inuent sur la taille de l'chantillon. Le risque
d'chantillonnage devrait tre cohrent avec les lments pris en compte pour dnir le
risque daudit. Ce risque d'audit comprend le risque inhrent, le risque associ aux contrles
et le risque de non-dtection.
13. Des procdures d'chantillonnage ecaces augmentent la couverture, la prcision et l'ecience des missions. Elles permettent l'auditeur de donner une assurance sur les processus
oprationnels qui aectent la ralisation des buts et objectifs de l'organisation. Lorsqu'il
recherche la technique d'chantillonnage approprie, il est important que l'auditeur
comprenne les directives et les normes communment admises en matire d'chantillonnage, au mme titre que les processus oprationnels et les donnes sur lesquelles il travaille.
14. L'audit en continu permet l'auditeur interne de tester l'ensemble de la population en temps
voulu, tandis que l'chantillonnage d'audit facilite lanalyse de moins de 100 % de la population.
15. L'auditeur interne devrait analyser les erreurs potentielles dtectes dans l'chantillon an
de vrier qu'il s'agit rellement d'erreurs et, le cas chant, en dterminer la nature et la
cause. En fonction des erreurs avres, il sera ncessaire de dterminer si des tests supplmentaires devraient tre envisags.
Commentaire IFACI
En pratique, cette dcision dpendra des objectifs daudit.
16. L'auditeur interne dispose de direntes mthodes statistiques (le paragraphe 6 ci-dessus
prsente des exemples de procdures) pour obtenir des preuves d'audit susantes. S'il ne
peut appliquer les procdures d'audit prvues ou les procdures alternatives un lment
donn, l'auditeur interne devrait identier cet cart par rapport au programme de contrle.
8
17. L'auditeur interne devrait extrapoler les rsultats de lchantillon la population, en utilisant
une mthode dextrapolation cohrente avec celle utilise pour slectionner l'chantillon.
Lextrapolation des rsultats de lchantillon peut ncessiter d'estimer les erreurs ou les carts
probables dans la population, les erreurs qui pourraient ne pas avoir t dtectes du fait de
l'imprcision de la technique utilise, ainsi que les aspects qualitatifs des erreurs dtectes.
La question de savoir si l'chantillonnage a permis de conforter raisonnablement les conclusions relatives la population value devrait tre pose.
Commentaire IFACI
La rponse cette question dpendra notamment du seuil de confiance retenu.
18. L'auditeur devrait comparer l'erreur escompte dans la population l'erreur acceptable. En
fonction du risque dchantillonnage, il pourra alors envisager de rviser la taille de lchantillon ou d'excuter des procdures d'audit alternatives.
19. Les papiers de travail devraient tre susamment dtaills an de dcrire clairement l'objectif
de l'chantillonnage et le processus d'chantillonnage utiliss. Les papiers de travail devraient
indiquer la source de la population, la mthode d'chantillonnage utilise, les paramtres
d'chantillonnage (par exemple, la valeur de dpart utilise pour gnrer un tirage alatoire
ou la mthode de dtermination de la valeur de dpart et l'intervalle d'chantillonnage), les
lments slectionns, les dtails des tests d'audit raliss et les conclusions obtenues.
20. Lors de la communication, par lauditeur interne, des rsultats des tests et de la conclusion,
des informations susantes devront tre transmises au lecteur pour lui permettre de
comprendre le fondement de la conclusion.
Note : Cette MPA porte sur l'chantillonnage d'audit et n'est pas destine donner des informations sur l'analyse de donnes. Pour obtenir des informations sur l'analyse de donnes, veuillezvous rfrer au Guide Pratique dAudit des Technologies de lInformation (GTAG) 16, de l'IIA, Data
Analysis Technologies.
MPA 2320-4
Assurance en continue
Principale Norme de rfrence
1.
Les contrles sont traditionnellement tests sur une base rtrospective et cyclique, souvent
plusieurs mois aprs la ralisation des activits. Ces tests utilisent gnralement des techniques dchantillonnage de donnes historiques. Les missions daudit, fondes sur de telles
approches dchantillonnage, peuvent ne pas correspondre aux besoins de lorganisation, en
particulier lorsque lvaluation du prol de risque de cette organisation ncessite de prendre
en compte des informations rcentes. De surcrot, la rapidit avec laquelle les activits et les
organisations voluent exige d'identier de manire plus proactive les enjeux. Pour ce faire,
les systmes dinformation peuvent servir de levier pour identier en temps opportun les
problmes ventuels. Lorsque le prol de risques le justie, l'audit interne devrait envisager
d'valuer en continu l'ecacit des contrles au lieu dutiliser des tests plus classiques raliss
de manire priodique sur des donnes historiques relatives une slection de dispositifs
de contrle interne ou de risques.
2.
3.
La surveillance en continu est un processus managrial qui permet de s'assurer en permanence que les dispositifs de contrle interne fonctionnent de manire ecace. Les vnements associs aux risques les plus importants (par exemple, des transactions inhabituelles
ou non rcurrentes) peuvent tre identis et faire l'objet d'une attention particulire ou de
tests supplmentaires. En plus des processus de surveillance en continu, des procdures d'audit en continu dveloppes par les auditeurs internes peuvent, le cas chant, tre transfres
au management. Elles deviennent alors des procdures de surveillance en continu mises en
uvre par le management.
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.
4.
5.
Les domaines susceptibles de faire l'objet d'un audit en continu devraient tre identis dans
le plan d'audit annuel. L'audit interne devrait utiliser le rfrentiel de gestion des risques de
l'organisation (s'il en existe un), ainsi que sa propre valuation des risques, pour identier ces
domaines. La frquence de couverture devrait tre dtermine en fonction des facteurs de
risque du domaine ou du processus concern. L'audit en continu permet aux auditeurs
internes d'identier et d'valuer les risques, et de ragir de manire judicieuse et dynamique
aux changements au sein de l'organisation. Il contribue galement identier et valuer le
risque.
6.
Le soutien des principales parties prenantes est indispensable pour le succs de l'audit en
continu. Les tapes suivantes devraient tre envisages pour dvelopper et maintenir les
activits d'audit en continu :
Hirarchiser les domaines couvrir et slectionner une approche d'audit en continu.
Dnir les exigences en termes de livrables.
Slectionner les outils d'analyse, qui peuvent tre dvelopps en interne ou tre fournis
par un diteur de logiciel.
Dnir le primtre des procdures d'audit en continu.
valuer l'intgrit des donnes et prparer les donnes.
Prendre connaissance de l'approche de surveillance en continu du management.
Concevoir et mettre en uvre des procdures d'audit en continu pour valuer les
contrles et identier les dfaillances.
7.
Une fois les objectifs d'audit en continu dnis, il convient dobtenir le soutien de la direction
gnrale sur le primtre retenu.
8.
Les chiers de donnes, tels que les chiers de transactions dtailles, sont souvent conservs
sur une courte dure. Par consquent, l'auditeur interne devrait prendre les mesures ncessaires pour la conservation des donnes appropries. Une bonne organisation, en amont, de
laccs aux programmes/systmes et aux donnes permet de limiter les interfrences avec
l'environnement de production. L'auditeur interne devrait valuer l'impact potentiel sur l'utilisation des procdures d'audit en continu des modications apportes aux
IFACI - septembre 2013
10. Lorsqu'il dnit le calendrier, le primtre et le niveau de couverture des tests d'audit en
continu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'apptence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance en
continu par le management.
11. Les activits d'audit en continu vont de lanalyse en temps rel une analyse priodique de
transactions dtailles, dtats slectionns automatiquement des intervalles de temps
pralablement dnis ou de donnes consolides. La frquence de ces analyses dpendra
du niveau de risque associ au systme ou au processus examin, ainsi que de la pertinence
de la surveillance en continu ralise par le management et des ressources disponibles. Les
systmes critiques dots de contrles cls peuvent tre soumis une analyse en temps rel
des donnes relatives aux transactions. L'auditeur interne devrait prendre en considration
les exigences rglementaires et les mesures prises par le management pour grer les expositions aux risques et leur impact potentiel. Une fois que le management a mis en uvre les
processus de surveillance en continu des contrles, les auditeurs internes et les auditeurs
externes devraient dterminer dans quelle mesure ils peuvent s'appuyer sur ces processus
pour rduire lampleur de leur programme de tests dtaills.
13. Une fois les procdures d'audit en continu mises en uvre, l'auditeur interne devrait analyser
les rsultats an d'identier les transactions non conformes. Il est possible d'identier laccroissement des niveaux de risque par une analyse comparative (entre processus, entre entits, des rsultats du mme test dans le temps). L'un des enjeux de la mise en uvre d'un
systme d'audit en continu ou de surveillance en continu rside dans le traitement ecace
des risques et des carts identis. Lorsqu'un systme d'audit en continu ou de surveillance
en continu est mis en uvre, il s'avre souvent, aprs investigation, qu'un grand nombre
dcarts ne sont pas des sujets de proccupation. Le systme d'audit en continu devrait
IFACI - septembre 2013
MPA 2300
12. Lorsque les procdures d'audit en continu sont modies, l'auditeur interne devrait eectuer
une revue des modications en termes d'intgrit, de abilit, decacit et de scurit. L'auditeur interne devrait documenter les rsultats de cette revue avant de s'appuyer sur les
procdures d'audit en continu modies.
permettre l'ajustement des paramtres de test, an que ces carts n'engendrent ni alerte ni
notication. Une fois le processus d'identication des faux positifs excut, il sera dautant
plus possible de sappuyer sur le systme pour identier uniquement les dfaillances de
contrle ou les risques signicatifs.
14. Tout contrle dfaillant et/ou risque potentiel identi grce l'audit en continu devrait tre
communiqu au management. In ne, l'auditeur interne devrait, le cas chant, demander
au management de spcier le plan d'action et le calendrier de rsolution. Une fois les
mesures appropries prises, l'auditeur interne peut envisager d'utiliser nouveau le
programme d'audit en continu pour vrier si la solution adopte a permis de remdier la
faiblesse de contrle et de rduire le niveau de risque.
15. L'auditeur interne devrait revoir priodiquement l'ecience et l'ecacit des programmes
d'audit en continu. Il peut s'avrer ncessaire d'ajouter des points de contrle ou des mesures
dexpositions aux risques, et d'en supprimer d'autres, en fonction de la mise jour de lvaluation des risques. Il peut galement s'avrer ncessaire de renforcer ou d'assouplir les seuils,
les tests de contrle et les paramtres de diverses analyses.
16. Le processus d'audit en continu devrait tre susamment document an d'apporter des
preuves d'audit adquates. La MPA 2330-1, Documentation des informations , contient
des recommandations supplmentaires ce sujet.
MPA 2330-1
Documentation des informations
Principale Norme de rfrence
1.
Les auditeurs internes prparent les papiers de travail qui servent documenter les informations obtenues, les analyses faites, et qui confortent les conclusions et les rsultats de la
mission. Le management du service daudit interne rvise les papiers de travail.
2.
3.
4.
Le responsable de l'audit interne dnit les rgles, adaptes chaque type de mission,
suivre en matire de papiers de travail. La normalisation des papiers de travail tels que les
questionnaires et les programmes daudit peut amliorer lecacit dune mission et faciliter
la dlgation du travail. Certains papiers de travail peuvent tre considrs comme permanents ou tre intgrs dans des dossiers qui contiennent des informations importantes
caractre permanent.
206
MPA 2330.A1-1
Contrle des dossiers daudit
Principale Norme de rfrence
2330.A1 Le responsable de l'audit interne doit contrler l'accs aux dossiers de la mission. Il
doit, si ncessaire, obtenir l'accord de la direction gnrale et/ou l'avis d'un juriste avant de
communiquer ces dossiers des parties extrieures.
1.
Les dossiers daudit comportent, quel que soit le moyen de stockage, des rapports, des
preuves, des notes de rvision et des correspondances. Les dossiers et les papiers de travail
de la mission sont la proprit de lorganisation. Laudit interne contrle les papiers de travail
et ne les rend accessibles quau personnel autoris.
2.
Les auditeurs internes peuvent sensibiliser la direction gnrale et le Conseil au sujet de l'accs des personnes externes aux dossiers de la mission. Les rgles concernant le droit daccs
aux dossiers, les modalits de traitement des demandes d'accs, et les procdures suivre
lorsquune mission daudit est utilise en tant que preuve pendant une enqute, devront tre
revues par le Conseil.
Commentaire IFACI
3.
Les procdures daudit interne prcise le responsable du contrle et de la scurit des dossiers
du service, les quipes internes ou externes qui peuvent avoir accs aux dossiers daudit, ainsi
que les modalits de traitement des demandes daccs ces dossiers. Ces procdures varieront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des
prrogatives daccs dnies par la loi.
4.
5.
Le responsable de l'audit interne approuve laccs des auditeurs externes aux papiers de
travail.
207
MPA 2300
En France, compte tenu des responsabilits respectives du Conseil et de la direction gnrale, cette revue ne peut tre faite
que par la direction gnrale.
6.
Il y a des cas o les demandes daccs aux papiers de travail et aux rapports sont faites par
des personnes extrieures lorganisation, autres que les auditeurs externes. Avant de fournir
la documentation demande, le responsable de l'audit interne obtient lapprobation de la
direction gnrale et/ou, le cas chant, du conseiller juridique.
Commentaire IFACI
En France, les rapports daudit interne sont, en tant que de besoin, la disposition de la justice.
Pour le secteur bancaire, larticle 41 du rglement 97-02 modifi du CRBF, prcise que les rapports daudit interne sont tenus
la disposition des Commissaires aux comptes et du secrtariat gnral de la Commission Bancaire.
Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et
circonspection. Nous renvoyons ici aux commentaires formuls propos du Code de Dontologie.
7.
Potentiellement, les dossiers daudit interne qui ne sont pas spciquement protgs,
peuvent tre consults dans le cadre de poursuites judiciaires. Les conditions lgales varient
de faon signicative selon les juridictions. Lorsquil y a une demande spcique de dossiers
daudit lie une procdure judiciaire, le responsable de laudit interne travaille en troite
collaboration avec le conseiller juridique pour dterminer ce qui peut tre mis disposition.
208
MPA 2330.A1-2
Autorisation daccs aux dossiers de la mission
Principale Norme de rfrence
2330.A1 Le responsable de l'audit interne doit contrler l'accs aux dossiers de la mission. Il
doit, si ncessaire, obtenir l'accord de la direction gnrale et/ou l'avis d'un juriste avant de
communiquer ces dossiers des parties extrieures.
Commentaire IFACI
1.
Les dossiers de la mission daudit interne incluent les rapports, les documents justicatifs, les
notes de revue et la correspondance change, quel que soit le support darchivage utilis.
On estime gnralement que le contenu de ces dossiers est condentiel et quil peut reposer
la fois sur des faits et sur des opinions. Or, les personnes qui nont pas une parfaite connaissance de lorganisation ou de ses processus daudit interne sont susceptibles de mal interprter ces faits et ces opinions. Laccs aux dossiers daudit interne peut tre sollicit par des
tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les poursuites
pnales, les litiges, les vrications scales, les contrles des rgulateurs, lexamen des marchs
publics et les contrles eectus dans le cadre de professions habilites sauto-rglementer.
La quasi-totalit des dossiers dune organisation qui ne sont pas couverts par le secret professionnel liant lavocat son client peuvent tre communiqus en cas de poursuites pnales.
Pour les autres procdures, la question de laccs est moins vidente et peut direr en fonction du pays de lorganisation.
2.
3.
Laudit interne peut dnir laccs ses dossiers et le contrle de ces dossiers quel que soit
le support darchivage utilis.
209
MPA 2300
Les auditeurs internes sont invits consulter un juriste sur toute question dordre juridique, la rglementation tant
susceptible de direr de faon significative selon les pays. Les lignes directrices contenues dans la prsente Modalit
Pratique dApplication reposent principalement sur les systmes juridiques qui protgent les informations et les travaux
eectus pour, ou communiqus , un avocat (cest--dire le secret professionnel liant lavocat son client), comme le
systme juridique des tats-Unis qui reconnat le attorney-client privilege . La MPA 2400-1 traite du secret professionnel
liant lavocat son client.
4.
Les rgles de laudit interne devraient porter sur les lments inclure dans les dossiers de
la mission et spcier le contenu et le format des dossiers, ainsi que la faon dont les auditeurs
internes traiteront les notes de revue valides. Ces rgles devraient galement spcier la
dure de conservation des dossiers daudit interne. Lorsque le responsable de laudit interne
spcie la dure de conservation des dossiers de la mission, il devrait tenir compte des
besoins de lorganisation et de la lgislation.
5.
Les rgles de laudit interne peuvent indiquer qui, au sein de lorganisation, est responsable
du contrle et de la scurit des dossiers de laudit interne, qui peut se voir accorder un accs
aux dossiers de la mission et comment les demandes daccs ces dossiers doivent tre traites. Ces rgles dpendent des pratiques mises en uvre dans le secteur dactivit ou dans
le pays o opre lorganisation. Le responsable de laudit interne devrait se tenir au courant
de lvolution des pratiques dans le secteur dactivit et des jurisprudences. Lorsquil dnit
ces rgles, le responsable de laudit interne devrait dterminer qui peut demander accder
aux dossiers de laudit interne.
6.
La procdure qui accorde un accs aux dossiers de la mission peut galement dnir des
processus permettant de :
rsoudre les problmes daccs ;
sensibiliser le personnel de laudit interne aux risques et aux problmes concernant
laccs leurs travaux ;
dterminer qui pourra demander accder ces travaux.
7.
8.
En gnral, lorsquil donne accs aux dossiers de la mission, le responsable de laudit interne :
ne produit que certains documents spciques, conformment aux indications du
juriste ou aux procdures de laudit interne, ce qui exclut habituellement les documents
couverts par le secret professionnel liant lavocat son client. Les documents qui rvlent largumentation ou les stratgies de lavocat sont, le plus souvent, couverts par le
secret professionnel et leur communication nest pas obligatoire ;
prsente les documents sous une forme qui empche leur modication (par exemple,
un scan de prfrence un chier de traitement de texte). Concernant les documents
sur papier, le responsable de laudit interne en diuse des copies et conserve les originaux ;
appose la mention condentiel sur chaque document ainsi quune annotation indiquant que toute diusion autrui doit faire lobjet dune autorisation pralable.
210
MPA 2330.A2-1
Conservation des dossiers
Principale Norme de rfrence
2330.A2 Le responsable de l'audit interne doit arrter des rgles en matire de conservation
des dossiers de la mission et ce, quelque soit le support darchivage utilis. Ces rgles doivent
tre cohrentes avec les orientations dnies par l'organisation et avec toute exigence rglementaire ou autre.
Les modalits de conservation des dossiers daudit varient en fonction des juridictions et de
lenvironnement lgal.
2.
Le responsable de laudit interne rdige une politique de conservation qui rpond aux
besoins de lorganisation et aux obligations lgales des juridictions dans lesquelles elle opre.
3.
La procdure de conservation des dossiers devra inclure des dispositions spciques pour la
conservation des dossiers lis aux missions ralises par des prestataires extrieurs.
MPA 2300
1.
211
MPA 2340-1
Supervision de la mission
Principale Norme de rfrence
1.
2.
212
3.
Tous les papiers de travail sont revus an de sassurer quils supportent le rapport daudit et
que les procdures daudit ncessaires ont t mises en uvre. Cette revue est matrialise
par lapposition, sur chaque papier de travail revu, des initiales du superviseur et de la date.
Dautres techniques de rvision qui fournissent une preuve de la revue incluent :
une check-list de rvision des papiers de travail de la mission ;
un mmorandum prcisant la nature, ltendue et les rsultats de la revue ;
des revues dvaluation, de validation dans le logiciel de gestion des papiers de travail.
4.
Les superviseurs peuvent prparer une liste crite des questions (notes de revue) souleves
au cours de la revue. Au moment de la leve des points de revue, il convient de prendre soin
de vrier que le dossier de travail contient les lments dmontrant que les questions souleves lors de la revue sont rsolues. Les alternatives en ce qui concerne la conservation des
feuilles de notes, sont les suivantes :
garder les notes de revue en tant qu'enregistrement des questions souleves par le
superviseur et des actions entreprises pour les rsoudre ainsi que les rsultats de ces
actions ;
liminer les notes de revue aprs que les problmes soulevs aient t rsolus et que
les documents de travail ncessaires aient t modis pour fournir les informations
exiges.
5.
213
MPA 2300
l'audit interne met galement en place les moyens appropris pour assumer cette responsabilit. Les moyens appropris incluent les rgles et procdures destines :
minimiser le risque que des auditeurs internes ou dautres personnes ralisant des
travaux pour laudit interne aient des opinions professionnelles ou entreprennent des
actions qui soient en dsaccord avec lopinion professionnelle du responsable de l'audit
interne ce qui aurait un impact dfavorable sur la mission ;
rgler les conits dopinion professionnelle entre le responsable de l'audit interne et les
auditeurs internes sur les points importants de la mission. Les moyens utiliser peuvent
tre :
- le dbat sur les constats pertinents ;
- des enqutes et recherches complmentaires ;
- la mention dans les papiers de travail de la mission, des dirents points de vue, avec
documents lappui.
En cas de divergence de jugements professionnels sur une question dthique, il peut tre
fait appel aux personnes qui, dans lorganisation, ont des responsabilits dans ce domaine.
214
MPA 2400
215
216
MPA 2400-1
Aspects lgaux de la communication des rsultats
Principale Norme de rfrence
Commentaire IFACI
1.
Lauditeur interne doit prendre toutes les prcautions ncessaires avant de communiquer
une non-conformit vis--vis de la lgislation, de la rglementation ou tout autre problme
dordre juridique. Il est vivement recommand de mettre en place des rgles et des procdures cet gard et de travailler en troite collaboration avec dautres intervenants comptents (conseiller juridique, dontologue / Compliance Ocer, etc.).
2.
Les auditeurs internes rassemblent des preuves, mettent des jugements fonds sur des
analyses, rendent compte des rsultats de leurs travaux et sassurent que le management a
mis en place des actions correctives appropries. Les impratifs de lauditeur interne, qui est
tenu de constituer les dossiers daudit, peuvent tre diciles concilier avec ceux du conseiller juridique, qui est lui soucieux de ne pas mentionner dlments susceptibles de compromettre lorganisation sur le plan juridique. Par exemple, mme si lauditeur interne collecte
et value correctement les informations, les faits et les analyses divulgus peuvent avoir, dun
point de vue juridique, une incidence ngative sur lorganisation. Une planication et des
procdures appropries (notamment la dnition du rle de chacun et des modalits de
communication) sont essentielles pour viter quune rvlation soudaine des faits ne
provoque un dsaccord entre le conseiller juridique et lauditeur interne. Par ailleurs, lauditeur
interne et le conseiller juridique doivent favoriser, au sein de lorganisation, une culture
thique et une approche prventive en sensibilisant le management aux procdures tablies.
217
MPA 2400
Les auditeurs internes sont invits consulter un juriste sur toute question dordre juridique, la rglementation tant
susceptible de direr de faon significative selon les pays. Les directives contenues dans la prsente Modalit Pratique
dApplication reposent principalement sur les systmes juridiques qui protgent les informations et les travaux eectus
pour, ou communiqus , un avocat (cest--dire le secret professionnel liant lavocat son client), comme le systme
juridique des tats-Unis qui reconnat le attorney-client privilege . La MPA 2400-1 traite du secret professionnel liant
lavocat son client.
3.
Une communication privilgie (relation de conance visant rechercher, obtenir ou apporter une assistance juridique au client) est ncessaire pour protger le secret professionnel
liant lavocat son client. Le secret professionnel, dont le principal objet est de protger les
informations communiques aux avocats, peut galement sappliquer aux informations
communiques des tiers travaillant avec un avocat.
4.
5.
6.
7.
8.
Les documents tablis et remis lavocat avant ltablissement de la relation privilgie avec
son client ne sont gnralement pas protgs par le secret professionnel.
218
MPA 2410-1
Contenu de la communication
Principale Norme de rfrence
1.
Le format et le contenu des rapports dnitifs daudit varient selon lorganisation et le type
de mission. Cependant, ils contiennent, au minimum, les objectifs, le primtre et les rsultats
de laudit.
2.
Les rapports dnitifs daudit peuvent comporter des informations sur le contexte et des
synthses. Les informations sur le contexte peuvent prsenter les entits et activits examines et fournir des explications. Le statut des observations, conclusions et recommandations
des rapports prcdents peut aussi tre repris ; on peut aussi indiquer si cet audit est une
mission inscrite au plan daudit ou rpondant une demande particulire. Les synthses
constituent un expos proportionn du contenu du rapport.
3.
L'expos de l'objet de la mission dcrit les objectifs de la mission et informe le lecteur des
motifs de la mission et des rsultats escompts.
4.
Lexpos du primtre de la mission prcise les activits audites et peut comporter des informations complmentaires telles que la priode couverte et les activits connexes non examines an de dlimiter lintervention. Il peut prciser la nature et ltendue des travaux raliss.
5.
Les rsultats comprennent les observations, les conclusions, les opinions, les recommandations et les plans d'actions.
6.
Les observations sont des exposs pertinents des faits. Lauditeur interne communique les
observations ncessaires pour soutenir ses conclusions et recommandations, et viter les
malentendus. Lauditeur interne peut communiquer de manire informelle les informations
ou observations moins importantes.
219
MPA 2400
La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.
7.
8.
Les conclusions et les opinions sont les valuations de lauditeur interne sur les consquences
des observations et recommandations sur les activits audites. Habituellement, elles situent
les observations et recommandations dans la perspective de leurs implications globales. Les
conclusions de la mission sont clairement exposes dans le rapport daudit. Elles peuvent
porter sur l'ensemble du champ audit ou sur des aspects particuliers. Elles peuvent exposer,
entre autres, dans quelle mesure les objectifs oprationnels et les programmes sont
conformes ceux de lorganisation, si les buts et objectifs de l'organisation sont atteints, et si
lactivit examine fonctionne comme prvu. Lopinion peut consister en une valuation
globale des contrles ou tre limite des contrles spciques ou certains aspects de la
mission.
9.
Lauditeur interne peut communiquer des recommandations sur les amliorations et faire
tat des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont
fondes sur les observations et conclusions de lauditeur interne. Elles appellent des actions
destines corriger les situations existantes ou amliorer le fonctionnement et peuvent
suggrer des approches visant corriger ou amliorer le fonctionnement, approches que
le management peut utiliser comme guide pour latteinte des rsultats xs. Les recommandations peuvent tre de nature gnrale ou spcique. Par exemple, lauditeur interne peut
recommander une ligne de conduite gnrale et des propositions spciques de mise en
uvre. Dans dautres cas, lauditeur interne peut suggrer un examen ou une tude complmentaire.
220
10. Lauditeur interne peut communiquer sur les ralisations de laudit, qu'il s'agisse d'amliorations apportes depuis le dernier audit, ou de la mise en place dactivits bien matrises.
Cette information peut tre ncessaire pour reprsenter dlement les conditions actuelles
dexercice, orir une perspective et assurer un quilibre dans le rapport daudit.
11. Lauditeur interne peut communiquer les points de vue de laudit sur les conclusions ou
recommandations de laudit.
12. Dans le cadre des discussions entre lauditeur interne et laudit, lauditeur interne obtient
laccord de l'audit sur les rsultats de laudit et sur tout plan daction ncessaire lamlioration des activits. Si lauditeur interne et laudit ne sentendent pas sur les rsultats de laudit, le rapport d'audit mentionne les deux positions ainsi que les raisons du dsaccord. Les
commentaires crits de laudit peuvent tre inclus en annexe au rapport, dans le corps du
rapport ou dans une lettre introductive.
13. Il peut ne pas tre opportun de communiquer certaines informations tous les destinataires
du rapport, notamment lorsquil sagit de renseignements couverts par le secret professionnel,
protgs ou relatifs des actes irrguliers ou illgaux. Ces informations sont alors incluses
dans un rapport distinct. Si les faits rapports impliquent la direction gnrale, le rapport est
adress au Conseil.
14. Les rapports intermdiaires sont crits ou oraux, et peuvent tre transmis d'une manire ocielle ou informelle. Des rapports intermdiaires sont utiliss pour communiquer des informations ncessitant une attention immdiate, pour signaler un changement dans le champ
de la mission ou pour informer le management de lavancement des travaux lorsque la
mission est de longue dure. Lemploi de rapports intermdiaires ne rduit ni nlimine la
ncessit d'un rapport dnitif.
MPA 2400
15. Un rapport sign est mis la n des travaux. Des notes de synthse mettant en vidence
les rsultats de la mission sont recommandes pour les suprieurs hirarchiques de laudit ;
elles peuvent tre mises sparment ou conjointement avec le rapport dnitif. Le terme
sign signie que l'auditeur autoris signe manuellement ou lectroniquement le rapport
ou la lettre de couverture. Le responsable de laudit interne dtermine lauditeur interne autoris signer le rapport. Si les rapports d'audit sont diuss par des moyens lectroniques, un
exemplaire sign manuellement est archiv l'audit interne.
221
MPA 2420-1
Qualit de la communication
Principale Norme de rfrence
1.
Collecter, valuer et synthtiser les donnes et les preuves avec soin et prcision.
2.
Dvelopper et noncer les constats, conclusions et recommandations sans prjug, parti pris,
intrt personnel ni inuence inapproprie.
3.
Amliorer la clart en vitant lutilisation dun langage excessivement technique et en fournissant toute linformation signicative et pertinente dans ce contexte.
222
4.
Prparer des communications dont chaque lment est porteur de sens tout en tant
concises.
Commentaire IFACI
Les besoins et donc les critres de concision dirent selon les publics cibles.
Les audits et leur hirarchie immdiate veulent un document complet, intgrant une argumentation dtaille et
ventuellement technique du raisonnement de l'auditeur. Ceci conditionne ladhsion aux constats et aux
recommandations des auditeurs.
La direction gnrale veut tre informe mais n'est pas en charge de la conduite oprationnelle de la rsolution des
problmes. Elle veut donc l'essentiel, sous forme dune contraction de texte sans la dmonstration technique dtaille.
5.
Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs
de lorganisation.
Commentaire IFACI
Il est utile de donner aux audits des indications de lecture sous la forme de remarques liminaires. A titre dexemples :
Ce document est un rapport d'audit interne. Il vous est demand de ne pas le diuser car il contient des informations
confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements
pour faire dvelopper des actions de progrs mais il noublie pas de noter, en quelques phrases, ce qui fonctionne
correctement.
Il contient des recommandations. Une recommandation est une piste damlioration propose au responsable habilit
mener l'action. Celui-ci est en charge de dvelopper et mettre en place une solution au problme soulev : celle
propose ou une meilleure.
7.
Prvoir le dlai de prsentation des rsultats de la mission an dviter des contretemps excessifs.
MPA 2400
6.
223
MPA 2440-1
Diusion des rsultats de la mission
Principale Norme de rfrence
1.
Les auditeurs internes changent sur leurs conclusions et recommandations avec le niveau
de management appropri avant que le responsable de laudit interne n'mette le rapport
dnitif. Ceci est habituellement eectu pendant le droulement de la mission ou lors des
runions postrieurs aux travaux (par exemple, les runions de clture).
Commentaire IFACI
Ceci sera facilit si le management audit a t considr tout au long de la mission comme un partenaire. Ceci est le cas
notamment lorsque des changes priodiques ont lieu au cours de la mission sur le droulement de celle-ci.
2.
Une autre technique consiste faire revoir au management de l'activit audite des points,
observations et recommandations envisags. Ces discussions et rvisions aident viter les
malentendus ou fausses interprtations des faits et orent lentit audite loccasion de
clarier certains points particuliers et dexprimer son opinion sur les observations, les conclusions et les recommandations.
3.
Le niveau hirarchique des participants aux discussions et aux rvisions varie selon lorganisation et la nature du rapport daudit; elles impliquent gnralement les personnes qui
connaissent prcisment les oprations audites et celles qui sont en mesure dautoriser la
mise en uvre de mesures correctrices.
4.
224
recevront lattention ncessaire et qui peuvent entreprendre les actions correctives qui simposent ou sassurer que de telles mesures seront prises. Lorsque cela est appropri, le responsable de laudit interne peut adresser une note de synthse aux membres de lorganisation
occupant un poste plus lev dans la hirarchie. Lorsque cela est prvu dans la charte daudit
interne ou par une rgle interne, le responsable de laudit interne communique galement
les rsultats de la mission aux personnes intresses ou concernes, telles que les auditeurs
externes et le Conseil.
Commentaire IFACI
Cest donc en interne, et essentiellement dans le cadre du rapport daudit, que ces faits matriels doivent tre rvls. Il
convient toutefois dtre bien conscient que des informations dlicates destines a priori la direction gnrale et/ ou au
comit daudit sont susceptibles dtre connues lextrieur de lorganisation. Cest ainsi que les rapports daudit interne
peuvent tre communiqus la justice.
MPA 2400
Pour le secteur bancaire, le rglement 97-02 modifi du CRBF, prcise que les rapports daudit interne sont tenus la
disposition des Commissaires aux comptes et du secrtariat gnral de la Commission bancaire. Il convient donc de
prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement.
225
MPA 2440-2
Communication dinformations sensibles
dans ou en dehors de la ligne hirarchique
Principale Norme de rfrence
1.
Les auditeurs internes entrent souvent en possession dinformations trs sensibles, qui sont
importantes pour lorganisation et peuvent avoir des consquences signicatives. Ces informations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des
gaspillages, des erreurs de gestion, des activits illgales, des abus de pouvoir, une mauvaise
gestion mettant en danger la sant ou la scurit publique, ou dautres mfaits. Du reste, ces
dirents lments peuvent porter prjudice la rputation de lorganisation, son image,
sa comptitivit, sa russite, sa viabilit, sa valeur boursire, ses investissements et ses actifs
incorporels ou ses bnces.
2.
Sil estime que les informations nouvelles sont importantes et crdibles, lauditeur interne les
communique en principe, dans des dlais appropris, la direction gnrale et au Conseil
conformment la Norme 2060 et la MPA 2060-1. Cette communication suivra gnralement la ligne hirarchique normale pour lauditeur interne.
3.
Si, lissue de ces discussions, le responsable de laudit interne conclut que la direction gnrale expose lorganisation un risque inacceptable et quelle ne prend pas les mesures appropries, le responsable de laudit interne doit alors prsenter les informations et les divergences
dopinions au Conseil, conformment la Norme 2600.
4.
Le scnario classique de communication par la ligne hirarchique peut tre acclr, pour
certains types dvnements sensibles, en vertu de la lgislation nationale, de la rglementation ou de pratiques communment admises. Par exemple, en cas de publication dinfor-
226
mations nancires frauduleuses par une socit cote, la rglementation locale peut prvoir
lobligation dinformer sans dlai le Conseil des circonstances entourant le risque de publication de rapports nanciers errons et ce, mme si la direction gnrale et le responsable de
laudit interne sont daccord sur les mesures prendre. Dans certains pays, la lgislation et la
rglementation indiquent que le Conseil devrait tre inform de la dcouverte dune infraction aux lois pnales, aux lois relatives aux titres de socits, lalimentation, aux stupants
ou la pollution, ou de tout autre acte illgal, tel que la corruption ou toute autre forme de
versement abusif eectu en faveur de fonctionnaires, de fournisseurs ou de clients.
Lauditeur interne peut, dans certaines situations, faire face un dilemme lorsquil envisage
de communiquer des informations des personnes qui il nest pas hirarchiquement rattach ou mme lextrieur de lorganisation. Cette communication est communment dsigne par lexpression whistleblowing ( droit dalerte ). La divulgation dinformations
ngatives une personne qui fait partie de lorganisation, mais sans passer par la ligne hirarchique de lauditeur interne relve du droit dalerte interne, tandis que le droit dalerte externe
consiste communiquer des informations une administration ou une autre instance extrieure lorganisation.
6.
La majorit des personnes qui lance une alerte interne divulgue des informations sensibles.
Elles le feront dautant plus facilement quelles ont conance dans la capacit des procdures
et des dispositifs, en place dans lorganisation, dclencher une investigation et les mesures
appropries en cas dallgation dopration illgale ou abusive. Toutefois, certaines personnes
en possession dinformations sensibles peuvent dcider de les divulguer en dehors de lorganisation, en particulier si elles redoutent des reprsailles de la part de leur employeur ou
de collgues, si elles doutent que laaire sera correctement investigue, si elles pensent
quelle sera dissimule ou si elles dtiennent la preuve dune opration illgale ou abusive
mettant en pril la sant, la scurit ou le bien-tre de membres de lorganisation ou de la
communaut.
7.
Lorsquil choisit dutiliser le droit dalerte interne, lauditeur interne doit valuer dautres
moyens de signaler le risque des personnes ou des groupes qui ne font pas partie de sa
ligne hirarchique. tant donn les rpercussions et les risques lis ces dmarches, lauditeur
interne est tenu de peser le caractre probant et raisonnable de ses conclusions et dexaminer
les avantages et les inconvnients de chacune des actions envisageables. Une action de ce
type peut savrer approprie pour lauditeur interne si elle doit aboutir ladoption dactions
srieuses par la direction gnrale ou par le Conseil.
MPA 2400
5.
227
Commentaire IFACI
Dans la mesure o les rgles du jeu sont dment tablies et connues de toutes les parties prenantes, le Directeur de l'audit
interne a un devoir d'alerte l'gard du Comit d'audit pour des faits minemment graves (dlits sanctionns par la loi
pnale), commis ou tolrs par la Direction Gnrale et/ou pouvant mettre en danger la continuit de l'exploitation. []
En cas d'chec d'une telle procdure, il appartiendrait alors au Directeur de l'audit interne de prendre toutes ses
responsabilits.
L'Institut est par contre extrmement rserv sur une permanente organisation formalise et a fortiori institutionnalise du
rle d'alerte de l'audit interne vis--vis des [rgulateurs] bancaires et des auditeurs externes. Elle aurait pour consquence,
-grave-, de dnaturer [le rle] l'audit interne [], [ce qui] serait susceptible d'aecter gravement [sa crdibilit lgard
de lexcutif de lentreprise].
Extrait de la Prise de Position sur le document consultatif du Comit de Ble relatif laudit interne dans les banques et
aux relations entre les superviseurs bancaires et les auditeurs internes et externes .
8.
De nombreux pays ont adopt une lgislation ou une rglementation en vertu desquelles
les fonctionnaires qui ont connaissance dactes illgaux ou contraires lthique sont tenus
dinformer un inspecteur gnral, un autre fonctionnaire ou un mdiateur. Certaines lois nationales relatives au droit dalerte protgent les citoyens qui sapprtent divulguer certains
types dabus. Les activits numres dans la lgislation et la rglementation de ces pays
comprennent notamment :
les infractions criminelles et les autres infractions la loi ;
les actes assimils des erreurs de justice ;
les actes mettant en pril la sant, la scurit ou le bien-tre des personnes ;
les actes dommageables pour lenvironnement ;
les oprations destines dissimuler ou couvrir les actes ci-dessus.
Dautres pays ne proposent aucune directive ni aucun systme de protection ou encore ne
protgent que les salaris du secteur public (gnralement ceux qui ont le statut de fonctionnaire).
9.
10. De nombreuses associations professionnelles requirent que leurs membres divulguent les
agissements illgaux ou contraires lthique. Le caractre distinctif dune profession rside
dans le fait quelle accepte des responsabilits tendues vis--vis du public et quelle entend
prserver le bien commun. Outre lexamen des obligations lgales, les membres de lIIA, ainsi
que tous les auditeurs internes CIA, doivent suivre les rgles du Code de dontologie de la
profession.
228
11. Lauditeur interne est tenu, par devoir professionnel et par la dontologie, de peser avec attention tous les lments probants et le caractre raisonnable de ses conclusions, puis de dcider
si dautres mesures sont ncessaires pour prserver les intrts de lorganisation, de ses parties
prenantes, de la communaut extrieure ou des institutions de la socit. En outre, lauditeur
interne tiendra compte du principe de condentialit du Code de dontologie de la profession, respectera la valeur et la condentialit des informations et sabstiendra de les divulguer
sans y tre dment habilit, sauf en cas dobligation lgale ou professionnelle. Lauditeur
interne peut consulter un juriste et, le cas chant, dautres experts, durant ce processus
dvaluation. Ces discussions peuvent savrer utiles, notamment parce quelles permettent
dobtenir un autre point de vue sur les circonstances de laaire et de recueillir un avis sur
lincidence et les consquences potentielles des diverses actions envisageables. La dmarche,
adopte par lauditeur interne pour rsoudre ce type de situation complexe et sensible, peut
donner lieu des reprsailles et, le cas chant, engager sa responsabilit.
12. En dnitive, lauditeur interne prend une dcision professionnelle propos de ses obligations
vis--vis de son employeur. La dcision de communiquer, en dehors de la ligne hirarchique,
doit tre prise en connaissance de cause. Elle est motive par des preuves susantes et crdibles concernant les agissements en cause, et par la ncessit de prendre dautres mesures
en vertu dune obligation lgale, rglementaire, professionnelle ou dontologique.
Commentaire IFACI
MPA 2400
Les organisations soumises la section 301 de la loi amricaine Sarbanes-Oxley Act (SOX), disposent dun dispositif dalerte
de type whistleblowing.
En France, les traitements des donnes concerns par un dispositif dalerte professionnelle sont lgaux sils rpondent une
obligation lgislative ou rglementaire de droit franais visant l'tablissement de procdures de contrle interne dans les
seuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il sagit de lAutorisation unique N 4
(AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-unfichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/decmode/DISPLAYSINGLEFICHEDECL/dec-uid/4/
229
MPA 2440.A2-1
Diusion des rsultats daudit
en dehors de lorganisation
Principale Norme de rfrence
2440.A2 Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable
de laudit doit accomplir les tches suivantes avant de diuser les rsultats des destinataires
ne faisant pas partie de lorganisation :
valuer les risques potentiels pour lorganisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diusion en imposant des restrictions quant lutilisation des rsultats.
1.
La charte d'audit interne et celle du Conseil, les politiques de lorganisation ou les instructions
spcies dans la lettre de mission peuvent contenir des lignes directrices relatives la diusion dinformations en dehors de lorganisation. dfaut de telles directives, le responsable
de laudit interne peut faciliter ladoption de politiques appropries concernant, par exemple :
lautorisation requise pour diuser des informations en dehors de lorganisation ;
le processus dautorisation pour la diusion dinformations en dehors de lorganisation ;
les instructions concernant la nature des informations dont la diusion est admise ou
non ;
les personnes extrieures autorises recevoir des informations et la nature des informations qui peuvent leur tre communiques ;
les rgles relatives la condentialit des donnes personnelles, les obligations rglementaires et les aspects juridiques examiner avant toute diusion dinformations en
dehors de lorganisation ;
la nature des conclusions, des conseils, des recommandations, des opinions, des instructions et autres informations pouvant tre diuss en dehors de lorganisation.
2.
Les demandes dinformation peuvent concerner des donnes qui existent dj, par exemple
un rapport daudit interne dj dius, ou bien porter sur des informations qui nont pas
encore t produites ou dnies et qui rsulteront dune future mission ou dun nouveau
rapport daudit interne. Pour les informations dj existantes, lauditeur interne examinera si
elles peuvent tre diuses en dehors de lorganisation.
230
3.
Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un
rapport ou des informations existant(s) pour permettre une diusion approprie en dehors
de lorganisation.
4.
5.
Commentaire IFACI
MPA 2400
Des informations dlicates destines, a priori, la direction gnrale ou au comit daudit tant susceptibles dtre connues
lextrieur de lorganisation, il convient de prsenter les faits dont ont eu connaissance les auditeurs internes avec
intelligence, prudence et circonspection.
231
232
233
MPA 2500
234
MPA 2500-1
Surveillance des actions de progrs
Principale Norme de rfrence
1.
Pour tre en mesure de surveiller ecacement les suites donnes aux rsultats communiqus
au management, le responsable de laudit interne tablit des procdures couvrant les aspects
suivants :
le dlai dans lequel le management doit rpondre aux observations et recommandations de l'audit ;
lvaluation de la rponse du management ;
la vrication de la rponse (si ncessaire) ;
la ralisation dune mission de suivi (si ncessaire) ;
un processus pour porter, lattention du niveau appropri de la direction gnrale et
du Conseil, les rponses/actions non satisfaisantes et lacceptation du risque qui en
rsulte.
2.
3.
235
MPA 2500
Le responsable de l'audit interne doit mettre en place et tenir jour un systme permettant de
surveiller la suite donne aux rsultats communiqus au management.
en obtenant et en valuant les informations en provenance dautres entits de lorganisation ayant reu la responsabilit du suivi ou de la ralisation dactions correctives ;
en rendant compte la direction gnrale et/ou au Conseil de lavancement des
rponses aux observations et recommandations de l'audit.
236
MPA 2500.A1-1
Processus de suivi de la mission
Principale Norme de rfrence
1.
2.
Le suivi est un processus par lequel les auditeurs internes valuent le caractre appropri,
eectif et opportun des actions entreprises par le management, en rponse aux observations
et recommandations, y compris celles mises par les auditeurs externes ou d'autres intervenants. Au cours de ce processus il convient galement de dterminer si la direction gnrale
et le Conseil ont assum le risque de ne pas entreprendre daction correctrice en rponse
aux observations.
3.
4.
Le responsable de laudit interne assure la planication des activits de suivi dans le cadre de
llaboration des programmes de travail. La planication du suivi est fonde sur les risques
encourus et leurs impacts, ainsi que sur le niveau de dicult et limportance du dlai de
mise en uvre des actions correctrices.
5.
Lorsque le responsable de laudit interne juge que la rponse orale ou crite du management
indique que l'action entreprise est susante par apport au niveau dimportance des observations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le
cadre de la mission suivante.
237
MPA 2500
2500.A1 Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont t eectivement mises en uvre par le
management ou que la direction gnrale a accept de prendre le risque de ne rien faire.
6.
Les auditeurs internes vrient si les actions entreprises suite aux observations et recommandations corrigent les situations sous-jacentes. Les activits suivies devront tre convenablement documentes.
238